Mettiamola così, con una metafora. Secondo il Regolamento europeo 2016/679 (GDPR), di imminente applicazione, le informazioni relative ad un cittadino europeo sono un ambiente protetto: a far data dal 25 maggio 2018 il “visitatore straniero” che intenda entrare in contatto con i dati di un individuo continentale, dovrà presentarsi con cartellino identificativo in bella evidenza, illustrare chiaramente i motivi della sua visita, chiedere permesso ad entrare, ed impegnarsi ad osservare scrupolosamente un complesso di norme igienico-comportamentali.
Data breach notification entro 72 ore, informativa chiara e completa, consenso opt-in di default, garanzie per il trasferimento dei dati, diritto di accesso e all’oblio, anonimizzazione e pseudonomizzazione, portabilità dei dati, responsabilità sull’operato dei propri fornitori, creazione di funzioni ed uffici dedicati all’osservanza della normativa europea e all’interazione con gli utenti continentali. Sono davvero molte ed onerose le privacy safeguards che devono essere implementate o garantite.
Una sequela di attenzioni e precauzioni che è bene gli operatori extra UE che vogliano avere a che fare con clienti/utenti della UE si abituino fin d’ora a far proprie, predisponendo adeguamenti organizzativi e procedurali. Anche perché il mancato rispetto delle regole potrebbe portare a multe salatissime (fino a 20.000.000 di Euro o 4% del fatturato annuo worldwide).
Pare che i principali player statunitensi stiano, giustamente, prendendo la questione davvero sul serio; in alcuni casi, anche più delle controparti continentali. Gli operatori economici USA con interessi transatlantici non solo sono consci del fatto che il GDPR impatterà in maniera significativa sul loro modo di lavorare, ma si stanno anche facendo un’idea di quanti e quali sforzi – non da ultimo quelli finanziari – dovranno essere profusi per continuare a giocare al tavolo europeo.
Interessanti, da questo punto di vista, sono i risultati di un sondaggio di PwC svolto presso le aziende americane e pubblicato ad inizio 2017. Il 92% identifica la GDPR compliance come la priorità assoluta dell’anno corrente per quanto concerne le proprie politiche di privacy e sicurezza dei dati: un dato eclatante, considerato che stiamo parlando di quella che per loro è una normativa estera. Ma c’è dell’altro: il 77% delle compagnie si dichiara disposto a spendere oltre 1 mln $, il 68% è pronto a investire tra 1 e 10 mln $, e il 9% oltre i 10 mln $ pur di approntare un sistema che garantisca l’osservanza degli obblighi imposti dal GDPR. Cifre importantissime che concorrono a giustificare la sensazione che non vi sia, quantomeno nell’attuale panorama internazionale, altro atto legislativo al mondo in grado di avere un simile impatto globale.
Alla luce di questi dati, pare d’obbligo sollevare una questione: potrà mai il customer americano accettare che la compagnia a stelle e strisce a cui ha affidato i propri dati personali riservi maggiori attenzioni e tutele al cliente estero anziché ad un compatriota come lui? Ma anche ribaltando la prospettiva: quale interesse contrario può convincere l’azienda americana (che abbia sviluppato procedure e automatismi, magari da milioni di dollari, per approntare un siffatto sistema di compliance al GDPR) a mantenere dei set di regole differenziate per i clienti nazionali? Fatto lo sforzo per gli uni, non vale la pena estenderlo agli altri? Che senso avrebbe a livello di policy gestionale far convivere un doppio binario? E, anche volendo, come potrebbero giustificare al pubblico la differenza di trattamento?
Questioni che diventerebbero ancor più critiche nel caso in cui ai processi legati ai dati della clientela si dovessero aggiungere i trattamenti relativi ai dati dei lavoratori laddove il business si dispieghi anche per il tramite, ad esempio, di un filiale o di una controllata europea.
Ad avviso di chi scrive, le aziende statunitensi vorranno evitare simili discrasie: il GPDR potrebbe, pertanto, innescare un effetto domino che innalzerà le tutele di privacy dei cittadini americani ogniqualvolta i loro dati risiedano in un database contenente anche le informazioni di cittadini del vecchio continente.
E, sulla media distanza, l’effetto potrebbe amplificarsi ulteriormente contagiando quelle compagnie americane che, pur trattando dati su scala esclusivamente nazionale, riterranno vantaggioso – specie in termini di immagine – parametrare i propri standard di privacy e sicurezza a quelli delle aziende connazionali che sono state costrette a divenire GDPR compliant. In parole semplici, potrebbe decidere di adeguarsi anche chi non vi è tenuto.
Uscendo dalla dicotomia classica Europa/USA, non sfuggirà che i ragionamenti sopra esposti sono estendibili a livello globale. Uno studio di Veritas rivela che anche gli operatori economici di Australia, Singapore, Giappone e Sud Corea sono preoccupati dell’impatto che il GDPR potrebbe avere sulle proprie attività. Il 20% circa teme le ripercussioni in caso di mancata compliance: danni di immagine e danni finanziari (ad esempio, molti temono che il pagamento di una sanzione per violazione del GDPR potrebbe costringerli ad ingenti tagli di personale). C’è, pertanto, la ragionevole certezza che anche i big player asiatici si muoveranno. E c’è da aspettarsi che per raggiungere questi obiettivi spingeranno verso il medesimo livello di compliance la filiera di cui si avvalgono (si pensi al numero di outsourcer cui può ricorrere un colosso come Samsung); e, infine, se i competitor regionali eslcusi da simili filiere ritenessero in termini concorrenziali vantaggioso emulare le procedure adottate dagli inclusi, staremmo assitendo ad un effetto volano verso l’innalzamento degli standard di privacy nei mercati locali e, quindi, all’introduzione di maggiori tutele sostanziali per i dati dei cittadini di quei paesi.
Forse credere che possa innescarsi una reazione a catena a livello globale è una chimera. Molto – ad avviso di chi scrive – dipenderà anche dalle marketing communication strategy che ciascun operatore internazionale vorrà implementare riguardo alle proprie attività di adeguamento al GDPR: dalle prime avvisaglie, sembra che chi sta predisponendo soluzioni di compliance desideri che tutti lo sappiano (si veda l’annuncio di Microsoft solo qualche settimana fa). Se per le multinazionali che trattano dati di centinaia di milioni di utenti la compliance rispetto al GDPR diventa una marchio di affidabilità da esibire, allora un effetto a cascata potrebbe davvero realizzarsi.
Un effetto che potremmo giudicare senz’altro positivo: si tratterebbe della promozione in modalità condivisa di principi di trasparenza, rispetto, responsabilizzazione e sicurezza. Fattori qualitativi che rafforzerebbero le relazioni e il commercio su scala globale. Sarebbe un conseguimento “oltre confine” fondamentale per una UE che spesso viene tacciata di non sapere nemmeno migliorare la condizione dei diritti dei propri cittadini. Un risultato che sarebbe tanto inaspettato quanto meritato: la UE ha, unica entità politica al mondo, sempre e fermamente creduto che l’individuo debba disporre autonomamente del potere decisionale circa la sorte delle informazioni che lo riguardano. Ed ora che l’informazione è divenuta il centro della vita relazionale ed economica dell’era globale e digitale, quello che da alcuni è indicato come il vecchio e farraginoso apparato comunitario potrebbe prendersi una significativa rivincita e dare nuovo slancio alla propria funzione. Infatti, l’introduzione del GDPR potrebbe essere un giorno ricordata come il momento cruciale in cui un diritto fondamentale dell’uomo incominciò ad essere affermato, promosso e riconosciuto ad ogni latitudine.
