GDPR dopo 4 mesi, importa? TL: DR sì.

Pubblicato: 2018-10-03

Negli ultimi mesi, settimane o giorni (a seconda del livello di procrastinazione) che hanno preceduto la data di entrata in vigore del GDPR del 25 maggio, c'è stata una raffica di attività e preparazione nel mondo della tecnologia e del marketing.

Le politiche sulla privacy sono state modificate e pubblicate, gli elenchi di e-mail sono stati riattivati ​​e alcune aziende hanno ritirato i loro interi prodotti dall'UE temendo che le sanzioni ancora previste dal GDPR potessero imporre (multe fino a 20 milioni di euro o 4% di entrate globali annue, a seconda di quale superiore ).

C'erano alcuni che dicevano che sarebbe stato come Y2K, una raffica di lavoro che inevitabilmente non portava a nulla, e altri che avvertivano che questo nuovo regime avrebbe cambiato per sempre il mondo del marketing e della privacy.

Siamo tra quattro mesi, chi aveva ragione tra quei due punti di vista?

Dal mio punto di vista, sembra ogni giorno che passa che il mondo della privacy e del marketing abbia subito un cambiamento significativo e di grande impatto. Le mie ragioni per scendere da quel lato della recinzione sono queste:

  1. Il GDPR sta prendendo piede, negli Stati Uniti e nel mondo;
  2. L'applicazione sta arrivando;
  3. E la preparazione ha avuto i suoi effetti di lunga durata

PILCosa?

Comunemente indicato con il suo acronimo, GDPR è il regolamento generale sulla protezione dei dati dell'Unione Europea. Entra in vigore il 25 maggio 2018. Abbiamo prodotto un bel po' di informazioni sul nuovo regolamento, inclusi podcast, post di blog, eBook e webinar. Guarda il nostro webinar on-demand sulla conformità al GDPR e sul marketing.

In poche parole, GDPR:

  • Il principio chiave del GDPR offre ai consumatori il controllo dei propri dati
  • Si applica agli oltre 510 milioni di cittadini dell'Unione Europea a 28 nazioni, nonché a qualsiasi attività commerciale con loro, indipendentemente da dove risiedono
  • Multe fino al 4% delle entrate globali totali per violazioni

Il fuoco della privacy si sta diffondendo

Da quando il GDPR è stato completamente implementato, California, Vermont, Giappone, Brasile e India stanno tutti adottando o prendendo in considerazione una versione di una legislazione simile. Tutti questi sforzi sono diversi per portata e applicazione. L'ambito del Vermont riguarda esclusivamente i rivenditori di dati. E la legge brasiliana è ampia quanto il GPDR.

Il tema di tutta questa legislazione: i diritti sulla privacy dei dati. La privacy dei dati e i diritti dell'individuo è qualcosa che le diverse giurisdizioni considerano sacro e non adeguatamente tutelato dal settore.

Questo tipo di regolamentazione della privacy delle aziende tecnologiche è stata notevolmente assente dall'avvento di Internet. E stanno combattendo come meglio possono contro questa ondata in arrivo, almeno negli Stati Uniti. Ecco una parte della risposta di AT&T alla legislazione della California:

“La legislazione della California e iniziative simili … minacciano di creare un mosaico altamente problematico di regolamentazione della privacy. ... la regolamentazione della privacy stato per stato indurrebbe tutti i fornitori ad adattare le proprie pratiche ... agli elementi più restrittivi delle varie leggi statali".

Questa strategia di lobbying si è rivelata popolare tra i tipi anti-regolamentazione a Washington, DC. Ora, la loro argomentazione è meno efficace per i giganti della tecnologia, come AT&T o Google, che possono separare il traffico in base ai confini di stato. Ma per le aziende tecnologiche più piccole, quel tipo di processo è difficile se non impossibile senza una spesa massiccia e troppo lavoro.

Date queste sfide, le piccole e medie imprese devono decidere tra due scelte sbagliate: ritirarsi dai mercati con queste restrizioni; o rendere i propri prodotti e servizi conformi alle più severe norme di legge applicabili.

GRAZIE PER AVER LETTO!
Dai un'occhiata ai nostri contenuti aggiuntivi correlati:

I 5 errori di marketing digitale più comuni e come risolverli

L'applicazione del GDPR sta arrivando

Quel respiro che stavi trattenendo, continua a trattenerlo, l'imposizione sta arrivando

C'è stata una pausa tranquilla, non dissimile dall'occhio di un uragano, da quando il GDPR è entrato in vigore dalle autorità per la protezione dei dati che amministrano la legge. Ma questo non significa che non stiano attivamente perseguendo e indagando sulle affermazioni. Non ci sono state ancora azioni, ma come hanno confermato più fonti, ciò è dovuto più alla necessità di assumere e formare il personale necessario che alla non azione. Ci sono state segnalazioni secondo cui il DPA irlandese aveva quasi 100 offerte di lavoro a maggio. Questa è molta manodopera che sarà dedicata all'applicazione e alle indagini, una volta che saranno tutti assunti, formati e inseriti a bordo.

L'onboarding medio per qualcuno in un lavoro di applicazione di questa natura (sebbene questo sia in qualche modo il primo nel suo genere) sembra essere di 3-6 mesi. E le indagini dovrebbero richiedere alcune settimane per le violazioni minori e mesi per qualsiasi cosa importante. Quindi, sono passati 4 mesi dall'entrata in vigore del GDPR e non vedere alcuna azione non è così sorprendente.

Scopri quel debito tecnologico!

Uno degli effetti collaterali più interessanti in vista del GDPR per le aziende tecnologiche è stato la scoperta del debito tecnico che era passato inosservato. Per chi non lo conoscesse, il debito tecnico è l'equivalente di ingegneria del software del tuo prestito studentesco; ha bisogno di essere ripagato e cresce con gli interessi nel tempo se non ci lavori. Il debito tecnologico è naturale in qualsiasi azienda basata sul codice o dipendente dal codice che spesso necessita di soluzioni rapide (un prestito a breve termine) per immettere un prodotto sul mercato.

Per molti dei requisiti del GDPR era molto difficile per gli ingegneri del software trovare soluzioni con i loro prodotti attuali. Ad esempio, i diritti conferiti dal GDPR (Accesso, Portabilità, Correzione, Cancellazione, Limitazione) spesso non erano qualcosa che era stato integrato nelle piattaforme e nelle applicazioni.

Inserirli ora in un prodotto ha richiesto tempo ed energia. Ma questo lavoro dovrebbe poter essere utilizzato per cose che arriveranno lungo la strada, come ePrivacy. Allo stesso modo, le nuove e più accettate politiche di sicurezza e privacy by design che la tecnologia sta largamente abbracciando hanno richiesto molto dello stesso lavoro. Gli sforzi intorno al GDPR hanno messo in luce la facilità, o la difficoltà, con cui è possibile implementare i sistemi di sicurezza e privacy progettati da un'azienda.

Le aziende tecnologiche sono spesso riluttanti a fare questi approfondimenti nel loro codice, poiché spesso non sono correlati alla versione successiva del prodotto. Doverlo fare per il GDPR, o per qualche futura normativa sulla privacy, è sempre un vantaggio; almeno a lungo termine.