Articoli

«
Como
_
trasformare
_
il
_
regolamento
_
generale
_
sulla
_
protezione
_
dei
_
dati
_
in
_
un’opportunità
_
per
_
l’azienda
»

Sviluppo app · Sviluppo web

Proteggere i diritti dei consumatori i loro dati personali. El nuovo regolamento generale sulla protezione dei dati personali. La riforma pone al centro i diritti degli utenti, imponendo alle aziende di adeguarsi ai nuovi requisiti normativi.

La costante evoluzione tecnologica e i processi di trasformazione digitale che coinvolgono le attività legate al trattamento delle informazioni sensibili sono all’origine del nuovo regolamento generale sulla protezione dei dati personali (noto come GDPR, dall’inglese General Data Protection Regulation). La norma sarà applicata a partire dal 25 maggio di quest’anno (è entrata in vigore a maggio del 2016) e interesserà tutte le imprese che operano nell’Unione Europea, quindi non solo le aziende e le organizzazioni europee, ma anche quelle internazionali che gestiscono dati di cittadini residenti nell’UE. Il nuovo regolamento è nato con l’intento di proteggere i diritti dei consumatori, ovvero i loro dati personali, che sono diventati la vera merce di scambio per moltissime aziende attraverso i siti internet, le app o il mailing.

Le regole proposte incidono sul modo in cui queste aziende, sia nella pubblica amministrazione sia nel settore privato, elaborano le informazioni sensibili. Le sanzioni per la mancata osservanza sono pesanti, con multe che possono raggiungere i 20 milioni di euro o il 4% del fatturato annuale.

La riforma pone al centro i diritti degli utenti, imponendo alle aziende di adeguarsi ai nuovi requisiti normativi, che possono trasformarsi in opportunità per le aziende: l’opportunità di essere più trasparenti nei processi di gestione nei confronti del pubblico esterno, l’opportunità di offrire un servizio migliore grazie ai protocolli interni di elaborazione dei dati, l’opportunità di individuare e correggere i punti deboli nei sistemi di raccolta e archiviazione delle informazioni o l’opportunità di ripulire i database e migliorare la qualità dei contatti. In breve, le occasioni da cogliere dipendono dalla capacità di muoversi per tempo, garantendo un trattamento dei dati scrupoloso e di qualità. Questa necessità di giocare d’anticipo, che implica un cambio di prospettiva, è proprio una delle novità introdotte dal regolamento.

Non si tratta infatti di intervenire quando si presenta una situazione critica, ma di riformulare i protocolli e le politiche sui dati sensibili da zero, con la cosiddetta privacy by design o valutazione d’impatto della privacy, partendo dal tipo di informazioni elaborate dall’azienda e dal potenziale rischio che comporterebbe per l’utente un loro eventuale trattamento indebito

Come ottenere i dati dai consumatori, come informarli sul modo in cui saranno elaborati, come archiviare le informazioni: sono solo alcuni degli interrogativi a cui bisogna trovare risposta per non farsi cogliere impreparati.

“Noi di Cuatroochenta guardiamo al GDPR con un’ottica positiva.  L’utente riceverà spiegazioni più dettagliate sui dati che gli vengono richiesti e a quale scopo. Dal canto loro, le aziende devono garantire un trattamento corretto e sicuro di quanto ricevono. Il risultato sarà un controllo più efficiente sulle informazioni che ogni consumatore cede quando usa un servizio”.
David Esteve, Developer Team Leader di Cuatroochenta
“E renderà ancora più evidente un concetto che noi sviluppatori abbiamo ben interiorizzato: se il prodotto o il servizio è gratuito, il prezzo sono i tuoi dati”.
Iván Sorribes, responsabili del team di sviluppo delle app di Cuatroochenta.

Novità introdotte dal GDPR

Le aziende dovranno pertanto adattarsi alle modifiche e ai nuovi obblighi imposti dal regolamento europeo. Passiamo quindi a esporre le principali novità per mantenersi aggiornati: 

Il principio di responsabilizzazione. 

Si riferisce all’atteggiamento “cosciente, diligente e proattivo” che devono adottare le imprese riguardo al trattamento dei dati personali che raccolgono. A seconda del tipo di informazioni in questione, devono poter stabilire la categoria e l’importanza delle attività di gestione. Allo stesso tempo, il regolamento impone di identificare gli strumenti tecnologici coinvolti (cloud, database, server). L’atteggiamento proattivo si riflette in azioni come la comunicazione di eventuali falle nella sicurezza (accessi non autorizzati o tentativi di intrusione), che devono essere notificate all’autorità di controllo competente entro 72 ore.

Più informazioni per gli interessati

Il GDPR richiede di fornire agli utenti spiegazioni più precise sul trattamento che riceveranno i loro dati. Per farlo esistono vari canali, tra cui messaggi sui siti internet, spazi appositi sui moduli o cartelloni informativi. Oltre a utilizzare canali diversi, un’azienda può ottenere le informazioni anche in momenti diversi, ad esempio quando raccoglie i dati dei suoi dipendenti o quelli dei clienti per redigere un contratto. Questo presuppone inevitabilmente una revisione delle informative e delle note legali sulla privacy, tenendo sempre a mente che non basta inserire le informazioni, bisogna anche renderle comprensibili.

Analisi del rischio

La valutazione del rischio è la variabile che permette di stabilire se si devono rispettare o meno determinate condizioni del regolamento. Infatti, alcune disposizioni si applicano solo se comportano “un rischio elevato per i diritti e le libertà, mentre altre devono essere modulate in base al livello e al tipo di rischio che implica l’elaborazione dei dati”. In poche parole, a seconda del rischio a cui viene esposto l’utente che fornisce le informazioni, le aziende devono applicare determinate politiche in materia di privacy. Non tutte le aziende sono obbligate a eseguire una VIPD, ma nel caso in cui non lo facciano, devono comunque indicare le ragioni per cui ne sono esenti.

Responsabile della protezione dei dati (RPD).

È colui che deve assicurare il rispetto del nuovo regolamento e che fungerà da ponte fra l’azienda e l’autorità di controllo. Il responsabile deve partire dal presupposto che la norma di riferimento è il GDPR e non le leggi nazionali, come è stato fino a questo momento. Questa figura può essere interna o esterna all’azienda.

Monitoraggio continuo

“Per garantire un’adeguata gestione dei rischi è indispensabile un monitoraggio continuo”. Non si tratta solo di un’analisi preventiva volta a delineare lo stato di fatto e correggere i processi non conformi al nuovo regolamento, bensì di un protocollo di monitoraggio periodico. Se il contesto è mutevole, altrettanto lo sarà il quadro che si delineerà inizialmente: per questo un controllo costante è fondamentale.

Informazioni e diritti dei cittadini.

Il regolamento sancisce nuovi diritti per gli utenti, come il diritto all’oblio e il diritto alla portabilità dei dati.

Consenso dell’utente.

È un consenso “esplicito, inequivocabile e verificabile”, ciò significa non solo che l’interessato deve esprimerlo in modo attivo, ma anche che l’azienda deve essere in grado di giustificarlo in caso di ispezione.

Sportello unico.

Nell’ottica di semplificare i processi per gli utenti, lo sportello unico propone un solo interlocutore con cui comunicare. Allo stesso tempo, richiede al garante europeo per la protezione dei dati di valutare per ogni richiesta se ha natura transfrontaliera e di coordinarsi con le altre autorità omologhe. Lo sportello unico interessa esclusivamente le aziende presenti in più di uno stato membro.

La navigazione mobile il comportamento nelle app

In un contesto come quello attuale, in cui gli utenti interagiscono con le aziende attraverso lo smartphone più che con qualunque altro canale (televisione, negozi fisici, ecc.) e in cui la navigazione mobile avviene prevalentemente all’interno delle app (l’80% del tempo investito dagli utenti), è naturale che l’adattamento del GDPR si concentri su questo tipo di ambiente. Non a caso, le applicazioni raccolgono un enorme volume di dati personali: quelli che vengono inseriti durante la registrazione, quelli basati sul comportamento degli utenti, la connessione ad altri server per funzioni come l’invio via mail, la condivisione sui social, ecc.

Gli sviluppatori devono progettare le app in base alle nuove disposizioni della norma; fra le altre cose, questo significa inserire dei link all’informativa sulla privacy prima dell’installazione, specificare i dati di contatto del responsabile per la protezione dei dati dell’azienda, aggiungere moduli che permettano agli utenti di esercitare i propri diritti (diritto alla portabilità) o integrare checkbox non selezionate di default in modo che il consenso sia espresso attivamente.

L’obiettivo è far sì che le aziende si organizzino in anticipo per gestire i rischi derivanti dal trattamento dei dati e proteggere le informazioni. Come? In alcuni casi, la risposta sembra essere proprio lo smartphone. Pensiamo ad esempio ai sistemi con autenticazione a due fattori, che trasformano il telefono in uno strumento di identificazione personale. “Lo smartphone si utilizza già da tempo per i sistemi con autenticazione a due fattori, sostituendo in molti casi le mail di conferma”, fa notare Esteve, “e sembra chiaro che questo modello di validazione dell’identità continuerà a diffondersi e ad affermarsi”. In effetti, la protezione dei dati attraverso l’impronta digitale (Touch ID) e persino il riconoscimento facciale, come il Face ID di Apple, sono ormai un’indiscutibile realtà.

“Il grande vantaggio dei dispositivi mobili è che, di solito, permettono di accettare o rifiutare le autorizzazioni una per una. L’applicazione di questo schema su altre piattaforme può rivelarsi molto positivo, perché permette all’utente di usufruire di un servizio disattivando solo i permessi di cui non si fida, anziché rinunciarci completamente”.
David Esteve, Developer Team Leader en Cuatroochenta

Le novità del regolamento si possono riassumere nella richiesta di un impegno maggiore da parte delle aziende per garantire la protezione dei dati dei loro utenti. Per quanto si tratti senza dubbio di una richiesta esterna, vale a dire di un’imposizione, l’adeguamento alla norma avrà ricadute positive in termini di fiducia per le aziende che adotteranno buone prassi di gestione dei dati.

Basti pensare al crollo delle azioni di Facebook dopo lo scandalo Cambridge Analytica per avere la prova pratica di quanto la reputazione di un marchio e la sua capacità di ispirare fiducia nel pubblico abbiano ripercussioni concrete sui profitti. Casi come quello di Cambridge Analytica evidenziano il cambiamento in atto nei modelli e nelle motivazioni dei consumatori al momento di acquistare beni e servizI.

Come confermano alcuni studi, ci si orienta sempre di più su aziende dai principi saldi. Il secondo studio del movimento spagnolo Marcas con Valores, elaborato dall’agenzia di marketing 21gramos in collaborazione con Corporate Excellence e Nielsen, rivela il peso che hanno sulle decisioni d’acquisto valori come la trasparenza, la fiducia o l’onestà del marchio. Secondo lo studio, “al momento dell’acquisto, l’80% degli spagnoli non si limita più alla buona qualità o al prezzo, ma cerca altri valori”.

Questa tendenza a preferire un consumo più responsabile apre nuove opportunità per le aziende: restare coerenti ai propri principi, allineare le azioni ai valori del marchio e mostrarsi trasparenti e impegnati agli occhi dei potenziali consumatori può generare un tornaconto positivo, ed è proprio ciò che richiede il GDPR al settore privato e alle istituzioni.

lectus ante. sed id, pulvinar Curabitur elit. elementum consectetur odio