GDPR , cosa cambia per le tue attività di marketing online?

GDPR , cosa cambia per le tue attività di marketing online?

Il prossimo 25 maggio 2018 entra in vigore la GDPR (General Data Protection Regulation – Regolamento UE 2016/679), in altre parole il (nuovo) Regolamento Europeo per la protezione dei dati personali, che regolerà d’ora in avanti le modalità con le quali questi dati dovranno d’ora in avanti essere raccolti e trattati.

Questo nuovo regolamento in materia di protezione dei dati personali va a sostituire completamente la normativa esistente e, come si può facilmente immaginare, impatterà sicuramente in modo assai importante su tutte le attività di marketing, online specialmente per quanto concerne la raccolta di Leads, di contatti e anche su importanti aspetti dell’advertising online (remarketing e retargeting in primis).

Poiché ogni attività differisce da un’altra e la normativa è assai complessa e articolata, il miglior consiglio che mi sento di dare, comunque, è quello di consultare sicuramente un legale specialista, specie se la mole di dati trattati è importante e i dati sono veramente sensibili (ma questo fatelo decidere al legale N.d.St.)

Dopo questa doverosa premessa, in questo post cercherò di focalizzarmi sull’impatto che queste nuove normative inevitabilmente avranno sui miei e vostri siti web e, più in generale, sulle attività di online marketing, e in particolare sulle attività che è necessario fare per mettere “a norma” il proprio sito, ho aggiunto alcuni approfondimenti (di informazione e non di marketing, alla fine, perché contengono anche una “quasi buona notizia” che mi sembrava opportuno condividere).

Ma che cos’è questa GDPR?

Lo scopo di questo nuovo ordinamento è di quello di rendere uniformi e potenziare il meccanismo di tutela dei dati personali per tutti i cittadini dell’Unione Europea. Si è ritenuto pertanto indispensabile perfezionare le disposizioni in materia di Cookie Law, integrando la normativa già esistente, per disciplinare in modo più preciso l’utilizzo che dei nostri dati si fa giornalmente in banche dati, su social media e motori di ricerca, fino ad arrivare ai big data e varia umanità.

In pratica d’ora in avanti sarà obbligatorio un consenso specifico da parte dell’utilizzatore al trattamento dei propri dati personali, e questo impone la massima trasparenza e responsabilità da parte dell’azienda che questi dati conserva e ne fa oggetto di trattamento.

I dati sensibili comprendono anche nome, cognome, numero di telefono, indirizzo email, età, sesso e correlati.

Ricordo (per chi se ne fosse dimenticatoi)che il consenso era obbligatorio anche in precedenza, ma in realtà dal 25 maggio non sarà più possibile utilizzare diciture nebulose come “per migliorare l’esperienza degli utenti per scopi di marketing” o come “continuando a navigare su questo sito, accetti l’utilizzo dei cookies al fine di assicurare il suo corretto funzionamento” o altre frasi poco comprensibili o che usano una terminologia vaga.

L’Unione Europea vuole che l’utente sia sempre assolutamente consapevole che i suoi dati personali stanno per essere trattati e, soprattutto, deve sapere anche in anticipo per quali scopi lo saranno.

La GDPR introduce anche alcuni nuovi principi:

  • Privacy by design: l’attività online deve essere impostata in maniera da essere progettata fin dall’inizio per integrarsi con le nuove regole, quindi è un’attività realizzata a scopo preventivo e non svolta in seguito solo per sistemare eventuali irregolarità nella raccolta dei dati. In soldoni, metterci una pezza dopo potrebbe non essere sufficiente o non essere la soluzione migliore.
  • Accountability: l’azienda – o chi per lei raccoglie i dati – è sempre pienamente responsabile della conformità alle norme e, pertanto, risponde direttamente in caso di contravvenzione: deve pertanto cautelarsi preventivamente perché i dati siano raccolti in forma sicura e fare in modo da assicurarsi che gli stessi non vengano divulgati.
  • DPO (Data Protection Officer): compare una nuova figura, quella del Responsabile Protezione Dati, un soggetto differente dal “titolare del dato” (chi ne richiede la raccolta) o dall’incaricato della gestione dei dati, è in pratica la persona che fa da referente per il garante della privacy. Ne parlo più in là negli approfondimenti dove, per i freelance e i liberi professionisti, vi è anche una buona notizia…

Cosa è necessario fare per il tuo sito, in pratica?

1 – Aggiornare alle nuove regole europee la privacy policy del sito, precisando in modo chiaro e trasparente quali tipo di dato stai raccogliendo e che cosa ci farai con precisione. Prima esisteva la Cookie Law, che imponeva di avvertire gli utenti che il sito utilizza i cookie, e chiedeva all’utente di accettarli o no. Con la GDPR è obbligatorio attestare esplicitamente cosa con questi cookie andiamo a fare esattamente, in forma chiara e esplicativa, non più nel modo puramente formale che utilizziamo ancora oggi…

Un esempio? Profilazione con Google Analytics, campagne PPC , Campagne Facebook, attività di Remarketing, etc.

2 – Un consenso chiaro da parte dell’utente per l’impiego dei dati che ci fornisce quando lo invitiamo a lasciare il suo contatto. Dal 25 maggio 2018 in poi dovremo specificare esattamente per quali scopi i suoi dati saranno impiegati, in modo chiaro e trasparente.

Se utilizziamo il form contatti per la Lead Generation, dovremo rendere comprensibile il fatto che, comunicando la propria email, si potrà essere contattati per comunicazioni in merito a news, offerte, eventi etc.

Insomma, va indicato cosa riceveranno esattamente, evitando di utilizzare comunicazioni vaghe o generiche.

3 – Consentire, facilitandola il più possibile, la possibilità di de-iscriversi totalmente dalle banche dati delle aziende, in qualsiasi momento. Insomma l’utente deve poter revocare il consenso quando e come desidera. Anche l’avvenuto consenso deve essere documentato digitalmente , e deve essere esigibile sempre in ogni momento, quando e se richiesto.

Entrano in questa categoria i link di dis-iscrizione per le campagne email: per intendersi quelli cerchi disperatamente e che non trovi mai manco a pagarli in molte mail che ti arrivano sulla casella di posta (e tu non sai nemmeno perché le ricevi perché a questi il tuo nominativo lo ha ceduto il tuo gestore telefonico N.d. St.), un accesso (visibile e facilmente accessibile, please) al proprio account utente, dove poter modificare impostazioni su preferenze e privacy.

4 – Raccogliere esclusivamente i dati strettamente necessari all’uso che ne verrà fatto.

5 – Sei una web agency? Se stai gestendo dei dati di utenti per un tuo cliente e dei quali lui è il titolare, il contratto deve specificare l’assegnazione dell’incarico a un DPO e quali sono le responsabilità di questa figura professionale nella gestione dei trattamenti dati.

6 – Anche i vecchi utenti, quelli che fanno già parte della tua banca dati, devono essere messi al corrente della nuova informativa privacy e devono avere anche la possibilità di decidere se cancellarsi o meno.

7 – Per quanto riguarda i cookies utilizzati, l’utente, che giunge per la prima volta sul tuo sito, deve essere messo a conoscenza di quali sono i cookies utilizzati e qual è la loro funzione, devono aver inoltre la possibilità di escluderli in tutto o in parte e di poter navigare il tuo sito anche in modo anonimo.

In sintesi su cosa dovremo porre la nostra attenzione, per quanto riguarda il marketing online?

  • Adeguare la Privacy Policy sul sito
  • Gestire correttamente l’utilizzo di DEM e Newsletter
  • Gestione a norma dei dati ottenuti da campagne di Lead Generation, form contatti, etc.
  • Gestire gli aspetti legali inerenti alla Marketing Automation
  • Gestire il trattamento dei Lead ottenuti da campagne Facebook e Adwords

Vuoi sapere come mettere a norma il tuo sito ? Contattami !

Approfondimenti

Codice Privacy abrogato, arriva il GDPR (General Data Protection Regulation)

Dal 25 maggio 2018, il Codice Privacy sarà integralmente abrogato, sostituito dal GDPR europeo e dalle relative norme di coordinamento italiane, che il Consiglio dei Ministri ha presentato nella seduta del 21 marzo 2017. Il Governo ha, infatti, ratificato un decreto legislativo di adeguamento alla normativa europea: in base al provvedimento, non appena diverranno operative le disposizioni del nuovo Regolamento UE, il Codice in materia di protezione dei dai personali (dlgs 196/2003) verrà sostituito dalle nuove normative.

GDPR: aspetti legali di privacy compliance.

Il GDPR (General Data Protection Regulation) entrerà in vigore il 25 maggio prossimo in tutti i 27 Stati Membri nello stesso momento, rendendo più stringenti le norme sulla sicurezza dei dati, imponendo specifici obblighi di comunicazione a fronte di violazioni ed rafforzando l’impianto sanzionatorio.

È introdotta una regola fondamentale: una violazione del GDPR commessa in tutti i casi in cui essa riguardi dati europei, lo è indipendentemente dal luogo in cui essi sono processati. In altri termini: non è influente che la società che gestisce i dati, sia localizzata o meno sul territorio europeo, il regolamento si applica in ogni caso a tutti i casi di utilizzo di informazioni che riguardino utenti residenti nel territorio UE.

Orientamenti UE sul nuovo GDPR.

Il GDPR, in linea generale, prevede che i dati personali in possesso del titolare del trattamento siano trattati in modo lecito, corretto e trasparente nei confronti dell’interessato, raccolti per finalità determinate, esplicite e legittime, e in seguito trattati secondo modi che non siano incompatibili con queste finalità, adeguati, pertinenti e limitati a quanto necessario rispetto ai fini per i quali sono trattati, che gli stessi siano esatti e, se necessario, aggiornati, siano conservati in forme che consentano l’identificazione degli interessati per un periodo temporale non superiore a quello strettamente necessario per il conseguimento delle finalità per le quali sono trattate, conservati con accorgimenti a prova d’integrità e riservatezza.

Sono altresì previste tutte le procedure necessarie in materia di consenso, sono descritti nel dettaglio i diritti dell’interessato (che esistono anche nel momento nel quale i dati siano raccolti presso terze parti), che riguardano consenso, rettifica, cancellazione e tutti gli altri aspetti concernenti alla conservazione e gestione dei dati.

GDPR: la certificazione Privacy Officer.

Per le imprese, sono particolarmente importanti i capitoli concernenti gli obblighi del responsabile del trattamento dei dati.

E’ necessario preparare un registro delle attività di trattamento dei dati personali svolte sotto la propria responsabilità, mettere in atto le misure tecniche e organizzative più adatte al fine di garantire un livello di sicurezza adeguato al rischio, notificare tempestivamente eventuali violazioni alle autorità di controllo e all’interessato, compiere delle preventive valutazioni d’impatto sulla protezione dei dati e, infine, designare un responsabile della protezione dei dati.

I gruppi imprenditoriali possono eventualmente nominare un unico responsabile per la protezione dei dati (DPO) per tutte le sedi, a condizione che sia facilmente raggiungibile da ciascuno stabilimento. Nel Regolamento sono dettagliate attività, responsabilità e compiti di questa nuova figura.

GDPR: esonero DPO per liberi professionisti

Esonero dell’obbligo di nomina del Responsabile Protezione Dati per i liberi professionisti che operano in forma autonoma, come gli avvocati e altre figure assimilabili.

L’entrata in vigore del nuovo Regolamento Europeo sulla protezione dei dati personali, l’ormai noto GDPR, è alle porte (25 maggio 2018). Le aziende, i liberi professionisti e le pubbliche amministrazioni si stanno affrettando a comprendere quali siano gli obblighi che sicuramente aggraveranno la mole di adempimenti burocratici a cui già sono sottoposte.

Obbligo nomina DPO

GDPR: il modello di comunicazione dati RPD

Tra questi nuovi adempimenti spicca certamente la nomina del DPO, ovvero del responsabile della protezione dei dati personali, denominato con l’acronimo RDP nella traduzione italiana. Si tratta di una nuova figura introdotta dal Regolamento Europeo che raffigura il principale protagonista in termini di privacy e, per questo, deve adempiere a tutta una serie di compiti specificamente indicati nel GDPR.

L’introduzione di una misura di questo genere preoccupa molte aziende, in particolare quelle di più piccole dimensioni, ma soprattutto i liberi professionisti. Stiamo parlando di esempio degli avvocati, che sicuramente trattano dati personali degli interessati, oppure di altre figure professionali simili.

Una buona notizia, l’esonero DPO per i liberi professionisti

Fortunatamente una mano in questo ambito ai liberi professionisti, è arrivata dallo stesso Garante dei dati personali, che per l’Italia rappresenta la principale autority di controllo.

Il Garante, nelle FAQ recentemente pubblicate sul sito istituzionale, ha Infatti chiarito che i liberi professionisti che operano in forma individuale, possono evitare di nominare il DPO.

Per estensione di concetto si affiancano a questi soggetti anche i rappresentanti, gli agenti e i mediatori che non operano su larga scala, le imprese individuali e le piccole e medie imprese, nel caso di trattamento dei dati personali connessi alla gestione corrente dei rapporti con i propri dipendenti e i propri fornitori.

Per le PMI questo rimane, comunque, un aspetto procedurale importante, da approfondire assolutamente con i propri consulenti legali e aziendali.

Nomina DPO è comunque raccomandata

Il Garante ha concesso quindi una forma di agevolazione per le realtà più piccole, ma questo non significa che il DPO non possa essere comunque nominato. Va ricordato che nei principi del Regolamento Europeo della Privacy è fatto espresso riferimento al concetto di accountability, ovvero di responsabilizzazione, secondo il quale la figura del DPO è comunque raccomandata.

Stefano Bortuzzo

Stefano Bortuzzo

SEO & Web marketing Specisalist - Aiuto le aziende a farsi scegliere sul web

Lascia un commento

Chiudi il menu
Vuoi parlare con me ?