Il GDPR e il Web Marketing: come prepararsi al meglio

Il GDPR e il Web Marketing: come prepararsi al meglio

 Entro il 25 Maggio aziende e professionisti dovranno adeguarsi al nuovo GDPR, il Regolamento UE per la Protezione delle persone fisiche con riguardo al trattamento dei Dati Personali. Se non sai cos’è il GDPR puoi leggere il post che ho dedicato all’argomento.

Questo post invece si rivolge a chi gestisce autonomamente il proprio sito web, il database dei clienti o qualunque attività di promozione/marketing che preveda l’uso di dati personali.

Per chi lavora sul web, e in particolare per chi si occupa di web/inbound marketing, digital strategy, o più semplicemente gestisce un sito web, il nuovo GDPR impone infatti un nuovo approccio alla raccolta e trattamento dei dati.

Di conseguenza dovremo ripensare molti degli strumenti che utilizziamo per comunicare con clienti, utenti o fan, ma anche per acquisire leads o prospects.

Se sei un freelance o una piccola azienda che invia regolarmente una newsletter, se utilizzi il pixel di Facebook per fare retargeting, o semplicemente raccogli e conservi i dati dei clienti che acquistano tramite il tuo e-commerce, allora questo post potrà esserti utile per fare un po’ di chiarezza.

Attenzione: questo post è un elenco di buone pratiche e non sostituisce il parere di un legale. Se hai dubbi o domande specifiche sull’adeguamento al GDPR rivolgiti a un avvocato specializzato e/o a un professionista esperto nella protezione dei dati personali o nel settore della sicurezza informatica. 

In questo articolo mi occuperò esclusivamente delle attività online. Se le tue attività di marketing e comunicazione prevedono passaggi non legati al web, ti invito comunque a consultare anche altre guide specifiche.

Ecco i contenuti che troverai in questo articolo:

Il GDPR e il marketing digitale

Il GDPR costringerà molte realtà a fare chiarezza su strumenti e processi negli ambiti della comunicazione e del web marketing.

Per rispondere a tutti gli obblighi sarà infatti necessario conoscere attentamente tutto il processo di acquisizione, trattamento e conservazione dei dati personali.

In altre parole, occorre essere perfettamente coscienti del funzionamento di tutti gli strumenti che utilizziamo per gestire i dati.

In realtà trasparenza e buone pratiche dovrebbero essere la norma e non l’eccezione, indipendentemente dagli obblighi di legge. L’insieme dei principi introdotti dal GDPR non si discostano molto dalle raccomandazioni che gli esperti ripetono da tempo.

Il GDPR in breve

Il nuovo GDPR in breve si articola in alcuni principi cardine:

  • Autocontrollo e responsabilità: le aziende possono adeguarsi nel modo che preferiscono, ma sono responsabili delle misure adottate.
  • Chi tratta i dati ne è responsabile e deve risponderne in ogni momento (accountability).
  • Il consenso al trattamento deve sempre essere esplicito e tracciabile.
  • Trasparenza: l’informativa deve essere completa, accessibile e comprensibile; deve includere la tipologia dei dati, uso, modalità e tempistiche di conservazione ma anche eventuali rischi.
  • In qualunque momento l’utente può chiedere di modificare, cancellare, o trasferire i dati che devono essere disponibili in formato tale da permetterne la portabilità.
  • Privacy by designla privacy deve essere predisposta già in fase di progettazione degli strumenti.
  • Privacy by default: occorre garantire di base il massimo livello di riservatezza.
  • Rischi: valutare i rischi connessi al trattamento dei dati, e predisporre le misure necessarie per limitare furti, uso improprio o data leaks.
Leggi anche: Web, comunicazione e dati personali: cosa cambia con il GDPR il post dedicato ai punti principali del nuovo regolamento 

Cominciamo dall’inizio: di quali dati stiamo parlando?

Il Garante della Privacy definisce così i dati personali:

Sono dati personali le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..

In genere i dati personali sono quelli identificativi, sensibili o giudiziari e il trattamento di ognuno di questi ha delle sue specificità.

Ok, ma il GDPR riguarda anche me?

Il GDPR si applica al trattamento dei dati personali di qualunque cittadino o residente dell’Unione Europea. Quindi se tratti dati di cittadini europei o di soggetti residenti nell’Unione devi rispettare il GDPR, anche se la tua sede è fuori dall’UE .

In pratica anche se semplicemente raccogli e tratti i dati necessari per emettere una fattura o per compilare un contratto, devi assicurarti di farlo in modo da rispettare il GDPR.

Come adeguarsi:

Fai un inventario

Il primo passo consiste nel fare un inventario dei dati che tratti, delle finalità e modalità del trattamento.

Comincia mappando le informazioni che riguardano la raccolta e la conservazione dei dati:

  • Rintraccia tutte le fonti dei dati: i moduli di contatto o per l’iscrizione alla newsletter, le piattaforme di analytics, il modulo che raccoglie dati per la fatturazione del tuo e-commerce, ecc.
  • Non dimenticare i cookies: dovresti avere già queste informazioni se hai rispettato la cosiddetta cookie law.
  • Individua i dati veramente necessari: nel modulo di iscrizione alla newsletter, hai bisogno di chiedere nome e cognome o ti basta l’indirizzo email? Hai proprio bisogno del pixel di Facebook? Ricordati: il principio della privacy by default prevede che non vengano raccolti dati non strettamente necessari.
  • Descrivi il percorso dei dati: su quali piattaforme transitano prima di essere archiviati? Usi servizi di terze parti? Ad esempio le piattaforma per la gestione di email o newsletter sono servizi terzi e i dati sono archiviati anche solo momentaneamente sui loro server.
  • Fai quindi un elenco di tutti i dispositivi o piattaforme sui quali sono salvati i dati: li archivi sul tuo computer o sul cloud? Ne fai un backup su un hard disk esterno? Ne stampi una lista cartacea?

Definisci

Ora che hai fatto chiarezza sui dati se necessario puoi definire le nuove finalità e modalità del trattamento:

  • Per quale scopo raccogli i dati? Per inviare una newsletter? Oppure per fornire informazioni su richiesta – ad esempio con il form di contatto?
  • I dati vengono utilizzati per profilare i clienti? Fai attenzione a questo passaggio, perché la profilazione è definita in modo molto particolare nel GDPR – qui trovi un articolo del Corriere della Comunicazione che si occupa proprio questo argomento dal punto di vista tecnico.
  • I dati sono anonimizzati o usati in modo da ricondurre all’effettiva identità delle persone?
  • Stabilisci per quanto tempo vuoi/devi conservare le varie tipologie di dati: fino alla richiesta della cancellazione – ad esempio nel caso delle newsletter? Oppure per un periodo determinato – ad esempio solo fino alla fornitura di un servizio?
  • Procurati la relativa l’informativa sulla protezione dei dati dei fornitori di servizi. Le maggiori piattaforme hanno già provveduto da tempo, ad esempio Google ha una pagina dedicata alla conformità dei suoi prodotti cloud rispetto al GDPR. Ricorda che il titolare del trattamento ha l’obbligo di selezionare i fornitori in base anche alla conformità rispetto alle linee guida del GDPR.
  • I dati sono conservati in un paese europeo o al di fuori dell’Unione? Nel caso di piattaforme internazionali, non è sempre chiaro dove risiedano i server. Attenzione però: puoi conservare i dati in un paese extra UE, ma se questo non ha accordi relativi alla protezione dei dati personali dovrai chiedere una specifica autorizzazione al Garante.

Valuta i rischi

Ora che hai completato il tuo assessment dovresti essere in grado di valutare i punti deboli delle tue procedure e prendere le giuste precauzioni. Il GDPR infatti prevede la responsabilizzazione di titolari e responsabili attraverso un approccio basato sul rischio.

In sintesi chi gestisce dati personali ha l’onere di dimostrare di aver:

  • valutato tutti i rischi relativi alla protezione dei dati stessi
  • definito le criticità
  • aver predisposto tutte le misure necessarie per minimizzare i rischi e ridurre le criticità

La valutazione d’impatto non è obbligatoria per tutti, e sul sito del Garante è disponibile un’infografica che illustra la questione. Però ricorda che in caso di violazione dei dati – data breach – è obbligatorio notificare quanto avvenuto entro 72h se la violazione mette a rischio libertà o diritti degli interessati. In questo caso un protocollo di azione come quello previsto dal DPIA mette al riparo da spiacevoli contestazioni.

Fai i cambiamenti necessari

Ora analizza tutti i punti che hai elencato, confrontali con i requisiti del GDPR e fai le necessarie modifiche. La normativa italiana ancora non è stata armonizzata rispetto al regolamento, ma esiste già un documento in PDF pubblicato dal Garante della Privacy che fa chiarezza su quasi tutti i punti semplificando molti passaggi.

  • Rivedi la tua procedura: semplifica il tutto eliminando la richiesta di informazioni non necessarie.
  • Controlla i moduli d’iscrizione o per l’invio di informazioni: tutti devono registrare l’espressione del consenso in modo conforme al GDPR.
  • Per le iscrizioni alle newsletter: assicurati che sia ben chiaro il meccanismo di cancellazione/modifica dei dati e se possibile preferisci procedure con verifica dell’opt-in o addirittura di double opt-in.
  • Predisponi i registri per le espressioni di consenso e assicurati che siano conformi al Regolamento.
  • Se sei un’azienda distribuisci compiti e responsabilità tra tutti i dipendenti e/o le funzioni aziendali coinvolte.
  • Se opportuno nomina un DPO (Data Privacy Officer) ovvero un responsabile del trattamento dei dati. Attenzione perché questa figura è ancora da definire, quindi segui gli aggiornamenti che arriveranno nei prossimi mesi.
  • Modifica o sostituisci strumenti, tecnologie oppure cambia fornitori nel caso in cui questi non siano conformi rispetto alle linee guida del GDPR.
  • Se necessario, acquisisci le necessarie certificazioni.
  • Riscrivi l’informativa sulla privacy: ricorda che deve contenere tutti i dati obbligatori – molti dei quali li hai già pronti nel tuo inventario! Puoi anche inserire simboli, colori o icone per rendere tutto più chiaro.
  • Se necessario informa gli interessati di cambiamenti sostanziali nella tua informativa e eventualmente richiedi il consenso nuovamente. Basta ad esempio notificare i cambiamenti e chiedere nuovamente il consenso nella tua prossima newsletter.

Monitora, verifica, intervieni

Raggiungere la conformità rispetto agli standard del GDPR non è sufficiente. Tecnologie e procedure possono cambiare nel tempo, inoltre nonostante le misure adottate le violazioni dei dati sono sempre possibili.

Per questo occorre controllare periodicamente che tutto funzioni correttamente:

  • Tieni sotto controllo i cambiamenti di privacy policy dei tuoi fornitori di servizi, in particolare delle piattaforme cloud, dei gestionali e quelle che gestiscono mailing list e indirizzari.
  • Controlla che i tuoi archivi digitali o analogici siano ben protetti: se utilizzi firewall o strumenti per la crittografia, controlla che siano sempre aggiornati.
  • Controlla eventuali aggiornamenti sul sito del Garante della Privacy

Risorse utili

Le varie piattaforme di Inbound o Email Marketing, così come i principali fornitori di servizi cloud stanno creando vario materiale gratuito a disposizione degli utenti. Se non hai un budget molto alto e non tratti dati personali che comportano rischi particolari, allora puoi cominciare da questa lista di risorse.

  • MailUp: l’area dedicata al GDPR sul sito di questa piattaforma è senza dubbio una delle più complete che ho visto e si rivolge specificamente a chi si occupa di web marketing o digital strategy. Tutte le risorse sono a cura di esperti e professionisti, e quindi molto attendibili. In particolare ti consiglio di leggere il White Paper sul GDPR, che è un ottimo compendio di tutto ciò che c’è da sapere.
  • Il registro dei consensi: non ho trovato esempi italiani per il registro, però sul sito del CNIL – più o meno l’equivalente francese del Garante della Privacy ma per il mondo digitale – sono disponibili dei modelli in Excel da scaricare e personalizzare. In attesa che la normativa italiana venga armonizzata, questo documento è un ottimo punto di partenza per elaborare il proprio registro.
  • Materiale ufficiale:
    • se non l’hai già fatto consulta il sito del Garante per la Privacy, che ha già pubblicato vari documenti e aggiornamenti.
    • in particolare consulta la Guida del Garante di cui ho parlato anche nel post.
    • prova a leggere anche il testo integrale del Regolamento: nonostante il linguaggio burocratico potrebbe chiarirti molti dettagli.
Leggi anche: Web, comunicazione e dati personali: cosa cambia con il GDPR il post dedicato ai punti principali del nuovo regolamento 

Come sempre se vuoi commentare questo post o segnalare ulteriori risorse puoi farlo nei commenti. Io aggiornerò questa pagina periodicamente con il materiale aggiornato e inserendo le segnalazioni che riceverò anche tramite i canali social.

Infine ho creato una breve infografica per riassumere i vari passaggi che ti ho suggerito [ 👇 scarica la versione ingrandita 👇].

Infografica 4 passi per adeguarsi al GDPR

Attenzione: come ho scritto all’inizio questo post è un elenco di buone pratiche e non sostituisce il parere di un legale. Se hai dubbi o domande specifiche sull’adeguamento al GDPR rivolgiti a un avvocato specializzato e/o a un professionista esperto nella protezione dei dati personali o nel settore della sicurezza informatica. 


Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *


Centro Preferenze Privacy

Necessari / Tecnici

Sono quei cookie necessari alla navigazione da parte dell’utente e raccolgono dati anonimi sull’uso del sito, necessari per controllarne il corretto funzionamento. La scadenza dei cookie non è mai superiore a 12 mesi.

PHPSESSIONID

Statistiche aggregate

Questo sito web utilizza Matomo, uno strumento di analisi che permette di monitorare il traffico del sito e raccogliere statistiche aggregate sull’uso di questo da parte dei visitatori. Tutte le informazioni sono raccolte in forma anonima, senza l’uso di identificativi che possano ricondurre a specifici utenti.
Matomo è installato direttamente sul server che ospita questo sito. Quindi i dati raccolti tramite Matomo non sono trasferiti a terze parti e in qualità di amministratrice di questo sito ho il completo controllo dello strumento.
Come specificato dal Garante per la protezione dei dati personali questi cookie sono quindi assimilabili a cookie tecnici, visto che sono installati direttamente dal gestore del sito per fini che escludono la profilazione. Pertanto i cookie di Matomo sono abilitati di default su questo sito. In ogni momento puoi comunque decidere di escluderli togliendo il segno di spunta alla casella che trovi nella pagina dedicata alla Privacy.

_ga, _gid, _gat, _gali

Terze parti

In alcuni casi i cookie sono necessari per servizi esterni utilizzati per mostrare materiale multimediale o provenienti da social network. Per esempio: i post di Facebook, i video di YouTube o le mappe di Google. La tipologia di dati raccolti da questi cookie dipende in gran parte dall'uso che l'utente fa di questi strumenti.

- vari -
lang,personalization_id,tfw_exp,mbox,eu_cn,eu_cn,_gid,_ga

Funzionali

In alcuni casi utilizzo i cookie per aggiungere funzionalità avanzate. Ad esempio per mostrarti la piccola finestra in basso a destra dello schermo che ti ricorda di iscriverti alla newsletter. Queste funzionalità saranno attivate solo accettando i cookies di questa categoria. Non sono essenziali per il funzionamento del sito, ma migliorano l'esperienza utente.

mailmunch_second_pageview,mailmunch_shown_

Marketing

Questo sito usa Facebook pixel, uno strumento fornito da Facebook per correlare le attività degli utenti su questo sito con i rispettivi account Facebook. In questo modo è possibile fornire agli utenti inserzioni pubblicitarie coerenti con i loro interessi. Puoi gestire le tue preferenze rispetto al pixel tramite la pagina dedicata su Facebook (vedi il link sottostante).

fr, vari
fr