Open in app

Sign in

Write

Sign in

Il GDPR e le sfide per il design

Marco Romano
Doralab Thinking
Published in
5 min readNov 8, 2018

Con la piena applicazione del Regolamento Generale sulla Protezione dei Dati (GDPR) l’attenzione al tema è grande. La confusione anche. Quanti siano formalmente già in regola con tutti i nuovi requisiti per la tutela della privacy dei cittadini europei è difficile a dirsi. Da una fresca indagine di Econsultancy, però, sembra che molti siano ancora in alto mare.

In questo panorama, sono probabilmente poche le aziende che del nuovo Regolamento soddisfano lo spirito oltre che la lettera. L’avvento del GDPR, infatti, schiude una serie di nuove sfide per le aziende che ora devono guadagnarsi i dati degli utenti con la stessa cura che impiegano per ottenere i loro soldi e il loro tempo.

Il GDPR tutela i dati dei cittadini europei riconoscendoli come una risorsa

Cos’è il GDPR

È il nuovo Regolamento europeo sulla raccolta e il trattamento dei dati personali e tiene conto delle attuali condizioni d’uso dei dati, specialmente quelli legati al web. Non a caso, per la prima volta, si applica a ogni organizzazione — con sede in Europa o altrove — che tratti i dati di cittadini europei.

Cosa cambia per le aziende

Anzitutto nuovi tipi di dati sono considerati come dati personali: l’indirizzo IP con cui si naviga, i dati di geolocalizzazione e i cookie, oltre naturalmente agli indirizzi email. In pratica, tutto ciò attraverso cui sono costruite e tracciate le nostre identità virtuali.

Inoltre, il Regolamento chiede di riprogettare processi e sistemi in modo da garantire concretamente la protezione dei dati (privacy by design). Così dovrebbero trovare applicazione efficace anche alcuni (nuovi) diritti dei cittadini, come quello all’oblio e alla portabilità dei dati.

A fronte di questo aumento di complessità nella gestione dei dati, il GDPR intende semplificare la fase di raccolta. Ad esempio, il consenso espresso è richiesto solo per le attività di profilazione. Se non è prevista la profilazione, potremo finalmente avere qualche casella in meno da barrare quando arriviamo al termine di un acquisto o una sottoscrizione online.

Che poi, quando si sta per concludere, chi va davvero a leggersi l’informativa sulla privacy? Si resta piuttosto col sospetto che i propri dati andranno a finire chissà dove.

In maniera più lineare, invece, col nuovo Regolamento si presume che l’utente accetti di consegnare tutti i dati che servono per ottenere il servizio. L’importante è non raccoglierli finché l’utente non fa attivamente qualcosa per consegnarli a seguito di una decisione informata.

Cosa cambia per gli utenti

Di conseguenza, il cambiamento più evidente dal punto di vista dell’utente riguarda le informative, che non possono essere illeggibili paginone dietro a link affondati nel footer. Ma devono essere spiegazioni

  • puntuali: date al momento giusto
  • trasparenti: dicono tutto quello che c’è da dire
  • chiare: facili da comprendere
  • brevi: perché altrimenti nessuno le leggerà

Addirittura, non servono neanche riferimenti normativi a cui rinviare. Tutto deve essere semplicemente chiarito lì dove sono richiesti i dati.

Un passaggio del processo di apertura conto su ING Direct che abbiamo progettato nel 2015

Come nel caso illustrato qui ad esempio: al momento di raccogliere il numero di telefono, si spiega all’utente perché viene chiesto. La spiegazione è puntuale (arriva esattamente quando serve), trasparente, chiara e concisa. Dà soddisfazione vedere che le soluzioni che proponiamo da sempre sono già in accordo con lo spirito del GDPR.

Cosa stanno facendo le aziende

La maggior parte delle aziende sta affrontando la questione nell’ottica dell’adempimento formale:

  1. fare un assessment;
  2. adeguare i sistemi tecnologici secondo necessità;
  3. indicare il DPO (Data Protection Officer), se del caso;
  4. ritoccare le informative su privacy e cookie quanto basta per coprire tutte le clausole previste dal nuovo Regolamento.

Cosa dovrebbero fare le aziende

Il Regolamento Generale per la Protezione dei Dati, però, ambisce a essere molto più di questa trafila burocratica. Potrebbe anche diventare un’occasione per trasformare quella che finora è stata la parte più noiosa, e potenzialmente preoccupante, dell’esperienza di un utente con i servizi web.

Il Regolamento spinge verso la minimizzazione del trattamento di dati personali. In pratica, si possono raccogliere e trattare dati personali nella misura in cui servono a fornire un servizio all’utente. Si raccolgono solo dopo che l’utente ha capito a cosa servono e quindi ha deciso di concederli. E si conservano solo per il tempo necessario alla fornitura del servizio.

Si tratta di un importante cambiamento di approccio: i dati personali sono riconosciuti come una risorsa preziosa nelle mani degli utenti, che devono decidere consapevolmente come investirli, al pari di come spendono i propri soldi e il proprio tempo.

Di conseguenza, il principio di privacy by design dovrebbe applicarsi anche al modo in cui si chiedono i dati all’utente. Non solo l’infrastruttura tecnica e i processi interni devono essere progettati con la privacy in mente, ma l’intera esperienza dev’essere concepita per spiegare all’utente a cosa ci servono i suoi dati, con la stessa cura con cui gli spieghiamo il valore di ciò che cerchiamo di vendergli.

Informare per farsi capire

Serve un nuovo approccio alla comunicazione degli aspetti meno gradevoli da raccontare, eppure sempre più importanti non solo per i legislatori, ma anche per gli utenti. Questi, infatti, dopo scandali come quello di Cambridge Analytica, nel migliore dei casi diventano cittadini virtuali più attenti alla diffusione dei propri dati. E nel peggiore dei casi cedono all’isterismo collettivo che li rende per qualche tempo ostili e refrattari a qualsiasi richiesta di dati.

La gestione dei dati è un aspetto poco sexy del prodotto o servizio da vendere, e non ha immagini accattivanti per raccontarla in modo diverso dalle parole. Finora, anzi, è stata una terra dominata dal legalese — il linguaggio per addetti ai lavori che raramente si curano di essere chiari, trasparenti e concisi, quanto piuttosto di formulare un documento impossibile da impugnare. Curioso notare come la metafora, assolutamente positiva per un avvocato, suoni del tutto sinistra per chi ragiona in termini di usabilità!

La sfida principale del GDPR per designer e copywriter, quindi, è “fare a pezzi” le vecchie informative, per renderle informazioni utili e comprensibili che arrivano al momento giusto.

Copywriting
UX Design
Gdpr
Privacy By Design

--

--

Marco Romano
Doralab Thinking

Written by Marco Romano

6 Followers
Writer for

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams