Il piano ispettivo del Garante offre sempre informazioni importanti rispetto ai focus privacy nel nostro Paese. Per il primo semestre 2022, gli obiettivi riguardano essenzialmente due macrocategorie che investono la maggior parte delle imprese e degli enti.

La prima riguarda accertamenti in merito a profili di interesse generale per categorie di interessati. Sotto la lente i “fornitori di database” e i trattamenti di dati personali che effettuano ma anche piattaforme e siti web in riferimento alla gestione dei cookies. I siti di incontri sono citati in modo esplicito, così come i trattamenti che vengono effettuati nell’ambito – mai dimenticato dal Garante – della cosiddetta “videosorveglianza”.

Interesse viene mostrato anche per ambiti e modelli di business più innovativi e in crescita. Si pensi a chi sceglie di abbracciare la “data monetization”, un ambito che sta guadagnando rapidamente attenzione per il suo potenziale, sostenuto anche da AI e utilizzo del Cloud. Definito da Gartner come il processo di utilizzo dei dati finalizzato all’ottenimento di un beneficio economico quantificabile, vede nel comparto finance un traino importante, al momento. Tuttavia, è piuttosto intuitivo che, per qualunque settore di business, la disponibilità di dati (interni o esterni) e la loro raccolta e analisi costituisca una base per incrementare le proprie attività.

Interessante, al riguardo, la notizia di una proposta di legge d’Oltreoceano, la Banning Surveillance Advertising Act, promossa da alcuni esponenti democratici. Si tratta, in estrema sintesi, di ribaltare il modello pubblicitario costruito fin qui e basato – per l’appunto – su dati sempre più focalizzati sull’estrema personalizzazione in base a interessi, abitudini di consumo, preferenze, ecc. Insomma, sarebbe un ritorno alle origini abbandonando il paradigma della profilazione che rappresenta croce e delizia per i marketers e la fortuna delle Big Tech fino ad oggi.

Come molti analisti hanno commentato, è difficile che una simile proposta diventi legge. Ha tuttavia il valore di un segnale che, da più parti, chiede un Internet meno invasivo e condizionato, in cui i servizi apparentemente gratuiti (che vengono in realtà remunerati con l’accesso ai dati personali) lasceranno il posto a quelli a pagamento, rivoluzionando nel profondo ogni modello di business basato sulla pubblicità mirata.

D’altra parte, siamo in attesa, proprio in questo 2022, della finalizzazione del Regolamento ePrivacy che, se l’iter verrà rispettato, entrerà in vigore entro due anni dalla sua approvazione. Un asset di regole armonizzate al GDPR e basate su consenso esplicito (e meno laborioso) e sull’estensione della tutela della riservatezza dei dati delle persone fisiche a tutti gli strumenti utilizzati per le comunicazioni elettroniche, comprese telefonate via web e messaggistica. Citando tre macro-temi affrontati nel Regolamento: cookies, soft spam e direct marketing, sarà utile per chi opera in questi settori, o fruisce di servizi simili, prepararsi per tempo aggiornando i propri processi, prima delle soluzioni tecnologiche, in ottica di conformità.

Il GDPR, d’altro canto, ha già costituito una notevole occasione in tal senso. Non stupisce infatti l’attenzione del Garante per i produttori e distributori di smart toys e le realtà che operano attraverso algoritmi e intelligenza artificiale in ambito pubblico e privato. Anche questi settori saranno oggetto di interventi ispettivi che, di certo, terranno conto dei principi di privacy by design e by default che orami abbiamo imparato a conoscere.

La seconda macroarea di accertamenti si rivolgerà a soggetti pubblici e privati allo scopo di verificare la corretta individuazione dei Titolari e dei Responsabili del trattamento, anche in relazione all’utilizzo di app e altri applicativi informatici.

Dato l’incremento dello Smart working negli ultimi due anni, l’acquisizione di informazioni e dati personali da parte di app istallate sugli smartphone suscita particolare interesse; in particolare, il Garante mira ad accertare il corretto trattamento di app diverse da Verifica C19.

Ampliando lo sguardo al di fuori dei nostri confini e dal piano ispettivo del primo semestre, per imprese ed enti, il 2022 sarà un anno intenso sul fronte privacy, soprattutto qualora intervenga la necessità di trasferire dati oltre frontiera. Molti i paesi che stanno costruendo, o hanno in programma di farlo, regolamentazioni più stringenti a tutela dei dati personali “territoriali”. In Europa la norma è già delineata, c’è da aspettarsi forse una maggiore attenzione nel farne rispettare le regole. E’ di inizio anno la decisione dell’EDPB che, analizzando il sito web del Parlamento Europeo ed i relativi servizi di Google Analytics e di Stripes, ha emesso una reprimenda nei confronti dell’istituzione relativamente ai cookies presenti sul sito che comportano il trasferimento di dati verso gli U.S.A.

Una tendenza, questa, che non deve necessariamente spaventare. È certo, però, che occorra gestire le proprie banche dati con accortezza e lungimiranza, unendo gli aspetti legali e tecnologici in soluzioni abilitanti che non compromettano il successo della propria attività di business.

Questo anche tenendo conto di una, conseguente e logica, maggiore attenzione verso le regole che intervengono in caso di breach di sicurezza.