Dati, dati, dati… tutte le imprese sono alla ricerca di dati personali e di contatto. Anche nel settore dei parchi divertimento e delle imprese turistiche, i dati costituiscono la nuova ricchezza. The Economist, qualche mese fa, ha definito, non a caso, i dati personali “la risorsa più preziosa del mondo” proprio per le potenzialità nell’ambito del business delle aziende e dell’esperienza utente. Possedere i dati dei clienti, ottenere i contatti di clienti potenziali, suddivisi magari per area geografica, interessi, età, significa fare marketing orientato a raggiungere proprio le persone più interessate alla nostra attività, con tecniche di Inbound Marketing. Il budget per la pubblicità sarà così impiegato al meglio, per raggiungere proprio i potenziali clienti.
L’impatto non è di poco conto per le aziende che gestiscono il database dei propri clienti e fornitori, oltre ai contatti di clienti potenziali, acquisiti con attività di lead generation.
Ecco quindi quali sono le novità introdotte dal Regolamento europeo e quali effetti il provvedimento esplica nei confronti del Customer Relationship Management, o CRM, lo strumento con il quale vengono gestiti e profilati i contatti aziendali.
1#: La gestione dei dati personali e il GDPR
Chi gestisce banche dati di clienti e fornitori deve però fare i conti con la loro gestione corretta e con la normativa sulla Privacy, in continua evoluzione. Dal 25 maggio 2018 sarà infatti operativo il GDPR (General Data Protection Regulation 2016/679), che sostituirà l’attuale Codice della Privacy (D.lgs. 196/2003), attualmente vigente in Italia.
Anche le strutture turistiche e i parchi di divertimento dovranno quindi adeguarsi alla nuova disciplina. Si tratta di un regolamento che, a differenza di una direttiva europea, é immediatamente esecutivo e non necessita di recepimento da parte dello Stato italiano. La gestione del provvedimento e delle sanzioni sarà affidata al Garante della privacy, che potrà integrare le disposizioni comuni agli Stat dell’Unione Europea, con specifiche delibere.
Il Regolamento europeo si divide in 6 sezioni e il Garante della privacy, nella guida, segue questa suddivisione
La Liceità del trattamento dei dati personali
Come già previsto dalla disciplina precedente, anche il nuovo Regolamento conferma che il trattamento deve fondarsi su una base giuridica, cioè sul consenso dell’interessato, che deve essere libero, specifico, informato e inequivocabile. Dunque non è possibile acquisire un consenso reso in forma tacita o presunta.
Quanto alla modalità di raccolta del consenso, il nuovo regolamento non prevede l’obbligo della forma scritta, a differenza della disciplina vigente. Tuttavia esso deve essere esplicito: sarà pertanto chi gestisce i dati personali a dover dimostrare di averlo ottenuto, anche oralmente. Quanto ai minori, il consenso può essere reso a partire dai 16 anni, diversamente è necessario che il consenso sia reso dai genitori o da chi ne abbia la patria potestà.
La Informativa sulla Privacy
Il GDPR prevede in questo caso alcune novità: i contenuti della informativa sulla Privacy sono tassativamente fissati dall’articolo 13 che prevede quanto meno l’obbligo di segnalare:
- l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
- i dati di contatto del responsabile della protezione dei dati, ove applicabile;
- le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
- gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
- ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale;
- il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
- l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati; , , , ,
- il diritto di proporre reclamo a un’autorità di controllo;
- se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
- l’esistenza di un processo decisionale automatizzato, compresa la profilazione e informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
I Diritti dei cittadini
Il nuovo Regolamento GDPR individua analiticamente i diritti degli interessati. Uno è il cosiddetto diritto all’oblio, ovvero il diritto di una persona a non comparire più in archivi, banche dati, mezzi di informazione o motori di ricerca, in relazione a fatti riguardanti la propria persona. Con l’entrata in vigore del Regolamento si ha il diritto di ottenere la cancellazione dei propri dati, anche online, da parte del Titolare del Trattamento.
Viene inoltre introdotto il diritto alla portabilità dei dati, che consente al cittadino di richiedere e ricevere dal Titolare del trattamento, in formato leggibile, i dati che lo riguardano nonché il loro trasferimento da un Titolare del trattamento a un altro. In sostanza chi cambia gestore telefonico, ad esempio, potrà evitare di prestare un nuovo consenso al trattamento dei dati, richiedendo il trasferimento di quelli già raccolti dal precedente fornitore.
Le figure del Titolare e del responsabile del trattamento dei dati personali
Il Regolamento introduce la figura del Titolare del trattamento dei dati personali (Data Controller), colui che ne è quindi responsabile giuridicamente e che ne individua le modalità di gestione, e del Responsabile del trattamento dei dati personali (Data Protection Officer, o DPO), che – prevede il GDPR – è designato con apposito contratto o altro “atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”. Il responsabile del trattamento è obbligato alla tenuta del Registro dei trattamenti svolti e all’ l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei dati.
Le imprese dotate di CRM, piattaforma per la gestione e profilazione dei dati relativi ai clienti e a quelli potenziali, utilizzata a livello gestionale e di marketing, dovranno vigilare, attraverso il DPO, soprattutto sulla gestione corretta e sicura di tali strumenti.
Le Sanzioni
Il mancato rispetto degli obblighi derivanti dal nuovo Regolamento comportano sanzioni amministrative pecuniarie fino a 20 milioni di euro, oppure per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.
E i Consensi già raccolti?
Il Garante per la Privacy ha segnalato che il consenso reso prima del 25 maggio 2018 resta valido se ha tutte le caratteristiche previste dal GDPR.
2# GDPR e gestione del CRM
L’impatto del Regolamento GDPR sulla gestione del CRM aziendale sarà significativo. L’approccio previsto dalla normativa GDPR, che richiama il concetto di Privacy by Default, ovvero un cambio di prospettiva rispetto al dato personale, che vede nel suo trattamento in sicurezza l’obiettivo primario, e di Privacy by Design, quindi della progettazione del sistema di raccolta dati e dei consensi sulla base del concetto di protezione dei dati e della loro riservatezza e sicurezza, condizioneranno molti aspetti del marketing. Ecco alcune implicazioni:
- Si dovrà gestire al meglio la relazione tra le varie professionalità aziendali o esterne, quali il Responsabile del trattamento dei dati personali, il responsabile Marketing e gli informatici che gestiscono il CRM, fino a coloro che si occupano di User Experience Design sul web. Tutte queste figure professionali utilizzano i dati o ne sono responsabili.
- La Customer Experience risentirà delle novità normative: i siti saranno infatti aggiornati con nuova modulistica per la raccolta di consenso, magari inserita in newsletter e landing page, e i contenuti realizzati per la raccolta di lead saranno rielaborati secondo il Regolamento, e archiviati in modo sicuro.
- L’Assistenza Clienti andrà formata per rispondere a specifiche domande sulla gestione dei dati personali.
- La User Experience sarà quindi condizionata da nuovi moduli, utilizzo di campi da compilare o flaggare, e da informative che devono essere riprogettate e comunicate come un elemento di garanzia per la privacy dell’utente, anche se percepite come vere e proprie scocciature da chi naviga sul web e vuole magari solo un preventivo per la polizza auto.
- L’acquisto di liste di email, alla luce del nuovo Regolamento GDPR, è di fatto una pratica non più consentita. Sarebbe difficile raccogliere il consenso per ognuna delle email non avendo il permesso di inoltrare email di carattere commerciale.
- Infine il Regolamento GDPR incide sulle tecniche di profilazione degli utenti. Del resto, a cosa serve un CRM se non a classificare i clienti sulla base di interessi, età, storico degli acquisti e altri elementi utili alle campagne di marketing? Di fatto, ai sensi dell’art. 22 del GDPR, si effettua una profilazione se si adotta un trattamento automatizzato, eseguito su dati personali e finalizzato alla valutazione di aspetti personali o comportamentali di una persona fisica. In questo caso si ha l’obbligo di informare l’utente e di consentirgli di rifiutare di essere profilato. Il consenso alla profilazione andrà reso su specifica richiesta nell’informativa sui dati personali, e non nell’ambito di un generico consenso al trattamento.
E la gestione e archiviazione dei biglietti da visita raccolti nel corso di una fiera? Le implicazioni con strumenti di monitoraggio come Google Analytics? Si tratta anche in questo caso di consenso esplicito e informato? Nei prossimi mesi ci sarà molto lavoro nelle aziende e per il Garante della Privacy …
Intanto siamo davanti a una nuova farsa all’italiana: è del 25 maggio la notizia che non avremo un provvedimento di recepimento del GDPR fino al 21 agosto. Per carità, non è indispensabile, perché la Direttiva supera le norme nazionali, tuttavia la Direttiva e la disciplina italiana del 2003 restano entrambe in vigore ma non armonizzate. Hanno fatto tardi. Poveri noi!