MILANO - Ben 200 milioni di dollari. E’ questa la spesa che le imprese italiane dovrebbero sostenere quest’anno per adeguarsi al GDPR, il regolamento europeo sulla protezione dei dati che entrerà in vigore a partire dal prossimo 25 maggio. Una spesa destinata ad aumentare e che vedrà probabilmente il picco nel 2019, per effetto della rincorsa delle aziende a mettersi in regola con le norme comunitarie. Idc, società statunitense di ricerche di mercato, ha stimato che la spesa italiana dovrebbe raggiungere i 230 milioni di dollari nel 2019, andandosi a sommare a 3,7 miliardi che saranno spesi complessivamente dalle imprese europee e non per l’adeguamento al GDPR.

Una misura, quella del GDPR, che ha messo in allarme la maggior parte delle imprese italiane, soprattutto dopo lo scandalo datagate di Facebook. L'obiettivo è quello di dare ai consumatori il controllo dei loro dati personali raccolti dalle imprese. Non solo colpirà le organizzazioni situate all'interno dell'UE, ma si applicherà anche alle aziende al di fuori della regione se offrono beni o servizi o monitorano il comportamento delle persone all’interno dell’Unione. La GDPR si concentra principalmente sulle condizioni di consenso, che sono state rafforzate. Così le aziende non saranno in grado di utilizzare dichiarazioni vaghe o confuse per indurvi ad accettare di fornire loro i dati. Le aziende non saranno in grado di mettere insieme il consenso per cose diverse.

Per quanto riguarda i dati degli utenti, i consumatori avranno un maggiore controllo. Potrete accedere ai dati personali memorizzati dalle aziende e scoprire dove e per quale scopo vengono utilizzati. Avrete anche il diritto di essere dimenticati. Ciò significa che potrete chiedere a chiunque stia controllando i vostri dati di cancellarli e potenzialmente anche di interromperne l'elaborazione da parte di terzi. Un'altra disposizione della GDPR consente alle persone di prendere i loro dati e di trasferirli a un altro fornitore di servizi.

Entrando più nello specifico della normativa, capiamo che il diritto alla portabilità dei dati non si applica indistintamente a tutte le richieste di esercizio di tale diritto, ma dovrà applicarsi solo ove vi sia stato il consenso dell’interessato al trattamento dei dati o nel caso in cui l’interessato sia parte di un contratto. In assenza di questi casi, comunque, è necessario che il titolare del trattamento dei dati adotti delle procedure che permettano agli interessati l’esercizio della portabilità dei dati. Di tutte la fattispecie legate al diritto alla portabilità dei dati vi abbiamo parlato in questo approfondimento.

Le grandi organizzazioni hanno avuto due anni per prepararsi alla GDPR e quelle che gestiscono enormi quantità di dati hanno parlato spesso di ciò che stavano facendo. Facebook ha recentemente rilasciato alcuni nuovi strumenti per la privacy che lo aiuteranno a conformarsi con GDPR. Anche altre grandi imprese tecnologiche hanno pubblicato i loro piani sulla GDPR.

Va da sé che tutte queste modifiche comportano costi considerevoli. In termini di spesa, Idc stima che in Europa occidentale la sicurezza informatica crescerà del 19,5% tra il 2017 e il 2021. Ovviamente senza fretta. Secondo il centro studi statunitense, all’appuntamento con il GDPR, si sta presentando preparato ben il 17% delle aziende italiane sopra i 250 addetti. Un risultato che lascia intravedere un buon margine di preparazione. Per Giancarlo Vercellino, responsabile ricerca e consulenza di Idc Italia, «il GDPR sarà una vera e propria rivoluzione copernicana per le imprese europee e l’occasione per sviluppare una nuova cultura aziendale attorno alla gestione dell’informazione e della privacy dei dati».

Eppure le aziende a non essere pronte sono molte, soprattutto nel settore del commercio al dettaglio, uno dei più colpiti dalla GDPR a causa della quantità di dati sui clienti che tratta. Secondo una ricerca di W8Data, quasi un terzo dei rivenditori si sente impreparato o non sa nemmeno del GDPR. Ulteriori ricerche suggeriscono che oltre due terzi dei rivenditori non sono stati in grado di proteggere correttamente i dati, in questi anni. Parte del problema deriva dal fatto che la maggior parte dei team IT interni delle aziende non ha le competenze, l'esperienza o il tempo per stare al passo con il panorama delle minacce in rapido cambiamento, in quanto non è la loro area d'intervento principale. Molti non sono stati felicemente ignoranti della legislazione imminente, ma in modo più semplice non dispongono delle conoscenze tecnologiche adeguate, né il tempo e le risorse per acquisirle o assumere qualcuno che sappia farlo. Anche il GDPR ci mette quindi di fronte a un gap di competenze dilagante, che non si registra solo qui nel nostro Paese, ma anche in molti stati dell’UE.

Naturalmente tutto questo avrà un costo anche in termini di violazioni. Le ammende massime per violazione sono fissate al 4% del fatturato globale di un'azienda (o 20 milioni di dollari, a seconda di quale sia il valore maggiore). Tuttavia è ancora presto per dire quanto saranno aggressivi i regolatori dell’UE. La cosa più semplice da fare è che le violazioni diventeranno molto più costose e che il costo sarà ripartito molto di più attraverso la rete. Sarà sempre più costoso condividere i dati degli utenti e i siti probabilmente cercheranno di accontentarsi di un minor numero di partner, il che sarebbe sicuramente una vittoria dal punto di vista della privacy. Normative come questa tendono a colpire più duramente le piccole imprese, quindi la GDPR potrebbe anche spingere le scale ancora di più verso i grandi giocatori come Google e Facebook, anche se il pool complessivo di dati si restringe.

La norma potrebbe anche creare una frattura tra l'Unione europea e il resto di Internet. Finora, la maggior parte delle aziende ha puntato su un unico insieme di norme sulla privacy per tutti gli utenti, motivo per cui così tanti utenti statunitensi stanno notando nuove caratteristiche di privacy e termini di servizio. In molti casi, tuttavia, è ancora più facile separare i dati dell'UE, il che potrebbe far sì che gli utenti europei vedano un'Internet significativamente diversa dal resto del mondo.