I dati, la loro raccolta e il loro trattamento, sono al centro di numerose normative e commettere errori, anche in buona fede, ha un costo in termini di reputazione e di possibili sanzioni. Non soltanto in Europa le aziende devono tener conto del Gdpr (General Data Protection Regulation) ma anche del Trans-Atlantic Data Privacy Framework, che regola i trasferimenti di dati fra Unione Europea e Stati Uniti. Quali sono le sue implicazioni per le aziende? Ne abbiamo parlato con Piotr Korzeniowski, Ceo di Piwik Pro, azienda che propone soluzioni di analytics per esperti di makerting e analisti.
Come spieghereste il Trans-Atlantic Data Privacy Framework ai non addetti ai lavori? Ha risolto le problematiche che erano presenti nel Safe Harbour e al Privacy Shield, e che hanno portato all’invalidazione di questi due framework?
Il Trans-Atlantic Data Privacy Framework è un accordo che definisce una base per il trasferimento legale dei dati tra l'Unione Europea e gli Stati Uniti. Per la sua attuazione gli Stati Uniti hanno introdotto alcune modifiche alle loro politiche di sorveglianza, limitando ad esempio il modo in cui le loro agenzie di spionaggio possono raccogliere informazioni e introducendo nuove condizioni per la raccolta dei dati delle persone, tra cui la garanzia che vengano raccolte solo specifiche tipologie di dati.
Inoltre l’accordo stabilisce che le aziende statunitensi possano aderire al Data Privacy Framework solo accettando di rispettare le responsabilità in materia di privacy che includono la cancellazione dei dati personali quando non più necessari e la loro protezione quando vengono condivisi con terze parti. Ed infine devono attenersi ai principi di minimizzazione dei dati, limitazione delle finalità e proporzionalità.
Questi passi avanti, però, non sono ancora sufficienti e molti punti del nuovo quadro normativo e delle azioni statunitensi per esso, purtroppo, presentano le stesse problematiche degli accordi precedenti. Un fatto, a nostro avviso, piuttosto sconcertante che denota una mancanza di responsabilità da parte degli enti governativi e minaccia la crescita dell’economia digitale transatlantica.
Ci sono ragioni di preoccupazione o particolari aspetti critici?
Siamo grandi sostenitori dell'accordo sul trasferimento dei dati, perché riconosciamo il suo ruolo cruciale per la prosperità delle imprese, ma crediamo che sia necessario un accordo duraturo e, purtroppo, la versione attuale non sembra esserlo. Come evidenziato anche dal Noyb, il Centro Europeo per i Diritti Digitali, nonostante il parere negativo della Corte di Giustizia dell’Unione Europea (Cgue) non vi è stata ad esempio una revisione da parte degli Stati Uniti sia della sezione 702 del Fisa (Foreign Intelligence Surveillance Act) sia dell’Ordine Esecutivo 12333. Ciò significa che i diritti dei non residenti negli Stati Uniti non sono ancora tutelati come previsto dal Quarto Emendamento americano e dalla Carta dei diritti fondamentali dell’Unione Europea (Cfr).
Sempre il Noyb critica poi la Corte di revisione della protezione dei dati, composta da membri esterni al governo statunitense per indagare e risolvere i reclami dei cittadini europei, affermando che non si tratta in realtà un vero tribunale come definito dalla legge statunitense. Vengono sottolineate, in aggiunta, le somiglianze tra la Corte, il responsabile della protezione delle libertà civili e l'istituzione del “difensore civico” introdotta nello scudo per la privacy, che secondo la sentenza della Cgue non era conforme all'articolo 47 del Cfr.
Come si concilia la tutela della privacy con le esigenze delle aziende di raccogliere sempre più informazioni sugli utenti e clienti?
Crediamo che un’azione cruciale per conciliare al meglio queste due necessità sia restare costantemente aggiornati sulle normative vigenti relative alla privacy e alla protezione dei dati. E visti i continui cambiamenti a cui sono sottoposte, consigliamo ai team che si occupano di analytics di collaborare a stretto contatto con l’ufficio legale dell’azienda per conoscere i requisiti di conformità e per tradurre definizioni complesse in un linguaggio semplice.
Imprescindibile, poi, l’adozione di una Consent Management Platform per raccogliere un valido consenso dell'utente prima dell’elaborazione dei suoi dati personali come imposto delle leggi in materia. La posta in gioco è molto alta in termini non solo economici ma anche reputazionali. E infine è utile considerare la provenienza dei dati e la loro archiviazione, tenendo conto ad esempio della loro residenza. Per un'organizzazione con sede nell'Ue, la soluzione migliore è affidarsi a piattaforme di analytics europee che offrono opzioni di hosting nel Vecchio Continente così da essere conformi al Gdpr e ad altre normative locali.
A quali aziende si rivolge Piwik Pro e per quali casi d’uso?
Piwik Pro è il partner ideale per tutte le organizzazioni che vogliono ottimizzare la loro presenza nel mondo digitale. Per rispondere al meglio alle diverse esigenze delle organizzazioni, abbiamo persino ideato due piani della nostra soluzione Piwik Pro Analytics Suite. Con il termine Core indichiamo il piano gratuito dedicato alle piccole e medie imprese, mentre con il nominativo Enterprise identifichiamo quello creato su misura per grandi aziende ed enti governativi.
L’aspetto di Piwik Pro Analytics Suite più differenziante, riconosciuto e apprezzato sul mercato nelle diverse industry in cui operiamo maggiormente, come i settori pubblico, finanziario e sanitario, è però sicuramente l’attenzione alla privacy e alla sicurezza di dati in conformità con le principali normative vigenti. Ci definiamo con orgoglio l’alternativa privacy-friendly ad altri prodotti, primo fra tutti Google Analytics. Una conformità che garantiamo con successo nelle varie analisi del customer journey che offriamo ai nostri clienti. Operiamo a livello di Web, app, e-commerce e prodotto, ma non solo. Grazie alla nuova Customer Data Platform, copriamo, infatti, anche il targeting comportamentale e la data activation.
Quale sarà la strategia di Piwik Pro per il prossimo anno?
Per il 2024 ci siamo posti diversi obiettivi. Una recente mossa strategica che avrà positive ricadute anche e soprattutto l’anno prossimo è senza dubbio la fusione con Cookie Information, un’azienda privacy tech con sede in Danimarca e fornitrice di una Consent Management Platform (CMP) progettata per le aziende di medie e grandi dimensioni. Tale operazione ci permetterà, infatti, di rafforzare le tecnologie privacy-friendly nei mercati europei per offrire ai clienti soluzioni sempre più solide e capaci di bilanciare la compliance con le loro esigenze aziendali.
Sul fronte prodotto, è, invece, in programma un ulteriore sviluppo per incrementare il valore dell'offerta e per adattarla a un maggior numero di casi d'uso, mentre a livello commerciale prevediamo da una parte il potenziamento sia della rete interna che di quella dei partner nei mercati già presidiati e dall’altra l’aumento della nostra presenza in Danimarca e negli Stati Uniti. Ultimo ma non per importanza, per il nuovo anno miriamo anche all’espansione della nostra community di utenti.