Analysis

Il regolamento generale sulla protezione dei dati (GDPR), un ampio e severo quadro giuridico dell'Unione europea (UE) riguardante la riservatezza dei dati personali, è entrato in vigore il 25 maggio. Pronti o meno, questo framework trasformerà drasticamente il business di qualsiasi impresa digitale. L'Associazione internazionale dei professionisti della privacy (IAPP) prevede che verranno creati almeno 75.000 posti di lavoro dedicati alla privacy, e che le società della classifica di Fortune Global 500 spenderanno quasi 8 miliardi di dollari per assicurarsi di essere conformi al GDPR. Ma cosa significa tutto ciò per le blockchain…

Gli obiettivi del GDPR sono: creare un framework di gestione dei dati uniforme all'interno dell'Unione e rafforzare il controllo esercitabile sull'archiviazione e sull'uso dei propri dati personali. Allo stato adottato nel 2016 e, dopo un periodo di transizione di due anni, è finalmente entrato in vigore.

Il GDPR introduce nuovi obblighi procedurali e organizzativi per i "data processors", categoria nella quale rientrano sia le aziende che gli enti pubblici, e conferisce maggiori diritti ai "data subjects", ossia i singoli utenti.

Le organizzazioni pubbliche e private tendono ad accumulare dati ancor prima di sapere come li utilizzeranno, creando una sorta di "corsa all'oro" dove l'obbiettivo sono per i dati personali degli utenti. Il GDPR va contro questa abitudine, specificando che i data processor non dovrebbero raccogliere dati se non quelli strettamente necessari alla loro interazione immediata con i consumatori. In effetti, la raccolta dei dati dovrebbe essere "adeguata, pertinente e limitata al minimo necessario in relazione agli scopi per i quali sono trattati" (art. 39 del GDPR).

Oltre a stabilire cosa sia permesso o meno, il GDPR specifica anche le linee guida organizzative che i data processor dovranno adottare da ora in poi. Ad esempio, la loro architettura tecnologica dovrà cancellare i dati dei consumatori dopo averli utilizzati ("privacy by design").

Inoltre, qualsiasi entità considerata come "data nexus" dovrÃ dotarsi della nuova figur del Responsabile della Protezione dei Dati (RPD) che si occuperÃ d garantire la conformitÃ con il GDPR. Il RPD avrÃ l'obbligo legale allertare l'autoritÃ di vigilanza ogniqualvolta si presenta un rischio per la privacy dei data subject (art. 33).

I data subject, d'altro canto, sapranno in che modo vengono archiviati e trattati i loro dati personali (art. 15). Ad esempio, avranno il diritto di chiedere una copia delle informazioni detenute dalla società . Inoltre, i data processor devono comunicare ai data subject tutti i dettagli sul processo d'acquisizione e di trattamento e/o condivisione dei loro dati.

Oltre ad una totale trasparenza, il GDPR offre ai cittadini un maggiore controllo sul modo in cui le proprie informazioni vengono utilizzate. L'articolo 17 elenca le condizioni in base alle quali i cittadini saranno in grado di richiedere la cancellazione dei propri dati dai database aziendali, o il cosiddetto "diritto all'oblio".

Come hanno puntualizzato Sarah Gordon e Aliya Ram in un articolo del Financial Times, "in definitiva, l'impatto del GDPR dipenderà dalla decisione dei cittadini di esercitare o meno i poteri loro conferiti dalle nuove regole". Quando è¨ stata l'ultima volta che hai rifiutato i tuo consenso all'informativa sulla privacy di Facebook?

Fenomeno dalle proporzioni mondiali

Il GDPR impone sanzioni estremamente elevate alle aziende che non lo rispettano. Inoltre, la sua portata va ben oltre l'UE.

Per le aziende, una visita del "revisore dei dati" potrebbe diventare ancora più¹ temibile di quella dell'ispettore fiscale. Una violazione intenzionale o ripetuta dei principi stabiliti dal GDPR porterà a una multa fino a 20 mln di euro, o fino al 4 percento del fatturato annuale mondiale, qualunque sia la maggiore delle due. Anziché © limitarsi a far affidamento esclusivamente sugli RDP, verranno eseguiti anche regolari controlli dalle autorità .

Anche se sulla carta, il GDPR protegge solo i dati all'interno dell'UE, la sua portata , di fatto, globale. Innanzitutto, i data processor situati al di fuori dei confini UE che gestiscono le informazioni personali dei residenti dell'Unione dovranno rispettare il nuovo regolamento.

In secondo luogo, l'UE ha legato i flussi di dati ai flussi commerciali: qualsiasi paese che desideri firmare un accordo commerciale con l'UE dovrà rispettare il GDPR. Negli ultimi dieci anni, gli Stati Uniti sono diventati un po' la "polizia economica del mondo", infliggendo enormi sanzioni agli istituti bancari per non aver rispettato le sue norme antiriciclaggio. Con il GDPR, l'UE diventerà il campione mondiale della protezione dei dati?