GDPR: 5 cose che occorre sapere prima del 25 maggio 2018

Il GDPR, noto anche come “General Data Protection Regulation” entrerà in vigore in tutti i Paesi dell’Unione Europea a partire dal 25 maggio 2018. Questo Regolamento verrà applicato a tutti gli operatori economici, che elaborano dati personali relativi ai residenti nella Comunità, per i legittimi scopi delle loro attività commerciali.

GDPR: 5 cose che occorre sapere prima del 25 maggio 2018

photo credit: Free Grunge Textures – www.freestock.ca EU Grunge Flag via photopin (license)

Si tratta quindi di qualcosa che interessa non solo le aziende presenti in Europa ma anche tutte le imprese che fanno affari in Europa, ovvero con le persone ivi residenti (anche se non si tratta di cittadini europei).

Le attività di marketing vengono direttamente impattate dalle disposizioni indicate nel GDPR; ogni tipo di impresa, quindi, dovrà provvedere ad ottenere la necessaria conformità normativa – pena possibili multe (anche pesanti)

Tanto per cominciare, elenchiamo le 5 cose più importanti che occorre sapere sul GDPR e che in questo post andremo a spiegare in dettaglio:

  • Le informazioni personali dei propri interlocutori europei (dipendenti, fornitori, contatti, clienti, ecc.) devono essere memorizzate all’interno dell’Unione Europea
  • Ciascuno di questi interlocutori ha il diritto di essere “dimenticato” e di ottenere la completa cancellazione dei propri dati
  • Ciascuno di questi interlocutori ha il diritto di chiedere che i suoi dati siano trasferiti ad un’altra azienda
  • Occorre ottenere il consenso per elaborare i dati dei propri interlocutori
  • Quali caratteristiche deve possedere una piattaforma di Marketing Automation per essere al 100% in regola col GDPR

I dati personali devono essere memorizzati all’interno dell’Unione Europea

In virtù del nuovo Regolamento (ed in base ad una decisione della Commissione Europea), il trasferimento dei dati personali al di fuori della Comunità è possibile solamente se il Paese ospitante è in grado di garantire un adeguato livello di protezione – ovvero se può dimostrare che vengono messi in atto appropriati codici di condotta e che, sia chi trasmette sia chi riceve tali dati, è in possesso del Certificato di Protezione dei Dati Europeo (European Data Protection Certificate). Detto in parole povere, almeno per ora è fortemente consigliabile che sia i server, sia i dispositivi di memorizzazione su cui transitano, sono ospitate e vengono elaborate le informazioni di carattere personale, siano localizzati fisicamente all’interno dell’Unione Europea.

Questo aspetto è importante se si utilizzano piattaforme di Marketing Automation in cloud, per cui occorre avere la certezza che l’azienda fornitrice, in un modo o nell’altro, abbia attenuto la necessaria conformità normativa rispetto al GDPR (o abbia sedi operative in Europa).

Il diritto di essere “dimenticati”

Il GDPR attribuisce alle persone una serie di nuovi diritti in merito al trattamento dei loro dati personali; uno dei principali è il cosiddetto diritto all’oblio, il che significa poter ottenere – se lo si desidera – che questo tipo di informazioni venga totalmente (e permanentemente) cancellato dai sistemi delle aziende che li posseggono, anche se i dati in questione sono stati acquisiti col consenso del soggetto. Ovviamente la cosa vale tanto per le registrazioni digitali quanto per quelle tradizionali (cartacee), nonché per tutte le eventuali copie di back-up.

Anche in questo caso è bene provvedere, fornendo ai propri contatti uno o più metodi – possibilmente semplici ed immediati da utilizzare – per esercitare questo diritto; ad esempio includendo nelle comunicazioni, sul sito o in ogni altro ambito appropriato, un bottone su cui cliccare per esercitare il proprio diritto all’oblio. Analogamente, i fornitori di piattaforme di Marketing Automation, dovrebbero includere questa funzionalità nei loro prodotti.

Il diritto di trasferimento dei propri dati personali

Un ulteriore vantaggio che il GDPR rappresenta per i consumatori, è il diritto di chiedere il trasferimento dei propri dati personali da un’azienda ad un altra in caso di rescissione o modifica del contratto che lega impresa e cliente. Pensiamo ad esempio alla fornitura di gas o energia elettrica: se decidessimo di cambiare fornitore, non saremmo costretti a comunicare a quello nuovo tutti i dati personali già in possesso di quello vecchio – cosa che fa risparmiare tempo ed elimina la possibilità di errori.

Tutto questo riguarda anche le informazioni utilizzate dal marketing e le relative autorizzazioni al trattamento; va anche tenuto presente che il trasferimento dei dati tra due diversi sistemi è possibile soltanto se essi sono tecnicamente compatibili fra di loro.

Ad esempio: cosa succede se una utility deve passare ad un concorrente i dati personali di un ex-cliente? È verosimile che le informazioni di tipo anagrafico, in un modo o nell’altro, possano essere trasferite senza grossi problemi – ma come riuscire a spostare adeguatamente su un altro sistema tutti i dati critici per le attività di marketing quando si tratta di personalizzare la comunicazione con la propria audience? Ci riferiamo in particolare agli elementi di profilazione, che pure sono dati personali.

Il consenso al trattamento dei dati personali

Già prima del GDPR (in Europa in generale ed in Italia in particolare), erano in vigore numerose normative relative al trattamento dei dati personali, alla loro registrazione, conservazione e modifica, all’utilizzo, alla relativa documentazione e alle necessarie autorizzazioni da parte degli interessati; praticamente, tutte le precedenti regole sono state in qualche modo recepite dal nuovo Regolamento, il quale le ha tuttavia armonizzate ed estese. Ad esempio, un concetto più volte sottolineato nel GDPR riguarda il consenso all’utilizzo delle informazioni per uno “scopo legittimo” – infatti i dati anagrafici dei clienti sono indispensabili per l’elaborazione degli ordini, l’emissione delle fatture e la consegna dei beni.

Ammesso che anche le attività di marketing rappresentino uno scopo altrettanto legittimo, sia l’utilizzo dei dati già in nostro possesso (quelli necessari per le transazioni commerciali), sia ulteriori informazioni (ad esempio elementi di conoscenza di tipo comportamentale utili per la profilazione dei contatti e per la personalizzazione della comunicazione di marketing) vanno raccolti ed utilizzati solo se si ha uno specifico consenso – ovvero si è spiegato lo scopo del trattamento. In pratica non si possono utilizzare le anagrafiche del settore vendite per le attività di marketing, a meno di non avere informato i soggetti interessati ed ottenuto l’autorizzazione.

Infine il GDPR stabilisce che se i dati raccolti in precedenza soddisfano i nuovi requisiti introdotti, tali informazioni sono utilizzabili; tuttavia occorre verificare che le autorizzazioni già ottenute siano adeguate e, se non lo sono, vanno chieste di nuovo. In più, la nuova normativa europea include tra i dati personali (PII, Personally Identifiable Information) anche elementi di natura “tecnica” (come gli indirizzi IP ed i cookie); dato che queste informazioni sono indispensabili per le attività di marketing di tipo evoluto, anche in questo caso occorre ottenere un consenso specifico per il loro utilizzo.

Piattaforme di automazione e conformità rispetto al GDPR

Il GDPR, come è logico ritenere viste le premesse, impatta in modo significativo sui sistemi informativi delle aziende per quanto riguarda sicurezza fisica e logica, locazione di server, storage e dati, cancellazione totale delle informazioni, la loro portabilità tra sistemi e la raccolta delle autorizzazioni da parte dei soggetti interessati.

Vi sono tuttavia anche altri aspetti non secondari da considerare come, ad esempio, la gestione degli utenti dei sistemi (i quali hanno, per necessità o per ruolo, la visibilità dei dati sensibili), il controllo degli accessi e la loro registrazione, il monitoraggio ed il tracciamento delle attività elaborative (trattamento) relative ai dati personali, il rispetto delle policy, la prevenzione della perdita o del danneggiamento dei dati, la valutazione dei rischi e molto altro (inclusa la crittografia delle PII).

Se questo vale in prima istanza per i sistemi ERP o HR, la cosa non è certamente meno vincolante e complessa per CRM e Marketing Database. Per questo è necessario assicurarsi che le piattaforme di automazione utilizzate facilitino il più possibile l’ottenimento della conformità normativa per ciascuno dei punti appena elencati (validi per qualsiasi applicazione utilizzi i dati personali di clienti, partner, fornitori, dipendenti ecc.), oltre che per tutta una serie di ulteriori elementi relativi al profilo comportamentale dei contatti, ai loro interessi ed alle loro preferenze.

Volete saperne di più? Contattateci.