Le aziende attive nell’Unione europea dicono di essere subissate dalle richieste di clienti che chiedono dettagli sulla raccolta e l’utilizzo dei loro dati personali alla luce dell nuova General data protection regulation (Gdpr), in vigore in Ue da ormai più di un mese. I regolatori intanto riferiscono di un numero crescente di reclami e data breach – che in base al Gdpr vanno segnalati dalle aziende che li subiscono entro 72 dal rilevamento. Facebook ha indicato che le richieste inoltrate all’ufficio del suo Data protection officer Stephen Deadman sono aumentate di tre-quattro volte all’indomani dell’introduzione del Gdpr per poi tornare a scendere. La catena di hotel Marriott non sembra registrare la stessa flessione: ha chiesto l’estensione della finestra temporale di un mese in cui, per legge, deve rispondere alle domande. “Abbiamo a che fare con grandi volumi di richieste“, ha dichiarato l’azienda al Financial Times.
Le aziende più bersagliate sono quelle che possiedono più dati dei loro utenti o consumatori: gruppo dell’hitech e dei media, banche, retailer. Alcuni istituti finanziari, obbligati a raccogliere dettagliate informazioni sui clienti per le norme anti-riciclaggio o per consentire i controlli fiscali, si lamentano sul quotidiano economico britannico del fatto che le regole europee sono gravose e costose da implementare perché si sommano alle norme già esistenti.
Le aziende tradizionali con sistemi legacy sottolineano che prendere carico delle richieste dei clienti è un processo particolarmente lungo perché i loro dati sono stati raccolti nell’arco di molti anni. Richard Killingbeck, chief executive dello stockbroker WH Ireland, dice di aver dovuto mettere al lavoro a tempo pieno diversi membri del personale per passare in rassegna archivi con dati di 15 anni fa ancora in parte conservati su carta.
Qualche azienda non europea ha preso la decisione drastica di non lavorare per ora nei confini dell’Ue: i siti del Los Angeles Times e del Chicago Tribune e app mobili come Unroll.me, che aiuta a disinscriversi da email spam, non sono più accessibili nell’Unione europea da quando è entrato in vigore il Gdpr. La compliance e la mole di lavoro per rispondere alle richieste degli utenti – che potrebbero cercare dettagli sul trattamento dei loro dati ma anche chiedere la cancellazione dai database – costano troppo, sottolineano dallo studio legale Bird & Bird: “Un’azienda che ha a che fare direttamente col consumatore potrebbe ricevere dalle 200 alle 300 domande alla volta, è un enorme stress sulle risorse”.
Al tempo stesso alcuni attivisti pro-privacy hanno creato strumenti per gli utenti finali per inoltre reclami e richieste sul trattamento dei dati personali: One Thing Less, una app per smartphone sviluppata in Svizzera, ha messo insieme un’ampia lista di aziende di ogni genere, dal data broker Acxiom a Samsung fino a Swarovski, a cui i consumatori possono facilmente e velocemente tramite la app chiedere informazioni sui loro dati. Alcune delle aziende nella lista, come Netflix, Yoox Net-a-Porter e Marriott, non hanno risposto agli utenti che hanno usato questa app; Netflix ha spiegato che non collabora con questa applicazione perché al momento non rappresenta un modulo di richiesta previsto dal Gdpr.
Come esige la regulation europea, arrivano anche le prime notifiche di episodi di data breach: l’Information Commissioner’s Office (Ico) del Regno Unito ha indicato di aver ricevuto 1.106 reclami sulla data protection nelle tre settimane dopo l’entrata in vigore del Gdpr e un numero in aumento di segnalazioni di data breach; tra le aziende colpite in Uk ci sono Dixons Carphone e Ticketmaster. La Data Protection Commission irlandese ha ricevuto 547 notifiche di data breach e 386 reclami nel solo primo mese dall’introduzione del Gdpr. Il garante privacy francese riferisce di oltre 400 reclami.
“La situazione è fluida”, commentano i ricercatori: il pubblico ha maggiore consapevolezza del diritto alla privacy e si mostra più accorto; alcuni esposti potrebbero dimostrarsi giustificati. D’altro lato, può esserci l’effetto dello scandalo Facebook-Cambridge Analytica unito all’entrata in vigore del Gdpr: il pubblico è più diffidente e entra facilmente in allarme, ma il picco iniziale di richieste dovrebbe rientrare.
