<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=451519968711544&amp;ev=PageView&amp;noscript=1">

gdpr_metisoft_1

Il GDPR privacy sarà il nuovo regolamento in materia di privacy voluto dall'UE, che comporta alcune modifiche strutturali e organizzative per la raccolta e il trattamento dei dati personali, all'interno delle aziende. Andiamo a vedere di preciso cosa cambierà dal 25 Maggio 2018. 

Il 25 maggio 2018 entrerà in vigore la General Data Protection Regulation (GDPR) in Europa. Si tratta di un Regolamento europeo (Regolamento UE 2016/679), composto da 99 articoli, per la protezione della privacy dei cittadini comunitari, ovunque essi si spostino all’interno dei confini della Comunità Europea.

Cosa garantisce il nuovo GDPR

Il GDPR garantirà ai cittadini che i dati ad essi relativi non potranno essere utilizzati per fini promozionali o analisi di alcun tipo o venduti a società terze senza il loro chiaro consenso. Questo varrà per i social, per i siti web, per le piattaforme di ecommerce e, in generale, per qualsiasi contenuto navigabile online.

Gli utenti potranno utilizzare i servizi online offerti dalle aziende anche senza aver concesso a queste l’utilizzo dei propri dati personali e, in caso in cui invece decidessero di consentirlo, dovranno poter accedere a questi dati in qualsiasi momento, poterli scaricare ed eventualmente modificare o cancellare.

È evidente che le aziende che ad oggi possono dirsi compliance con quanto stabilito dall’imminente GDPR hanno dovuto provvedere negli ultimi mesi a riorganizzarsi internamente e a rivedere i propri processi, affrontando i dovuti costi per queste attività.

Il Data Privacy Officer (DPO)

Fra le novità più importanti che il GDPR porta all’interno delle aziende c’è sicuramente quella dell’introduzione della figura professionale del Data Privacy Officer (DPO), che sarà incaricata di gestire tutte le dinamiche relative alla conformità rispetto al GDPR dell’azienda per cui opera. Il DPO dovrà infatti relazionarsi con il top management su questi temi e controllare che l’azienda rispetti la legge e la applichi correttamente. Il DPO sarà anche l’interfaccia dell’azienda verso l’Autorità Garante della Privacy. È evidente che la carica di DPO dovrà essere ricoperta da un professionista, anche esterno all’azienda, molto preparato e competente, che dovrà agire in maniera indipendente e super partes rispetto ai centri di competenza aziendali, riferendo direttamente ai vertici aziendali.

Ad oggi esistono pochi corsi specifici di formazione per DPO e non ci sono certificazioni o documenti ufficiali che ne dichiarino la professione. Tuttavia anche in questo senso si osservano i primi cambiamenti in positivo, data l’importanza sempre maggiore che questa figura professionale rivestirà all’interno delle aziende. Stime pubblicate da Il Sole 24 Ore affermano addirittura che nei prossimi mesi si apriranno circa 45mila posizioni di lavoro per DPO in Italia.

Non tutte le aziende possono sostenere il nuovo GDPR

Se da un lato il GDPR potrebbe generare nuovi posti di lavoro, dall’altro sta già mietendo le prime vittime tra le aziende, pur non essendo ancora diventato effettivo. Nel caso specifico, facciamo riferimento a Uber Entertainment, Ragnarok Online e Klout.

Le prime due sono società di videogiochi online. In particolare Uber Entertainment si vede obbligata a togliere dal mercato il proprio gioco online Super MNC domani, 23 maggio 2018, e a risarcire i giocatori iscritti perché l’adeguamento dei propri processi di gestione dei dati dei clienti rispetto a quanto stabilito dal GDPR comporterebbe costi troppo alti da sostenere.

Ragnarok Online, invece, non sarà più disponibile per utenti provenienti dai Paesi che hanno aderito al GDPR. Questa scelta è stata fatta dall’azienda per evitare di dover affrontare una spesa troppo alta per la propria riorganizzazione; scelta lecita, che ovviamente però va a ledere il business.

Caso di risonanza molto maggiore è quello della piattaforma Klout, che ha scelto non per niente la data del prossimo 25 maggio per interrompere l’attività. Klout, di proprietà della società Lithium, si occupa di profilare gli utenti e di definirne la presenza social assegnando a ciascuno di essi un punteggio che indichi quanto il soggetto sia un “influencer” online e su quali argomenti. Ebbene, tra tre giorni Klout chiuderà non potendo evidentemente sostenere un cambiamento strutturale radicale delle proprie logiche operative attuali per il trattamento dei dati personali dei suoi utenti per essere compliance rispetto al GDPR.

È chiaro che ci troviamo davanti a casi estremi e certamente non diffusi. Si tratta di aziende che probabilmente già prima che si cominciasse a parlare di GDPR avevano grosse lacune in termini di gestione dei dati personali degli utenti e di privacy policy. La maggioranza delle aziende e dei social network si è già organizzata, ha provveduto ad aggiornare la propria privacy policy e ad affidarsi a consulenti legali competenti. Alcune di queste hanno addirittura da anni cominciato ad ottenere certificazioni rilasciate da specifici enti preposti per garantire la propria compliance alle normative europee sulla privacy.