GDPR online e offline: tutto ciò che vorresti sapere
Ultimamente avrai sentito parlare molto del GDPR. Cos’è? Cosa cambia rispetto al passato? Cosa comporta nel mondo dell’inbound marketing?
In questo approfondimento cercheremo di fare chiarezza su questa normativa e sui suoi effetti online e offline nel mondo del marketing digitale:
GDPR Cos’è?
L’acronimo GDPR (General Data Protection Regulation) indica il Regolamento Generale sulla Protezione dei Dati UE 2016/679 ed è relativo alla protezione delle persone fisiche in merito al trattamento e alla libera circolazione dei dati personali.
Il GDPR privacy è particolarmente rilevante, perché quanto esso dispone risulterà direttamente efficace e immediatamente applicabile in tutti gli stati membri dell’Unione Europea, prevalendo anche su leggi nazionali in caso di discordanza tra normativa comunitaria e nazionale.
Il gdpr privacy 2018 risponde allla crescente necessità degli utenti, sia online che offline, di tutelare il proprio diritto alla riservatezza, andando a colmare una lacuna del diritto europeo.
I punti fondamentali del GDPR 2018 sono:
- Notifica di violazione: in caso di Data breach, ossia di violazione dei dati, ogni violazione dev’essere notificata entro 72 ore dalla sua scoperta e non può essere taciuta;
- Diritto di accesso: su richiesta, l’azienda deve fornire tutti i dettagli sull’utilizzo dei dati personali ed eventualmente fornire una copia in formato elettronico di tutti i dati in possesso;
- Diritto all’oblio: il cittadino può richiedere in ogni momento la cancellazione completa dei propri dati e questo vale anche per i dati in concessione a terze parti;
- Portabilità: l’avente diritto può richiedere il trasferimento dei dati in formato elettronico a un altro gestore/azienda;
- Privacy by design: è un tema ampio ma ben espresso dall’art. 23 che introduce il concetto di “data minimisation” ovvero limitare l’accesso ai dati personali al minimo necessario per processare le richieste degli utenti;
- Semplificazione burocratica: procedure di notifica più snelle e maggiore importanza per la figura del responsabile del trattamento (il garante della protezione dei dati personali che dovrà unire competenze legali ed informatiche, può essere interno all’azienda o fornito da un partner adeguato).
Cosa cambia rispetto al passato?
Se pensiamo che la normativa in merito al regolamento privacy finora vigente era quella risalente al 1995 (Direttiva 95/46/EC) possiamo facilmente intuire le novità di principio e anche di ordine operativo che il nuovo regolamento privacy apporta, sostituendola.
Le previsioni giuridiche di tutela della privacy verranno così adeguate alle nuove sfide che la società globale pone: sono oramai del tutto insufficienti approcci basati su una disciplina solo nazionale a fronte della dimensione internazionale o addirittura globale che sempre più spesso assumono le vicende relative al trattamento dei dati personali.
Dal punto di vista delle condizioni di liceità resta impregiudicata la centralità del consenso al trattamento dei dati personali dell’interessato, che ne è requisito abilitante (lawful base), nonostante la stessa nozione di consenso abbia subito delle evoluzioni nel tempo.
Il concetto di consenso al trattamento dei dati personali che viene disciplinato dal gdpr regolamento presenta caratteristiche specifiche e differenti rispetto, a quello utilizzato nella Data Protection Directive (Direttiva 95/46/EC) e nella e-Privacy Directive (2002/58/EC).
Per questa ragione, il Gruppo di lavoro “Art. 29” (organismo UE che proprio con il GDPR assumerà la denominazione di “Comitato europeo per la protezione dei dati”) ha elaborato delle linee guida che si concentrano su questi cambiamenti, con l’obiettivo di fornire importanti indicazioni, anche di taglio pratico-operativo.
Cosa cambia in sintesi?
- Si introducono regole più chiare su informativa e consenso
- Si definiscono dei limiti al trattamento automatizzato dei dati personali
- Si pongono le basi per l’esercizio di nuovi diritti
- Si stabiliscono criteri rigorosi per il trasferimento dei dati personali al di fuori dei confini europei
- Si fissano norme rigorose per i casi di violazione (Data Breach)

Le aziende che non osserveranno queste norme incorreranno in pesanti sanzioni pecuniarie, pari a multe fino a 20 milioni oppure il 4% del fatturato annuale dell’azienda, che in alcuni casi può essere ben oltre quella cifra.
Perché rischiare? Adeguare i tuoi siti web e le tue app alle normative può essere facile come fare un clic!
Esistono, infatti, numerosi servizi che possono mettere al sicuro la tua azienda.
Generatore di Privacy e Cookie Policy, Cookie Solution, Consent Solution sono ad esempio i servizi principali offerti da iubenda.
Cosa comporta il GDPR nel mondo dell’inbound marketing?
Le implicazioni del GDPR nel mondo del marketing digitale sono molteplici e molte ancora da valutare.
Di base possiamo già affermare che tutte le aziende che gestiscono dati dei propri clienti sono obbligate a rivedere i loro sistemi per allinearsi alle direttive del nuovo regolamento sulla Privacy e sul trattamento dei dati personali.
Questa normativa ha infatti un impatto significativo sia sulla customer experience sia sul modo di fare inbound marketing. I cambiamenti più evidenti si registrano in:
- Form di contatto
- Sito Web
- E-mail marketing
Il consenso al trattamento dei dati personali deve essere sempre espresso, quindi attenzione a non impostare mai caselle pre-spuntate, che non valgono come consenso espresso. L’utente deve avere sempre la possibilità di spuntarle (mai il contrario).
-
Form
Che siano form di contatto o quelli per il download di materiali digitali (ad es. checklist, pdf, brochure, E-book, etc.), è necessario il rilascio del consenso attivo da parte del soggetto interessato al trattamento dei dati e non soltanto: la persona dovrà dare specifico consenso al trattamento per tutti i fini di utilizzo dell’impresa, che dovrà dichiararli in maniera chiara e trasparente.
L’applicazione varia a seconda dei casi specifici ma basta pensare al classico esempio dell’utilizzo delle caselle da flaggare contenenti link di reindirizzamento alla landing page dedicata alla liberatoria per la privacy.

2. Sito Web

Se il sito web è un must per le imprese di ogni settore, al momento di realizzarlo o aggiornarlo, non dimenticare le novità introdotte dal GDPR e in particolare del principio di Privacy by design e by default.
Secondo questi principi le imprese che controllano la raccolta e il trattamento dei dati devono attivare misure organizzative e tecniche per minimizzare la raccolta dei dati e utilizzarli solo per finalità e tempistiche dichiarate in sede di raccolta.
Di conseguenza, la creazione di contenuti come landing page, articoli, form di contatto per il download, form per l’iscrizione a newsletter, sistemi e-commerce, BOT, forum, community etc. dovranno seguire lo stesso principio.
3. E-mail Marketing
Il GDPR consente ancora la pratica della compravendita di mailing list e indirizzari a patto che sia rilasciato il consenso da parte dei soggetti interessati.
In breve, non puoi acquistare una lista e usarla senza accertarti che questa lista sia composta da dati di persone che hanno rilasciato lo specifico consenso a questo tipo di trattamento: non vale di certo il principio del “silenzio-assenso”.
Stessa cosa vale per l’utilizzo delle liste ai fini di analisi, come per il sempre più discusso Behavioral Marketing, ossia il trattamento dei dati ai fini di profilazione, analisi e statistiche sul comportamento anche online, particolarmente interessanti per chi utilizza piattaforme CRM e applica sistemi di Marketing Automation.
Occorre ottenere il consenso consapevole da parte degli interessati per poter procedere a fini di analisi.

Conclusioni
È difficile prevedere come il nuovo regolamento possa impattare concretamente sulle strategie di marketing offline e online ma è indubbio che un impatto ci sarà.
Se non altro perché avremo più trasparenza sull’accesso ai dati da parte delle aziende e su eventuali violazioni, come i furti d’identità o di password.
Le aziende saranno obbligate a chiarire maggiormente l’uso che viene fatto dei dati acquisiti, visto che in ogni momento dovranno renderne conto.
Una maggiore tutela degli utenti si dovrebbe tradurre anche in un miglioramento delle strategie di marketing e nell’abbandono di pratiche invasive e lesive per la privacy.
Insomma più attività inbound, più contenuti e più valore.
Se il nuovo regolamento servirà a migliorare l’industria della comunicazione, non potrà che essere visto positivamente sia dagli utenti sia dagli operatori del settore.