MANAGER
SOLUZIONI
MEMBERSHIP
Su di noi
Iscriviti a Manageritalia
Attività
NETWORKING
News, approfondimenti, visioni e opportunità per contribuire alla crescita del Paese.
Leggi il magazine

Esportazione dati personali: privacy a rischio

Origine, implicazioni e possibili soluzioni della questione che coinvolge direttamente i paesi dell’Unione europea e gli Stati Uniti
Continua a leggere

Si tratta di una vicenda che prende le mosse ormai oltre un decennio fa ed è tornata fortemente agli onori della cronaca lo scorso 23 giugno. Stiamo parlando del provvedimento del Garante della privacy italiano che, dopo aver confermato concettualmente le decisioni prese prima di lui da altri garanti europei, ha comunicato la non conformità con il Gdpr della configurazione di Google Analytics del sito di news Caffeina Magazine. Questo sulla scorta del fatto che dal 2020, con la sentenza Schrems II, non sono più possibili i trasferimenti di dati dagli stati membri dell’Unione europea agli Stati Uniti d’America. Perché? Il framework normativo attualmente presente negli Usa non è allineato con le molto più stringenti normative privacy presenti in Europa: in sostanza, la Nsa (National security agency), con un president act, può accedere ai dati di cittadini non-americani anche senza la necessità di un permesso da parte di un giudice.

Ora, se riflettiamo sul fatto che i dati degli utenti di mezzo mondo risiedono in grossa parte su server americani, gestiti da società americane – lo sono quasi tutte le attuali big tech – si può facilmente comprendere la portata epocale del problema sollevato: un vero “vaso di Pandora digitale”, scoperchiato e ora difficile da sigillare nuovamente. L’iter per risolvere la questione prevede, come auspicato dall’avvocato Guido Scorza del collegio del Garante nazionale, un primo passo composto da un executive order del presidente Biden, che darà il La per la firma di un nuovo accordo, si spera più risolutivo, trasparente e completo del precedente Privacy Shield. Ma come è nato questo problema di non compliance inter-country a livello privacy? Ripercorriamo le tappe dell’origine della vicenda. 

Schrems, Facebook, Noyb e le decisioni dei garanti
Nel 2010, Maximilian Schrems, un giovane laureato in giurisprudenza austriaco, si reca presso l’Università di Santa Clara, negli Usa, per seguire un master. Qui incontra un giovane executive di Facebook, Ed Palmieri, che lì tiene una lezione sul tema della privacy: lo speech di Palmieri fa scattare un campanello d’allarme nella testa di Maximilian, che si rende subito conto delle gravi mancanze del colosso social a livello di gestione dei dati personali dei propri utenti. Parte una sentenza “unofficial”, che possiamo definire Schrems 0: l’avvocato accusa Facebook sulla base di una serie di illeciti realizzati sui propri dati personali, quelli dell’account social di Maximilian stesso. Nel 2012, Richard Allan, al tempo il capo della policy europea di Facebook, comprende che l’intuizione di Maximilian è rischiosa: convoca Schrems e gli propone un lavoro, ma lui rifiuta. Nel 2013 ha inizio Schrems I: la prima vera causa sul tema del trasferimento dei dati Ue-Usa. Questa lunga causa afferma che serve un divieto di esportazione di informazioni personali, fino ad allora normato da un accordo internazionale chiamato Safe Harbor.

Safe Harbor: per l’Ue non è valido
Nel 2015 la Corte di giustizia dell’Unione europea stabilisce l’invalidità del Safe Harbor, dando sostanzialmente ragione a Schrems I. Questi sono anche gli anni di Edward Snowden e dello scandalo emerso grazie alle sue rilevazioni sul tema. Già nel 2016, però, entra in vigore il Privacy Shield, nuovo patto governativo che regola la privacy inter-country, ricostituendo un accordo “tampone” tra Ue e Usa, al fine di non bloccare l’economia e lo sviluppo tecnologico, lasciando di fatto ai Servizi segreti americani la facoltà di accesso illimitato ai dati. Nel 2018, la privacy torna a porsi al centro, con l’entrata in vigore in Europa del Gdpr. Nel 2020, con la causa chiamata Schrems II, anche il Privacy Shield viene a cadere, in quanto considerato non compatibile con il Gdpr dalla Corte di giustizia dell’Ue. Contestualmente, l’organizzazione non profit europea con sede a Vienna, Noyb, di cui Schrems è una delle menti, presenta 101 reclami a 30 garanti della privacy, accusando grandi società di non rispettare la riservatezza degli utenti.

I requisiti di compliance
Si arriva così ad oggi, al 2022, con le autorità che iniziano a pronunciarsi sulla questione, dando di fatto ragione a Schrems. In pratica, il Garante della privacy italiano può notificare alle aziende colte “in fallo”, che dovranno adeguare i propri sistemi e renderli compliant entro un periodo di tempo ritenuto congruo (ad oggi, ha concesso 90 giorni). Questo, quindi, non implica affatto, come erroneamente affermato da più parti sul web e sui social, che tutte le aziende hanno un tempo limite di 90 giorni per adeguarsi: soltanto coloro che sono stati formalmente richiamati hanno questa scadenza. Per tutte le altre società, però, si manifesta la necessità di prevenire il problema, utilizzando configurazioni e sistemi che siano in grado di garantire la privacy dei cittadini europei. E non si tratta solo dei sistemi di analytics e raccolta dati, come si può pensare a uno sguardo superficiale, ma la questione riguarda in pratica ogni tipo di piattaforma e property digitale, dalle app ai social, dai siti web agli strumenti di advertising. Volendo estremizzare in un’affermazione a effetto, potremmo dire che, con queste premesse, oggi è internet stesso ad essere “illegale”.

Cosa si intende per dato personale e quali sono gli impatti sul marketing
“Sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica ecc.” (fonte: “Cosa intendiamo per dati personali” dal Garante). In base alla definizione canonica, quindi, l’indirizzo Ip dell’utente – il fattore “incriminato” dell’illiceità di Google Analytics – è ritenuto un dato personale, insieme ad altri dati che, se combinati, permettono di riconoscere l’utente. Se l’indirizzo Ip non può essere esportato negli Usa, allora questo implica che qualunque piattaforma che archivi e gestisca l’Ip dell’utente sia oggi non-compliant. In questa logica, tutte le piattaforme di advertising e i loro tag/pixel non sono “legali” ed essendo queste di proprietà americana, è facile immaginare le conseguenze drammatiche per le imprese, in tema di promozione e marketing. In pratica, non sarà più possibile fare advertising come lo conosciamo oggi: niente più misurazioni puntuali né tracciamenti, niente più remarketing né monetizzazione, con impatti davvero notevoli sul fatturato delle aziende, trasversalmente per settore.

Trasferimento dati personali negli Usa: le 5 soluzioni per i marketing manager
Quali sono le possibili soluzioni per minimizzare il rischio di esportazione di dati personali verso gli Stati Uniti?
1 Google analytics 4, in accoppiata con Google tag manager server side, inizialmente accusato di essere la pietra dello scandalo, potrebbe in realtà fornire una buona soluzione tecnologica. In particolare, grazie a Google tag manager server side, è possibile predisporre una configurazione che garantirebbe l’anonimizzazione dell’Ip e il mascheramento di tutti quei segnali che permettono di identificare l’utente: una soluzione Gdpr compliant per la parte di analytics che non risolve il problema dell’advertising, ma future-proof e con un impatto economico basso.
2 Altra soluzione è l’installazione di strumenti alternativi a Ga, come Matomo o Piwik pro, che garantiscono lato analytics il totale non trasferimento di dati in Usa, ma naturalmente non risolvono il problema dei tag di advertising, con un impatto economico medio.
3 Terza soluzione tranchant è quella full-compliant, con la rimozione di ogni sistema che esporta dati: l’impatto economico molto alto la rende poco appealing per le imprese.
4 La strada migliore sarebbe una soluzione alla radice, di tipo istituzionale e politico, per non fare un gigantesco passo indietro tecnologico: il digital advertising europeo dovrebbe compattarsi in un’azione di lobbying, affinché l’Ue faccia pressione per avere un accordo con gli Usa che sia reale e tutelante per tutti, utenti e aziende.
5 Si auspica anche un progetto della Ue affinché le soluzioni di cloud computing europee possano crescere e fare quadrato, poiché il dato è il prossimo campo di battaglia.

Facebook
LinkedIn
WhatsApp

Potrebbero interessarti anche questi articoli

thumb-dirigibile
  • Economia
  • 26/07/2024

I vantaggi di costituire una società sussidiaria

Un utile vademecum con linee guida e informazioni per una maggiore penetrazione di mercato o per affacciarsi su nuovi mercati
thumb-dirigibile
  • Management
  • 26/07/2024

Social impact manager

Manageritalia partecipa al progetto europeo per la creazione della nuova figura manageriale in ambito Csr
thumb-dirigibile
  • Management, Servizi Manageritalia
  • 24/07/2024

Design Your (corporate) Life

Susan Burnett, Co-CEO di Designing Your Life Consulting, racconta la metodologia DYL e come questa viene applicata dalle aziende per la crescita delle persone. Burnett sarà in Italia dal 27 al 29 settembre a Matera ospite di Linkbeat.
thumb-dirigibile
  • Società, Territori & Istituzioni
  • 24/07/2024

Nelle scuole milanesi arrivano gli ambasciatori della parità di genere

L'iniziativa di HR Women, Human Hall, Manageritalia e Comune di Milano per diffondere, presso i giovani studenti milanesi, la cultura del rispetto di genere contro la discriminazione
thumb-dirigibile
  • Management
  • 24/07/2024

Trasparenza e sostenibilità nel business model

Il report integrato 2023: un documento di valore per associati e stakeholder
thumb-dirigibile
  • Territori & Istituzioni
  • 23/07/2024

Un futuro di impegno e innovazione

A pochi giorni dalla sua nomina, avvenuta durante la 102a Assemblea del 15 giugno scorso a Milano, abbiamo incontrato il nuovo presidente di Manageritalia, Marco Ballarè, per esplorare le prospettive e i programmi che guideranno l’Organizzazione nei prossimi anni
Manageritalia
Link utili
Media
I nostri canali

Copyright © Manageritalia Servizi srl • Partita IVA 07421500153 • Via Stoppani 6, 20129 Milano (MI) • Registro Imprese MI n. 03960880585 • Capitale sociale € 3.900.000 int. vers. – Società con socio unico

PROFESSIONE
SALUTE E PREVIDENZA
Coperture assicurative
Carriera
Enti e contratti
Iscriviti a Manageritalia
Resta in Manageritalia
PROFESSIONE
SALUTE E PREVIDENZA
Coperture assicurative
Carriera
Iscriviti a Manageritalia
PROFESSIONE
SALUTE E PREVIDENZA
Coperture assicurative
Carriera
Iscriviti a Manageritalia
Cerca