Il 25 maggio è entrato in vigore il GDPR (General Data Protection Rule), due anni dopo l’annuncio degli organi comunitari. Si tratta di un importantissimo passo avanti per la protezione dei dati personali e della privacy, sia per l’ampiezza del regolamento che per le ricadute che potrebbe avere sugli altri governi. Nonostante la rilevanza della questione, il GDPR non è certo un argomento semplice e rimane tuttora per molti versi oscuro. In questo articolo cercherò di fare chiarezza su questo strumento, presentandone le caratteristiche principali, le sfide da affrontare e gli effetti desiderabili.

In poche parole, il GDPR impone a tutte le aziende che gestiscano i dati dei cittadini europei di raccoglierli e usarli in modo trasparente. Più nello specifico, bisogna ottenere il consenso esplicito per l’uso e la conservazione dei dati; questo è il motivo per cui siamo stati sommersi di e-mail che ci aggiornavano sui cambiamenti apportati fra il 23 e il 25 maggio. Le aziende hanno preferito aspettare gli ultimi giorni per adeguarsi, nonostante il testo del GDPR fosse stato depositato nel 2016, perché hanno sfruttato fino all’ultimo la vecchia raccolta dati. Ora il gioco non è più semplice come lo era prima: i consumatori possono chiedere alle aziende quali dati conservino ed eventualmente richiedere la cancellazione di una parte o di tutte le informazioni; inoltre, le organizzazioni che si trovano in possesso di una grande quantità d’informazioni di tipo diverso (ad esempio dati anagrafici, orientamento politico e preferenze al consumo) dovrà nominare un responsabile per la raccolta dati, comportando così maggiori costi fissi. Un ultimo punto molto interessante è il divieto di conservare opinioni politiche, razza, origine etnica, appartenenza a sindacati o convinzioni religiose senza l’esplicito consenso del cittadino – esemplare dopo il caso Cambridge Analytica.

Il GDPR dovrebbe da un lato limitare il potere dei colossi dell’informatica (i cosiddetti Big Tech), dall’altro sensibilizzare le persone sulla protezione della privacy. Tuttavia, Facebook non ha subito flessioni negli iscritti dopo lo scandalo Cambridge Analytica; sembra che i consumatori ancora non comprendano l’importanza e il valore dei propri dati, nonostante le testimonianze di abusi nella loro raccolta e conservazione non manchino. Il GDPR serve quindi a limitare questa mancanza di sensibilità, sperando che le nuove generazioni crescano con una maggiore attenzione verso questi temi.

Un altro elemento molto interessante del nuovo regolamento è che ogni paese che voglia firmare un accordo di libero scambio con l’UE dovrà adottare una legge in linea con il GDPR. Ad ogni modo, già ora tutte le aziende che raccolgono dati di cittadini europei devono allinearsi alle nostre norme. Le multinazionali potrebbero adottarle per tutti i paesi in cui operano, per evitare costose duplicazioni dei sistemi di raccolta e gestire meglio gli eventuali problemi legali. Le punizioni in caso di violazione sembrerebbero convincenti: saranno €20 Mn oppure il 4% del fatturato (ricavi, non utile), in base a quale delle due opzioni comporti il costo maggiore per il colpevole. Le risorse così ottenute andrebbero a finanziare il budget europeo, ad oggi alquanto striminzito (ricordiamo che vale solamente l’1% del PIL europeo). Un’infrazione dei colossi americani – Microsoft, Google, Facebook, Twitter, Apple, Mailchimp, Skype, etc. –  porterebbe un cospicuo flusso di casse senza ricorrere ai finanziamenti statali.

L’unico (grande) problema del GDPR è che penalizza anche le PMI che raccolgono dati dai propri clienti per fini interni. Nonostante il regolamento miri palesemente a colpire Big Tech, le ricadute più pesanti potrebbero esserci per quelle piccole imprese che non hanno il know how o le risorse necessarie per comprendere il cambiamento ed adattarsi di conseguenze. Non è un caso che stiano proliferando pacchetti software che risolvono il problema; il problema, ovviamente, è che questi pacchetti sono tutt’altro che gratuiti. Il GDPR migliora decisamente la protezione dei dati dei consumatori, ma dobbiamo augurarci che non venga visto come l’ennesimo fardello finanziario imposto da Bruxelles.

Al contrario, il GDPR mostra come l’Unione Europea metta al primo posto i cittadini; dopo aver costruito uno fra i più severi codici di protezione del consumatore al mondo, è destinata a fare scuola anche sulla protezione dei dati personali. Sheryl Sandberg, COO di Facebook e sostanzialmente seconda solo a Mr Zuckerberg, ha ammesso che l’UE è avanti anni luce rispetto al resto del mondo. Il GDPR segna un nuovo inizio del modo di trattare i dati; nel frattempo, noi “comuni mortali” dovremmo imparare a gestire la tecnologia e la nostra privacy in modo adeguato, pena lo scivolamento verso un Grande Fratello mondiale. Cambridge Analytica è stato un avvertimento, ma a quanto pare non è stato sufficiente. Quanto dovremo aspettare ancora?