In base a queste nuove regole tutte le informazioni personali saranno considerate private e protette, offrendo un approccio molto più completo rispetto alla protezione frammentaria dei dati medici e finanziari attualmente in vigore negli Stati Uniti.
Ma cosa comporterebbero queste nuove regole per le imprese statunitensi?
La risposta è: tanto. Può darsi. Dipende.
Una risposta più lunga e ragionata, invece, richiede l’analisi del contesto e necessita di un po’ di tempo per capire dove il GDPR voglia andare a parare. Nel frattempo, molti imprenditori stanno già adottando importanti cambiamenti per non farsi trovare impreparati dal lancio del nuovo regolamento che avverrà a maggio.
Privacy su Internet: i primi anni
Il GDPR, che entrerà in vigore il 25 maggio 2018, è il risultato di quattro lunghi anni di dibattiti e preparativi, sebbene le sue origini risalgano a più di due decenni fa, quando l’UE iniziò a proteggere in maniera sistematica i dati personali. Il GDPR sostituirà il vecchio regolamento emanato nel 1995, che andò in vigore quando Netscape dominava il web e molto prima che i giganti dei dati sensibili come Google e Amazon iniziassero ad impegnarsi nel campo del marketing. Da allora, il panorama digitale è cambiato in maniera radicale e, di conseguenza, anche il modo in cui le aziende utilizzano i dati. L’UE spera di tenere il passo con questi giganti dei dati e con quei cambiamenti che hanno investito il web negli ultimi venti anni, assicurando ai suoi cittadini di poter stare sicuri circa la loro privacy e la sicurezza informatica.
Esattamente come il suo predecessore, il GDPR è stato costruito sulla premessa che tutte le informazioni private siano effettivamente private e che ogni utente detenga i diritti su questi dati. In effetti, tra le prime frasi presenti nel regolamento in questione spicca l’espressione “la protezione dei dati è un diritto fondamentale”. Per quanto riguarda la definizione “dati personali”, il GDPR è molto dettagliato.
Con dati personali si intende qualsiasi informazione relativa ad una persona fisica identificata o identificabile; una persona fisica identificabile è colui che può essere identificato, direttamente o indirettamente, facendo riferimento ad un identificatore, ovvero ad un nome, ad un numero di identificazione, ai dati relativi alla sua ubicazione, ad un identificatore online o a uno o più fattori specifici che descrivano l’aspetto fisico, fisiologico, l’identità genetica, psicologica, economica, culturale o sociale di quella persona…
In che modo il GDPR si differenzia rispetto al passato?
Per quanto riguarda le grandi differenze tra i precedenti standard sulla privacy emanati dall’UE e il nuovo GDPR, è necessario trattare tre aree principali del regolamento:
- Ambito territoriale. Questo è senza dubbio il più grande aggiornamento del GDPR, che gli ha conferito la giurisdizione su tutte le società che trattano i dati personali delle persone situate nell’UE, indipendentemente dal fatto che la società abbia o meno sede in una nazione dell’UE. Questo aspetto copre tutte le attività relative all’offerta di beni e servizi ai cittadini dell’UE, nonché il monitoraggio dei comportamenti che si svolgono nell’UE. Prima del GDPR, invece, le questioni territoriali erano abbastanza ambigue, dando luogo a numerosi casi legali complessi.
- Le imprese che desiderano utilizzare i dati dei cittadini dell’UE devono ottenere il consenso in modo chiaro e accessibile. Un altro aspetto importante è che l’ente che cerca di utilizzare i dati dovrà rendere semplice la revoca del consenso, allo stesso modo di come è stato ottenerlo.
- Sono stati fissati vari gradi di sanzioni, alcune delle quali particolarmente significative. Per le infrazioni gravi che violano il GDPR, inclusa la mancata acquisizione del consenso al trattamento dei dati personali, le organizzazioni possono essere multate fino ad un totale di 20 milioni di euro, oppure del 4% del loro fatturato globale annuo, a seconda di quale di queste cifre sia maggiore. Violazioni minori, come la perdita di informazioni, la violazione degli standard di sicurezza e un’archiviazione insufficiente dei dati, possono comportare una multa minore, ma comunque pesante, pari al 2% del fatturato.
In che modo il GDPR differisce dalle norme sulla privacy in vigore negli Stati Uniti?
Il GDPR si distingue dall’approccio americano alla privacy delle informazioni per la sua natura globale. Le sue politiche, infatti, sono radicali e trattano ogni singolo aspetto della questione, mentre negli Stati Uniti sono state adottate norme ad hoc che differiscono in base al settore specifico. Gli Stati Uniti, infatti, hanno optato per l’adozione sporadica di regolamenti di nicchia specifici del settore. Ad esempio, il Video Privacy Protection Act ha specificamente vietato il rilascio di elenchi di noleggio video dei clienti di Blockbuster e di altre aziende simili. In ogni caso, pur restando obsoleto in molti dei suoi aspetti, il regolamento vigente negli Stati Uniti d’America si è evoluto molto negli ultimi anni, soprattutto nel regolare il modo in cui Netflix e Facebook gestiscono le informazioni relative ai contenuti video. Ma anche se dalle sue origini ad oggi ha fatto molta strada, resta largamente incompleto, tanto da poter sostenere che non si tratti di un buon modo per gestire la privacy dei dati.
A tal proposito, è necessario riportare anche l’esistenza dell’HIPAA (Health Insurance Portability and Accountability Act), ovvero la raccolta degli standard di sicurezza delle informazioni relative alle carte di pagamento (PCI DSS) e ad innumerevoli altri aspetti della privacy. Trattare questo argomento è piuttosto complicato. Al contrario, è possibile affermare che il nuovo standard adottato dall’UE è molto più semplice, almeno non all’interno dell’UE. Non importa se i dati riguardano la tua assistenza sanitaria, la tua carta di credito, i tuoi video, il tuo DNA, il tuo calendario degli appuntamenti o qualsiasi altra cosa: con il nuovo regolamento qualsiasi dato personale verrà protetto alla stessa maniera. E le aziende che richiedono dati personali per fare affari con te devono attenersi a quanto previsto dalla legge per acquisirli, archiviarli, elaborarli e proteggerli. Fine della storia.
In che modo tutto ciò potrebbe influenzare le mie attività negli Stati Uniti?
Il marketing nell’era digitale riguarda principalmente i dati, pertanto, il GDPR complicherà il lavoro dei marketer e potrebbe mettere a repentaglio la tua attività, soprattutto se non stai attento. Ad esempio, se il tuo canale di social marketing dovesse essere apprezzato da un utente sloveno, inglese o danese, puoi star certo che non accadrà nulla. Ma se crei un sito web che termina con .si per impegnarti attivamente sul mercato sloveno, piuttosto che con .uk o .es o con qualsiasi altro suffisso di nazioni UE, o se inizi ad accettare euro, sterline o corone danesi, allora il GDPR verrà applicato anche ai dati rilasciati dagli utenti a quel sito e coinvolti in quelle transazioni.
Le aziende che gestiscono enormi quantità di dati, come Facebook, Netflix e Amazon, vivranno un evidente e pesante passaggio di consegne da un regolamento all’altro. Pertanto, dovranno assicurarsi di assumere tutte le misure adeguate con gli utenti che vivono nei Paesi UE. L’adozione del GDPR come best practice è un modo intelligente per restare indenni a qualsiasi tipo di sanzione, sia quando si opera negli Stati Uniti che quando si opera sul mercato estero.
La buona notizia è che molte piattaforme incentrate sui dati sensibili forniscono già alcune funzionalità incentrate sulla conformità del trattamento, molte delle quali si sovrappongono ai requisiti del GDPR. I provider di marketing, e-mail e di tracciabilità dei dati come Google, HubSpot e CallTrackingMetrics, ad esempio, dispongono già di funzionalità integrate che offrono agli utenti tutte le rassicurazioni del caso, in piena conformità con le normative HIPAA e PCI. Questi strumenti, insieme a molti altri, forniranno anche le regole necessarie per soddisfare le indicazioni imposte dal GDPR.
Ricambiare la fiducia del cliente
Alcuni degli strumenti che regolano la privacy dell’utenza esistono già ed altri verranno diffusi a breve, ma sta a te mettere in atto le pratiche migliori. I professionisti del marketing devono essere consapevoli che i dati che raccolgono in rete devono essere acquisiti previo consenso dell’utente e devono essere pertinenti ad uno scopo specifico. Se stai organizzando un concorso a premi, ad esempio, i dati che raccogli devono essere utilizzati soltanto per quello specifico obiettivo. Per assicurare la conformità delle operazioni effettuate al GDPR, i database di marketing necessiteranno di scrubbing costante e / o di un consenso aggiuntivo: questo potrebbe suonare come un campanello d’allarme per tutti i marketer che hanno creato elenchi ampi e onnicomprensivi, basati sui dati di contatto.
Il GDPR richiede un po’ di lavoro in più e la necessità di adeguarsi ai diritti dell’utenza e, nonostante alcune critiche che gli sono state rivolte, la sua ragion d’essere rimane estremamente solida: un’economia fiorente in questo nuovo mondo digitale basato sui dati richiede partecipanti certi della propria privacy, coscienti del fatto che i loro dati personali appartengono soltanto a loro: è molto importante che ciascun cliente possa fidarsi delle aziende con cui è solito interagire. Anche se adattarsi a quanto imposto dal nuovo regolamento ideato dall’Unione Europea potrebbe sembrare un’impresa titanica per le piattaforme statunitensi, l’introduzione del GDPR rimane una notizia più che positiva per tutto il settore del marketing digitale. Il GDPR ci sta allontanando dall’acquisto di liste piene di dati e da altre pratiche di spam e sta procedendo verso una migliore esperienza dell’utente, che dovrebbe essere l’obiettivo finale di ogni marketer.