Il Regolamento Generale per la Protezione dei Dati (GDPR), ossia il più grande cambiamento delle leggi sulla privacy nell’Unione Europea degli ultimi 20 anni, è ormai entrato in vigore a tutti gli effetti. Le aziende hanno avuto un anno per prepararsi, ma alcune aziende americane sembrano aver deciso che non valga la pena conformarsi.
Mikko Hypponen, Chief Research Officer di F-Secure, ha monitorato alcune aziende che sembrano voler terminare o limitare il loro business con i clienti europei.
Si tratta di una decisione pratica? Il GDPR è ingiusto rispetto agli interessi non europei?
“Credo che stiano perdendo di vista un punto molto importante relativo ai dati personali” ha spiegato Erik Andersen, Practice Leader del Cyber Security Services Delivery di F-Secure, in un episodio della serie di podcast Cyber Security Sauna. “Il punto è che non si tratta di dati di loro proprietà.”
Erik ha precisato che abbiamo vissuto in una sorta di era del Selvaggio West della privacy dei dati. In questa metafora, il GDPR è lo sceriffo inviato in periferia per ripristinare un po’ d’ordine. Non ci si può aspettare che tutti siano contenti di vedere lo sceriffo.
“Le organizzazioni che hanno considerato i dati come propri, con il diritto di usarli come più ritenevano opportuno, possono certamente considerare il GDPR come un regolamento ingiusto. Ma semplicemente non capiscono che non si tratta di dati di loro proprietà.”
Erik ha notato che uno dei migliori sostenitori del cosiddetto “New Deal for Data” è in realtà americano, ovvero “Sandy” Pentland, Toshiba Professor of Media Arts and Sciences al MIT. Il professore spiega che l’ingente quantità di dati generati presenta enormi opportunità di innovazione e di abuso, da qui la necessità di garanzie concrete per l’applicazione dei diritti alla privacy.
“Collettivamente, ora disponiamo di dati che potrebbero contribuire a rendere più ecologico l’ambiente, creare governi trasparenti, affrontare le pandemie e, naturalmente, portare a lavoratori migliori e a un servizio migliore per i clienti,” ha dichiarato Pentland all’Harvard Business Review. “Ma ovviamente alcune persone e alcune aziende possono abusarne.”
Con l’entrata in vigore del GDPR, in quella che può ancora essere percepita come l’alba dell’era dei “big data”, i clienti possono reclamare qualcosa che è sempre stato di loro proprietà – i dati.
Questa è la grande idea che sta dietro il GDPR: i cittadini meritano di avere il controllo della propria privacy.
E se il GDPR sembra nuovo ad alcune aziende americane, la legge si sta muovendo verso questa direzione da un po’ di tempo. Il regolamento, per esempio, richiede la denuncia di violazioni di dati entro 3 giorni (72 ore), un obbligo che cambia i giochi dal momento che generalmente servono 191 giorni alle aziende per identificare di aver subito una violazione. Ma la denuncia di violazioni non è qualcosa di nuovo negli Stati Uniti.
Erka Koivunen, Chief Information Security Officer in F-Secure, in un post di qualche tempo fa sui miti del GDPR, ha scritto che “Nonostante non vi sia alcuna legge federale in materia, 47 stati negli USA hanno leggi che impongono la notifica di violazioni. Ecco perché si sa di numerose violazioni alla sicurezza di aziende americane. Non è che le aziende americane siano peggiori per quanto attiene alla cyber security rispetto a quelle europee – sono solamente più aperte e oneste su fatti di questo genere.”
Quindi, in un certo senso, l’Europa sta recuperando terreno nei confronti degli Stati Uniti e trascinando il resto del mondo quando si tratta di un nuovo mondo in cui, come spesso nota Mikko, “Se usa l’elettricità, andrà online“.
Se la tua azienda è ancora in affanno per quanto riguarda il GDPR, controlla queste best practice. Puoi sempre aggiornare le tue preferenze sulla mail personale per F-Secure QUI.
Articolo tratto da “The big idea behind GDPR”, di Jason Sattler, Social Media Consultant di F-Secure Corporation.
Categorie