Cosa cambia con l’entrata in vigore del GDPR? Il General Data Protection Regulation (Regolamento UE 2016/679) riguarda la protezione dei dati personali degli utenti.
La nuova policy regola la privacy e impone a tutte le aziende che, nell’ambito della propria attività, raccolgono informazioni personali delle persone e il loro comportamento online, per poi utilizzarle a fini di marketing.
Quali sono i dati sensibili a cui si riferisce il GDPR? Le abitudini, le preferenze, le condizioni di salute e quelle economiche, i rapporti personali.
Uno dei punti cardine del Regolamento riguarda il consenso al trattamento dei dati: esso dev’essere esplicito.
Motivo per cui, tutte le aziende che in precedenza non avevano richiesto il consenso ai propri clienti, anche per essere autorizzati al semplice invio di materiale promozionale, dovranno provvedere in tal senso. Come adeguarsi al GDPR?
Sarà necessario attivare una campagna di e-mail marketing ad hoc, con la quale richiedere ai propri contatti il consenso esplicito per il trattamento delle loro informazioni, oltre ad aggiornare le proprie preferenze sulla privacy, così scegliendo nel dettaglio per quali finalità consentire l’utilizzo dei propri dati sensibili.
Nello specifico, si chiama campagna di repermissioning e rende il tuo database a norma e i relativi dati utilizzabili per finalità di marketing. Altrimenti, per non correre il rischio di andare incontro a sanzioni (20.000.000 € per i privati e le imprese non appartenenti a gruppi di società e fino al 4% del fatturato complessivo per i gruppi societari), essi dovranno essere cancellati perché acquisiti con modalità non conformi a quelle previste dalla legge.
Al contrario, se i nominativi presenti in database avevano già espresso il proprio consenso, non sarà necessario alcun adeguamento.
Un’altra questione riguarda le società che si occupano di Big Data e che utilizzano le informazioni degli utenti fornite da Facebook e Google: esse si avvalgono a tutti gli effetti di dati di terzi. Come orientarsi in questo caso? L’utente deve essere informato del fatto che, dopo aver fornito la propria autorizzazione, i suoi dati possono essere trasmessi a soggetti terzi.
Come impostare le campagne di adv?
Un discorso a parte vale per la profilazione e tutti i comportamenti che gli utenti tengono online, monitorati e utilizzati dalle aziende per effettuare ricerche di mercato e attività di marketing. Siamo nel campo dell’advertising, cioè degli annunci online. Essi violano il GDPR quando si basano su dati personali degli user che non hanno fornito il proprio consenso all’utilizzo.
I rischi di violazioni sono diversi a seconda che venga creata una campagna di Facebook o di Google Adwords. Perchè? Possiamo mettere in evidenza alcune criticità.
1. Conoscere il search intent dell’utente è semplice, poiché si basa sulle ricerche che egli effettua su Google, le cui parole chiave con un volume di ricerca più elevato suggeriscono già elementi utili per strutturare la campagna in linea con i relativi interessi.
Invece, il funzionamento di Facebook Ads richiede maggiori informazioni, alle quali si attinge attraverso una ricerca più invasiva dei dati, a partire dai post pubblicati, passando per i gruppi di cui l’utente fa parte, fino ai singoli like.
Inoltre, per quanto riguarda la creazione di pubblici personalizzati, potrebbero essere colpite dal GDPR le cosiddette “Lookalike Audience”, con cui ci si riferisce al pubblico simile. Questa categoria si basa su un assunto: questo segmento di pubblico potrebbe essere interessato ai servizi/prodotti venduti dalla tua azienda perché presenta caratteristiche simili a coloro che già rientrano tra i tuoi clienti.
In questo caso sarebbe necessario un doppio consenso. Le parti coinvolte sono sia Facebook che l’azienda stessa. Infatti, il colosso mondiale dovrebbe innanzitutto autorizzare la profilazione degli utenti sulla base di altri (ritenuti simili). A loro volta, questi ultimi devono prestare il consenso esplicito per il retargeting attraverso Facebook Ads. Infine, l’azienda deve consentire l’utilizzo del proprio CRM, dal quale vengono importati i contatti.
2. Un’altra questione rischia di porre problemi per la rete di Google e, in particolare, per le campagne di Programmatic. Le opzioni a rischio sono quelle del targeting di Adwords: “segmenti di pubblico di affinità personalizzati,” “segmenti di pubblico in-market”, “segmenti di pubblico simili”, ” targeting demografico “, “monitoraggio cross-device”.
Un cambiamento non di poco conto riguarda le informazioni su razza, etnia, orientamento politico, convinzioni religiose o filosofiche, appartenenza a sindacati, orientamento sessuale. Queste categorie non possono più essere utilizzate per targetizzare il pubblico e indirizzarvi le campagne su Facebook e Instagram.
Altra questione è quella relativa alle inserzioni su Audience Network, con cui è possibile creare campagne visualizzate fuori da Facebook, su siti web e app, ma avvalendosi sempre delle informazioni fornite dagli utenti a Facebook. Finora questa opzione sembra non essere conforme ai principi del GDPR, quindi saranno necessari una serie di adeguamenti.
Le altre novità introdotte dal GDPR
Ciò che conta e che è indice del fatto che la tua azienda sia in regola con la nuova normativa del GDPR è che la raccolta dei dati nel database sia avvenuta nel rispetto di tre principi: liceità, trasparenza e correttezza.
La nuova disciplina prevede anche una nuova figura, il cui compito consiste nel gestire la sicurezza dei dati. Si chiama RDP o DPO, acronimo per Data Protection Officer, col quale si intende il Responsabile della Protezione dei Dati Personali. Egli dovrà curare la redazione di un Registro - consultabile da tutti gli interessati - nel quale inserire tutte le operazioni di trattamento effettuate sui dati sensibili.
Il GDPR prevede il diritto di accesso: l’interessato può richiedere copia dei propri dati detenuti dall’azienda, nonché informazioni sul modo in cui essi sono conservati. Inoltre, è stato introdotto il diritto all’oblio, perchè in ogni momento ciascun contatto può chiedere che le proprie informazioni vengano cancellate.
Il Regolamento, che entra in vigore a partire dal 25 maggio 2018, nasce dall’esigenza di garantire maggiore trasparenza. Una volta compiuti con successo i vari adeguamenti da parte di ogni azienda, esso può tradursi in un miglioramento delle strategie di marketing.