Quasi ogni giorno un nuovo caso coinvolge Facebook e la sua continua e sempre più profonda privazione della privacy. Tutto è partito dalla rivelazione che Cambridge Analytica, una società di consulenza politica che aveva lavorato per la campagna presidenziale di Donald Trump, aveva raccolto in quel periodo dati da 50 milioni di utenti di Facebook. Facebook ha chiesto scusa in grande stile per questo, facendo scendere in campo il suo fondatore e azionista di maggioranza Mark Zuckerberg. Ora Facebook affronta nuove grane a causa delle sue pratiche relative alla registrazione di chiamate e messaggi su dispositivi Android, e peraltro non ha ancora chiesto scusa per questo.
Gli imprenditori di tutto il mondo continuano a guardare gli ultimi inciampi di Facebook sulla privacy con un sottile (e malizioso) senso di gioia. Ma c’è un problema: questi incidenti scatenano reazioni che portano ad una nuova regolamentazione, norme che si applicano a tutte le imprese, non solo titani come Facebook. Mentre negli Stati Uniti gli ingranaggi legislativi girano spesso lentamente, esiste già un modello per la modernizzazione della privacy dei dati nell’Unione europea, sotto forma del nuovo regolamento generale sulla protezione dei dati, chiamato GDPR. Questa ampia normativa sulla privacy dei dati entrerà in vigore il 25 maggio 2018 e la sua implementazione sarà osservata da vicino in tutto il mondo. Poiché le preoccupazioni sulla privacy si diffondono negli Stati Uniti come in altri paesi del’area occidentale al di fuori dell’Unione Europea, il GDPR potrebbe benissimo servire da modello per le migliori pratiche in materia di privacy dei dati a livello globale.
Se la tua azienda, piccola o grande, privata o pubblica, tratta dati di consumatori europei, è già necessario modificare drasticamente le pratiche di gestione dei dati entro la scadenza di maggio. Ma alla luce degli attuali venti di cambiamento che soffiano negli Stati Uniti e in altri paesi del mondo, ora è anche il momento opportuno per iniziare a valutare le implicazioni di una più ampia regolamentazione sulla privacy, specie per le aziende che hanno una presenza online di tipo globale. Un approccio “aspetta e vedi” al GDPR e alla privacy online in generale può rivelarsi costoso, anche per le piccole imprese.
Il GDPR e le piccole imprese
L’intenzione del GDPR è relativamente semplice: dare a cittadini e residenti dell’UE un maggiore controllo dei propri dati personali. Nella nostra economia globale, il GDPR colpisce una percentuale considerevole di tutte le attività online. Si applica a tutte le entità, situate in qualsiasi parte del mondo, che controllano o elaborano i dati personali di persone residenti nei paesi dell’Unione Europea. E proprio come la localizzazione non esenta le aziende dall’adeguarsi alla GDPR se vogliono trattare i dati dei consumatori europei, nemmeno le dimensioni fanno differenza. Il GDPR colpisce sia le grandi multinazionali che le piccole imprese. Non esiste alcuna esclusione nell’ambito del nuovo regolamento europeo sulla privacy per le imprese con pochi dipendenti.
Se ti stai chiedendo se il GDPR influisce sulla tua attività, ecco uno schema sintetico che puoi utilizzare per fare una valutazione. La necessità di rispettare il GDPR comporta costi reali associati che includono audit dei dati, aggiornamenti IT e competenze interne per garantire la conformità costante. Qualsiasi azienda che tentasse di adottare un approccio “non faccio nulla, vediamo se mi scoprono” rischierebbe grosso. Le multe per inadempienza possono arrivare fino a 20 milioni di euro o il 4% del fatturato annuale globale. Una scommessa pesante dunque, che nessun imprenditore sano di mente farebbe. La soluzione è prepararsi ed adeguare le proprie privacy policy: ecco alcuni passaggi che possono essere attuati fin da ora, in preparazione dell’entrata in vigore ufficiale del GDPR.
- Rivedi i dati esistenti. Oltre a capire quali dati gestisci (cittadini di quali stati), determina i tipi di dati personali (e-mail, indirizzi IP, ecc.) che raccogli, da dove provengono, dove li conservi e come li utilizzi.
- Valuta le tue pratiche di raccolta e trattamento dei dati. In particolare, determina il livello di consenso che stai ottenendo per i dati che raccogli. Secondo il GDPR, il consenso deve essere chiaro e specifico. Inoltre, valuta le misure e le politiche di sicurezza (o mettile in atto complessivamente) per assicurati che siano conformi al GDPR.
- Esamina accordi con fornitori e processori di dati di terze parti. Devi garantire che i tuoi fornitori e appaltatori (e le terze parti correlate) siano conformi al GDPR per evitare di essere colpiti di riflesso da eventuali violazioni da parte loro e incappare quindi in sanzioni. Aggiorna i tuoi contratti per imporre determinati obblighi GDPR ai tuoi fornitori e appaltatori, come ad esempio la necessità di notificare se i loro dati vengono violati.
- Cancella i dati esistenti se necessario. Ai sensi del nuovo GDPR europeo, potrebbe essere necessario chiedere agli interessati l’autorizzazione a utilizzare alcuni dei loro dati personali. Nei casi in cui è improbabile che tu ottenga il consenso se chiedi (o non hai il permesso di contattare la persona), può essere sensato cancellare del tutto i dati.
- Aggiorna la tua infrastruttura IT. Non solo è necessario disporre delle autorizzazioni appropriate per utilizzare i dati dei clienti, ma è necessario anche proteggerli correttamente. Ciò potrebbe richiedere una maggiore sicurezza per conto del team IT e ulteriori salvaguardie tecniche e organizzative.
- Prendi in considerazione un responsabile della protezione dei dati (DPO). La maggior parte delle piccole imprese può essere esentata dall’obbligo previsto dal GDPR di nominare un DPO. Se invece la tua azienda monitora i dati su “larga scala” come parte regolare del suo “core business” o elabora dati sensibili su “larga scala”, hai bisogno di un DPO operativo.
- Documenta i tuoi sforzi di conformità. Assicurati di tenere traccia dei passi da te compiuti verso la conformità al GDPR. Indubbiamente, non tutte le aziende saranno conformi al GDPR fin da subito, ma essere in grado di dimostrare gli sforzi in buona fede verso l’adesione al regolamento potrebbe fare molto se la tua azienda finisce sotto inchiesta.
I proprietari di piccole imprese e gli imprenditori devono stare al passo con il panorama della privacy dei dati in rapida evoluzione. Nel caso del GDPR, il regolamento e la sua applicazione sono ormai una realtà, e le aziende devono lavorare attivamente per garantire la conformità iniziale e continuata. Ma più in generale, le aziende devono anche prepararsi per un futuro in cui le migliori pratiche sulla privacy dei dati diventeranno mandati più ampi in tutto il mondo. I titoli su Facebook di oggi possono benissimo rappresentare la realtà dei dati di domani per molte aziende.
Leggi anche: Le migliori opportunità per avviare un’azienda innovativa