È ormai risaputo che il nuovo Regolamento Generale sulla Protezione dei Dati (GDPR) entrerà in vigore in tutti gli Stati membri dell'Unione Europea il 25 maggio 2018. Di conseguenza in Europa, così come in tutto il resto del mondo, le aziende devono preparare l’adeguamento legale.
Secondo un recente sondaggio condotto da SAS, meno della metà (45%) delle società del campione analizzato ha un piano strategico per adeguarsi alla nuova direttiva. Il 58% degli intervistati, inoltre, dichiara che la propria azienda non è del tutto consapevole delle conseguenze di una non conformità al regolamento. Le grandi si dichiarano più strutturate per gestire l’impatto del nuovo Regolamento sul business, mentre tra le aziende di piccole dimensioni solo il 37% ne è consapevole.
Quello che però le imprese di tutto il mondo dovrebbero tener ben presente è che il GDPR coinvolge tutte le tipologie di dati, indipendentemente dal settore e dalle dimensioni di un’azienda, oltre a quelli legati ai servizi alla persona e familiari, il nuovo GDPR ha impatti su tutti, inserzionisti ed editori, perché viene applicato anche all’elaborazione digitale dei dati personali. Nell'ambito delle comunicazioni elettroniche esiste anche una direttiva ad hoc (Direttiva in materia di protezione dei dati personali nelle comunicazioni elettroniche, nota anche come ePrivacy), che disciplina l'utilizzo dei cookie e la gestione di metadati.
Dati anonimi e personali, opt-out e opt-in e il campo di applicazione
La direttiva sulla protezione dei dati si applica solamente ai dati personali, vale a dire che tali informazioni si riferiscono a una persona fisica identificata o identificabile (indicata come persona interessata dalla legge). Anche gli pseudonimi possono essere considerati dei dati personali: possono ricondurre a persone fisiche aggiungendo ulteriori informazioni. Ogni elaborazione dei dati ha una base giuridica e alcune norme prevedono che l'elaborazione dei dati sia consentita soltanto per scopi specifici.
Se non esiste una tale legislazione per un determinato trattamento di dati, è necessario ottenere il consenso del soggetto interessato che, non va dimenticato, ha sempre il diritto di recedere (opt-out), sia che l'elaborazione dei dati si basi su una legge esistente o un consenso.
Questo è esattamente il ritratto dell’attuale situazione quando ci si ritrova a trattare i cookie di monitoraggio. Di conseguenza ci si deve chiedere: esiste una base giuridica per l'utilizzo dell'elaborazione automatizzata o è necessario ottenere un consenso esplicito (opt-in)?
Pro e contro della nuova direttiva
L'obiettivo è che le parti interessate, per esempio gli utenti, beneficino delle modifiche perché si richiede il rispetto di un nuovo concetto di protezione dei dati. Se i GAFA (
Google,
Amazon,
Facebook,
Apple) e gli altri grandi player beneficeranno della sua introduzione, in definitiva, dipende dai risultati che si otterranno dalla sua applicazione.
Tuttavia, se l’ambito della domanda “cosa sono i dati personali” dovesse cambiare, sarebbe necessario introdurre ampie modifiche in ogni sistema di misurazione, come l'implementazione di opt-in per l'utilizzo degli adserver, DSP, DMP, soluzioni di attribuzione e personalizzazione…
Bisognerà tener presente il risultato finale, perché ci saranno opportunità e rischi.
Ciò che genera maggiore interesse è capire se alcuni player hanno un vantaggio iniziale dovuto al loro posizionamento sul mercato o, se per il modello di business di altri, il futuro non sia precluso. Sono pericoli reali, dal momento che sono previste sanzioni molto elevate (quantificate in base ai ricavi) in caso di infrazione. In una tale situazione, competere sarà impossibile. Per le grandi piattaforme è più semplice implementare le funzionalità complesse richieste dalla nuova norma, soprattutto, la modalità di opt-in unico per diversi servizi. Di contro, dal punto di vista operativo, la presenza di diverse architetture di differenti fornitori genera molte complessità.
Come riorganizzare la protezione dei dati in azienda
Per mettere a norma la protezione dei dati in azienda occorre aggiornare alcune parti del contratto - quelle principali - con i propri partner commerciali, ed è necessario che il fornitore di soluzioni e servizi trasmetta al proprio cliente le informazioni trasparenti sulle parti interessate ai cambiamenti. Il GDPR che entrerà in vigore tra pochi mesi introduce il concetto di privacy-by-design, che equivale all’incorporazione di un concetto di protezione costante, dove l’utente ha il pieno controllo sull’utilizzo e su dove fisicamente sono immagazzinati i suoi dati.
Le novità sono estese anche agli obblighi di notifica per le violazioni della protezione dei dati e al controllo preliminare prima di avviare un nuovo trattamento. Tra le aziende tedesche la sicurezza dei dati e le procedure sono già familiari, perché sono previste dal BDSG - Federal Data Protection Act / Bundesdatenschutzgesetz. Adform è GDPR ready da tempo, un adeguamento della propria offerta che le ha permesso di acquisire una forte competenza sulla nuova direttiva e che mette a frutto nei webinar dedicati.
e-privacy e GDPR, rapporto indissolubile
Allo studio della Commissione Europea c’è anche la normativa sulla privacy elettronica, che attualmente, non è ancora stata completata ed è disponibile soltanto in bozza.
L’intento politico e istituzionale è comunque di applicarla dal 25 maggio 2018 in poi, tuttavia, è noto esclusivamente che nel suo campo di applicazione, agirà come una legge più specifica del GDPR. Quello che possiamo dire è che l'ambito della regolamentazione sulla e-privacy dovrebbe riguardare i servizi di comunicazione elettronica, inclusi i cookie. È possibile creare eccezioni o regole dettagliate per i cookie e altri ID online, di conseguenza, è possibile ridurre l'ambito di interpretazione del GDPR stesso.
È rilevante notare che ora gli obblighi non sono più concentrati esclusivamente sul cliente (“responsabile”)
, ma ricadono anche su chi vende i servizi (“gestore dell’ordine”). Di conseguenza, non è possibile escludere, che ci sia anche una parte comune che preveda obblighi per ciascuna delle parti coinvolte: editori, investitori in pubblicità, società Adtech. In questo senso, l'intera catena di trasformazione è ora molto più strettamente connessa e deve lavorare di concerto per ottenere un'elaborazione conforme dei dati. Qui c'è sicuramente ancora molto da interpretare.