GDPR e marketing: i possibili rischi sia sul piano operativo che su quello legale

I dipartimenti marketing potrebbero non rendersi conto dell’impatto che il nuovo regolamento avrà sui loro piani nel corso del 2018 e, se non si attivano subito, finiranno per scoprire a loro spese che, dopo il 25 maggio, potrebbero non essere in grado di effettuare campagne ed altre attività con le modalità che erano soliti adottare – a meno di non esporre le loro aziende a rischi di carattere penale, incorrere in eventuali sanzioni e danneggiare l’immagine del brand.

GDPR e marketing: i possibili rischi sia sul piano operativo che su quello legale

photo credit: Visual Content Internet Law via photopin (license)

Lo spettro d’azione del General Data Protection Regulation (GDPR) si è ampliato rispetto alla sua iniziale adozione da parte dell’Unione Europea: quando andrà in vigore, infatti, modificherà radicalmente ogni singola fase della gestione dei dati personali dei contatti aziendali sia all’interno dell’Unione che a livello globale.

Il semplice fatto che un’impresa non ha sedi o risorse elaborative in uno Stato dell’Unione Europea, non significa che sia esente dalle regole di conformità rispetto a quanto stabilito dal GDPR

Un cambiamento di questa portata richiede una risposta seria e specifica da parte di qualsiasi organizzazione che operi nell’Unione Europea o che semplicemente ha dipendenti o clienti che risiedono in Europa. Naturalmente, su questo tema c’è molta confusione e sicuramente sono parecchie le aziende che sottostimano le conseguenze possibili di eventuali inadempienze.

Il GDPR rischia di bloccare le attività di marketing

Il nuovo regolamento rende più stringenti le norme relative alla protezione dei dati personali dei cittadini europei e pone dei limiti e dei vincoli all’esportazione di tali dati all’esterno dell’Unione; per questo motivo, tutte le aziende che possiedono elenchi di contatti, lead, prospect o clienti che includono persone residenti in Europa, sono impattate dalla normativa.

Con il GDPR che avrà effetto tra circa quattro mesi, le attività per ottenere la piena conformità normativa dovrebbero essere già in corso e prossime alla conclusione; tuttavia, in molte aziende è possibile che le cose non stiano così e si finirà per concentrare tutto all’ultimo momento (oltretutto evitando di approfittare di questa occasione per mettere mano a qualche processo obsoleto in modo da renderlo più efficiente o per introdurne di nuovi – insieme con le relative tecnologie – e trasformare questo problema in un’opportunità, anche solo per motivi di budget).

Un’indagine condotta nel 2017 da PricewaterhouseCoopers sul livello di consapevolezza e preparazione delle imprese (anche internazionali) rispetto al GDPR , ha rilevato che il 23% degli intervistati non aveva nemmeno iniziato ad affrontare il problema, mentre soltanto il 6% ha dichiarato di aver completato i necessari processi di adeguamento. Una nota: PWC ha sede in UK (quindi in un Paese di fatto fuori dall’Unione Europea).

Sebbene il 92% dei partecipanti al survey avesse indicato la conformità al GDPR come una priorità per la sicurezza informatica, è importante tenere presente che non si tratta soltanto di un problema del dipartimento IT – e parecchi fra i responsabili di molte divisioni aziendali continuano a considerare la questione come qualcosa che si trova al di fuori del loro ambito di competenza.

In ogni caso chi lavora nel marketing deve rendersi conto del cambiamento radicale che mostrerà i suoi effetti nella tarda primavera, almeno se intende fare in modo che le strategie messe in atto per coinvolgere nella comunicazione clienti effettivi e potenziali continuino ad avere successo – o per lo meno se desidera che le campagne di marketing vengano effettuate in modo legalmente corretto.

L’interazione con la propria audience attraverso modalità di tipo “data-driven” (ovvero imperniate sui dati dei contatti), sono il fulcro del marketing moderno; infatti, secondo uno studio effettuato da Winterberry Group nel gennaio 2017, i dati dei clienti sono “critici” per le attività di marketing in almeno l’80% delle organizzazioni a livello globale. Il GDPR sta apprestandosi a capovolgere il concetto di ciò che era considerato un utilizzo accettabile dei dati sulle persone e, se queste linee guida non vengono recepite puntualmente, molti dipartimenti di marketing dovranno rivedere profondamente (o cancellare) i loro piani per il resto del 2018.

Considerando che eventuali violazioni al GDPR possono essere punite con pene pecuniarie che ammontano fino al 4% del fatturato annuo dell’azienda o 20 milioni di € (a seconda di quale cifra è più grande), possiamo ragionevolmente supporre che anche i ritardatari si metteranno in coda per correre ai ripari una volta che inizieranno ad essere comminate pesanti ammende. Cosa devono fare dunque i dipartimenti marketing nel frattempo?

Cosa occorre sapere sul GDPR

Sono molte le aree aziendali che subiranno gli effetti dell’introduzione del GDPR, ma alcuni dettagli del regolamento impatteranno pesantemente soprattutto sul marketing. Ecco alcuni punti chiave da tenere presenti:

  • Il GDPR si applica a qualsiasi organizzazione che possegga ed utilizzi dati relativi a persone dell’Unione Europea, indipendentemente dal luogo in cui tale organizzazione ha sede o dalla località in cui sono installate le apparecchiature che raccolgono, memorizzano, gestiscono ed elaborano i dati in questione. Chi ha tra i suoi clienti soggetti residenti nell’Unione Europea (indipendentemente dal fatto che essi siano anche cittadini europei) è ritenuto responsabile per il modo in cui gestisce le loro informazioni personali identificabili (personally identifiable information, PII) – ovvero le informazioni che in qualche modo consentono di identificare qualcuno
  • La definizione di PII è stata espansa in modo significativo per includervi anche elementi quali locazione fisica, cookie, device ID e persino l’indirizzo IP; praticamente qualsiasi strategia data-driven per il coinvolgimento dei contatti incorpora questo tipo di informazioni, quindi è opportuno prepararsi in modo adeguato
  • Il GDPR introduce anche regole precise e stringenti su come ottenere il consenso da parte delle persone prima di poter raccogliere ed utilizzare i loro dati. Oggi la maggior parte delle organizzazioni di marketing fa un uso intenso dei moduli (form) di registrazione – tipicamente sulle landing page allo scopo di generare nuovi lead in cambio di contenuti di un certo valore (gated content); questi moduli, a volte, presentano come già accettata l’opzione relativa alla raccolta dei dati di profilazione ed inoltre mostrano informazioni ambigue o incomplete in merito all’utilizzo che si farà di tali dati. Il GDPR non ammette questo tipo di approccio, fino ad ora tollerato perché c’era sempre la possibilità di fare “opt-out“: d’ora in avanti sarà possibile raccogliere informazioni sui contatti solo se essi lo permetteranno esplicitamente
  • Un altro importante nuovo requisito consiste nel fatto che i contatti devono poter prendere visione dei dati raccolti e di quale tipo di consenso è stato espresso, con la possibilità di modificare in qualsiasi momento le varie approvazioni. È più che ragionevole ritenere che i siti web e le piattaforme per l’automazione del marketing non siano attualmente in grado di supportare tutti i requisiti introdotti dal GDPR – e le modifiche necessarie per un adeguamento in linea con le normative non sono banali. Inoltre non si tratta di qualcosa che i marketer possono semplicemente demandare ai colleghi del dipartimento IT aziendale: l’implementazione delle necessarie correzioni può avere infatti un considerevole impatto sull’esperienza utente e può produrre un effetto negativo sull’efficacia della comunicazione di marketing in termini di nuovi lead generati, iscrizioni ad eventi o ad invio di materiale promozionale, fidelizzazione e conversioni
  • Anche se è stato dichiarato espressamente il consenso, le informazioni dei contatto possono essere raccolte solo per scopi specifici dichiarati in modo esplicito e alle imprese non sarà più possibile collegare fra loro una serie di dati senza averne prima spiegato l’obiettivo. Ad esempio, se si desidera proporre della pubblicità a qualcuno che ha già effettuato acquisti adattandola in funzione della sua età anagrafica o genere – ma non si possiede un consenso specifico per questo tipo di associazione – semplicemente non è possibile inviare questo tipo di messaggi
  • I residenti nell’Unione Europea possono anche chiedere la completa cancellazione dei loro dati personali dal database di un’impresa – il che significa non solo che, se le persone lo desiderano, possono azzerare tutto il patrimonio di informazioni che negli anni abbiamo raccolto su di loro per rendere più efficace e rilevante la comunicazione, ma anche che dobbiamo assicurarci che la cancellazione sia davvero totale e completa nell’ambito dei diversi sistemi e database connessi alle piattaforme di Marketing Automation (compresi quelli presenti nelle infrastrutture di terze parti che collaborano con l’azienda, cosa evidentemente non facile né immediata)

Se mettiamo tutto questo insieme, otteniamo un quadro preciso di quanto il GDPR, oltre ad introdurre la necessità di garantire che i dati vengano custoditi e protetti adeguatamente, pone grossi limiti al possesso ed all’utilizzo delle informazioni di contatto – a meno di non disporre non di una, ma di una serie di autorizzazioni precise. Il tutto vale per chi si occupa di attività di marketing che si rivolgono ai residenti nell’Unione Europea – indipendentemente dal fatto che questi soggetti aziendali si trovino dentro o fuori i confini dell’Unione.

I Marketing Database esistenti saranno di fatto inservibili dopo il 25 maggio 2018?

Ciò che rende l’intera questione ancora più spinosa, è il fatto (spesso trascurato o ignorato) che, dopo la data fatidica del 25 maggio, il GDPR non consente l’utilizzo dei dati esistenti – a meno che non siano conformi ai requisiti espressi dalla normativa. In altri termini: se i nostri dati sono stati raccolti mediante modalità non in linea con quanto richiesto dal GDPR (il che è probabilmente vero nel 100% dei casi) quando il regolamento andrà in vigore non potremo più inviare praticamente nessun tipo di comunicazione di marketing – tanto più se di tipo personalizzato in funzione dei dati che possediamo sui profili degli utenti.

Magari potremo essere in regola con gli indirizzi email, ma difficilmente (ovviamente in termini di consenso) con tutti gli altri dati extra che ci occorrono per adattare la comunicazione al contesto, alle preferenze, ai gusti ed al livello di coinvolgimento dei nostri contatti – in pratica il principale valore aggiunto che deriva dall’utilizzo delle piattaforme di automazione del marketing.

In alternativa, occorre effettuare (magari con un certo anticipo) uno sforzo non indifferente per chiedere nuovamente alla nostra audience tutte le autorizzazioni necessarie per poter operare in modo conforme ai requisiti normativi introdotti dal GDPR. Inoltre, questa attività non dovrà in alcun modo impattare negativamente sulla relazione che abbiamo già con i nostri contatti, quindi dovremo assicurarci che non sia onerosa per le persone che desiderano continuare ad avere un rapporto col nostro brand e si aspettano di ricevere informazioni specifiche e rilevanti, basate cioè sui loro interessi ed esigenze particolari; in caso contrario, si rischia di avere un brusco calo di efficienza nella comunicazione di marketing, con conseguenze immediate sul fatturato.
In pratica, la gestione completa del ciclo di vita dei contatti, oggi diventa una necessità primaria.

Dalle campagne email alle newsletter ed alla pubblicità online, tutto ciò che oggi rende personalizzata la comunicazione di marketing – ovvero i dati di tipo comportamentale – va seriamente preso in considerazione alla luce dell’entrata in vigore del GDPR dato che, in mancanza di conformità, esistono solo due alternative: esporsi a rischi di tipo legale con tutto quanto ne consegue in termini economici e di immagine, oppure ridurre drasticamente il numero di attività che sarà possibile effettuare senza rischiare.

Volete saperne di più? Contattateci.