Il GDPR e il Web Marketing: come prepararsi al meglio

Il GDPR e il Web Marketing: come prepararsi al meglio

 Entro il 25 Maggio aziende e professionisti dovranno adeguarsi al nuovo GDPR, il Regolamento UE per la Protezione delle persone fisiche con riguardo al trattamento dei Dati Personali. Se non sai cos’è il GDPR puoi leggere il post che ho dedicato all’argomento.

Questo post invece si rivolge a chi gestisce autonomamente il proprio sito web, il database dei clienti o qualunque attività di promozione/marketing che preveda l’uso di dati personali.

Per chi lavora sul web, e in particolare per chi si occupa di web/inbound marketing, digital strategy, o più semplicemente gestisce un sito web, il nuovo GDPR impone infatti un nuovo approccio alla raccolta e trattamento dei dati.

Di conseguenza dovremo ripensare molti degli strumenti che utilizziamo per comunicare con clienti, utenti o fan, ma anche per acquisire leads o prospects.

Se sei un freelance o una piccola azienda che invia regolarmente una newsletter, se utilizzi il pixel di Facebook per fare retargeting, o semplicemente raccogli e conservi i dati dei clienti che acquistano tramite il tuo e-commerce, allora questo post potrà esserti utile per fare un po’ di chiarezza.

Attenzione: questo post è un elenco di buone pratiche e non sostituisce il parere di un legale. Se hai dubbi o domande specifiche sull’adeguamento al GDPR rivolgiti a un avvocato specializzato e/o a un professionista esperto nella protezione dei dati personali o nel settore della sicurezza informatica. 

In questo articolo mi occuperò esclusivamente delle attività online. Se le tue attività di marketing e comunicazione prevedono passaggi non legati al web, ti invito comunque a consultare anche altre guide specifiche.

Ecco i contenuti che troverai in questo articolo:

Il GDPR e il marketing digitale

Il GDPR costringerà molte realtà a fare chiarezza su strumenti e processi negli ambiti della comunicazione e del web marketing.

Per rispondere a tutti gli obblighi sarà infatti necessario conoscere attentamente tutto il processo di acquisizione, trattamento e conservazione dei dati personali.

In altre parole, occorre essere perfettamente coscienti del funzionamento di tutti gli strumenti che utilizziamo per gestire i dati.

In realtà trasparenza e buone pratiche dovrebbero essere la norma e non l’eccezione, indipendentemente dagli obblighi di legge. L’insieme dei principi introdotti dal GDPR non si discostano molto dalle raccomandazioni che gli esperti ripetono da tempo.

Il GDPR in breve

Il nuovo GDPR in breve si articola in alcuni principi cardine:

  • Autocontrollo e responsabilità: le aziende possono adeguarsi nel modo che preferiscono, ma sono responsabili delle misure adottate.
  • Chi tratta i dati ne è responsabile e deve risponderne in ogni momento (accountability).
  • Il consenso al trattamento deve sempre essere esplicito e tracciabile.
  • Trasparenza: l’informativa deve essere completa, accessibile e comprensibile; deve includere la tipologia dei dati, uso, modalità e tempistiche di conservazione ma anche eventuali rischi.
  • In qualunque momento l’utente può chiedere di modificare, cancellare, o trasferire i dati che devono essere disponibili in formato tale da permetterne la portabilità.
  • Privacy by designla privacy deve essere predisposta già in fase di progettazione degli strumenti.
  • Privacy by default: occorre garantire di base il massimo livello di riservatezza.
  • Rischi: valutare i rischi connessi al trattamento dei dati, e predisporre le misure necessarie per limitare furti, uso improprio o data leaks.
Leggi anche: Web, comunicazione e dati personali: cosa cambia con il GDPR il post dedicato ai punti principali del nuovo regolamento 

Cominciamo dall’inizio: di quali dati stiamo parlando?

Il Garante della Privacy definisce così i dati personali:

Sono dati personali le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..

In genere i dati personali sono quelli identificativi, sensibili o giudiziari e il trattamento di ognuno di questi ha delle sue specificità.

Ok, ma il GDPR riguarda anche me?

Il GDPR si applica al trattamento dei dati personali di qualunque cittadino o residente dell’Unione Europea. Quindi se tratti dati di cittadini europei o di soggetti residenti nell’Unione devi rispettare il GDPR, anche se la tua sede è fuori dall’UE .

In pratica anche se semplicemente raccogli e tratti i dati necessari per emettere una fattura o per compilare un contratto, devi assicurarti di farlo in modo da rispettare il GDPR.

Come adeguarsi:

Fai un inventario

Il primo passo consiste nel fare un inventario dei dati che tratti, delle finalità e modalità del trattamento.

Comincia mappando le informazioni che riguardano la raccolta e la conservazione dei dati:

  • Rintraccia tutte le fonti dei dati: i moduli di contatto o per l’iscrizione alla newsletter, le piattaforme di analytics, il modulo che raccoglie dati per la fatturazione del tuo e-commerce, ecc.
  • Non dimenticare i cookies: dovresti avere già queste informazioni se hai rispettato la cosiddetta cookie law.
  • Individua i dati veramente necessari: nel modulo di iscrizione alla newsletter, hai bisogno di chiedere nome e cognome o ti basta l’indirizzo email? Hai proprio bisogno del pixel di Facebook? Ricordati: il principio della privacy by default prevede che non vengano raccolti dati non strettamente necessari.
  • Descrivi il percorso dei dati: su quali piattaforme transitano prima di essere archiviati? Usi servizi di terze parti? Ad esempio le piattaforma per la gestione di email o newsletter sono servizi terzi e i dati sono archiviati anche solo momentaneamente sui loro server.
  • Fai quindi un elenco di tutti i dispositivi o piattaforme sui quali sono salvati i dati: li archivi sul tuo computer o sul cloud? Ne fai un backup su un hard disk esterno? Ne stampi una lista cartacea?

Definisci

Ora che hai fatto chiarezza sui dati se necessario puoi definire le nuove finalità e modalità del trattamento:

  • Per quale scopo raccogli i dati? Per inviare una newsletter? Oppure per fornire informazioni su richiesta – ad esempio con il form di contatto?
  • I dati vengono utilizzati per profilare i clienti? Fai attenzione a questo passaggio, perché la profilazione è definita in modo molto particolare nel GDPR – qui trovi un articolo del Corriere della Comunicazione che si occupa proprio questo argomento dal punto di vista tecnico.
  • I dati sono anonimizzati o usati in modo da ricondurre all’effettiva identità delle persone?
  • Stabilisci per quanto tempo vuoi/devi conservare le varie tipologie di dati: fino alla richiesta della cancellazione – ad esempio nel caso delle newsletter? Oppure per un periodo determinato – ad esempio solo fino alla fornitura di un servizio?
  • Procurati la relativa l’informativa sulla protezione dei dati dei fornitori di servizi. Le maggiori piattaforme hanno già provveduto da tempo, ad esempio Google ha una pagina dedicata alla conformità dei suoi prodotti cloud rispetto al GDPR così come Facebook [aggiornamento del 26/4/2018]. Ricorda che il titolare del trattamento ha l’obbligo di selezionare i fornitori in base anche alla conformità rispetto alle linee guida del GDPR.
  • I dati sono conservati in un paese europeo o al di fuori dell’Unione? Nel caso di piattaforme internazionali, non è sempre chiaro dove risiedano i server. Attenzione però: puoi conservare i dati in un paese extra UE, ma se questo non ha accordi relativi alla protezione dei dati personali dovrai chiedere una specifica autorizzazione al Garante.

Valuta i rischi

Ora che hai completato il tuo assessment dovresti essere in grado di valutare i punti deboli delle tue procedure e prendere le giuste precauzioni. Il GDPR infatti prevede la responsabilizzazione di titolari e responsabili attraverso un approccio basato sul rischio.

In sintesi chi gestisce dati personali ha l’onere di dimostrare di aver:

  • valutato tutti i rischi relativi alla protezione dei dati stessi
  • definito le criticità
  • aver predisposto tutte le misure necessarie per minimizzare i rischi e ridurre le criticità

La valutazione d’impatto non è obbligatoria per tutti, e sul sito del Garante è disponibile un’infografica che illustra la questione. Però ricorda che in caso di violazione dei dati – data breach – è obbligatorio notificare quanto avvenuto entro 72h se la violazione mette a rischio libertà o diritti degli interessati. In questo caso un protocollo di azione come quello previsto dal DPIA mette al riparo da spiacevoli contestazioni.

Fai i cambiamenti necessari

Ora analizza tutti i punti che hai elencato, confrontali con i requisiti del GDPR e fai le necessarie modifiche. La normativa italiana ancora non è stata armonizzata rispetto al regolamento, ma esiste già un documento in PDF pubblicato dal Garante della Privacy che fa chiarezza su quasi tutti i punti semplificando molti passaggi.

  • Rivedi la tua procedura: semplifica il tutto eliminando la richiesta di informazioni non necessarie.
  • Controlla i moduli d’iscrizione o per l’invio di informazioni: tutti devono registrare l’espressione del consenso in modo conforme al GDPR.
  • Per le iscrizioni alle newsletter: assicurati che sia ben chiaro il meccanismo di cancellazione/modifica dei dati e se possibile preferisci procedure con verifica dell’opt-in o addirittura di double opt-in.
  • Predisponi i registri per le espressioni di consenso e assicurati che siano conformi al Regolamento.
  • Se sei un’azienda distribuisci compiti e responsabilità tra tutti i dipendenti e/o le funzioni aziendali coinvolte.
  • Se opportuno nomina un DPO (Data Privacy Officer) ovvero un responsabile del trattamento dei dati. Attenzione perché questa figura è ancora da definire, quindi segui gli aggiornamenti che arriveranno nei prossimi mesi.
  • Modifica o sostituisci strumenti, tecnologie oppure cambia fornitori nel caso in cui questi non siano conformi rispetto alle linee guida del GDPR.
  • Se necessario, acquisisci le necessarie certificazioni.
  • Riscrivi l’informativa sulla privacy: ricorda che deve contenere tutti i dati obbligatori – molti dei quali li hai già pronti nel tuo inventario! Puoi anche inserire simboli, colori o icone per rendere tutto più chiaro.
  • Se necessario informa gli interessati di cambiamenti sostanziali nella tua informativa e eventualmente richiedi il consenso nuovamente. Basta ad esempio notificare i cambiamenti e chiedere nuovamente il consenso nella tua prossima newsletter.

Monitora, verifica, intervieni

Raggiungere la conformità rispetto agli standard del GDPR non è sufficiente. Tecnologie e procedure possono cambiare nel tempo, inoltre nonostante le misure adottate le violazioni dei dati sono sempre possibili.

Per questo occorre controllare periodicamente che tutto funzioni correttamente:

  • Tieni sotto controllo i cambiamenti di privacy policy dei tuoi fornitori di servizi, in particolare delle piattaforme cloud, dei gestionali e quelle che gestiscono mailing list e indirizzari.
  • Controlla che i tuoi archivi digitali o analogici siano ben protetti: se utilizzi firewall o strumenti per la crittografia, controlla che siano sempre aggiornati.
  • Controlla eventuali aggiornamenti sul sito del Garante della Privacy

Risorse utili

Le varie piattaforme di Inbound o Email Marketing, così come i principali fornitori di servizi cloud stanno creando vario materiale gratuito a disposizione degli utenti. Se non hai un budget molto alto e non tratti dati personali che comportano rischi particolari, allora puoi cominciare da questa lista di risorse.

  • MailUp: l’area dedicata al GDPR sul sito di questa piattaforma è senza dubbio una delle più complete che ho visto e si rivolge specificamente a chi si occupa di web marketing o digital strategy. Tutte le risorse sono a cura di esperti e professionisti, e quindi molto attendibili. In particolare ti consiglio di leggere il White Paper sul GDPR, che è un ottimo compendio di tutto ciò che c’è da sapere.
  • Il registro dei consensi: non ho trovato esempi italiani per il registro, però sul sito del CNIL – più o meno l’equivalente francese del Garante della Privacy ma per il mondo digitale – sono disponibili dei modelli in Excel da scaricare e personalizzare. In attesa che la normativa italiana venga armonizzata, questo documento è un ottimo punto di partenza per elaborare il proprio registro.
  • Materiale ufficiale:
    • se non l’hai già fatto consulta il sito del Garante per la Privacy, che ha già pubblicato vari documenti e aggiornamenti.
    • in particolare consulta la Guida del Garante di cui ho parlato anche nel post.
    • prova a leggere anche il testo integrale del Regolamento: nonostante il linguaggio burocratico potrebbe chiarirti molti dettagli.
  • [Aggiornamento Aprile 2018] Iubenda: come tutte le aziende leader del settore anche Iubenda – storicamente il primo generatore di privacy/cookie policy sul mercato italiano – ha creato una pagina di risorse dedicata al GDPR. In attesa della presentazione della soluzione proprietaria per tutte le attività legate al GDPR troverete una lista che comprende una guida riassuntiva e alcuni modelli da riadattare alle proprie esigenze.
Leggi anche: Web, comunicazione e dati personali: cosa cambia con il GDPR il post dedicato ai punti principali del nuovo regolamento 

Come sempre se vuoi commentare questo post o segnalare ulteriori risorse puoi farlo nei commenti. Io aggiornerò questa pagina periodicamente con il materiale aggiornato e inserendo le segnalazioni che riceverò anche tramite i canali social.

Infine ho creato una breve infografica per riassumere i vari passaggi che ti ho suggerito [ 👇 scarica la versione ingrandita 👇].

Infografica 4 passi per adeguarsi al GDPR

Attenzione: come ho scritto all’inizio questo post è un elenco di buone pratiche e non sostituisce il parere di un legale. Se hai dubbi o domande specifiche sull’adeguamento al GDPR rivolgiti a un avvocato specializzato e/o a un professionista esperto nella protezione dei dati personali o nel settore della sicurezza informatica. 


6 thoughts on “Il GDPR e il Web Marketing: come prepararsi al meglio”

  • Salve,

    Ho un dubbio sul regolamento sulla privacy (GDPR). Ho un blog con poco traffico (poco più di 10.000 sessioni al mese). Non vendo niente, è solo un blog di viaggi, ma uso sia Google Analytics che Google Adsense per monetizzare. Anche nel mio caso devo adeguarmi al regolamento? Cosa devo fare esattamente?

    Grazie mille,

    Valentina

    • Ciao Valentina,
      la tua situazione è abbastanza semplice, visto che non raccogli direttamente email o altri dati personali.
      Comunque Google Analytics e AdSense sono strumenti che profilano gli utenti, anche se in modo anonimo e con dati aggregati tramite l’uso di cookies.
      Se usi questi servizi devi quindi almeno dichiararlo nella privacy policy del tuo blog, fornendo eventualmente un link alla pagina ufficiale dei prodotti – colossi come Google e Facebook hanno da tempo pagine dedicate al trattamento dei dati.
      Per quanto riguarda il GDPR tieni d’occhio il sito del Garante, che dovrebbe a breve specificare se chi è nella tua condizione debba assolvere a obblighi specifici – tipo redarre un documento o altro.
      Al momento purtroppo non ci sono aggiornamenti oltre a quelli che ho inserito nel post!

  • Salve,
    il mio blog tratta solo guide che parlano di smartphone.
    Volevo sapere, se elimino il box commenti, tolgo Analitycs e inserisco Histats. Non ho un form di contatto. Lascio solamente le pubblicità Adsense. Devo inserire lo stesso il GDPR sul mio blog? Grazie.

    • Ciao Fulvio,
      il GDPR non è qualcosa che mettiamo sul nostro sito, ma il regolamento che ci obbliga a considerare i dati in modo differente. Per quanto riguarda AdSense: si tratta comunque di uno strumento che si basa sulla profilazione, per questo Google stesso ha annunciato che chiederà ai publisher di chiedere il consenso esplicito ai propri utenti prima di poter mostrare annunci personalizzati (l’annuncio è visibile sul blog ufficiale di Google). Dallo stesso post sembra che sia allo studio una soluzione per annunci non personalizzati – probabilmente per aggirare il problema.
      Per la questione di Histats, non conosco nello specifico questo tool, ma qualunque soluzione che traccia le visite deve essere presa in considerazione per il GDPR.
      Comunque ti consiglio di seguire attentamente i canali ufficiali dei vari strumenti che usi per il tuo sito, in queste settimane tutti i fornitori di servizi si stanno attrezzando per il GDPR.

  • Grazie Valentina pre l’ottima guida. Ti chiedo se nel caso di iscritti preesistenti alla newsletter, per esempio degli eventi, di cui chiediamo nome e email tramite form di weber con link alla loro permission page noi dobbiamo inviare una email con una richiesta di consenso in cui debbano confermare con un click l’iscrizione o possiamo solo cominciare che si possono dissuonare al servizio quando vogliono e indicare le modalità di trattamento dei dati? Grazie

    • Ciao Beatrice,
      indipendentemente dal servizio una procedura di double-opt-in è sempre consigliabile. Per ora comunque non sembra essere obbligatoria. Basta che il consenso nel form di iscrizione sia esplicito e che il flag di accettazione della privacy policy non sia impostato di default.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *