Circa un anno fa avevamo ipotizzato (leggi qui) che l’applicazione del GDPR avrebbe potuto innescare un effetto domino su scala internazionale. In un società digitale e globalizzata in cui l’informazione è il centro di tutto, dove le interazioni economiche e sociali si sviluppano prevalentemente attraverso piattaforme informatiche che trattano dati personali, la nuova normativa europea sulla protezione dei dati personali avrebbe costretto i colossi extra UE del web ad una scelta difficile.
Dal 25 maggio 2018, i big player USA (Google, Facebook, Microsoft, Amazon, etc.), così come tutte le compagnie extra UE che si rivolgono anche al mercato europeo, devono garantire “tutele GDPR” agli utenti del vecchio continente se vogliono continuare a trattare i loro dati; e in molte hanno già speso milioni di dollari tra consulenze ed implementazioni di procedure, tool e sistemi per arrivare in regola con il fatidico appuntamento.
Il problema che si pone per gli operatori extra continentali è che, una volta accordate cotante tutele alla quota europea (spesso minoritaria rispetto alla propria “audience” globale), bisogna scegliere se estenderle a tutti gli altri utenti/clienti, o meno. Estendere significa dover “confessare” al pubblico con massima trasparenza come si utilizzano le informazioni personali nonché dare a tutti il pieno (si suppone) controllo sui propri dati. Non estendere significa mantenere, invece, un bel vantaggio: poter continuare spremere e “stressare” (legittimamente) i dati degli user o customer che vivono sotto normative meno stringenti, quando non assenti. Si tratta di una decisione di non poco conto perché sulla piena, o quasi, libertà di manovra nelle attività di data mining e di sfruttamento delle informazioni personali degli utenti (inconsapevoli) si generati modelli di business in grado di produrre impressionanti volumi d’affari (per lo più correlati alla profilazione degli utenti per fini di marketing e remarketing).
Detto così, tra le due opzioni sembra non esserci partita : “se posso farlo e non è illecito, preferisco che a godere delle tutele GDPR siano solo i miei utenti/clienti europei “, verrebbe da dire ai più.
Ma la verità è che se si garantiscono maggiori diritti ad alcuni, gli altri non ci metteranno molto a rilevare che c’è una differenza di trattamento inter pares, che si attua politica discriminatoria (una sperequazione che, nel caso dei giant-tech USA, sarebbe ancor più difficile da giustificare presso i propri connazionali). E, al netto di possibili prese di posizione di associazioni dei consumatori locali, forse non conviene andare a sfidare la fortuna facendo arrabbiare una popolazione fatta di user, di community, di tweet, di passaparola online: dal gradimento iniziale degli internauti si sono costruite fortune e incredibili casi di successo in men che non si dica, ma quelli sono i medesimi passeggeri che possono (magari tutti contemporaneamente) abbandonare la nave con un clic per saltare un attimo dopo su un vascello più confortevole e accogliente. E i competitor sono pronti ad approfittare di qualsiasi occasione, magari presentandosi come “campioni della privacy”.
A nostro avviso, per gli operatori extra-UE il destino è segnato. Dal momento che si è obbligati a garantire un elevato livello di tutela di privacy agli utenti UE, conviene omologare i processi globali sul medesimo standard. E’ anche una questione di semplicità (si evitano doppi binari gestionali e procedurali) e, comunque, ne guadagna l’immagine aziendale. Si potranno certamente perdere dei profitti che si ritenevano acquisiti, ma si potranno generare nuovi margini grazie ad una rinnovata fiducia degli utenti che – sentendosi in un’ambiente sicuro e privo di trappole mimetizzate – saranno con tutta probabilità disponibili a cedere volontariamente i loro dati per finalità trasparenti (che talora, in un contesto di correttezza, potranno esser anche più “spinte” di prima).
In questo scenario, si attendevano le mosse dei giganti statunitensi. Ed un forte segnale è arrivato. In un recente comunicato apparso sul blog di Microsoft, la vice-presidente Julie Brill ha annunciato che tutti gli utenti godranno delle stesse garanzie in materia di data protection. E le garanzie saranno quelle previste dal GDPR.
“Fin dal 2005 abbiamo invocato una legislazione nazionale di privacy negli USA. Siamo lieti che altre tech-company stiano incominciando ad appoggiare la nostra richiesta. E mentre negli USA il dibattito su come proteggere la data privacy prosegue, noi vogliamo andare oltre e fare passi concreti per rafforzare la privacy delle persone “.
“Ecco perché – continua la Brill – estenderemo i diritti che fondano il cuore del GDPR a tutti i nostri clienti. Conosciuti come i Diritti dell’Interessato, questi includono il diritto a conoscere quali dati trattiamo, il diritto di correggere i dati, di cancellari o di portarli da qualche altra parte “. I diritti saranno esercitabili a partire da un pannello di controllo: “La nostra privacy dashboard conferisce agli utenti gli strumenti di cui hanno bisogno per prendere il controllo sui propri dati “.
Il comunicato contiene altri elementi interessanti, ma quel che preme sottolineare è non solo la scelta effettuata da Microsoft ma anche il fatto che – lo si coglie dal tenore utilizzato – il colosso di Redmond ha individuato nella privacy un elemento di marketing su cui spingere a livello di comunicazione.
Oltre a ciò, non può sfuggire un sostanziossimo portato di questa scelta. Se Microsoft deve garantire tutti quei diritti a tutto il suo bacino di utenti, significa che ci sono una moltitudine di suoi fornitori e sub-fornitori che, in qualità di data processor o sub-processor, dovranno essere in grado di garantire la medesima cosa (si pensi ad utente che chiede la cancellazione dei dati che magari sono custoditi o duplicati a 12 gradi di separazione dall’entry-point in cui erano stati conferiti). E Microsoft, dal canto suo, dovrà verificare che tutta la filiera sia compliant.
Dunque, si può innestare un circolo virtuoso, una reazione a catena che porta una serie di operatori sparsi per il mondo a dover seriamente ed immediatamente relazionarsi con gli standard GDPR. Ed è probabile che, una volta adeguati i loro processi, questi suplier di strumenti o provider di servizi finiscano per richiedere il rispetto dei medesimi standard ad altri partner non coinvolti in commesse legate Microsoft. E così via a macchia d’olio.
Vedremo se qualcun’altro muoverà presto nella stessa direzione.
