Ti accompagniamo in ogni fase della tua campagna di marketing automation

 

GDPR e contatti di marketing: come comportarsi?

Il regolamento generale per la protezione dei dati (General Data Protection Regulation, GDPR) entrerà in vigore il 25 maggio 2018, cioè tra meno di quattro mesi. Ormai è arrivato il momento per occuparsi della questione e, poiché il GDPR riguarda non solo chi risiede nell’Unione Europea ma chiunque abbia a che fare con le informazioni personali di residenti nell’Unione, si trovano molte informazioni utili anche al di fuori della UE.

GDPR e contatti di marketing: come comportarsi?
photo credit: Scott* Lady Justice via photopin (license)

Il Regno Unito rappresenta un caso particolare di nazione (ormai di fatto) extraeuropea, tuttavia è così geograficamente, politicamente ed economicamente legata al resto dell’Europa che il GDPR la impatta profondamente. Inoltre, il fatto che la documentazione disponibile in UK sia in inglese, facilita chi desidera cercare ulteriori informazioni sul tema e magari ha trovato difficoltà a reperire materiale utile (oltre che chiaro e completo) nei siti in lingua italiana – o comunque vuole ampliare la prospettiva sul tema.

L’Information Commissioner’s Office (ICO) è un’autorità indipendente del Regno Unito, istituita per difendere i diritti di informazione nell’interesse pubblico, oltre che per promuovere la trasparenza da parte degli enti governativi e proteggere la riservatezza dei dati a beneficio delle persone fisiche

Secondo gli Inglesi, nonostante esistano ancora alcune ambiguità nell’ambito della normativa, l’idea che ci si fa della situazione in generale è, tutto sommato, positiva: chi si occupa di marketing in modo professionale e serio, infatti, non dovrebbe avere molto da temere. In particolare, le best practice del settore messe a punto già da alcuni anni, dovrebbero assicurare un buon livello di conformità – anche se qualche aggiustamento sarà comunque necessario.

Molte aziende non sono ancora pronte

Come è stato messo in evidenza da Marketing Week ad un anno dalla fatidica data, solo il 54% delle aziende intervistate dalla Direct Marketing Association (DMA) ha dichiarato che saranno pronte entro il 25 maggio 2018 – e questo fatto, probabilmente, è dovuto in parte alle definizioni che l’Information Commissioner’s Office (ICO) ha dato in merito alla liceità del trattamento dei dati.

Il GDPR stabilisce infatti una serie di basi giuridiche relative al trattamento dei dati personali; una di queste afferma che l’elaborazione dei dati personali è accettabile “se risulta necessaria ai fini di interessi legittimi…”

La domanda, a questo punto è: cosa significa “interessi legittimi”? Il GDPR stabilisce che il direct marketing è effettivamente un interesse legittimo; tuttavia l’ICO non ha dato ulteriori indicazioni in merito. L’ICO e il GDPR chiariscono inoltre che, laddove è stato richiesto il consenso ai sensi dei precedenti regolamenti CEE, “non è necessario ottenere un nuovo consenso da parte degli individui, purché le modalità delle relative procedure soddisfino i nuovi requisiti previsti dal GDPR”.

In poche parole, utilizzare i dati personali per attività di direct marketing (come le campagne email) non dovrebbe essere un problema, se tra aziende e consumatori è stato instaurato un dialogo corretto – ovvero se le informazioni di contatto sono state accompagnate da un doppio opt-in e sono stati contestualmente spiegati lo scopo e le modalità del trattamento dei dati così ottenuti.

Utilizzare un linguaggio chiaro

Allora, qual è il modo migliore di comunicare con la propria audience? Indubbiamente va rispettato il diritto, da parte del pubblico, di essere informato su come i dati personali vengono elaborati ed a quale scopo – il che implica fornire ogni necessario dettaglio in merito.

In questo senso, le cose non sono poi molto cambiate rispetto a prima; tuttavia, nel GDPR si ribadisce anche la necessità, da parte delle aziende, di adottare un linguaggio semplice e comprensibile nel dichiarare chi sono, perché devono gestire dati personali, per quanto tempo li conserveranno e chi di fatto li utilizza. Si tratta di un punto importante, dato che nel GDPR si afferma che le informative devono essere “concise, trasparenti, intelligibili e facilmente accessibili” oltre che essere “scritte in modo lineare ed elementare, specialmente se ci si rivolge a dei minori“.

È abbastanza verosimile che i professionisti del marketing più attenti abbiano già lavorato per raggiungere questi obiettivi, in particolare richiedendo un’azione che rappresenti una “chiara affermazione” consapevole ed intenzionale quando un utente fornisce indicazioni specifiche e informate sui propri desideri.

Tutti coloro che persistono nell’utilizzare caselle di controllo precompilate (ovviamente per fornire l’assenso richiesto) devono tenere presenti le sanzioni in cui può incorrere chi viene meno al rispetto del GDPR – senza contare che i consumatori si aspettano qualcosa di meglio di maldestri tentativi mirati ad “estorcere” loro qualche informazione. Infine va anche sottolineato che il fatto (ampiamente enfatizzato) che le multe possono arrivare al 4% del fatturato annuale rappresenta un evento limite, configurabile nel caso delle peggiori violazioni in cui non viene nemmeno tentata un’azione correttiva.

Le falle nei database rappresentano un serio problema

Secondo Irwin Mitchell, un sondaggio effettuato da YouGov su un campione di 187 imprese che operano nel marketing e nella pubblicità, ha rivelato che il 70% degli intervistati non era sicuro di poter identificare una perdita o violazione dei dati, mentre solo il 37% aveva affermato di possedere strumenti per effettuare una notifica agli utenti entro 72 ore dall’incidente (come specificato dal GDPR).

Naturalmente esistono dei criteri oggettivi per definire ciò che costituisce una violazione dei dati, infatti l’ICO raccomanda che le aziende “si assicurino che le persone preposte comprendano in cosa consiste una violazione e che essa rappresenta più di una semplice perdita dei dati personali”.

In questo caso, il dipartimento marketing dovrebbe in qualche modo prendere le parti dei contatti (inclusi i clienti potenziali ed effettivi) e portarne le istanze presso la struttura informatica aziendale ed i responsabili della gestione dei dati, così da sensibilizzarli sul problema e stimolare l’impresa nel suo insieme a fornire le necessarie garanzie di conformità (e di rispetto delle identità personali).

Le regole relative alla profilazione degli utenti possono proteggere dai pericoli dell’Intelligenza Artificiale?

Il GDPR afferma con assoluta chiarezza che la profilazione dei contatti basata sui loro dati personali (di qualsiasi tipo, inclusi quelli di natura prettamente “tecnologica”, come l’indirizzo IP) ha un effetto legale significativo. Non solo: quando, ad esempio, si elaborano domande di prestiti, si deve dare al cliente il diritto di contestare qualsiasi decisione presa dall’azienda nei suoi confronti e l’azienda, da parte sua, deve disporre di una persona – non una macchina – che controlli il processo, specialmente se dovesse avvenire un errore.

Questo concetto, ovviamente, non si applica a tutti i processi automatizzati ma è pertinente laddove i dati sono utilizzati per stabilire (con buona approssimazione) le modalità comportamentali di una persona, il luogo in cui si trova, i suoi spostamenti, le sue attività e persino lo stato di salute.

Anche in quest’ambito va sottolineata la necessità, da parte dei marketer e dei responsabili dei dati, di proteggersi dalla “eccessiva efficienza” del machine learning (algoritmi di apprendimento automatico): quando tale strumento viene applicato ai dati personali, chi lo utilizza deve comprendere ed essere in grado di spiegarne sia le varie implicazioni che i risultati ottenuti.

Queste norme non sono una novità assoluta ma stanno diventando sempre più rilevanti: la correttezza e l’equità sono elementi fondamentali nei processi di elaborazione delle informazioni e l’ICO, da parte sua, rende disponibile tutta una serie di linee guida sui Big Data e sull’apprendimento automatico.

La profilazione comportamentale dei contatti è un’area grigia

La pubblicità mirata (targeted), ovvero personalizzata su base individuale, è un’area che il GDPR va a modificare in modo significativo; il nuovo regolamento, infatti, afferma che il tracciamento comportamentale (anche quando gli utenti sono anonimi ma vengono comunque gestiti come entità uniche e specifiche), utilizza dati che in qualche modo sono riconducibili ai singoli soggetti, quindi sono dati “personali” – parliamo di elementi come i cookie o gli indirizzi IP, grazie ai quali è possibile individuare in modo selettivo (estremamente preciso) praticamente ogni singolo utente della rete.

La normativa stabilisce perciò che occorre nominare un “data protection officer” se si effettua il tracciamento comportamentale su vasta scala; inoltre, per essere più precisi, nei documenti in inglese si parla di utenti “pseudonymous” e non solo di utenti “anonymous”, ovvero di pseudonimi, non solo di anonimi.

Se da un punto di vista etimologico la differenza tra questi due termini è che il primo significa “nome falso o fittizio” mentre il secondo sta per “nessun nome”, il GDPR definisce la “pseudonimizzazione” come una forma di “de-identificazione” nella quale, tuttavia, permangono i dati di carattere personale – per cui la distinzione legale tra le due fattispecie riguarda proprio le informazioni personali: i dati “pseudonimizzati” consentono una ri-identificazione (anche se indiretta o remota), mentre i dati di tipo anonimo non consentono di stabilire in nessun caso un collegamento con una persona fisica reale.

Tecnicamente parlando, le possibilità di risalire all’identità di un utente che noi (comunemente ma erroneamente) definiamo anonimo, esistono; è per questo che (correttamente) nella normativa si parla di pseudonimi – ferma restando la possibilità di trasformare queste entità in soggetti totalmente anonimi attraverso tecniche come la sostituzione, l’aggregazione o l’aggiunta di rumore.

Cosa significa tutto questo per chi effettua pubblicità mirata online?

Il parere espresso da Osborne Clark è che “un’azienda che pseudonimizza tutti i dati potrebbe potenzialmente trovare più facile giustificare l’elaborazione in base a ciò che viene definito come interesse legittimo”; tuttavia, David Raab – sul sito di AdExchanger –  afferma che alcune imprese potrebbero essere particolarmente caute in merito a questo tipo di dati, il che finirebbe per favorire giganti come Google e Facebook.

In particolare, Raab sostiene che “una regolamentazione più severa relativa ai dati personali offrirà alle imprese una serie di motivi per adottare un’estrema prudenza nell’utilizzare o condividere le informazioni che hanno raccolto nel tempo – informazioni alle quali i marketer intendono accedere in modo dettagliato per i loro scopi: personalizzare il più possibile la comunicazione (pubblicitaria e non) in funzione della profilazione comportamentale che tali informazioni rendono possibile. Il risultato potrebbe essere quello di affidare ad aziende terze il compito di selezionare l’audience per una pubblicità di tipo mirato – dato che i marketer hanno sempre meno dati utilizzabili per effettuare questo compito con le proprie risorse”.

È possibile che si tratti di un’estremizzazione del problema, tuttavia è più che ragionevole aspettarsi che gli inserzionisti di pubblicità dovranno collaborare con fornitori di servizi online di questo tipo (adtech) per comunicare in modo personalizzato con gli utenti – sia che si tratti di notifiche (popup) o persino di messaggi pubblicitari specifici presentati sul proprio stesso sito.

GDPR e “privacy by design”

Un ulteriore punto su cui il GDPR insiste è quello di spingere le aziende all’implementazione della privacy by design, ovvero all’inclusione “nativa” all’interno delle loro infrastrutture informatiche (e non solo) di strumenti per la protezione dei dati personali – il che significa inquadrare la privacy come principio centrale di ogni nuovo progetto che si intraprende.

In tal senso, l’ICO offre un codice di comportamento di uso pratico per ciò che attiene all’analisi di impatto delle problematiche relative alla privacy; si tratta di un documento concepito per aiutare le imprese a prendere in considerazione tutto ciò che ha un potenziale effetto sulla privacy sia nella fase di sviluppo di un nuovo progetto, sia nel rivalutare la conformità dei sistemi in uso.

In realtà il concetto di privacy by design non è nulla di nuovo, così come non costituiscono una novità queste verifiche di conformità; tuttavia comportamenti in linea con questo modello sono da considerare obbligatori per “le organizzazioni che dispongono di processi e tecnologie tali da costituire un probabile rischio per i diritti dei soggetti a cui si riferiscono i dati personali in loro possesso”. Indubbiamente questa affermazione è un po’ eccessiva se pensiamo ad una semplice campagna di direct marketing, tuttavia il concetto che esprime non va assolutamente sottovalutato.

C’è sicuramente molto altro da prendere in considerazione

Come abbiamo visto, il tema è molto ampio e complesso; inoltre, per quanto riguarda la profilazione comportamentale, ci sono considerazioni tecniche e legali da tenere presenti, per le quali è indispensabile il supporto di esperti della materia. Tuttavia, chi si occupa di marketing focalizzandosi principalmente sulla qualità della comunicazione con i clienti potenziali e reali, dovrebbe essere sulla buona strada.

I “data protection officer”, il diritto ad “essere dimenticati” e quello alla portabilità dei dati, nuovi limiti di tempo posti rispetto ad una serie di richieste e molto altro ancora, rappresentano indubbiamente una sfida per qualsiasi organizzazione – sia per quelle che operano già in settori di mercato altamente regolati, sia per quelle più tradizionali.

Indubbiamente, il GDPR sarà un vantaggio per i marketer che già mettono il cliente al primo posto sia durante l’onboarding (i processi di acquisizione) che nelle successive attività di marketing.
In sintesi, anche se i consulenti legali sono ansiosi di offrire i loro servizi, questo non impedisce ai team di marketing di far leva sulle indicazioni dell’ICO per prepararsi al meglio ad affrontare i problemi e le opportunità legate al GDPR.

Volete saperne di più? Contattateci.

I nostri clienti