Un anno di GDPR: le reazioni del mercato e delle imprese

Un anno di GDPR: le reazioni del mercato e delle imprese

GDPR, la normativa che ha cambiato l’approccio ai dati e alla security (ma non solo) è in vigore da un anno. Cosa è cambiato? Come si comportano imprese e cittadini?
Lo scenario attuale è quanto mai variegato e differenziato, in funzione del target preso in esame e al settore di pertinenza delle aziende.

La norma, varata il 27 aprile 2016, ha previsto un periodo di adeguamento di due anni ed è in vigore dal 25 maggio 2018. Trattandosi di una direttiva non richiede alcuna forma di legislazione applicativa da parte degli stati membri. Nonostante questo, le singole leggi nazionali vigenti rimarranno valide, saranno verosimilmente integrate.

I due anni che hanno preceduto l’entrata in vigore del GDPR hanno visto una corsa senza precedenti da parte delle aziende, le quali hanno esaminato e modificato le proprie pratiche per cercare di conformarsi al GDPR ed evitare così una potenziale ammenda fino al 4% dei propri ricavi globali, in caso di mancata dichiarazione di un avvenuto incidente informatico. Nel corso degli ultimi 12 mesi, dalla corsa iniziale si è passati ad un ritmo di adeguamento più cauto, man mano che le autorità di regolamentazione sviluppavano il processo di revisione delle centinaia di migliaia di denunce di violazione già presentate. Ad oggi, il numero di azioni intraprese a seguito di incidenti è stato molto limitato, con un tasso relativamente basso di ammende comminate, in quanto le autorità di regolamentazione si sono impegnate maggiormente a rendere il GDPR più efficace.

Ora che è passato un anno dall'entrata in vigore del GDPR, occorre fare una prima osservazione: la maggior parte delle aziende, sia multinazionali che PMI, hanno iniziato a conformarsi alla direttiva, ad esempio attraverso nuove procedure, nuovi sistemi o nuove clausole contrattuali. Tuttavia, per molte di esse, queste iniziative fanno spesso parte di un processo di conformità "di facciata", volto soprattutto a soddisfare i requisiti minimi di legge.

Se finora questo approccio minimalista è stato spesso privilegiato, lo si deve innanzitutto al fatto che il GDPR non ha ricevuto una risposta particolarmente favorevole da parte delle piccole e medie imprese, che l'hanno visto come un freno allo sviluppo dell'economia digitale in generale e alla loro competitività in particolare. La prospettiva di imporre nuovi vincoli all'utente e la potenziale perdita di alcuni dei dati dei clienti a causa della mancanza di consenso ne ha scoraggiate più di una.

Ma è anche nel testo stesso che questa disparità di approcci ha in parte la sua origine. Il GDPR, nella sua prima versione, stabilisce dei principi che devono essere rispettati, ma senza fornire informazioni su come attuarli nella pratica, lasciando il campo aperto a diverse interpretazioni. Ogni attore del mercato era quindi responsabile dell'applicazione del metodo o dei metodi che sembravano più appropriati al proprio contesto di business - e spesso il meno vincolante.


Al di là delle indagini rivolte alle aziende, il GDPR ha anche portato benefici per i consumatori dell’Unione Europea, in quanto le aziende hanno intensificato notevolmente il proprio impegno per educare il pubblico sulle pratiche in materia di dati. L’istituzione di meccanismi di accesso, rettifica e cancellazione delle richieste, ha dato a milioni di persone un metodo semplice per controllare meglio l’utilizzo dei loro dati personali. Inoltre, i diritti conferiti ai consumatori dall’UE hanno un effetto a valle su molti consumatori di Paesi terzi che possono così beneficiare di pratiche rafforzate, in quanto le imprese adottano adesso un approccio comune alla riservatezza dei dati.

Un anno di GDPR: le reazioni del mercato e delle imprese

Venendo così meno i grandi titoli su indagini chiuse e su multe onerose, una delle domande oggi più ricorrente sul GDPR è se le aziende diventeranno compiacenti e ridimensioneranno di conseguenza i loro programmi per la privacy. Qualsiasi ritrattazione è per sua natura rischiosa, poiché l’uso di vecchie valutazioni di impatto sulla privacy o di inventari/elenchi obsoleti implicano una incompleta gestione delle attività di trattamento dei dati.
Queste lacune sono un segno evidente per le autorità di regolamentazione che il mantenimento di un programma di tutela della privacy è carente e probabilmente meritevole di un esame più attento. Un’altra questione importante è se le rivendicazioni di conformità delle aziende saranno verificate da terzi o rimarranno incontestate fino a quando le autorità di regolamentazione non si faranno sentire o non si dichiarino soddisfatte di ciò che rilevano.

Tuttavia, una cosa che è chiara in questo primo anniversario della sua entrata in vigore è che il GDPR ha già plasmato notevolmente l’approccio che migliaia di aziende adottano nella gestione dei dati. Inoltre, con l’evolversi del panorama della privacy e delle norme che lo disciplinano, in tutto il mondo continueranno a sorgere nuove questioni e nuovi approcci alla privacy dei dati.
Il GDPR continuerà pertanto ad evolvere e a diventare più preciso, nell'ottica di regolamentare il mercato digitale e di responsabilizzare chi detiene dati riservati. Le organizzazioni devono ora considerare il GDPR come un parametro a sé stante in tutte le loro decisioni: esso avrà un impatto finale sui loro metodi di lavoro, sui processi di progettazione e produzione e, naturalmente, sulle loro strategie e operazioni di marketing. Oggi, spesso ci preoccupiamo esclusivamente della punta dell'iceberg, ma la questione della conformità dovrà essere integrata nella vita quotidiana, per ogni argomento e per ogni attività, da ogni dipendente. Solo così le aziende potranno vedere i vantaggi e le opportunità, non solo gli svantaggi.


Al netto delle denunce, delle multe per infrazione e dell’aspetto più pertinente agli aspetti giuridici, che impatto ha avuto la norma sui cittadini? E sulle imprese?

Secondo alcune recenti ricerche, gli utenti non comprendono appieno come i loro dati vengano raccolti, archiviati e utilizzati. La comprensione su come le aziende utilizzano i dati degli utenti è migliorata dopo l’entrata in vigore della GDPR? Per il 59% degli italiani la risposta è “no”, così come è ancora poca la conoscenza della GDPR stessa. Un sorprendente 37% a livello globale dichiara di non sapere nemmeno cosa sia la GDPR e, se in Europa la percentuale cresce al 39%, in Italia si attesta al 34%.

Secondo gli esperti, le aziende non hanno preso sufficientemente sul serio la GDPR. I numeri appena espressi sono scoraggianti per chi si occupa di legislazione e regolamentazione, per chi sperava in un livello più alto di comprensione di una legge fatta per proteggere i consumatori. Anche i marketer dovrebbero rendersi conto che la conoscenza sul tema è ancora poca. Le aziende devono capire pienamente l’importanza della GDPR e a loro volta educare i consumatori sull’importanza della condivisione di dati, un tema che diventerà sempre più importante a livello globale.

Un anno di GDPR: le reazioni del mercato e delle imprese

In generale, l’attenzione degli utenti è scarsa. Il 78%, a livello globale, non legge l’informativa di consenso nella sua interezza, mentre il 52% degli utenti a livello mondiale afferma che, anche leggendo tale policy, non comprende come verranno effettivamente utilizzati i dati. La percentuale è ancora più elevata nei Paesi Europei dove la GDPR è in vigore da un anno: ben il 58%.

E le imprese? Se alcune aziende sono ora conformi al nuovo regolamento, molte altre ci stanno ancora lavorando, e l’allerta sul tema data security resta massima. Stando agli ultimi dati italiani resi noti dal Garante della Privacy, nel 2018 ci sono state infatti 630 notificazioni di Data breach, 4.704 reclami e segnalazioni (ben 1326 in più rispetto al 2017), 43.269 comunicazioni dei dati di contatto dei Responsabili Protezione Dati e 13.835 contatti con l’ufficio relazioni con il pubblico (ovvero 5504 in più rispetto all’anno precedente).
Queste cifre possono significare che le aziende hanno preso sul serio l'obbligo di segnalazione di tutte le violazioni di dati personali, ma che, allo stesso tempo, non hanno adottate misure sufficientemente idonee alla prevenzione di data breach.

Appare dunque evidente che la conformità al GDPR richieda un’apposita formazione e un’assistenza esperta in fatto di tecnologie unita a un approccio rigoroso, con il supporto dei dipartimenti Legal e IT e di società di consulenza, per condurre valutazioni approfondite e analisi della normativa, nonché dei processi aziendali. Questo perché la normativa, spesso di per sé difficile da interpretare, subisce modifiche continue che rendono il percorso di conoscenza e adeguamento impegnativo e ininterrotto. Un’attenta valutazione non può prescindere, inoltre, dall’analisi delle diverse normative applicabili di volta in volta alle singole realtà.

In questo senso, il GDPR è uno strumento di partenza non di arrivo, prevede un approccio dinamico e orientato sia al principio di Accountability - uno dei pilastri del GDPR, che implica la definizione di misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato in conformità - sia al miglioramento continuo dei sistemi di gestione della privacy interno all’azienda.

Sommario