GDPR e marketing

Il GDPR, che entrerà in vigore definitivamente a maggio 2018, è soggetto ad alcuni equivoci (come confondere la privacy con la protezione dei dati personali), oltre che ad una conoscenza piuttosto superficiale. Chi si occupa di marketing dovrà confrontarsi con le novità introdotte, ma potrà contare sulla coerenza delle normative sulla privacy in tutta Europa.

I marketers dovranno tenere conto di alcuni principi basilari, che se rispettati permetteranno di svolgere l’attività di marketing in modo legittimo e conforme alla nuove normative.

Cos’è il Marketing

Per capire meglio come applicare il GDPR al marketing, dobbiamo prima capire meglio di cosa si occupa quest’ultimo.

Il Marketing ha quattro “oggetti” principali:

il prodotto, ovvero quello che ci proponiamo di offrire al cliente;
il prezzo, cioè la somma alla quale vogliamo vendere il prodotto;
il posizionamento, o meglio la scelta e la gestione dei canali che intendiamo utilizzare per la distribuzione;
la promozione, vale a dire gli strumenti che sceglieremo per contattare i nostri potenziali clienti (pubbliche relazioni, pubblicità, vendita diretta,etc…).

La pubblicità è naturalmente fondamentale ed ha dal canto suo quattro caratteristiche importantissime:

credibilità;
affabulazione;
controllo;
ripetitività.

Da qui risulta subito chiaro che il GDPR avrà un impatto enorme sul marketing. Ognuna delle caratteristiche sopra elencate infatti è sottomessa alla disponibilità di dati statistici e personali. Quindi è indispensabile che chi si occuperà della raccolta dei dati, si assicuri che questi siano attendibili e sempre aggiornati, che è ciò che richiede la legge per considerare corretto il trattamento dei dati.

Campagne pubblicitarie “tradizionali” e GDPR

In una campagna pubblicitaria “tradizionale” (radio, tv, giornali), tutta la fase di analisi del mercato è già stata fatta. Quindi risulta necessario assicurarsi che sia efficace (oltre ovviamente che in grado di promuovere il prodotto adeguatamente). Per verificare l’efficacia della campagna si utilizzano calcoli statistici che spesso vengono gestiti da parti terze. Di conseguenza, in questi casi, nè l’agenzia nè il cliente hanno accesso ai dati personali e devono preoccuparsi del GDPR solo nella misura in cui vi siano aspetti contrattuali legati all’acquisizione dei risultati analitici della campagna.

Il GDPR nel Marketing online

I confini tra marketing e advertising sono molto più sottili di quanto si possa immaginare, per questo motivo le cose si possono complicare nel momento in cui si vuole applicare il GDPR a seconda del tipo di dati che vogliamo raccogliere (profilazione, click-through) e del “mezzo tecnologico” (login, ad-server, identity management provider) che vogliamo utilizzare.

È necessario mantenere una netta distinzione di ruoli nel flusso che, parte dalla creazione di un prodotto, prosegue con la sua immissione sul mercato e si conclude con la vendita.

L’INFORMATIVA

Come abbiamo già accennato nell’articolo precedente, l’informativa all’interessato è uno degli fattori principali di cui deve occuparsi il titolare del trattamento.

I contenuti dell’informativa sono elencati in modo tassativo negli artt. 13 e 14 del GDPR, e sono parzialmente più ampi rispetto a quelli previsti dal Codice sulla Privacy.

L’informativa deve essere fornita all’utente prima di effettuare la raccolta dei dati, deve essere essenziale e comprensibile e facilmente accessibile. Meglio se fornita sia per iscritto che in formato elettronico per permettere all’utente finale di scaricarla e conservarla.

L’informativa è un documento fondamentale per valutare la compliance rispetto al GDPR, ma è anche preludio al consenso e per tale ragione la correttezza e la completezza sono requisiti necessari per poter raccogliere consensi validi e legittimi.

In pratica: è fondamentale verificare che la propria Privacy Policy contenga tutti gli elementi obbligatori previsti dal GDPR e che sia di facile accesso per l’utente mediante appositi link ben individuabili e accessibili prima della raccolta dei dati.

Evitate il copia incolla di modelli rinvenuti nel web: le informazioni obbligatorie da inserire nella policy riguardano le finalità del trattamento, la tipologia di dati raccolti, l’identità e i dati di contatto del titolare del trattamento, del responsabile e del DPO (Data Protection Officer), il periodo di conservazione dei dati e, più in generale, informazioni che come è facile intuire possono variare moltissimo da titolare a titolare.

L’informativa presentata dal GDPR mal si accosta insomma a modelli predefiniti, che potrebbero non rispondere pienamente alle vostre esigenze o, nella peggiore delle ipotesi, potrebbero persino esporvi a sanzioni.

IL CONSENSO

La possibilità di svolgere attività promozionale o di commercializzazione attraverso posta elettronica è subordinata al previo consenso dell’interessato.

Il Garante ha più volte ribadito che gli indirizzi di posta elettronica contengono dati personali, anche qualora il nome dominio sia riferibile a una persona giuridica, cioè a una società.

Il consenso è inoltre un vincolo necessario a prescindere dalla facilità con la quale sia possibile reperire un indirizzo di posta elettronica e dal fatto che sia pubblicato sulla rete internet (es. elenchi abbonati, email pubblicate in siti web, etc..).

Questo significa che avere a disposizione un indirizzo mail non consente, di per se, il legittimo utilizzo per comunicazioni promozionali o commerciali senza previo specifico consenso dell’interessato.

Il GDPR, al considerando 32, prevede che il consenso vada espresso mediante “un’azione positiva inequivocabile”, con la quale l’interessato manifesta l’intenzione libera, specifica e informata di accettare il trattamento.

Non configura quindi consenso il silenzio, l’inattività o la preselezione di caselle.

Parimenti, il Garante ritiene costituisca elusione della normativa la prassi che consiste nel richiedere il consenso dell’interessato attraverso una prima mail avente comunque contenuto promozionale, oppure riconoscendo all’utente un semplice diritto di opt-out, ossia la facoltà di attivarsi al fine di non ricevere più messaggi dello stesso tipo.

In pratica: Il consenso deve essere raccolto attraverso delle opzioni di scelta positive, quali la spunta di un’apposita casella non preselezionata che indichi la specifica finalità dell’invio di comunicazioni commerciali o promozionali.

In particolare, se il consenso è richiesto con modalità elettronica, tale richiesta deve essere chiara, concisa e non disturbare inutilmente il servizio per il quale il consenso è espresso.

Ancor meglio se tutti i dati di opt-in relativi al consenso utente saranno gestiti centralmente così da allineare in tempo reale tutti i sistemi terzi che sfruttano quel dato.

L’onere della prova, ovvero a chi spetta provare che il consenso sia stato rilasciato correttamente, è a carico del titolare del trattamento.

Questi deve quindi essere in grado di dimostrare che l’interessato ha espresso il proprio consensospecifico per la finalità di marketing ed è quindi sempre preferibile predisporre la raccolta dei dati avendo cura di procurarsi la prova del consenso ricevuto, quantomeno mediante un’azione informatica come la selezione di una specifica casella.

I DIRITTI DELL’INTERESSATO

Il GDPR prevede diverse disposizioni che attribuiscono agli individui specifici diritti volti ad assicurare un maggior controllo sul modo in cui i loro dati vengono raccolti e utilizzati, inclusa la possibilità di accedervi o rimuoverli.

Il professionista del marketing dovrà quindi assicurarsi che gli utenti possano accedere facilmente ai propri dati e che siano posti nella condizione di revocare in qualsiasi momento il loro consenso al trattamento.

Il GDPR introduce per l’interessato una serie di diritti attivabili mediante l’invio di una richiesta al titolare del trattamento, che dovrà darvi riscontro entro 1 mese o, in casi di particolare complessità, entro 3 mesi.

A titolo esemplificativo, rinviando alla lettura della norma per l’elencazione completa dei diritti, all’interessato è riconosciuto il diritto di accedere ai dati personali raccolti e di riceverne copia, il diritto di ottenere la rettifica dei dati, il diritto di chiedere la limitazione, ossia una restrizione, del trattamento, il diritto di opposizione e il diritto all’oblio.

I titolari del trattamento dovranno quindi adottare le misure tecniche e organizzative eventualmente necessarie per favorire l’esercizio dei suddetti diritti e il riscontro alle richieste presentate dagli interessati che, a differenza di quanto attualmente previsto, dovrà avere per impostazione predefinita forma scritta, anche elettronica.

In pratica: La sezione dell’account personale dell’utente dovrà fornire una serie di possibilità tra cui visualizzare in qualsiasi momento le proprie informazioni, modificarle, cancellarle o scaricarle.

Per consentire all’utente di disiscriversi autonomamente e facilmente, basterà includere un link di annullamento dell’iscrizione all’interno del modello stesso di email inviata.

Per evitare cancellazioni indiscriminate, potrebbe essere utile garantire la facoltà agli utenti di gestire le proprie preferenze di posta elettronica, selezionando gli argomenti di maggiore interesse sui quali vogliano continuare a ricevere informazioni, come ad esempio consente di fare Twitter.

Cosa fare dunque in vista dell’esecutività del GDPR?

Controllate la vostra informativa: contiene gli elementi obbligatori previsti dal GDPR? E’ formulata in maniera chiara e trasparente? E’ messa a disposizione dell’utente prima della raccolta dei dati? In caso di risposta negativa, provvedete alla sua predisposizione o al suo aggiornamento, evitando i copia – incolla.
Controllate la vostra lista contatti: rimuovete chiunque non disponga di una registrazione del consenso e assicuratevi che i nuovi utenti confermino specificamente l’intenzione di iscriversi alla vostra newsletter, anche mediante l’invio di una mail automatica per confermare l’iscrizione. Il consenso raccolto prima del 25 Maggio 2018 resta valido se ha tutte le caratteristiche che il GDPR richiede, diversamente sarà opportuno adoperarsi per raccogliere nuovamente il consenso degli interessati secondo quando previsto dal GDPR, predisponendo le opportune modifiche o le integrazioni operative e documentali.
Minimizzate: valutate i dati che avete raccolto e quelli che state raccogliendo, in ossequio al principio di minimizzazione ribadito dal GDPR. Privilegiate la raccolta dei soli dati personali di cui avete bisogno e che effettivamente utilizzerete nelle vostre attività di promozione e comunicazione commerciale: è possibile comprendere le preferenze dell’utente anche senza raccogliere dati personali.
Ottenete un valido consenso: non contattate qualcuno per offerte commerciali o promozionali a meno che non lo richieda espressamente. Il consenso a ricevere tale tipo di comunicazioni non si presume, ma deve essere provato e fornito per la specifica finalità di marketing.