Il tempo è scaduto, ora scattano le mega-multe
25 maggio 2018: il giorno del giudizio per chi fa marketing su Internet. E non solo.
No, no, non avete proprio scuse, cari miei. Io ve l'avevo detto — proprio su queste pagine — già nel 2014 prima con questo articolo e poi con quest'altro. La privacy è importante, e l'Unione Europea ha deciso di tutelarla in modo aggressivo e completo. Avete avuto quattro anni di tempo per prepararvi, dal 25 maggio 2018 scattano le multe: fino a dieci milioni di euro (oppure il 2% del fatturato mondiale della vostra azienda, se quest'ultima cifra è maggiore) per l'inadempienza. Il doppio per la negligenza. E state pur tranquilli: con la fame di contanti che ha lo Stato, si butteranno a pesce a sanzionare. Qualcuno ha fatto girare la voce che il Garante avrebbe aspettato qualche mese prima di far partire le multe, e l'autorità ha prontamente smentito.
Se avete passato gli ultimi quattro anni in una caverna…
Il GDPR (Regolamento Generale sulla Protezione dei Dati) tocca <em>quasi</em> tutti quelli che memorizzano i dati relativi a cittadini dell'Unione Europea. Non importa nulla se la vostra azienda ha sede negli USA e il sito è ospitato su un server in Cina. Se accettate la registrazione di cittadini europei — anche solo un numero di telefono, o un indirizzo email, dovete essere in regola. Sono esenti solo i liberi professionisti individuali (singoli avvocati e medici, tanto per capirci).
Ed è un'ottima legge. A differenza di altri casi, come per la legge sui cookie che è imbarazzante e ridicola, stavolta il legislatore ha pensato bene di non impantanarsi sui dettagli. Potete leggere integralmente le 190 pagine della legge europea, ma se preferite ve la riassumo in una frase: i dati dei cittadini vanno conservati con massima cautela, solo dietro esplicito e informato consenso, solo per il tempo necessario. il GDPR si guarda bene dal dire come farlo: son affari vostri. Ma se — dopo il 25 maggio 2018 — qualcuno vi ruberà quei dati, se li perderete, se li utilizzerete in modo inappropriato, insomma se salta fuori un qualsiasi pasticcio, allora ecco le forze dell'ordine che fanno le pulci. Controlleranno se avevate pianificato tutto per bene. Verificheranno se avevate investito sufficiente personale, e tempo, e risorse finanziarie. Indagheranno se se avete seguito scrupolosamente tutte le procedure che vi eravate dati. Se non sono vere tutte queste cose, scatta il multone. La legge dice anche che il titolare non può delegare la responsabilità, né scansarla: è vietato esplicitamente, per esempio, stipulare una assicurazione e in caso di guai farsi scudo di questa.
Il dato è tratto
Ovviamente alcuni dati, come quelli relativi ad attività sessuali, opinioni politiche, vita privata, vengono tutelati più che altri meno compromettenti, come i recapiti. In svariati casi un'azienda può studiare la faccenda e tutelarsi da sola senza scomodare avvocati né ingegneri. Certamente deve badare a conservare meno dati possibili, per il periodo di tempo minimo indispensabile a fare il suo lavoro, e a seguito di un consenso esplicito e motivato del cittadino che deve essere informato di tutto quello che si intende fare coi suoi dati.
Dati critici, dicevamo. La legge, e l'imponente apparato di commenti regolamenti e precisazioni che sta crescendo tutt'attorno, impone un principio prudenziale, perché alcuni dati non sarebbero compromettenti per conto proprio, ma possono venire interpretati e correlati, e diventarlo. Per esempio, una multiutility che eroga acqua luce gas e teleriscaldamento di per sé non sembrerebbe possederebbe dati critici, ma a ben pensarci quei contatori con telelettura possono venire usati per scoprire se e quando il cittadino è in casa e quando invece è in ferie, una informazione perfetta per gli svaligiatori. La tessera fedeltà del supermercato, analogamente, raccoglie informazioni che possono sembrare poco private: ma se dalla lettura degli scontrini si desume che il consumatore ha una allergia al glutine, non diventa forse una informazione sullo stato di salute? La fattura del carrozziere potrebbe essere un documento che pochi hanno interesse a violare — a meno che possa però rivelare che l'automobilista possiede una Ferrari…
È finito il far west dei dati
Il GDPR è uno spartiacque. Prima del GDPR prosperavano gli spammatori, quelli del marketing digitale che profilavano il mondo, i commerci elettronici che si sentivano in diritto di tracciare anche i non registrati sui loro siti. Pian piano cambieranno mestiere. Non si salveranno (più) neppure i soliti grandi nomi che si sono arricchiti collezionando i dati dei loro utenti, come Facebook: stan tutti correndo ai ripari. Il suo arrivo, a cascata, ha costretto addirittura paesi amici ma non membri, come la Svizzera cambiare le proprie leggi in merito.
Originariamente pubblicato in data 20/04/2018
