Il 25 maggio 2018 è entrata in vigore la GDPR (General Data Protection Regulation – Regolamento UE 2016/679), ovvero il nuovo Regolamento Europeo per la protezione dei dati personali, che riguarderà come questi dovranno essere raccolti e trattati.
Questo regolamento generale sulla protezione dei dati, come puoi immaginare, avrà un impatto bello ciccione sulle tue attività di online marketing, soprattutto per quanto rriguarda la raccolta di contatti e l’advertising online.
Vediamo insieme innanzitutto cosa è e a cosa dovrai fare attenzione 🙂
[premessa doverosa: non sono un legale (mi mancherebbe solo questo 😀 ) e un consiglio spassionato è valutare la vostra situazione con un esperto in materia]
COSA È LA GDPR (General Data Protection Regulation)
Questo nuovo regolamento è stato implementato per uniformare e migliorare la tutela dei dati personali dei cittadini dell’Unione Europea. Questo è stato ritenuto necessario per migliorare e integrare la Cookie Law già esistente, specialmente considerato che al giorno d’oggi social media, motori di ricerca, big data e quant’altro sono il pane quotidiano.
In pratica occorrerà un consenso specifico da parte dell’utente per il trattamento dei dati personali, per questioni di trasparenza e responsabilità dell’azienda, dati sensibili che comprendono nome, cognome, numero di telefono, indirizzo email, età, sesso e simili. Non che prima il consenso non ci volesse, ma nella sostanza adesso non è più possibile utilizzare diciture vaghe come “per migliorare l’esperienza degli utenti a scopo di marketing” o ” per ricerche future” : le frasi in burocratese incomprensibile non saranno più sufficienti. L’Unione Europea vuol che in questo modo l’utente sia pienamente consapevole che i suoi dati personali stanno per essere trattati, e per quale scopo. Soprattutto per quale scopo!
Introduciamo anche questi concetti:
Privacy by design: l’attività online deve essere strutturata in modo da essere progettata fin dall’inizio per essere integrata con le nuove regole, quindi a scopo preventivo e non correggendo successivamente eventuali problemi di raccolta dati irregolare. Insomma tutto deve essere già strutturato sulle nuove regole per la privacy, e non deve passare in secondo piano o come una “decorazione” da aggiungere successivamente solo perché si deve.
Accountability: l’azienda – o chi sta raccogliendo i dati – è pienamente responsabile della raccolta dei dati conforme alle regole e per tanto risponde in prima persona in caso di contravvenzione e deve assicurarsi che essi siano raccolti in modo sicuro e non divulgati.
DPO(Data Protection Officer): vediamo entrare in gioco anche questa figura, ovvero chi sovrintende il rispetto delle norme. Mentre abbiamo il “titolare del dato” (chi richiede la raccolta dati) e l’incaricato (la persona che invece si occupa di gestire personalmente il trattamento dei dati), il DPO è una figura a parte, ovvero il responsabile designato dall’azienda per verificare il corretto trattamento dei dati, un sovrintendente che fa da referente per il garante della privacy. La presenza di questa figura è tanto più obbligatoria quanto l’azienda si occupa in maniera più intensa del trattamento di dati sensibili o giudiziari, o semplicemente ha a che fare con una grossa mole di dati personali.
Cosa è necessario quindi?
1 – Aggiornare la privacy policy del tuo sito, esplicitando in maniera chiara e trasparente quali dati raccogli e cosa ci farai esattamente. Avevamo già la Cookie Law, che ci obbligava ad avvisare gli utenti che il sito utilizza cookie, e chiede di accettarli o meno. Adesso dobbiamo dichiarare chiaramente cosa ci facciamo con questi cookie, in modo comprensibile e realmente informativo, non più come una cosa quasi meramente formale come accadeva prima (dai, ammettilo, era così anche per te).
2 – Un consenso esplicito da parte dell’utente per utilizzo dei dati quando gli chiediamo di lasciare il suo contatto. C’era anche prima, ok, ma da maggio 2018 in poi dobbiamo specificare bene per quali scopi i dati verranno utilizzati, in modo dichiarato e trasparente.
Ad esempio: nei form contatti a scopo di Lead Generation dovrai esplicitare che lasciando la propria email si verrà contattati per comunicare ad esempio news e offerte (devi esplicitare insomma cosa riceveranno esattamente), evitando disclaimer troppo vaghi e generici.
3 – Consentire e facilitare la possibilità di de-registrarsi completamente dalla banca dati dell’azienda, in qualsiasi momento, secondo il cosiddetto “right to be forgotten”. Insomma l’utente deve essere in grado di revocare il suo consenso come e quando vuole. In tutti i casi il consenso deve essere in qualche modo documentabile: qualora richiesto ci deve essere una prova scritta (beh, digitale) del consenso dell’utente.
Ad esempio: includendo un link diretto per la disiscrizione nelle campagne email e un accesso al proprio profilo utente in cui poter modificare le impostazioni sulle preferenze e la privacy.
4 – Raccogliere soltanto i dati strettamente necessari all’uso che ne faremo, limitando il più possibile “l’invasione” della privacy dell’utente. Insomma: meno dati raccogli, più minimizzi i rischi (e meglio è).
5 – E se ho un’agenzia web? Se lavori per un’agenzia web, e quindi stai gestendo dati di cui il cliente è titolare, il contratto di fornitura deve specificare l’incarico a un responsabile esterno e la sua responsabilità nel trattamento dei dati.
6 – Che ci faccio con i dati già raccolti? Eh, dunque in teoria dovresti avvisare tutti i vecchi utenti di questa nuova informativa e dunque dare loro l’eventuale possibilità di cancellarsi.
7 – E se l’utente è minorenne? Ci deve essere la possibilità che il genitore ne autorizzi il trattamento dei dati al posto suo.
Le conseguenze della contravvenzione a queste nuove regole sono salatissime, con multe fino a 20 milioni di euro (wow!). Che dici, forse è il caso di adattarci? 😀
A cosa dovrai fare particolarmente attenzione, per lo meno parlando di marketing online:
Privacy Policy sul sito
Campagne DEM e Newsletter
Campagne di Lead Generation, form contatti, utilizzo di Lead Magnet
Sistemi di Marketing Automation
Facebook Look-a-like e Customer Match Adwords
Insomma dovrai essere sicuro che tutti gli utenti nelle tue liste di contatti abbiano dato il loro esplicito consenso riguardo a quello che tu andrai a fare con i loro dati.
Orrore? Non è detto. Pensa che potrebbe essere un’opportunità per avere liste di utenti estremamente in target rispetto a quello che hai da offrire, evitando di disperdere risorse nella targettizzazione di contatti non interessati. Inoltre, visto che il sistema ti impone di dichiarare i tuoi scopi, puoi essere tu a chiedere all’utente cosa vuole ricevere e quali tipi di contenuti, ottenendo così dati molto interessanti (e consensuali!) per la segmentazioni delle liste contatti 😉
Altro vantaggio? Che una dichiarazione esplicita di trasparenza non può che essere apprezzata dal tuo pubblico, aumentando così la sua fiducia nei confronti dell’azienda (con vantaggi non da poco sulla reputazione del brand).
E le campagne di advertising? L’impatto avverrà anche su quello, anche se indirettamente. Pensa per esempio a Google AdWords o Facebook Ads, che si “nutrono” dei dati degli utenti per la profilazione e il remarketing. Anche colossi come Google e Facebook, che fondano il loro impero sulla raccolta dati degli utenti, dovranno adattarsi ai cambiamenti. Mal comune mezzo gaudio. Anche i Lead Ads di Facebook si stanno uniformando alla questione.
Però ho un’ottima notizia per te. Google Tag Manager ti può aiutare – anche in questo caso! – nella gestione della nuova GDPR. Come?
Grazie mille per il tuo articolo, diciamo che ho cominciato a capirci qualcosa di più. Ti faccio il mio caso e vediamo se riesco a capire: Il cliente X ha un sito (fatto da me) con google analytics, form contatti e iscrizione alla newsletter.
Nella privacy policy spiego cosa sono i cookie, che usiamo google analytics e anche facebook.
Il form contatti serve unicamente per le pagine d’approdo di promozioni o altro.
L’iscrizione alla Newsletter la gestiamo interamente con mailchimp.
Quindi nella Privacy Policy secondo il GDPR cosa ci scrivo ?
Matteo Zambon
19 04 2018
Ciao Livio,
per sapere di preciso cosa scrivere nella privacy policy ti serve un avvocato (o iubenda), purtroppo non parlo legalese 😛 Comunque se vuoi toglierti ulteriori dubbi, oggi farò un webinar sulla GDPR e Google Tag Manager, se vuoi iscriverti questo è il link: https://register.gotowebinar.com/register/5183235642029124865
Ciao Matteo, stiamo affrontando proprio in questi giorni, con un consulente, la pianificazione del GDPR e sarei interessato alla guida per avere un altro punto di vista
Matteo Zambon
28 03 2018
Ciao Stefano, grazie del feedback!
Credo proprio che tu non sia l’unico ad affrontarlo in questi giorni! 🙂
Come già detto agli altri ho affrontato questo tema nel Club Tag Manager Italia con un webinar privato. Sicuramente farò qualcosa anche sul sito, però non sarà a breve (porta pazienza ho giusto un peletto di lavoro con alta priorità da smaltire).
Ti consiglio di iscriverti alla newsletter così di sicuro non te la fai scappare quando uscirà (o in alternativa potresti valutare l’entrata nel Club, se ti interessa fammelo sapere).
Ciao Matteo, curiosissimo di sapere come GTM può aiutare!
Matteo Zambon
28 03 2018
Andrea, nel Club Tag Manager Italia ne ho già parlato. Sicuramente farò anche qualcosa a livello di guida, ma non immediatamente 🙂 Potrei fare anche un webinar ad hoc 🙂
PS: Se vuoi sapere come entrare nel Club fammelo sapere che te lo dico in privato (non è ancora aperto al pubblico).
Finalmente… la guida sul nuovo GDPR più chiara e “semplice” che si possa trovare sul web.
Non poteva che essere tua. Grande Matteo!
Matteo Zambon
27 03 2018
Grazie Elio 🙂
Ti dirò, non è stato semplice mettere a fuoco (anche a livello operativo) tutte le cose. Comunque una chiamata al legale la dovresti fare 🙂
Ciao Matteo, il conversion linker secondo te va bloccato se non c’è il consenso preventivo dell informativa? Alla fine è un tag che sposta le informazioni raccolte da adwords verso un cookie di prima parte, corretto?
Matteo Zambon
26 03 2018
Ottima domanda. Nel dettaglio dovrei indagare, ma di fatto dai delle informazioni di conversione allo strumento di AdWords. Secondo me dovresti NON attivarlo. Tieni presente che non ti serve se hai Google Analytics collegato con AdWords (ovvero il 90% dei casi 😀 ).
A presto!
Ok, sono curioso di saperlo. Però penso non sia sufficiente, senza la consapevolezza dell’accountability.
Ps, stai chiedendo la mia mail solo per il commento vero? 😀 😀 (a parte che dovresti già averla).
Matteo Zambon
23 03 2018
Ciao Gioacchino 🙂
No la email serve per fare il commento, non la uso per altri fini (avrei bisogno dell’autorizzazione secondo GDPR 😛 )
La gestione con Google Tag Manager semplifica di molto la gestione grazie alla magia degli attivatori. Nel Club ho già fatto un bellissimo webinar dove spiego nel dettaglio.
Qualcosa farò anche qua (più avanti). La magia sta negli attivatori 😉
Hai ancora qualche dubbio? Chiedi pure qui sotto, sarò pronto a risponderti!
fabio
19 05 2018
Ciao Matteo sono molto interessato a capire come il Tag manager può essere utile in questo caso. Aspetto un tuo contatto. Grazie
Matteo Zambon
21 05 2018
Ciao Fabio, ho scritto un articolo che parla di CookieBot e GTM: https://www.tagmanageritalia.it/guida-avanzata-installare-cookiebot-in-modo-performante-e-salvarti-dalla-gdpr/ fammi sapere 😉
Livio Siano
18 04 2018
Grazie mille per il tuo articolo, diciamo che ho cominciato a capirci qualcosa di più. Ti faccio il mio caso e vediamo se riesco a capire: Il cliente X ha un sito (fatto da me) con google analytics, form contatti e iscrizione alla newsletter.
Nella privacy policy spiego cosa sono i cookie, che usiamo google analytics e anche facebook.
Il form contatti serve unicamente per le pagine d’approdo di promozioni o altro.
L’iscrizione alla Newsletter la gestiamo interamente con mailchimp.
Quindi nella Privacy Policy secondo il GDPR cosa ci scrivo ?
Matteo Zambon
19 04 2018
Ciao Livio,
per sapere di preciso cosa scrivere nella privacy policy ti serve un avvocato (o iubenda), purtroppo non parlo legalese 😛 Comunque se vuoi toglierti ulteriori dubbi, oggi farò un webinar sulla GDPR e Google Tag Manager, se vuoi iscriverti questo è il link: https://register.gotowebinar.com/register/5183235642029124865
Ti aspetto!
Antonello
31 03 2018
Complimenti per l’articolo
Matteo Zambon
03 04 2018
Ciao Antonello,
grazie per i complimenti 😀
Gianluca
30 03 2018
Ciao Matteo,
sono davvero interessato alla questione GDPR e come essere in regola quando questa enterà in vigore.
Ti ringrazio per i contenuti che produci sempre utilissimi e di alta qualità.
Matteo Zambon
30 03 2018
Ciao Gianluca, ecco qua un bel webinar dove spiegherò tutto: https://attendee.gotowebinar.com/register/5183235642029124865
Stefano
27 03 2018
Ciao Matteo, stiamo affrontando proprio in questi giorni, con un consulente, la pianificazione del GDPR e sarei interessato alla guida per avere un altro punto di vista
Matteo Zambon
28 03 2018
Ciao Stefano, grazie del feedback!
Credo proprio che tu non sia l’unico ad affrontarlo in questi giorni! 🙂
Come già detto agli altri ho affrontato questo tema nel Club Tag Manager Italia con un webinar privato. Sicuramente farò qualcosa anche sul sito, però non sarà a breve (porta pazienza ho giusto un peletto di lavoro con alta priorità da smaltire).
Ti consiglio di iscriverti alla newsletter così di sicuro non te la fai scappare quando uscirà (o in alternativa potresti valutare l’entrata nel Club, se ti interessa fammelo sapere).
A presto!
Matteo Zambon
30 03 2018
Stefano ecco il link al webinar: https://attendee.gotowebinar.com/register/5183235642029124865
andrea
27 03 2018
Ciao Matteo, curiosissimo di sapere come GTM può aiutare!
Matteo Zambon
28 03 2018
Andrea, nel Club Tag Manager Italia ne ho già parlato. Sicuramente farò anche qualcosa a livello di guida, ma non immediatamente 🙂 Potrei fare anche un webinar ad hoc 🙂
PS: Se vuoi sapere come entrare nel Club fammelo sapere che te lo dico in privato (non è ancora aperto al pubblico).
Elio
27 03 2018
Finalmente… la guida sul nuovo GDPR più chiara e “semplice” che si possa trovare sul web.
Non poteva che essere tua. Grande Matteo!
Matteo Zambon
27 03 2018
Grazie Elio 🙂
Ti dirò, non è stato semplice mettere a fuoco (anche a livello operativo) tutte le cose. Comunque una chiamata al legale la dovresti fare 🙂
Francesco Pazzagli
26 03 2018
Ciao Matteo,
come gioacchino sono interessato anch’io a saperne di più.
Grazie
Matteo Zambon
26 03 2018
Francesco nel Club l’ho spiegato bene 😀
Non ti preoccupare, farò un articolo più avanti anche per il sito.
Paolo
24 03 2018
Ciao Matteo, il conversion linker secondo te va bloccato se non c’è il consenso preventivo dell informativa? Alla fine è un tag che sposta le informazioni raccolte da adwords verso un cookie di prima parte, corretto?
Matteo Zambon
26 03 2018
Ottima domanda. Nel dettaglio dovrei indagare, ma di fatto dai delle informazioni di conversione allo strumento di AdWords. Secondo me dovresti NON attivarlo. Tieni presente che non ti serve se hai Google Analytics collegato con AdWords (ovvero il 90% dei casi 😀 ).
A presto!
Samantha
23 03 2018
Mooooolto curiosa! Questa storia del DGPR mi sta mettendo un’ansia 🤔
Matteo Zambon
26 03 2018
Ciao Samantha!
Niente ansia, nel webinar che ho fatto per il Club Tag Manager ho spiegato per bene le novità che ci saranno 🙂
Gioacchino
23 03 2018
Ok, sono curioso di saperlo. Però penso non sia sufficiente, senza la consapevolezza dell’accountability.
Ps, stai chiedendo la mia mail solo per il commento vero? 😀 😀 (a parte che dovresti già averla).
Matteo Zambon
23 03 2018
Ciao Gioacchino 🙂
No la email serve per fare il commento, non la uso per altri fini (avrei bisogno dell’autorizzazione secondo GDPR 😛 )
La gestione con Google Tag Manager semplifica di molto la gestione grazie alla magia degli attivatori. Nel Club ho già fatto un bellissimo webinar dove spiego nel dettaglio.
Qualcosa farò anche qua (più avanti). La magia sta negli attivatori 😉