Categoria: Legal Compliance

L'avvento del Regolamento GDPR (General Data Protection Regulation) ha influito enormemente sul mondo del digital marketing. In questo articolo vedremo tutte le sue implicazioni e quello che c'è da sapere per rispettare i vincoli imposti dal GDPR nella tua attività digitale e assicurare trasparenza e tutela dei dati dei tuoi clienti.

Che cos'è il GDPR?

L'implementazione del Regolamento GDPR nel maggio 2018 ha imposto a migliaia di aziende di rivedere la loro politica in tema di privacy dei dati per garantire la protezione dei dati dei propri clienti. L'ambito del digital marketing è senz'altro uno di quelli che è stato più colpito dalla nuova normativa.

A partire dal maggio 2019, nel nostro Paese, è terminato il periodo di transizione e sono entrate in vigore le sanzioni per chi non rispetta le norme contenute nel Regolamento. È dunque fondamentale avere ben chiaro quali sono le regole da seguire per evitare di incorrere in sanzioni e garantire il pieno rispetto della privacy degli utenti.

Di che dati stiamo parlando? Il GDPR definisce i dati personali come le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica. Ciò può includere foto, nomi, coordinate bancarie, informazioni mediche, ID del dispositivo e indirizzi IP.

Il GDPR ha sostituito la Direttiva UE 95/46/CE sulla protezione dei dati. Con il nuovo regolamento le aziende e le organizzazioni, comprese quelle al di fuori dell'Unione Europea, sono ritenute devono trattare in maniera conforme e proteggere i dati delle persone fisiche residenti all’interno dell’UE.

Il GDPR è stato redatto e approvato dalle Istituzioni Europee con l'obiettivo di garantire che i dati personali delle persone siano maggiormente protetti. Il regolamento prevede anche una serie di disposizioni per trasferire in maniera conforme i dati personali all’esterno dell’UE. L'obiettivo è quello di garantire che i cittadini siano protetti e che i loro dati rimangano sotto il loro controllo; questo anche grazie una nuova serie di diritti (che concedono, per esempio, ai cittadini il diritto all’accesso, alla rettifica, alla cancellazione, alla portabilità dei dati ecc.).

L'impegno dell'UE è stato quello di proteggere la privacy dei cittadini, soprattutto di fronte ai progressi della tecnologia e della globalizzazione che mettono sempre più a rischio i consumatori online.

Per raggiungere questi obiettivi, il GDPR prevede modalità diverse affinché le aziende ottengano e mantengano il consenso durante le loro attività e attraverso i propri canali di marketing.

L'idea chiave alla base della politica del regolamento e delle relative sanzioni è quella di incoraggiare la fiducia tra i fornitori di servizi tecnologici digitali e utenti.

Aree di impatto del GDPR

L'impatto del GDPR copre tutti i settori, ma nel marketing le nuove normative offrono a tutti i clienti dell'UE un maggiore controllo sui dati personali raccolti su di loro, nonché sul modo in cui tali informazioni vengono utilizzate.

La natura esigente del Regolamento ha costretto le aziende a ripensare il modo in cui svolgono le proprie attività quando utilizzano i dati personali. Il marketing non è certamente un'eccezione, specialmente nell'ambiente digitale.

Sia che la tua azienda o organizzazione conduca analisi dei dati riguardanti l'attività online dei suoi clienti o che utilizzi semplicemente una mailing list per inviare campagne marketing, tali attività devono essere inquadrate nel contesto degli obblighi più rigorosi imposti dal GDPR.

Poiché i digital marketer fanno molto affidamento sui dati raccolti da diversi dispositivi, per costruire ad esempio profili di acquirenti, creare percorsi personalizzati per i clienti e fornire un'assistenza personalizzata, il settore del marketing digitale può aspettarsi una varietà di nuove sfide quando si tratta di raccogliere e proteggere i dati personali delle persone residenti nell'UE.

Le attività del Marketing principalmente colpite

In genere, le attività principali del marketing digitale che coinvolgono la raccolta di dati personali sono:

• Raccolta e profilazione dei dati: un impatto rilevante del GDPR è sicuramente in quest'area, la raccolta di informazioni relative all'interazione con il cliente, con l'obiettivo di analizzare il mercato e creare profili di clienti unici. La profilazione è l'elaborazione aggiuntiva di questi dati per tenere traccia delle scelte del cliente, al fine di migliorare l'offerta del prodotto in  base alle esigenze specifiche.
• Targeting: l'attività di contattare gli individui comunicando l'offerta del prodotto. Questo può assumere la forma di comunicazioni elettroniche one-to-one (ad esempio e-mail, SMS, altre notifiche push o messaggistica istantanea) o persino di targeting basato su specifici gruppi o segmenti di profilo clienti.

Ovviamente, più dati personali vengono utilizzati nello svolgimento di attività di marketing, più diventa difficile per un'azienda garantire la conformità delle norme.

Le regole del GDPR per il digital da seguire ASSOLUTAMENTE

Un recente rapporto di Act-On sull'impatto del GDPR sul digital marketing indica che oltre un terzo dei marketer dichiara di non comprendere il GDPR. Il 55% dichiara invece che a non comprenderlo spesso sono i loro clienti, mentre la metà dichiara di esser preoccupata riguardo il tempo che perderanno a rendere conformi i loro servizi con le norme europee. Lo stesso studio ha rivelato anche che il 50% dei professionisti del digital marketing hanno assegnato un budget particolare al tema del rispetto delle regole del GDPR.

Il regolamento è vasto, ma è bene sapere almeno alcune regole che vanno assolutamente seguite se non si vuole incorrere in sanzioni molto salate:

• Diritto d'opposizione: l'utente interessato ha diritto di opporsi al trattamento dei dati a fini di marketing diretto. Ciò include anche la profilazione effettuata a tale scopo. Un individuo può opporsi in qualsiasi momento gratuitamente. In caso di opposizione, i dati personali non saranno più trattati per tali scopi.
• Consenso: oltre ai requisiti per garantire un consenso dato liberamente, specifico, inequivocabile e informato, la legge richiede anche che tale consenso sia dato mediante una dichiarazione o una chiara azione affermativa. Pertanto, un consenso dovrebbe essere attivo e non passivo.

In generale, per le aziende sarebbe opportuno riconsiderare tutto il loro processo di marketing, quando ciò comporta l'uso di dati personali. Più specificamente, è fondamentale che esse garantiscano e dimostrino che:

• Le loro pratiche di marketing sono trasparenti e chiaramente definite nella politica di protezione dei dati e nelle relative comunicazioni rese disponibili agli interessati;
• Le pratiche di consenso sono conformi all'articolo 7 del GDPR (condizioni sul consenso) e prevedono una scelta attiva e autentica da parte dell'individuo;
• Gli individui presenti nelle mailing list sono legittimamente presenti, essendo stati soggetti al processo di opt-in o soft opt-in, come richiesto dalla legge;
• Fornire chiare e semplici opportunità di rinuncia (opt-out).

Specialmente su quest’ultimo punto le aziende devono fare particolare attenzione. Esse sono ora tenute a rendere semplice per gli utenti aggiornare le proprie preferenze, revocare il proprio consenso o essere rimosse dal database di un'azienda. Per "facile" s'intende che:

• Gli utenti non dovrebbero visitare più di una pagina per annullare l'iscrizione
• Gli utenti non dovrebbero accedere per annullare l'iscrizione
• Gli utenti dovrebbero solo essere tenuti a fornire il proprio indirizzo e-mail per annullare la sottoscrizione
• Agli utenti non dovrebbe essere addebitata alcuna commissione per l'annullamento.

E ancora una volta, è bene ricordare, che il mancato rispetto di queste norme potrebbe comportare severe sanzioni. E ricorda che negli ultimi 12 mesi le ammende possono arrivare fino a €20 milioni o al 4% del tuo fatturato annuale, quindi è bene essere preparati!

Il Data Breach e le possibile sanzioni

Il GDPR ha reso, in teoria, obbligatoria la denuncia del cosiddetto “data breach” (art. 33 e 34 del regolamento). Per data breach si intende una violazione della sicurezza che comporta la diffusione non autorizzata, la modifica, la distruzione, la perdita o l’accesso ai dati personali che sono stati trasmessi o in alcuna forma trattenuti.

Il GDPR indica che, in teoria, la notifica della violazione di questi dati vada trasmessa, ove possibile, entro 72 ore dal momento in cui si è venuti a conoscenza di essa.

Nonostante quest’obbligo, secondo i dati raccolti da Federprivacy nel rapporto statistico delle sanzioni comminate in Europa, soltanto il 9% delle sanzioni effettuate in totale risponde a questa infrazione, un dato certamente più basso delle infrazioni avvenute sotto questa fattispecie.

L’autorità di controllo ha invece punito soprattutto (quasi il 50% delle sanzioni effettuate) i casi di trattamenti avvenuti in modo illecito.

Ad ogni modo, le organizzazioni sono tenute ad adottare tutte le misure di sicurezza adeguate a ridurre al minimo il rischio di data breach.

A questo proposito, ecco alcune contromisure che le aziende possono prendere per evitare questa violazione:

• Crittografia dei dati sensibili
• Utilizzare sempre l’autorizzazione a due fattori
• Applicare periodicamente politiche di patching (aggiornamenti) dei sistemi
• Applicare il principio del minimo privilegio per quanto riguarda l’accesso ai dati
• Sfruttare l’utente come strumento di prima difesa contro violazioni

Un corso per comprendere il GDPR per il Digital

Le regole del GDPR sono tante e comportano numerosi cambi nelle strategie commerciali, soprattutto per chi lavora nell'ambito del digital marketing. Conoscerle bene però è fondamentale se si vuole evitare le sanzioni salate che sono previste per chi non rispetta i nuovi parametri. Conviene infatti investire tempo e denaro nel conoscere per bene le norme da rispettare, se non si vogliono avere brutte sorprese in futuro.

Inoltre, le aziende che dimostrano di rispettare il regolamento, ne guadagnano anche in legittimità sul mercato, in quanto i clienti saranno più portati a fidarsi di professionisti che dimostrano di tenere alla privacy di clienti e utenti.

Su Digital.Dojo.it troverai un corso che ti guiderà passo passo alla scoperta del GDPR e di come conformare la tua attività al regolamento europeo.

Guidato da un professionista nel campo come Fabio Cassanelli – che ha già aiutato oltre 120 imprese e professionisti ad adeguare le proprie politiche al GDPR - imparerai ad allineare il tuo sito, le tue comunicazioni e le tue campagne marketing alle norme vigenti, arrivando preparato a ispezioni e controlli.

Grazie al corso “GDPR per il Digital” apprenderai a gestire i dati dei tuoi clienti con sicurezza, comodamente da casa tua quando vuoi e in brevissimo tempo.

Conclusioni su GDPR per il Digital

Per concludere, in futuro i dati personali rimarranno uno strumento essenziale per le imprese per condurre attività di marketing, in particolare nel contesto digitale. Il GDPR ha rafforzato i diritti di protezione dei dati, rendendo il marketing digitale più esigente per le aziende.

È necessario riprogettare i processi di marketing per garantire la conformità e continuare con le attività di marketing digitale. Il corso on-demand di Digital Dojo risponde proprio a queste esigenze.

Scopri di più sul corso GDPR per il Digital!