Glossario: GDPR (General Data Protection Regulation)

Il 25 maggio 2018 è entrata in vigore la GDPR (General Data Protection Regulation – Regolamento UE 2016/679), ovvero il nuovo Regolamento Europeo per la protezione dei dati personali, che riguarderà come questi dovranno essere raccolti e trattati.

Questo regolamento generale sulla protezione dei dati, come puoi immaginare, avrà un impatto bello ciccione sulle tue attività di online marketing, soprattutto per quanto rriguarda la raccolta di contatti e l’advertising online.

Vediamo insieme innanzitutto cosa è e a cosa dovrai fare attenzione 🙂

[premessa doverosa: non sono un legale (mi mancherebbe solo questo 😀 ) e un consiglio spassionato è valutare la vostra situazione con un esperto in materia]

COSA È LA GDPR (General Data Protection Regulation)

Questo nuovo regolamento è stato implementato per uniformare e migliorare la tutela dei dati personali dei cittadini dell’Unione Europea. Questo è stato ritenuto necessario per migliorare e integrare la Cookie Law già esistente, specialmente considerato che al giorno d’oggi social media, motori di ricerca, big data e quant’altro sono il pane quotidiano.

In pratica occorrerà un consenso specifico da parte dell’utente per il trattamento dei dati personali, per questioni di trasparenza e responsabilità dell’azienda, dati sensibili che comprendono nome, cognome, numero di telefono, indirizzo email, età, sesso e simili. Non che prima il consenso non ci volesse, ma nella sostanza adesso non è più possibile utilizzare diciture vaghe come “per migliorare l’esperienza degli utenti a scopo di marketing” o ” per ricerche future” : le frasi in burocratese incomprensibile non saranno più sufficienti. L’Unione Europea vuol che in questo modo l’utente sia pienamente consapevole che i suoi dati personali stanno per essere trattati, e per quale scopo. Soprattutto per quale scopo!

Introduciamo anche questi concetti:

• Privacy by design: l’attività online deve essere strutturata in modo da essere progettata fin dall’inizio per essere integrata con le nuove regole, quindi a scopo preventivo e non correggendo successivamente eventuali problemi di raccolta dati irregolare. Insomma tutto deve essere già strutturato sulle nuove regole per la privacy, e non deve passare in secondo piano o come una “decorazione” da aggiungere successivamente solo perché si deve.
• Accountability: l’azienda – o chi sta raccogliendo i dati – è pienamente responsabile della raccolta dei dati conforme alle regole e per tanto risponde in prima persona in caso di contravvenzione e deve assicurarsi che essi siano raccolti in modo sicuro e non divulgati.
• DPO (Data Protection Officer): vediamo entrare in gioco anche questa figura, ovvero chi sovrintende il rispetto delle norme. Mentre abbiamo il “titolare del dato” (chi richiede la raccolta dati) e l’incaricato (la persona che invece si occupa di gestire personalmente il trattamento dei dati), il DPO è una figura a parte, ovvero il responsabile designato dall’azienda per verificare il corretto trattamento dei dati, un sovrintendente che fa da referente per il garante della privacy. La presenza di questa figura è tanto più obbligatoria quanto l’azienda si occupa in maniera più intensa del trattamento di dati sensibili o giudiziari, o semplicemente ha a che fare con una grossa mole di dati personali.

Cosa è necessario quindi?

1 – Aggiornare la privacy policy del tuo sito, esplicitando in maniera chiara e trasparente quali dati raccogli e cosa ci farai esattamente. Avevamo già la Cookie Law, che ci obbligava ad avvisare gli utenti che il sito utilizza cookie, e chiede di accettarli o meno. Adesso dobbiamo dichiarare chiaramente cosa ci facciamo con questi cookie, in modo comprensibile e realmente informativo, non più come una cosa quasi meramente formale come accadeva prima (dai, ammettilo, era così anche per te).

Ad esempio: profilazione dei dati in Google Analytics, campagne PPC con Ads, sponsorizzazioni Facebook, remarketing e quant’altro.

2 – Un consenso esplicito da parte dell’utente per utilizzo dei dati quando gli chiediamo di lasciare il suo contatto. C’era anche prima, ok, ma da maggio 2018 in poi dobbiamo specificare bene per quali scopi i dati verranno utilizzati, in modo dichiarato e trasparente.

Ad esempio: nei form contatti a scopo di Lead Generation dovrai esplicitare che lasciando la propria email si verrà contattati per comunicare ad esempio news e offerte (devi esplicitare insomma cosa riceveranno esattamente), evitando disclaimer troppo vaghi e generici.

3 – Consentire e facilitare la possibilità di de-registrarsi completamente dalla banca dati dell’azienda, in qualsiasi momento, secondo il cosiddetto “right to be forgotten”. Insomma l’utente deve essere in grado di revocare il suo consenso come e quando vuole. In tutti i casi il consenso deve essere in qualche modo documentabile: qualora richiesto ci deve essere una prova scritta (beh, digitale) del consenso dell’utente.

Ad esempio: includendo un link diretto per la disiscrizione nelle campagne email e un accesso al proprio profilo utente in cui poter modificare le impostazioni sulle preferenze e la privacy.

4 – Raccogliere soltanto i dati strettamente necessari all’uso che ne faremo, limitando il più possibile “l’invasione” della privacy dell’utente. Insomma: meno dati raccogli, più minimizzi i rischi (e meglio è).

5 – E se ho un’agenzia web? Se lavori per un’agenzia web, e quindi stai gestendo dati di cui il cliente è titolare, il contratto di fornitura deve specificare l’incarico a un responsabile esterno e la sua responsabilità nel trattamento dei dati.

6 – Che ci faccio con i dati già raccolti? Eh, dunque in teoria dovresti avvisare tutti i vecchi utenti di questa nuova informativa e dunque dare loro l’eventuale possibilità di cancellarsi.

7 – E se l’utente è minorenne? Ci deve essere la possibilità che il genitore ne autorizzi il trattamento dei dati al posto suo.

Le conseguenze della contravvenzione a queste nuove regole sono salatissime, con multe fino a 20 milioni di euro (wow!). Che dici, forse è il caso di adattarci? 😀

A cosa dovrai fare particolarmente attenzione, per lo meno parlando di marketing online:

• Privacy Policy sul sito
• Campagne DEM e Newsletter
• Campagne di Lead Generation, form contatti, utilizzo di Lead Magnet
• Sistemi di Marketing Automation
• Facebook Look-a-like e Customer Match Adwords

Insomma dovrai essere sicuro che tutti gli utenti nelle tue liste di contatti abbiano dato il loro esplicito consenso riguardo a quello che tu andrai a fare con i loro dati.

Orrore? Non è detto. Pensa che potrebbe essere un’opportunità per avere liste di utenti estremamente in target rispetto a quello che hai da offrire, evitando di disperdere risorse nella targettizzazione di contatti non interessati. Inoltre, visto che il sistema ti impone di dichiarare i tuoi scopi, puoi essere tu a chiedere all’utente cosa vuole ricevere e quali tipi di contenuti, ottenendo così dati molto interessanti (e consensuali!) per la segmentazioni delle liste contatti 😉

Altro vantaggio? Che una dichiarazione esplicita di trasparenza non può che essere apprezzata dal tuo pubblico, aumentando così la sua fiducia nei confronti dell’azienda (con vantaggi non da poco sulla reputazione del brand).

E le campagne di advertising? L’impatto avverrà anche su quello, anche se indirettamente. Pensa per esempio a Google AdWords o Facebook Ads, che si “nutrono” dei dati degli utenti per la profilazione e il remarketing. Anche colossi come Google e Facebook, che fondano il loro impero sulla raccolta dati degli utenti, dovranno adattarsi ai cambiamenti. Mal comune mezzo gaudio. Anche i Lead Ads di Facebook si stanno uniformando alla questione.

Però ho un’ottima notizia per te. Google Tag Manager ti può aiutare – anche in questo caso! – nella gestione della nuova GDPR. Come?

Se sei curioso di saperlo, lasciami un commento 🙂

LINK UTILI & NEWS:

• News: Aggiornamento Termini di Servizio GDPR su Google Tag Manager
• News: Emendamento sull’elaborazione dei dati in Google Analytics e GDPR
• Il testo integrale in pdf del GDPR 2018 tradotto in italiano

A presto e… Buon Tag!