Three months after the GDPR came into force, it is time to take stock. There are a number of points to be considered in view of the scope of this new legislation and in view of the fact that the scenarios that will undoubtedly alarm companies the most have yet to be tested, i.e. the checks and penalties that will be imposed on those who do not comply.
Un regolamento tecnologicamente obsoleto
Senza ombra di dubbio (sfidiamo chiunque ad affermare il contrario) è aumentata l’attenzione su temi come la tutela della privacy e quindi la protezione dei dati: probabilmente tale attenzione non viene sviluppata tanto dai consumatori quanto più dalle aziende -specialmente se di grosse dimensioni- che si trovano a gestire le tipologie di dati oggetto del nuovo regolamento. Un’altra riflessione emerge dai primi tentativi di adeguamento del GDPR: si è difatti riscontrato che il regolamento, essendo stato elaborato ormai cinque anni fa, per certi versi risulta obsoleto. In particolare, il GDPR si trova a fare i conti con il boom che ha investito alcune tecnologie della comunicazione di utilizzo quotidiano e che portano inevitabilmente a gestire e diffondere dati personali. Si pensi, per esempio, a WhatsApp: con che diritto l’amministratore di un gruppo può inserire il nostro contatto in un gruppo appunto dove sono presenti persone a noi sconosciute e che possono quindi entrare in possesso del nostro numero di cellulare???? Questo aspetto non è di competenza del GDPR, ma non temete…rientrerà nell’apposito regolamento dell’ePrivacy in fase di elaborazione da parte dell’Unione 😉.
Down with cookies and profiling
Staying in the digital domain, an interesting fact to emerge from these first months of GDPR is the decrease in the amount of cookies, especially those collecting data for marketing purposes. Some site operators have also chosen to give up sharing buttons for their articles on social networking sites, thus renouncing the practice of profiling, i.e. a form of processing user data in order to classify them into groups based on tastes, interests and behaviour. So-called targeted campaigns will therefore cease to exist.
Controls and sanctions by the Garante of privacy
But let us come to the most burning issue, even though we have said from the outset that there have been no checks and sanctionsyet. By the admission of the Authority for the Protection of Personal Data, a process of reorganisation is under way which concerns the Authority itself and which has led it not yet to take any action against the so-called defaulters. However, the Authority is well aware that “rules are rules” and should be applied as such. On the whole, these statements are a bit ambiguous and do not give a clear idea of the position taken by the Authority, which is apparently accommodating in some respects and decidedly not in others … when in doubt, stay alert!!!
Sara Avanzi