Punti chiave
Doveva cambiare tutto. Un anno fa, il regolamento generale sulla protezione dei dati in Europa (GDPR) vedeva la luce e la legislazione aveva acquisito una popolarità pari alle notizie di gossip.
Le aziende sentivano chiaramente che la legge avrebbe modificato tutto quello che avrebbero fatto in futuro.
Ma in realtà, il GDPR è stato solo un cambiamento che ha messo in luce la cattiva gestione dei dati, sia da parte delle aziende che su internet in generale.
Ora che il GDPR ha raggiunto un anno di vita, vale la pena capire le previsioni che non si sono avverate e dove invece potrebbero esserci stati dei cambiamenti considerevoli.
Multe alle aziende, mai pervenute
In vista dell’introduzione del GDPR, vi è stato un gran numero di previsioni sulla imminente valanga di multe per violazioni dei dati e incidenti di sicurezza.
Si riteneva che con il regolamento GDPR ci sarebbero state sanzioni 79 volte superiori rispetto a quelle comminate con il precedente regime di protezione dei dati.
Un’altra previsione aveva annunciato che le banche sarebbero state multate gravemente.
Questo – ma ce lo aspettavamo – non è successo. Ad esempio, nel Regno Unito l’Istituto del Commissario per l’informazione (ICO) non ha attuato alcuna sanzione nell’ultimo anno.
Non per magnanimità, ma perchè le indagini sulla protezione dei dati sono attività complesse e lunghe che richiedono una quantità notevole di dati da valutare. Anche se l’ICO ha aperto una serie di indagini, di fatto, non è stata ancora applicata alcuna sanzione pecuniaria.
Multe alle multinazionali, nemmeno
Nessuna grande multa anche per i colossi del web.
Il commissario irlandese per la protezione dei dati, che si concentra sulle grandi società tecnologiche che hanno sede nel paese, sta indagando su Google e Facebook per potenziali violazioni del GDPR.
Ma anche quelli che vendono grandi quantità di dati sono oggetto di indagine nell’ambito del GDPR. Ma finora, niente di concreto.
Le multe teoricamente fanno paura: le sanzioni potrebbero arrivare fino a 20 milioni di euro o il quattro per cento del fatturato globale di un’impresa.
Ma nulla è ancora accaduto, poiché le punizioni più dure sarebbero state riservate solo per le peggiori violazioni dei dati. Uno dei più grandi, se non il più grande, provvedimento in nome del GDPR che è stato finora comminato ha colpito i francesi.
Google in Francia è stata multata per 44 milioni di sterline, per mancanza di trasparenza sulla raccolta dei dati personali per la pubblicità. Per un colosso del genere, un’inezia.
Gli USA ne stanno traendo ispirazione
La previsione che le norme europee in materia di dati avrebbero cambiato i rapporti con gli USA non si è avverata. Tuttavia, l’introduzione del GDPR ha fatto nascere il desiderio nei legislatori statunitensi di copiare parti della legge per proteggere meglio i diritti dei cittadini americani.
Alla fine del 2018, la California ha approvato un Consumer Privacy Act. L’ atto legislativo è stato paragonato al GDPR in quanto è una delle leggi di protezione dei dati più complete degli Stati Uniti. Successivamente, Microsoft ha richiesto una legge federale che introduca pratiche simili a quelle esistenti in California.
Metti subito a norma il tuo sito per la GDPR.
Contatta gratuitamente i nostri consulenti
“La privacy federale non dovrebbe solo consentire ai consumatori di controllare i propri dati, ma dovrebbe anche imporre obblighi di responsabilità alle società che raccolgono e utilizzano informazioni personali riservate”, ha scritto Julie Brill, vice-legale generale di Microsoft. “Ora è tempo che il Congresso prenda ispirazione dal resto del mondo e promulghi una legislazione federale che estenda la protezione della privacy nel GDPR ai cittadini degli Stati Uniti”.
Le aziende non sono state stravolte
In vista del GDPR alcuni analisti avevano previsto che la vita delle aziende sarebbe cambiata completamente. Le analisi arrivavano a dire che il GDPR avrebbe ridisegnato interi settori industriali.
L’isteria che si era creata su questa legge era ingiustificata. I principi del GDPR sono stati creati a partire dalle leggi sulla protezione dei dati già esistenti e hanno aggiunto solo un numero limitato di nuovi diritti e obblighi.
Alcuni dei cambiamenti stavano semplicemente aggiornando o migliorando ciò che era già legge.
Alla fine del 2018, il Commissario per l’informazione del Regno Unito ha chiarito: “È un processo evolutivo per le organizzazioni: il 25 maggio è la data in cui la legislazione ha effetto, ma nessuna azienda si fermerà. Ci si aspetta che si continui a lavorare e affrontare i rischi in materia di privacy e sicurezza nelle settimane, nei mesi e negli anni oltre il maggio 2018. “
Una valanga di mail
Nessuno può dimenticare le decine di e-mail ricevute a ridosso dell’entrata in vigore del GDPR.
Nelle settimane che hanno preceduto l’applicazione di GPDR quasi tutte le aziende a cui avevamo dato il nostro indirizzo e-mail tramite acquisti, conti online o mailing list, volevano mettersi in contatto con noi.
Tutte dicevano la stessa cosa: vuoi continuare a sentirci? Le e-mail chiedevano alla gente di riacconsentire a ricevere messaggi perché il GDPR avrebbe presumibilmente cambiato la situazione.
Invece, secondo il GDPR non era necessario riconfermare tutto.
In realtà, il GDPR non obbligava a riottenere il consenso delle persone. Il consenso per l’elaborazione dei dati è solo uno dei metodi con cui le informazioni di una persona possono essere raccolte e utilizzate.