Bimestrale di informazione economica abruzzese
IL NUOVO REGOLAMENTO EUROPEO SULLA PROTEZIONE DEI DATI PERSONALI (GDPR)
gdpr_sicurezza_datigdpr_sicurezza_datigdpr_sicurezza_europa

di Roberto Di Gennaro

Imprese e organizzazioni dovranno conformarsi alla nuova normativa Ue per la privacy e la tutela dei dati, che entrerà in vigore il 25 maggio 2018. Può essere un’importante occasione per i brand di recuperare il rapporto di fiducia con utenti e consumatori.

DAL 25 MAGGIO SI RINFORZA LA PRIVACY E LA SICUREZZA DEI CITTADINI EUROPEI

Dal 25 maggio verranno introdotte le disposizioni del Regolamento generale sulla protezione dei dati personali n. 2016/679 (in inglese Gdpr, General Data Protection Regulation), con cui la Commissione europea intende rinforzare e armonizzare la normativa in materia di privacy e sicurezza informatica per tutti i cittadini europei, sia dentro che fuori i confini dell’Ue. Il testo, adottato nel maggio 2016 ed effettivo a partire dal prossimo mese, stabilisce un unico corpo di regole da attuare allo stesso modo in tutti gli Stati dell’Unione (in Italia saranno abrogate quelle norme del dlgs.n. 196/2003 che risulteranno incompatibili con il Gdpr), consentendo ai residenti europei un migliore controllo sui dati personali. L’impatto che questo nuovo regolamento avrà su tutte le aziende e le organizzazioni europee (e non solo, perché la normativa si applica anche alle società extra-Ue che commerciano con imprese e cittadini dell’Unione) è certamente significativo. Esse verranno maggiormente responsabilizzate in relazione al trattamento dei dati e saranno stimolate ad adottare un approccio attivo nell’implementazione di misure di tutela e garanzia, in accordo con i principi previsti dalla normativa (come il “Privacy by Design” e il “Privacy by Default”) secondo i quali la protezione dei dati dovrà essere concepita sin dalla fase di progettazione dei prodotti/servizi e mantenuta nella misura e per il periodo strettamente necessario.

GDPR, SICUREZZA E FIDUCIA: PER LE IMPRESE UNA NUOVA OPPORTUNITÀ

Quali sono dunque le principali implicazioni a livello organizzativo per il business europeo con l’introduzione del Gdpr? E quali criticità e opportunità si aprono per le attività di marketing? Il tema centrale qui è quello della “fiducia“, un concetto prioritario nelle relazioni tra imprese e consumatori, tra organizzazioni e soggetti protagonisti del trattamento dei dati, ed un argomento al momento particolarmente “sensibile” nella società in generale (si pensi ad esempio al coinvolgimento di Facebook nel caso Cambridge Analytica). Alcune ricerche recenti mostrano come il livello di fiducia delle persone verso le attività di business in riferimento alla gestione e alla sicurezza dei dati personali sia piuttosto basso. Un’indagine di fine 2017, commissionata in Gran Bretagna dall’Autorità indipendente per i diritti all’informazione (Ico), mostra che solo il 20% delle persone ha fiducia in aziende e organizzazioni che trattano dati personali. Connected Life, lo studio annuale della società Kantar Tns sul comportamento online in tutto il mondo, rivela che circa il 60% degli italiani (il 40% a livello globale) esprime preoccupazione per la quantità di dati personali di cui dispongono le aziende. Altre analisi confermano queste tendenze, soprattutto tenendo presente la pervasività che i nuovi strumenti dell’informazione e della comunicazione assumono nel contesto attuale. Anche se a partire dal 25 maggio non è previsto alcun processo di certificazione o audit automatico che verifichi l’effettiva congruenza al nuovo regolamento europeo (alcuni sondaggi, d’altronde, indicano che solo poco più della metà delle imprese riuscirà a rispettare tale scadenza), è nondimeno estremamente opportuno che enti e aziende mettano in evidenza la propria diligenza a riguardo, mostrando in modo tangibile che si è riusciti ad attuare una mappatura dei dati, che si ha consapevolezza di ciò che questi dati personali rappresentano, che si è fatto uno sforzo per istituire corretti controlli al proprio interno, che ai soggetti interessati viene consentito l’accesso e l’eventuale variazione delle informazioni presenti, e che si sta rispettando in modo appropriato la base giuridica sul trattamento dei dati.

IL NUOVO REGOLAMENTO PER LA SICUREZZA DEI DATI

Tra le principali conseguenze che il nuovo regolamento produrrà, vi sarà certamente il cambiamento di approccio delle organizzazioni rispetto ai processi di acquisizione e archiviazione dei dati. In determinati casi bisognerà minimizzare il flusso delle informazioni raccolte e, in altri, abituarsi a non conservare i dati del tutto. Essenziale sarà comprendere se si è titolari di un interesse legittimo, secondo i termini previsti dalla normativa, o piuttosto se è opportuno ottenere nuovamente il consenso tramite le forme appropriate. I requisiti richiesti potranno essere differenti: ad esempio, se i dati non sono stati acquisiti in modo diretto, bisognerà informare i clienti o gli utenti circa la loro provenienza; oppure, se i dati provengono da un’altra azienda consociata, si potrà essere obbligati a fornire una specifica informativa sulla privacy la prima volta che verranno inviate comunicazioni ai soggetti destinatari. Nel caso, poi, si venga in possesso dall’esterno di una nutrita lista di contatti (ammesso che questa pratica conservi ancora un’efficacia), bisognerà necessariamente porsi interrogativi sulla sua provenienza, consapevoli che difficilmente tutti i dati inclusi possano aver già ottenuto un consenso in coerenza con la nuova legislazione europea. I professionisti del marketing e delle vendite dovranno pertanto tenere conto di tutte queste nuove variabili nella composizione di messaggi chiari, concisi e intellegibili. Il mutamento di prospettiva che ne deriverà potrà quindi indurre diverse aziende e organizzazioni a scoprire o intensificare nuove politiche commerciali basate per esempio su strategie e tecniche di inbound marketing, che favoriscono processi di attrazione dei clienti, in contrasto con le più aggressive e dirette pratiche tradizionali (outbound marketing).

GDPR PER LA SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI

Sarà inoltre fondamentale individuare un referente all’interno dell’azienda o dello staff che sia focalizzato in modo specifico sui requisiti e sulle procedure di conformità al Gdpr; può essere un dipendente, un collaboratore esterno, un consulente, un esperto legale. In aggiunta, questo ruolo andrebbe ulteriormente articolato in modo trasversale tra le diverse funzioni aziendali, in stretta corrispondenza con le dimensioni dell’organizzazione o del business. Va inoltre considerata la messa in comunicazione, e la conseguente armonizzazione, dei molteplici archivi di dati personali presenti nei differenti settori della struttura organizzativa. Avere piena consapevolezza, infatti, di quali dati si hanno a disposizione, da dove provengono e come vengono usati (cioè l’insieme dei processi di data mapping) risulterà di particolare utilità ed efficacia anche come supporto alle attività di marketing. In conclusione si può affermare che, dal punto di vista della gestione dell’immagine istituzionale e del marketing, si rivelerà senza dubbio rilevante per imprese e organizzazioni promuovere attivamente la compliance al nuovo regolamento europeo, a dispetto delle specifiche complessità che potrà comportare e con cui bisognerà misurarsi. Mostrarsi infatti capaci di essere conformi al Gdpr, e riuscire a corrispondere a un tale livello di trasparenza, rafforzerà verosimilmente la reputazione dei brand organizzativi più attenti, incrementando il grado di fiducia del consumatore o dell’utente in merito alla condivisione e al trattamento dei propri dati personali.