L’acronimo GDPR significa General Data Protection Regulation, ed è un regolamento con il quale la Commissione Europea vuole rafforzare la protezione dei dati personali di ogni cittadino residente nell’Unione; questo testo di legge è entrato in vigore il 25 maggio 2016 ed avrà efficacia a partire dal 25 maggio 2018.
 Si tratta di una vera e propria rivoluzione, in quanto la legge regola lo scambio dei dati personali che sono fondamentali a livello economico, e senza il quale non potrebbero esistere il marketing comportamentale e la sharing economy, tanto per fare un esempio.
 Questi modelli sfruttano i dati di ogni singolo cittadino a fini commerciali, e la legge nasce proprio per tutelare l’individuo dall’uso illecito dei dati personali da parte di attività che si affidano a strategie di profilazione degli utenti.

Il consenso all’uso dei dati personali

Tutti i siti che utilizzano i dati degli utenti a scopo commerciale o di profilazione sono tenuti a chiedere loro il consenso mediante appositi form, che devono essere debitamente spuntati al fine di rendere trasparente il servizio offerto. 
Questo significa che il cittadino che naviga in rete potrà in ogni momento confermare o negare il consenso all’utilizzo dei dati personali, che nello specifico includono non solo nome, cognome e codice fiscale, ma anche l’indirizzo mail, la geolocalizzazione e le ricerche effettuate online. 
Ad ogni modo, colui che nega il consenso non potrà usufruire delle eventuali promozioni economiche, ludiche o di altra natura che il sito intende offrire, per l’impossibilità di individuare l’utente.
Trasparenza significa proprio questo: dichiarare semplicemente che ciò che un sito intende proporre e concedere all’utente è soggetto al consenso del trattamento dei dati personali con finalità promozionali, commerciali e di profilazione.

Cos’è la profilazione

La profilazione degli utenti non richiede quasi mai i dati personali veri e propri dell’internauta; si basa semplicemente sull’analisi dell’indirizzo IP della connessione stabilita, localizzando l’area geografica di provenienza e scansionando i relativi dati di navigazione, incrociandoli al fine di creare un profilo utente. 
Disporre di un profilo utente significa conoscere le abitudini di un soggetto e avere la possibilità di proporgli iniziative o prodotti di personale interesse, permettendo inoltre di individuare i linkaggi di un certo numero di utenti in relazione ad una particolare area geografica. Tutto questo si traduce in un vero e proprio identikit per il quale è fondamentale richiedere il consenso al trattamento dei dati, tenendo presente che qualsiasi sito che usa software come Google Analytics è assolutamente soggetto a questa imposizione per quanto detto.
 Anche l’utilizzo di banner pubblicitari che rimandano ad altri siti che trattano i dati personali degli utenti è da considerare non lecito se non accompagnato dal consenso informato.

Come si richiede il consenso al trattamento dei dati

Il consenso deve essere richiesto da ogni sito prima che avvenga la navigazione; nel caso di rifiuto da parte dell’utente al trattamento dei dati, il software deve interrompere la navigazione o negare l’accesso alle pagine che prevedono l’utilizzo dei dati personali.
Il consenso è valido dal momento che:
è libero e non condizionato (esempio di condizione: ‘Se accetti ti offro subito uno sconto del 10%);
viene richiesta la conferma ad ogni inserimento di dati personali;
è informato e non ambiguo; non è più possibile usare banner che diano tacitamente il consenso a proseguire la navigazione, ma è obbligatorio dare conferma esplicita marcando l’apposita checkbox;
viene utilizzato un opt-in, che consiste nella duplice conferma dell’utente all’invio dei dati personali;
è specifico; il consenso all’utilizzo dei dati non può essere generico, ma deve rivolgersi alla particolare destinazione d’uso: se i dati sono finalizzati a fini informativi e a fini commerciali, è necessario selezionare entrambe le voci.

Le sanzioni

Per chi non ottempera alle regole imposte dal garante della privacy, sono previste le seguenti pesantissime sanzioni:
per le aziende singole la multa è fino a 20 milioni di euro;
per i gruppi la sanzione è pari al 4% sul totale fatturato in campo mondiale.

Una volta che il consenso al trattamento dei dati di un utente è stato registrato, quest’ultimo deve potersi cancellare dall’iscrizione quando lo ritiene opportuno senza alcuna spiegazione.