Da misure minime a misure… adeguate

Cominciamo con il capire cos’è la GDPR, un acronimo importante da conoscere e di cui sentirai molto parlare. Dal 25 maggio 2018 entra in vigore una nuova regolamentazione sul trattamento dei dati degli utenti che riguarda tutto il territorio europeo. Il cambiamento sostanziale riguarda come questi dati – che sono la linfa vitale per alimentare la macchina del data-driven marketing e gli ad exchange – vengono processati. Il passaggio è obbligatorio, altrimenti le sanzioni non tarderanno ad arrivare. Attenzione perché anche le sanzioni cambiano: arrivano fino a 20 milioni di Euro di multa o il 4% sul fatturato globale dell’anno precedente, se superiore.
Per dirne una, le nuove direttive GDPR impongono di raccogliere consensi informati e “garantiti” da un responsabile del trattamento all’interno dell’azienda, con il titolo di Data Protection Officer (DPO)

[1] Nelle aziende private, a differenza degli enti pubblici ove è pressoché sempre obbligatorio, non è sempre obbligatorio nominare il DPO. Sono tenuti alla nomina OBBLIGATORIA solo quei soggetti le cui principali attività consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati. Per approfondire, ti consiglio di leggere le FAQ del Garante in merito.

Un legale può sicuramente spiegarti al meglio come assicurarti di compiere le azioni a dovere rispetto alla normativa, ma, per aiutarti ad avere una overview generale sull’ostico argomento, ho deciso di riassumere in questo articolo i consigli del mio avvocato di fiducia e tutto quello che ho letto negli ultimi mesi sull’argomento.

La GDPR è voluta dal garante europeo per evitare che dati definiti sensibili di utenti vengano scambiati da terze parti, senza che gli utenti ne siano a conoscenza.

In sostanza, non tutti i dati sono uguali. Già oggi la qualità del dato dipende ai criteri di raccolta e con l’avvento della GDPR, il raccoglimento di informazioni sarà essenziale per adempire alle nuove norme ed evitare sorprese sugli aspetti derivanti dai processi di marketing, customer relationship e advertising. E’ bene quindi oggi stesso prendere provvedimenti sul trattamento dei dati che si dividono in due macro-categorie:

dati di prima parte, di proprietà dell’azienda che deve gestirli secondo le nuove regolamentazioni.
dati di terza parte, di proprietà di terzi utilizzati e scambiati con lo scopo di generare ricavi o di profilazione aggiuntiva dell’audience.

OPT IN e OPT OUT: problemi anche per i colossi americani Facebook e Google

In questo contesto di profondo aggiornamento sul tema privacy, come se la passeranno Facebook, Google e Amazon (che sta entrando sempre di più nell’advertising business)? C’è chi dice che questi big siano avvantaggiati perché, possedendo un quantitativo considerevole di dati di prima parte – i cosiddetti walled gardens – faranno presto ad alzare ancora di più le barriere sui dati di loro proprietà e tagliare fuori i data providers e gli aggregatori. C’è invece chi sostiene che la GDPR sia voluta dall’Europa per metterli in difficoltà (e in generale per mettere in difficoltà le compagnie americane e inglesi con la Brexit – anche se si stanno già portando avanti le trattative per accordi di scambio dati). I consensi di utilizzo dei dati devono essere informati e quindi spiegati all’utente: il principio di opt in e opt out diventa chiave in questo.

La GDPR chiede di specificare come questi dati vengono utilizzati, non basta dire che sono a fini di marketing o per ricerche future, bisogna dare un motivo concreto altrimenti si rischiano le sanzioni.

PageFair ha elaborato un modello modello di analisi sulla tipologia di dati e sul rispettivo trattamento che può essere applicato anche alla tua realtà. La scala presenta 5 ambiti. Il gradino numero 5 è “invalicabile” nel senso che le società di AdTech non hanno modo di comunicare l’opt in all’utente e perciò non possono raccogliere i dati. Scendendo la scala, al numero 4, troviamo l’opt in che può essere comunicato all’utente e che i suoi dati vengono tracciati ai fini pubblicitari e specifici. Qui solitamente per agevolare l’opt in si generano una serie di incentivi per portare al consenso dell’utente, come per esempio il fine per il quale i dati vengono utilizzati, es. programmi di loyalty, pubblicità secondo gli interessi specifici etc. Al gradino 3, gli opt in dell’utente avvengono senza un particolare incentivo e al punto 2 i dati vengono raccolti secondo il principio dell’opt out, ma le restrizioni della GDPR si fanno sentire e non tutti i dati entrano nell’ambito 2. Al numero 1 e 0 della scala gli ambiti che invece non entrano a far parte delle regolamentazioni o che non trattano dati sensibili degli utenti.

Qui sotto vedi il modello di PageFair applicato a Google e Facebook.

GDPR-Google Model credit PageFair

GDPR- Facebook Model credit PageFair

In pratica: cosa devo fare per adeguarmi alla nuova regolamentazione GDPR?

Al di là della regolamentazione e di chi è avvantaggiato oppure no, tutti in Europa dovranno adeguarsi alla GDPR. Lasciamo ai legali e al DPO scervellarsi su che tipo di frasi utilizzare nell’informativa, quello che importa a noi marketers è la garanzia di un corretto utilizzo dei dati dopo l’entrata in vigore della norma, oltre che alla realizzazione della GAP Analysis e Privacy Impact Assessment.

Quali conseguenze per i marketers, editori italiani e internazionali?

Se sei un marketer o un’azienda che gestisce e raccoglie dati personali sui consumatori, focalizza l’attenzione sui dati di prima parte e su quanti ne riesci a raccogliere. I dati su cui concentrarti sono i seguenti:

Informazioni sul consumatore nel tuo CRM
Dati comportamentali raccolti dal sito o app (tag manager, analytics)
Identificativi univoci associati ai tuoi consumatori (email hash, IDFA, Google advertiser ID, user ID, LTV, loyalty cards)
Dati di campagne advertising (impressions, cookies retargeting, aperture email, etc.)

Sì, è vero che questi dati non ti garantiscono scalabilità, ma sono quelli più preziosi e quelli che ti troverai a gestire secondo le regole della GDPR. A questi si aggiungerà la gestione dei dati di terza parte (e di seconda parte, quelli cioè generati e scambiati con i tuoi partner commerciali, una sorta di co-marketing sui dati) in ottemperanza con le rigide norme della GDPR per erogare le campagne pubblicitarie. In seconda istanza, ma non meno importante, devi anche possedere il giusto know-how per centralizzare le informazioni con dei tool appositi, in DMP, CRM, Tag Manager, device grap ID solutions. Se vuoi capirne di più sull’utilizzo di questi temi legati al programmatic advertising, ti consiglio di leggere il libro “Programmatic Advertising per Marketing People”, disponibile su Amazon.

Come prevedevo, gli utenti sono stati bombardati da richieste di opt in da parte di tutte le aziende che sono venute in contatto e che possiedono dati sensibili da “rimodernare”.

Se sei un editore, o comunque una società con un business model di monetizzazione delle properties, allora è il tuo momento per guadagnare terreno contro i walled gardens in Europa. Come si stanno già attrezzando in Germania, dove tre grandi aziende si sono unite con l’intenzione di centralizzare già da ora login e informazioni dei 45 milioni di utenti che possono fare l’accesso cross-property utilizzando lo stesso identificativo.

Inoltre mi aspetto che la GDPR, limitando considerevolmente l’utilizzo dei dati di terza parte, metterà in difficoltà alcuni players dell’Ad Tech (data providers, DSP con poche integrazioni, affiliation networks e ad networks) con modelli di business basati su questo tipo di dati e porterà alla prima scrematura dell’ecosistema ormai troppo complesso della pubblicità guidata dai dati. Rispetto a tecnologie del martech (CRM, marketing automation, site personalization) la GDPR influirà invece positivamente, perché darà ancora più conoscenza in materia di trattamento dati dei propri consumatori e clienti alle aziende già impegnate nella digital transformation.

Le 7 cose da fare per prepararsi

Controllare le tue informative per allinearle al GDPR, e considerare cosa significa introdurre l’indicazione della fonte dei dati e il loro tempo di conservazione, oblio, portabilità e reclamo.
Mappare i dati in tuo possesso e tenerli aggiornati, sperimentando le soluzioni di portabilità come detta la normativa.
Usare delle maschere o dei software che segnalano l’obbligo di notifica delle violazioni nell’uso dei dati personali.
Assegnare in azienda il ruolo di Data Protection Officer (DPO), ove questo sia necessario.
Mettere nero su bianco le nuove regole di acquisizione e documentazione del consenso, verificando con cura i fornitori dei dati.
Attenzione a come si trattano dati di minori, tenendo presente che già le regolamentazioni pre-GDPR impongono di gestire anche il consenso degli esercenti la potestà dei genitori, insieme al consenso del minore. I minori,teoricamente, non potrebbero mai dare il consenso ma dovrebbe essere il genitore e tenendo conto che per determinare gli anni del minore, prevale la legge italiana che impone la soglia minima di 18 anni.
Sentire uno specialista per effettuare un Privacy Impact Assessment.

Quali aziende sono secondo te più a rischio con l’avvento della GDPR?

Come ti stai preparando al cambio di regolamentazione? Dimmi la tua nei commenti.

GDPR è arrivata, tu azienda sei pronta?

ultimo aggiornamento 03/06/2018