Lo scorso mese di maggio si è festeggiato il quarto anniversario dell’introduzione del GDPR, l’atto legislativo capace di avviare una nuova era nell’area della data privacy.
Negli anni successivi alla sua applicazione, l’effetto si è spinto ben oltre le semplici multe e sanzioni per la mancanza di conformità: esploriamo così insieme le cinque tendenze chiave degli ultimi quattro anni e scopriamo quali potrebbero essere i futuri step evolutivi.
Buon anniversario GDPR: quattro anni portati bene, ma c’è ancora molto fa fare
Indice degli argomenti
La privacy è diventata parte della coscienza collettiva
In occasione di cambiamenti epocali come questo, vale la pena fare un passo indietro rispetto agli ambiti concreti di applicazione della normativa per meglio riflettere sul significato culturale e sociale del GDPR.
Possiamo notare l’impatto del GDPR su quasi tutti gli attori del settore, dai marketer ai professionisti di sicurezza informatica ai DPO: tutti sanno cosa significa applicare la data privacy al proprio lavoro. Non solo: nei quattro anni trascorsi dall’introduzione del GDPR, si è verificato un evidente cambiamento nella consapevolezza dei consumatori su questo tema.
Lungi dall’essere un semplice atto regolativo, il GDPR è diventato infatti un metro di giudizio fondamentale in una conversazione sociale in costante evoluzione in ambito data privacy, diventando insieme ad altri avvenimenti di rilievo – come lo scandalo Cambridge Analytica – il benchmark di come i dati dei consumatori dovrebbero essere utilizzati nel mondo digitale.
Ad esempio, recenti ricerche hanno dimostrato che il 60% dei consumatori è diventato più consapevole circa le informazioni personali che condividono con le aziende nell’ultimo anno. Inoltre, è evidente ormai come i consumatori valutino anche le pratiche dei brand in ambito data privacy quando scelgono quali marchi acquistare.
L’emergere della privacy dei dati nella coscienza collettiva è un rapido e positivo cambiamento di paradigma – sebbene il GDPR non sia l’unico driver che guida questa tendenza, il ritmo di cambiamento negli ultimi quattro anni indica che è stato un tassello importante in questo scenario.
Il panico è (per lo più) finito mentre i chiarimenti continuano
Quando il GDPR è entrato in vigore, ha causato inizialmente incertezza e confusione nel settore. Per molti marketer o consulenti – quella è stata la prima volta che la data privacy ha cambiato il loro modo di lavorare con i clienti, mettendo potenzialmente a rischio questa relazione.
Il GDPR ha portato con sé un’ondata di attività frenetiche, volte ad adattare alla normativa i punti di contatto e di raccolta dati dei clienti. Quattro anni dopo, questa atmosfera è cambiata radicalmente: a quanto pare, il GDPR non era l’evento catastrofico che una volta si temeva.
C’è una ragione importante dietro a questo fenomeno: il panico che ha caratterizzato i primi giorni del GDPR si è verificato in gran parte perché circolavano parecchi dubbi sulla legge e su come sarebbe stata applicata. Come di solito succede per una nuova legislazione, i dubbi sarebbero svaniti solo applicandola.
Negli ultimi quattro anni, possiamo notare come questo sia esattamente ciò che è successo: chiarimenti e specifiche sono arrivati di frequente e con velocità, eliminando a poco a poco incertezza e timori.
Inoltre, il modo misurato ed equo in cui gli enti regolatori hanno consentito alle aziende di adeguarsi, dando loro ampi avvertimenti, ha quindi permesso a queste ultime di correggere i propri errori prima di incorrere in sanzioni.
Alcuni hanno giudicato le autorità di regolamentazione “troppo morbide”, poiché le multe spesso non sono state all’altezza del loro pieno potenziale, ma in realtà, l’approccio era pienamente giustificato durante i primi giorni di adattamento delle regole.
Il cambiamento del ruolo del DPO
Gli ultimi quattro anni hanno visto inevitabilmente la diffusione di figure che si qualificano come responsabili della protezione dei dati al fine di soddisfare l’improvvisa domanda di supervisione e consulenza. Non solo: negli ultimi due anni si è assistito anche a un cambiamento nel ruolo stesso del DPO in risposta al progressivo radicamento del GDPR e di altre misure di privacy.
Piuttosto che porsi semplicemente come un assistente, il DPO sta assumendo un ruolo sempre più strategico, in linea con l’importanza crescente della privacy dei dati. Ci aspettiamo che questo processo continuerà nei prossimi anni, coinvolgendo diversi DPO nei consigli di amministrazione e modificando la loro percezione da potenziali ostacoli a reali abilitatori.
L’ascesa di un nuovo ecosistema tecnologico europeo
Con il sorgere di nuove sfide, emergono idee dirompenti rispetto al passato, e il GDPR non ha fatto eccezione: gli ultimi quattro anni hanno registrato un’enorme crescita delle soluzioni per la privacy dei dati e questa tendenza non accenna a rallentare.
Il GDPR ha infatti scatenato una rinascita europea in ambito tecnologico e, con la privacy in cima alla lista di priorità, l’Europa ha l’opportunità di diventare pioniera e banco di prova di attività che saranno seguite presto da altre parti del globo.
La sfida del coinvolgimento del cliente è tutt’altro che finita
Sebbene il GDPR sia ormai un regolamento consolidato con cui professionisti del marketing e della customer experience si interfacciano quotidianamente, ciò non significa che il loro lavoro sia diventato più facile.
Questi primi anni di GDPR hanno visto la maggior parte delle aziende svolgere attività per ottenere, per esempio, il consenso al marketing, ma molte sono ancora in difficoltà davanti alla necessità di unificare le preferenze di consenso acquisite tramite differenti touchpoint.
È qui che l’impatto del COVID-19 ha anche apportato una differenza tangibile: quando la pandemia ha colpito il mondo, molte aziende sono state costrette ad adottare canali digitali che non avevano mai utilizzato prima e il numero di punti di contatto digitali è aumentato a dismisura, facendo nascere tanti interrogativi su come tenere traccia dei nuovi dati.
Da questo punto di vista, si è presentata un’opportunità (accesso a una quantità maggiore di dati) insieme a una sfida (come gestirla correttamente).
Le prospettive future in ambito data privacy
Se il GDPR è stato l’inizio di un nuovo capitolo sulla privacy, non siamo che agli esordi di questo nuovo percorso. Molti dei prossimi sviluppi saranno di natura tecnica, accelerati dall’imminente abbattimento dei cookie di terze parti alla fine del 2023.
Tra questi, è probabile che i sistemi di gestione del consenso diventeranno più simili a sistemi di gestione delle preferenze, così da riflettere la complessità della scelta e del controllo dell’utente.
Dall’altra parte ci sono poi i PIMS (Personal Information Management Systems), che agiranno nell’ottica di garantire ai consumatori il controllo sui loro dati. I prossimi anni vedranno probabilmente anche un’evoluzione dei diversi ruoli degli attori coinvolti nell’ambito della privacy.
Un’area di sviluppo in particolare potrebbe essere la creazione di standard di settore congiunti tra enti e autorità dei dati per garantire che tutti siano pienamente conformi. Un esempio è IAB Europe, che ha creato il Transparency and Consent Framework poi adottato in larga misura prima che fosse contestato dall’Autorità belga per la protezione dei dati (APD). A seguito del verdetto, è stato deciso che il processo di revisione sarà condotto congiuntamente al fine di garantire un processo di garanzia più efficiente.
Non è da dimenticare il cambiamento a livello di discorso sociale che dovremo affrontare nel futuro: mentre l’attenzione fino ad oggi è stata in gran parte concentrata sulla questione del consenso, potremmo vedere i prossimi anni puntare maggiormente i riflettori sulla sicurezza IT e sulla necessità di proteggersi dalle violazioni dei dati.
Infine, occorre considerare che mentre il GDPR è stato il primo atto del suo genere in termini di legislazione sulla privacy dati, gli ultimi quattro anni hanno visto molte altre aree del mondo seguirne le orme, come per esempio il California Consumer Privacy Act (CCPA).
Questa tendenza continuerà a svilupparsi con passi da gigante nel prossimo futuro:
- in Germania è appena entrata in vigore la legge federale sulla regolamentazione della protezione dei dati e della privacy nelle telecomunicazioni e nei media telematici (TTDSG);
- la legge sui servizi digitali (DSA) dell’UE concluderà i negoziati tra il Parlamento, la Commissione e il Consiglio, con l’obiettivo di modernizzare l’attuale direttiva sul commercio elettronico;
- il Trans Atlantic Data Privacy Framework è in via di definizione da parte di Stati Uniti e UE per regolare il flusso di dati tra i due territori.
Il verdetto finale: il GDPR ha avuto successo?
È impossibile impostare una legge perfetta per un argomento così complesso e in rapida evoluzione come la privacy dei dati, ma, tirando le somme, il GDPR ha svolto un buon lavoro nel guidare il settore verso risultati migliori e le tendenze mutevoli degli ultimi quattro anni testimoniano il suo impatto.
Nonostante ci sia ancora molto lavoro da fare, il GDPR ha stabilito un importante precedente per la regolamentazione della data privacy per il mondo digitalizzato del domani.
