Il GDPR compie tre anni, come ha cambiato la nostra vita
Tre anni fa l’Unione Europea ha introdotto ufficialmente il Regolamento Generale sulla
Protezione dei Dati: da allora sono stati fatti molti passi avanti, eppure, molte delle sfide più
complesse, in materia di dati, restano tuttora aperte.
Due gli obiettivi principali del GDPR: aiutare i cittadini europei ad ottenere un maggiore
controllo sui propri dati personali e fornire alle aziende un unico insieme di regole volto a
migliorare la protezione dei dati all’interno dell’intera UE.
In questo periodo, stando ai dati noti, sono 661 le sanzioni per violazioni del GDPR in tutta
l’Unione, per un totale di 292 milioni di euro. L’Italia, con 73 sanzioni, è al secondo posto per
provvedimenti sanzionatori emanati, preceduta solo dalla Spagna (222).
La maggiore trasparenza ha portato a un aumento sostanziale sia del coinvolgimento nel rapporto con l’autorità che delle controversie post violazione. Ma la tendenza più interessante da osservare è, probabilmente, il cambiamento
culturale portato dal GDPR: non più percepito come mero elemento di compliance aziendale ma sempre più anche come elemento di differenziazione commerciale e reputazionale.
Le nostre vite lavorative e personali, le abitudini di consumo e di acquisto, le comunicazioni transitano sempre di più dall’online e dalle applicazioni, dunque produciamo ancora più dati e quei dati servono ancora di più alle aziende per capire come comportarsi sul mercato. Ciononostante, la maggior parte delle imprese ancora fatica a interpretare correttamente le norme sulla privacy previste dal Gdpr.
Il rebus del termine di conservazione dei dati. Capire per quanto tempo i dati personali possono essere conservati è uno dei compiti più complessi per gli esperti privacy e questo aspetto viene spesso sottovalutato nonostante possa generare sanzioni. Per i dati raccolti a finalità di marketing il temine è 24 mesi dalla più recente interazione dell’utente (l’ultima apertura di una email, l’ultimo acquisto o partecipazione a un evento da cui si evinca un interesse per il brand). Per i dati raccolti a scopo di profilazione, invece la cancellazione può avvenire al 12 mese ma mantenendo attivo trattamento in modalità aggregata (che permette comunque di risalire ai singoli dati di profilazione me senza ricondurli all’effettivo utente). E’ un errore non cancellare mai nessuna categoria di dati personali che espone l’azienda a sanzioni anche molto gravose.