GDPR, privacy e raccolta dati. Cosa c’è da sapere
Mancano solo pochi giorni all’entrata in vigore del nuovo GDPR – General Data Protection Regulation, ma la conoscenza della materia è ancora piuttosto nebulosa.
Il prossimo 25 maggio entrerà in vigore il nuovo regolamento sulla privacy, noto con l’acronimo di GDPR – General Data Protection Regulation. Ogni giorno che passa si moltiplicano appelli al mettersi in regola, pubblicità di corsi e consulenze, minacce di sanzioni pesantissime, ondate di panico. In questa psicosi collettiva non sono pochi i dubbi che gli operatori del mercato dell’arte si pongono (o meglio: dovrebbero porsi) e questo anche in virtù del fatto che, in effetti, l’ambiente in cui si muovono vive la contraddizione di una riservatezza così esasperata da sconfinare, talvolta, nelle sabbie mobili.
LA FINE DELLA PROFILAZIONE?
Il nuovo GDPR non fa alcun riferimento né tantomeno propone deroghe al settore dell’arte, destando così molte preoccupazioni su come gli intermediari, quali le case d’asta e le gallerie, affronteranno la situazione dotandosi di adeguati protocolli e struttura interna. Ciò, oltretutto, potrebbe comportare l’insorgere di nuovi costi, poiché il General Data Regulation riguarda sia i dati degli individui che interagiscono con il mercato che quelli relativi allo staff e fornitori (pure nel caso in cui non avvenga la vendita). Quale sarà l’impatto sul fronte organizzativo/strutturale e sui clienti non è ancora dato a sapersi.
Certamente le norme che stanno per entrare in vigore avranno effetti soprattutto sulle case d’asta e sulle vendite online, ambiti in cui l’elaborazione dei dati personali assume una valenza sostanziale e per cui sarà necessario mappare i processi di elaborazione dei dati oltre che i dati stessi, informando i titolari delle informazioni sui criteri di acquisizione dei dati, su quelli di utilizzo e su chi può accedervi ottenendo il consenso al trattamento. Ma questo, in realtà, vale anche per ogni galleria che raccoglie informazioni utili alla profilazione dei clienti.
Incanti, il settimanale sul mercato dell'arte Informazioni, numeri, tendenze, strategie, investimenti, gallerie e molto altro.
Render, il bisettimanale sulla rigenerazione urbana Nuovi progetti, tendenze, strategie virtuose, storie da tutto il mondo, interviste e molto altro.
“Il principale obiettivo della nuova normativa è la maggiore tutela dell’interesse legittimo verso i dati personali attraverso il miglioramento delle regole di informativa e consenso all’utilizzo degli stessi, soprattutto limitandone il trattamento automatizzato”.
In un articolo apparso sul Financial Times Allison Thorpe, responsabile marketing e comunicazione di Lisson, definisce la galleria d’arte come “un’organizzazione di relazioni”. Relazioni che, formate da un mix di dati e interazioni umane, Lisson ha raccolto nel mezzo secolo da quando è stata fondata. Per Heidi Naish, responsabile dei sistemi aziendali della galleria, “il nostro database è abbastanza sofisticato da essere in grado di fornire i dettagli dei lavori che hanno acquistato, gli eventi che hanno frequentato, a quali artisti si sono interessati, eventuali note sulle esigenze dietetiche. Tutte informazioni che possiamo estrarre abbastanza rapidamente”. Tutte informazioni che ricadono nell’ambito del GDPR.
Tutto questo ha a che fare con il trattamento dei dati e delle informazioni che con il nuovo GDPR non sono più da intendersi solo quelli “sensibili” (razza, orientamenti sessuali e politici, dati medici ecc.) ma tutte le informazioni personali che possono essere utilizzate per identificare direttamente o indirettamente l’individuo. Tutte e quindi anche, solo per fare qualche esempio, le immagini, gli indirizzi e-mail, i messaggi sui social rientrano nella schiera dei dati personali.
RICICLAGGIO E INFORMAZIONE
È di qualche giorno fa, invece, la notizia che l’amministrazione USA stia per emanare un regolamento che aggiungerebbe commercianti di arte e di antichità all’elenco delle istituzioni finanziarie regolamentate ai fini dell’antiriciclaggio. Norma che, peraltro, in Italia è già in vigore anche se non sempre considerata. Dal rapporto sul mercato online che Hiscox ha da poco pubblicato, è possibile scorgere quali saranno in futuro i fattori su cui si giocheranno le sorti del mercato e che diventeranno il vero spartiacque tra passato e futuro: la trasparenza (dei prezzi e non solo), la blockchain e la reputazione del venditore.
Ma se leggendo tutto questo vi coglie l’idea di esser improvvisamente diventati gli ultimi della classe state tranquilli, siete in buona compagnia: secondo il rapporto il 41% delle gallerie e il 24% delle piattaforme online intervistate non sono neanche a conoscenza del nuovo regolamento generale sulla protezione dei dati. E questo in un campione statistico fortemente avanzato.
Il principale obiettivo della nuova normativa è la maggiore tutela dell’interesse legittimo verso i dati personali attraverso il miglioramento delle regole di informativa e consenso all’utilizzo degli stessi, soprattutto limitandone il trattamento automatizzato. In parole povere, restituire ai cittadini il controllo delle informazioni che li riguardano. Soprattutto, però, le norme su GDPR così come quelle sull’antiriciclaggio vogliono spingere verso un cambio di paradigma, a una rivoluzione culturale ancor più che tecnologica. Se le nuove norme sapranno svolgere il proprio compito o, come qualcuno ha scritto, sapranno “dimostrarsi più forti della testardaggine del mercato dell’arte”, niente sarà più come prima.
CHI RACCOGLIE DATI NE È RESPONSABILE
Focalizzandoci sul trattamento dei dati, quali sono le novità che comportano una nuova e mirata gestione in materia di privacy e cosa di tutto questo dovrebbe importare alle gallerie e alle case d’aste così come ai loro clienti?
Per i titolari dei trattamenti sono previsti maggiori obblighi nei confronti degli interessati e della tutela dei loro dati personali. Ogni “attività di trattamento” dovrà essere comprensibile ma soprattutto ben specificata per ogni singolo utilizzo, pertanto non si potrà più avere una sola autorizzazione valida per tutte le “attività di trattamento”. È previsto l’utilizzo, da parte dei titolari, di appositi registri in forma scritta ed elettronica, all’interno del quale devono essere raccolti i dati del titolare, dell’interessato, dello scopo per cui sono stati raccolti i propri dati.
Con il nuovo Regolamento viene definito un principio già riconosciuto dal Garante: quello che prevede che sia responsabilità del possessore dei dati sensibili conservarli in maniera corretta. Il principio di accountability sancisce perciò che sarà onere del titolare, che detiene i dati, dimostrare un “atteggiamento proattivo nella salvaguardia personale dell’utente”. Si tratta di una norma che riguarda soprattutto i casi di violazioni (data breach) e che chiama quindi in causa la responsabilità di chi li detiene, e non di chi li ha forniti.
“Il nuovo GDPR non fa alcun riferimento né tantomeno propone deroghe al settore dell’arte, destando così molte preoccupazioni su come gli intermediari, quali le case d’asta e le gallerie, affronteranno la situazione dotandosi di adeguati protocolli e struttura interna”.
I soggetti interessati vedranno ampliata la tutela dei loro diritti. Il diritto di accesso, ad esempio, prevede la possibilità di consultare direttamente, anche da remoto, i propri dati e spetta al detentore dei dati indicarne il periodo di conservazione. È stato rafforzato il diritto all’oblio in merito alla volontà di cancellare i proprio dati personali con l’obbligo, da parte di chi li detiene, di informare eventuali altri detentori obbligandoli a cancellare i dati in possesso.
Un altro punto focale della normativa è il rafforzamento del diritto di limitazione al trattamento dei dati personali, precedentemente esercitabile solo in caso di violazione dei presupposti di liceità, per il quale basterà anche una semplice richiesta o opposizione da parte del soggetto interessato.
QUANTO COSTA NON ADEGUARSI
È opportuno quindi che venga strutturata una preparazione adeguata, che si attui una riflessione sull’organizzazione della propria struttura e dei flussi informativi e una loro mappatura che abbia anche il compito di evitare pesanti sanzioni amministrative previste per i soggetti che non si adeguino alla normativa. Giusto per saperlo, queste arrivano fino al 2% del fatturato annuale dell’impresa ovvero al 4% del fatturato mondiale nel caso di gruppi di imprese. Fate i vostri conti.
‒ Franco Broccardi e Benedetta Difino
Artribune è anche su Whatsapp. È sufficiente cliccare qui per iscriversi al canale ed essere sempre aggiornati
Lettera, la newsletter quotidiana Non perdetevi il meglio di Artribune! Ricevi ogni giorno un'e-mail con gli articoli del giorno e partecipa alla discussione sul mondo dell'arte.
