A due anni dall’introduzione del GDPR una riflessione è d’obbligo e qui Tony Anscombe, Content Writer, ESET Security Community, analizza la questione.
“Affidarsi al governo per proteggere la tua privacy è come chiedere a un voyeur di istallare le tende alle tue finestre” diceva John Perry Barlow, EFF (luglio 1992).
Chiunque abbia minimamente a cuore il tema della tutela dei dati personali online probabilmente apprezzerà la citazione di Barlow. Sono passati 2 anni dall’attuazione del Regolamento generale sulla protezione dei dati (GDPR), promosso dall’Unione Europea con l’intento di proteggere i dati personali delle persone fisiche e di semplificare i requisiti per le imprese.
Sono diminuite le violazioni dei dati? Le aziende prendono più sul serio la privacy e il consenso? Le persone si impegnano maggiormente nella protezione dei propri dati personali? È difficile rispondere alla domanda se il GDPR abbia avuto successo, perché non sappiamo cosa sarebbe successo se il regolamento non fosse entrato in vigore.
Senza dubbio, però, il panorama della privacy globale è cambiato con il GDPR. La legislazione ha posto in primo piano il dibattito sulla privacy nelle istituzioni e nelle sale riunioni di tutto il mondo. Ora ci sono più di 100 paesi e Stati con norme sulla privacy individuali e alcuni hanno chiaramente preso il GDPR come modello di base per la propria legislazione.
Il crescente numero di regolamenti in tutto il mondo dimostra la necessità e la volontà degli organi di governo di intervenire, ma l’incremento crea una complessità. La complessità di così tanti regolamenti significa che le aziende cercheranno di armonizzare il proprio approccio alla privacy per conformarsi alla maggioranza e avere una posizione difendibile nel caso in cui violino inavvertitamente un regolamento.
Le aziende hanno iniziato a rispettare il GDPR per evitare multe e penali. La prima ammenda importante, di 50 milioni di euro (54 milioni di dollari USA), è stata emessa nel gennaio 2019 nei confronti di Google dall’autorità francese per la protezione dei dati CNIL, per aver mostrato insufficiente controllo, consenso e trasparenza sull’uso dei dati personali per la pubblicità comportamentale.
Pena eclissata dalla mastodontica multa da 183 milioni di sterline (221 milioni di dollari) emessa dall’Ufficio del Commissario britannico per l’informazione (ICO) contro British Airways nel luglio 2019 per la scarsa sicurezza che ha favorito un attacco su 380.000 transazioni effettuate sul sito web. In confronto, sterline (605.000 dollari) dall’ICO per quanto riguarda lo scandalo Cambridge Analytica, risalente a poco prima dell’attuazione del GDPR ed è stata la multa massima al momento.
Cosa c’entra la legge?
I consumatori di Paesi in cui la legislazione sulla privacy ha adottato un approccio simile al GDPR, sono abituati alle numerose richieste di consenso che le aziende sono ora tenute a richiedere quando raccolgono dati personali. La posizione coraggiosa di richiedere il consenso esplicito ha fissato l’asticella per la futura legislazione da parte di altre autorità; anche se l’opt-out è diventato il percorso scelto, l’importanza del messaggio, che può probabilmente, in parte, essere attribuita al GDPR, almeno dà al consumatore la possibilità di prendere una decisione informata.
C’è stato anche un cambiamento radicale nello sviluppo di prodotti e servizi, e anche questo può, in parte, essere attribuito al GDPR. Per ogni nuovo prodotto di servizio, la privacy è diventata un approccio standard che qualsiasi team di progetto inserisce già in fase di progettazione come impostazione predefinita. I consumatori ora si aspettano che ci sia una relazione di fiducia con i fornitori e i venditori hanno realizzato che questo porterà un successo commerciale a lungo termine.
Non è possibile parlare di GDPR senza menzionare l’attuale situazione COVID-19, con le numerose applicazioni di tracciamento dei contatti e i dati di mappatura della posizione forniti ai governi da parte delle compagnie di telecomunicazioni. Se la privacy può essere messa in secondo piano in alcuni casi, o almeno modificata a un punto che in circostanze normali sarebbe inaccettabile, la visibilità sulla privacy delle informazioni personali creata sia dal GDPR che dallo scandalo Cambridge Analytica, hanno causato un controllo globale sull’uso dei dati per aiutare a risolvere l’attuale pandemia. Questo esame ha visto i governi fare marcia indietro sulle proposte e le aziende tecnologiche innovare nuovi metodi per garantire l’anonimato; c’è anche un consenso generale sul fatto che un’applicazione di tracciamento dei contatti debba rispettare il diritto dell’utente alla privacy.
Il GDPR ha legittimato i sostenitori della privacy in tutto il mondo. La grande domanda, tuttavia, rimane: “I cittadini sono diventati i proprietari dei propri dati personali?” Come diceva il compianto Steve Jobs…
“Privacy significa che le persone devono sapere a cosa si stanno iscrivendo, spiegato in un linguaggio semplice e senza ambiguità. Credo che le persone siano intelligenti. Alcune vogliono condividere più di altre. Basta chiederglielo”. – Steve Jobs
Di Tony Anscombe, Content Writer, ESET Security Community