Cos’è il GDPR? introduzione e principi base della normativa
Il nuovo regolamento generale sulla protezione dei dati (acronimo GDPR, General Data Protection Regulation) è una normativa comunitaria che controlla in che modo le società e altre organizzazioni gestiscono i dati personali. Si tratta dell’iniziativa più significativa in materia di protezione dei dati degli ultimi 20 anni, con notevoli implicazioni per qualsiasi organizzazione nel mondo che si rivolge a soggetti dell’Unione europea. Rappresenta inoltre una rivoluzione nell’approccio al trattamento dei dati personali.
Perchè è una rivoluzione? quali paesi sono coinvolti?
- è la prima riforma dopo il 1995: andrà a sostituire la Direttiva sulla protezione dei dati del 24 ottobre 1995 ed aggiornerà la direttiva ePrivacy del 2002 ampliando la disciplina. Oggi i dati sono una materia prima, un bene essenziale dell’economia.Per comprendere la portata del fenomeno, basti pensare che senza la raccolta e lo scambio efficiente di dati non potrebbero esistere la sharing economy, il marketing comportamentale, il behavioral advertising e l’Internet of Things. Era quindi una modifica davvero necessaria (qui trovi un approfondimento prima della normativa su come diritto e web cooperavano)
- è una normativa a livello europeo e non impatterà solo le entità fisiche ma anche virtuali che hanno a che fare con i consumatori (data subject chiamati anche citizen ovvero i cittadini del web), le aziende(che avranno un data controller) e i data process ovvero chi fornisce i dati come (google analytics, facebook adwords ecc). Tutta l’unione europea sarà soggetta a queste regole, ma i paesi potrenno redigere delle informative più rigide come adesso stanno facendo UK e Germania. Abbiamo a che fare con l’ambito delle attività.
- Il nuovo regolamento nasce per rafforzare i diritti delle persone riguardo ai propri dati personali e mira a unificare le leggi sulla protezione dei dati dei vari paesi europei a prescindere da dove vengano elaborati i dati. pensa a quanto è importante questo legato ai temi di cyber security (detti data Breach). in questo senso le aziende dovranno proteggere i dati delle persone e dovranno notificare le violazioni al garante.
Perchè è importante informarsi? quali sono le sanzioni?
Se il tuo sito serve persone fisiche dall’UE e tu, o i servizi integrati di terze parti, quali Google e Facebook, elaborano qualunque tipo di dato personale, è necessario seguire tutte le nuove le regole che hanno a che fare con il consenso dei visitatori (come ad esempio i form di richiesta dei dati e il tracciamento della visita con gli strumenti di web analytics) , il banner della normativa che comprare sul sito e l’informativa della privacy.
Le sanzioni imposte dal GDPR saranno più alte delle attuali. Il limite massimo sarà stabilito dall’autorità nazionale (in Italia, il Garante per la protezione dei dati e i giudici), in base ai seguenti criteri:
- Se l’autore della sanzione è un’azienda singola (non parte di gruppi), la sanzione massima arriva a 20 milioni di euro
- Se l’autore della sanzione fa parte di un gruppo, la sanzione viene calcolata in base percentuale sul fatturato dell’intero gruppo fino al 4% del fatturato mondiale
Quando e per chi è valido il GDPR?
è stato redatto nel 2016 sotto il nome di regolamento per la privacy e sarà attivo il 25 maggio 2018. Gli effetti però saranno validi in modo retroattivo quindi tutte le regole dovranno essere aggiornate anche per i dati storicizzati.
Gli attori interessati sono 4:
- Data subject ovvero i proprietari dei dati ovvero i consumatori (e non le persone giuridiche come le aziende)
- Data controller ovvero le aziende che usano i dati per i loro scopi
- Data Processor ovvero i servizi che collezionano i dati che le aziende usano come facebook o google analytics
- Data Protection officer ovvero la persona che si occuperà di questa normativa e di farla rispettare all’interno dell’aziena
Cos’è un dato personale e cos’è il consenso?
qualsiasi dato che permetta ad un utente di essere riconosciuto come nome, mail, numero, dato geografico, o altri fattori inerenti allo stato economico, culturale, genetico ecc. L?articolo 4.1 del GDPR recita così:
[…] Any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.
Sebbene la definizione sia un po’ generica possiamo applicarla meglio al marketing se consideriamo nel dettaglio anche:;
- Gli identificativi online, quali indirizzi IP, sono ora considerati dati personali, a meno che non vengano anonimizzati.
- Anche i dati personali pseudonimizzati sono soggetti al GDPR, se tramite operazioni di reverse engineering è possibile identificare a chi appartengono i dati come iD utente o email criptate
- Nel marketing stiamo parlando dei dati geografici di google analytics, i darti di profilazione di facebook ad esempio , e le email lasciate per le campagne di email marketing, ma anche delle immagini degli influencer e così via.
Tutte le volte che si usano questi dati per fare analisi (google analytics), per la profilazione (cluster di email marketing) o per la vendita abbiamo bisogno di chiedere il consenso all’utente per ogni tipo di scopo.
Articolo 4.11 chiarisce come questo consenso debba essere esplicito ovvero caratterizzato come un azione affermativa presa conoscendo tutti gli scopi dell’utilizzo di quei dati.
[…] Any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her.
Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject’s agreement to the processing of personal data […]. This could include ticking a box when visiting an internet website, choosing technical settings for information society services or another statement or conduct […]. Silence, pre-ticked boxes or inactivity should not therefore constitute consent.
Esiste inoltre una differenza tra dati personali degli utenti (B2C) e i dati delle aziende (B2B) come una mail nome@gmail.com e info@nomeazienda.com. nella legislazione questi dati vengono trattati in maniera diversa e si fa riferimento solo ai dati personali e non hai dati di persone giuridiche
Quali sono i diritti dei “data subject” ovvero delle persone che navigano su internet?
oggi giorno ormai esistono tanti modelli di business che non sono regolamentati e che usano i dati degli utenti a scopi economici. Basta pensare a facebook che usa i dati degli utenti per la pubblicità e allo scandalo di cambridge analticys che ha usato i dati di facebook per influenzare le elezioni USA. Per questi motivi è stata redatta una carta dei diritti degli utenti digitali e non:
- il diritto ad accedere ai suoi dati in ogni momento (sezione 2, articolo 15)
- il diritto a recedere il consenso o a rettificare e quindi modificare parte di esso (sezione 3, articolo 16)
- il diritto di opporsi e di rifiutare il consenso al trattamento dei dati (sezione 3, articolo 14)
- il diritto all’oblio ovvero che vengano cancellati tutti i dati di quella persona, se richiesto (sezione 3, articolo 17)
- il diritto di scegliere il tipo di consenso a seconda di come i dati verranno utilizzati (sezione 3 articolo 18)
- il diritto alla portabilità del dato (sezione 3, articolo 20) ovvero ottenere e rituilizzare i propri dati anche tramite download
in nessun caso si possono collezionare dati di minori (sotto i 16 anni, art.8)
Cos’è la profilazione?
la profilazione è più del collezionamento del dato. si usa quando si applica una condizione ai dati per analizzarli meglio. Ad esempio se decido di mandare una mail a tutte le donne quella è una profilazione. è una profilazione tutto quello che:
- permette di processare ed analizzare i dati
- riguarda i dati personali
- ha l’obiettivo di predirre un comportamento o di prendere decisioni su questi.
Cosa fare per essere in regola alla normativa ovvero GDPR compliant?
una volta definito l’ambito delle attività, chi è interessato e che comportamento bisogna avere vediamo insieme le regole che ci permettono di rispettare la normativa. Queste hanno a che fare con l’attuazione di misure tecniche ed organizzative adeguate e con la possibilità di essere in gradi di dimostrare che sono state attuate,
NUMERO 0 – FARE UN AUDIT DEI DATI COLLEZIONATI
Assicurarsi di sapere
- dove sono custoditi tutti i dati, geofraficamente dove si trovano? sono in EU?
- chi dispone dell’accesso e su quali dispositivi.
- Identificare dove vengono elaborati i dati personali, incluso nel caso di responsabili terzi del trattamento dei dati.
- si fa un doubel optin?
- in passato hai chiesto il consenso? lo hai conservato?
- avevi inserito gli scopi dell’utilizzo nella tua privacy policy?
- permetti agli utenti di cancellarsi?
qui trovate una bella checklist
NUMERO 1 – CHIEDERE IL CONSENSO AL TRATTA MENTO DEI DATI
all’interno del GDPR le norme sono molto rigide. Il consenso deve essere chiesto in questo modo:
- il consenso deve essere libero e quindi non può essere usato pre precondizionare delle azioni
- va inserita la clausola al consenso ogni volta che si richiede un dato personale
- Specifico: le richieste di consenso devono essere differenziate per obiettivo e differenziate dai termini e condizioni generali: quindi se qualcuno fa il download di un ebook lasciando la sua mail se vogliamo usare quella mail per mandare comunicazioni email dobbiamo fargli spuntare due consensi, uno per scaricare l’ebook e l’altro per riceve mail. Stessa cosa se un cliente lascia la propria email per ricevere informazioni sull’ordine, ma non spunta la casella per ricevere comunicazioni di carattere commerciale. E’ quindi necessario esplicitare bene lo scopo di ogni richiesta del dato nella sezione della privacy policy del sito. L’articolo 32 recita così:When the processing has multiple purposes, consent should be given for all of them. If the data subject’s consent is to be given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.
- è necessario inserire un opt-in, si raccomanda fortemente che sia un double opt-in ovvero che l’utente confermi due volte l’iscrizione (come ad esempio tramite un flag e poi tramite mail di conferma)
- informato e non ambiguo: non è possibile chiedere il consenso in modo tacito, ma deve essere esplicito come ad esempio “usando questo siti accetti a registrare cookie” è un consenso tacito, mentre mettere un flag è un consenso esplicito. Allo stesso modo non sono più validi flag pre-impostati. Si consiglia di usare quelli che si chiamano i “cookie box” che chiariscano subito l’intento e chiariscano lo scopo.
quindi per ottenere un consenso valido, è necessario descrivere al visitatore in che misura e a che scopo vengono elaborati i dati, utilizzando un linguaggio semplice, prima di procedere all’elaborazione di qualunque dato personale.
NUMERO 2 – STORICIZZARE IL CONSENSO
è necessario storicizzare il consenso collezionando i seguenti dati:
- chi ha acconsentito
- quando hanno acconsentito
- cosa gli è stato detto quando hanno acconsentito
- come hanno acconsentito (checkout, login di facebook ecc)
- quando hanno ritirato il consenso
l’articolo 7 comma 1 dichiara: “Where processing is based on the data subject’s consent, the controller should be able to demonstrate that the data subject has given consent to the processing operation.” Questo vi permetterà di non incorrere alle sanzioni.
Quindi ogni organizzazione deve custodire un registro e monitorare le attività di elaborazione dei dati personali e tutti i consensi devono essere registrati come prova che il consenso è stato prestato. Tutti i consensi devono essere documentati come prova, e tutti i tracciamenti di dati personali, anche da parte di servizi integrati di terze parti, devono essere documentati, ivi inclusi a quali paesi vengono trasmessi i dati.
Ricordati che la regola è retroattiva quindi devi richiedere e storicizzare il nuovo consenso anche ai tuoi vecchi contatti.
NUMERO 3 – PERMETTERE DI CANCELLARE I DATI DEGLI UTENTI SE LO RICHIEDONO
è necessario dare la possibilità ad un utente di cancellare le proprie informazioni storicizzate qualora lui lo chieda. Questa richiesta deve seguire le seguenti regole:
- non può essere richiesto denaro in cambio della cancellazione
- per effettuare questa operaizone è necessario richiedere solo la mail del richiedente
- non deve essere necessario fare login per cancellare questi dati
- non si deve obbligare l’utente a visitare più di una pagina per fare la richiesta.
Articolo 7 comma 3 dice infatti: “The data subject shall have the right to withdraw his or her consent at any time. (…) It shall be as easy to withdraw as to give consent.”
Ciò vuol dire che queste informazioni devono essere disponibili al visitatore in qualsiasi momento, ad esempio all’interno dell’informativa sulla privacy. Inoltre, è necessario fornire un modo semplice al visitatore per consentire di modificare o revocare il consenso.
NUMERO 4 – AGGIORNARE O REDIGERE L’INFORMATIVA DELLA PRIVACY
l GDPR rivoluziona l’informativa: semplice, trasparente, comprensibile, senza riferimenti normativi, scritta in linguaggio corrente. Deve consentire di comprendere, a colpo d’occhio, che fine fanno i dati forniti. non si può più usare il linguaggio legale, ma devono essere comprese dal navigatore medio “averege Joe”. Articolo 58
The principle of transparency requires that any information addressed to the public or to the data subject be concise, easily accessible and easy to understand, and that clear and plain language and, additionally, where appropriate, visualisation be used. […]This is of particular relevance in situations where the proliferation of actors and the technological complexity of practice make it difficult for the data subject to know and understand whether, by whom and for what purpose personal data relating to him or her are being collected, such as in the case of online advertising.
è necessario esplicitare:
- quali informazioni vengono collezionate
- chie le sta collezionando
- come li stanno collezionando
- perchè e che utilità ha questa collezione
- come verranno usati questi dati
- a chi saranno condivisi
- quale sarà l’effetto per gli individui
- per quanto tempo i dati verranno collezionati ovvero è necessario stabilire i tempi di conservazione. La normativa si limita a dire che i dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento cioè al minimo necessario
inoltre deve essere possibile potersi cancellare. Qui trovate una bella guida con esempi e qui invece trovate la super informativa di Airbnb
NUMERO 5 -FORMAZIONE, GESTIONE DEL PROCESSO e IL DATA PROTECTION OFFICER
ogni azienda ha bisogno di introdurre una nuova figura chiamata “data protection officer” che ha il compito di verificare il corretto trattamento dei dati, predisporre il documento di Privacy Impact Assessment e in generale valutare che non vi siano rischi legati al trattamento dei dati. Altrimenti La normativa prevede che la gestione degli obblighi relativi al trattamento dei dati sia affidato all’esterno, in outsourcing, sulla base di un contratto di servizio.
è inoltre necessario effettuare una formazione del personale sui principi di sicurezza informatica, “privacy by design” ovvero privacy presente nel design del sito e “privacy by default” ovvero che usi solo i dati strettamente necessari.
- Privacy by design: Creazione di prodotti, applicazioni e servizi che tengano conto sin dalla loro progettazione, delle regole e dei principi di protezione dei dati, in modo da minimizzare a priori la raccolta dei dati e i trattamenti successivi.
- Privacy by default: Misure tecniche e organizzative funzionali a garantire che, fin dalla raccolta, vengano trattati solamente i dati personali necessari alle finalità perseguite, secondo i principi di necessità, pertinenza, adeguatezza e non eccedenza rispetto alle finalità.
È possibile ottenere le qualifiche di “EU GDPR Foundation” (EU GDPR F) e “EU GDPR Practitioner” (EU GDPR P) (accreditate ISO 17024) con diversi corsi tenuti, ad esempio, da IT Governance, o dalla International Association of Privacy Professionals (IAPP), che fornisce a sua volta una formazione online. Esiste anche un master del sole24ore a tal proposito, per diventare data protecion officer
Come il GDPR impatta i nostri strumenti di marketing?
il regolamente non parla in modo specifico di nessun strumento ma ha chiaramente degli impatti su ognuno di questi
WEB ANALYTICS & ADVERTISING & A/B TEST: tra analisi dei dati e pubblicità
i sistemi di web analytics utilizzano degli identificatori di sessione o utenti detti cookie. Ogni cookie ha un ID o fingerprint, insomma un’impronta per cui è possibile riconoscere il visitatore. Inoltre questi sistemi utilizzando lIP per capire da dove si è connesso quel cookie. Questo esempio trova un applicazione pratica nel report User Explorer di Google Analytics dove posso vedere esattamente che azioni ha fatto quel cookie sul mio site web.
Inoltre google analytics utilizza alcuni dati non solo per l’analisi ma anche per la profilazione assegnando un genere, un età, un luogo a quei cookie nelle funzioni chamate “funzioni pubblicitarie” che ci permettono poi di fare liste di remarketing da utilizzare nei sistemi di advertising. Allo stesso modo utilizza i cookie per le attività di A/b test.
Per questi motivi Google analytics funge il ruolo di “data processor” e la tua azienda è il “data controller” responsabile dei dati inviati a google analytics.
Alcuni browser non permettono di storicizzare questi dati come ad esempio Safari che ha un sistema di “intelligent tracking ptoection” abilitato di default. In ogni caso tutti i browser hanno la possibilità di abilitare o disabilitare questa funzione “do not tack” (DNT) e possono rappresentare dal 5%-20% del traffico (ricerca). pensate all’estensione ad-block.
Abbiamo detto che il GDPR considera dati online anche gli identificatori generici e i dati di luogo e devono essere protetti come tutti gli altri dati. Anche i cookie fanno parte di questa categoria. Questo implica che anche l’utilizzo di Google analytics è sottoposto alla normativa.
Per tutto quelli che riguarda le informazioni personali identificative come la mail (PII) Google analytics ci diceva già che non era possibile collezionarle. infatti il GDPR non dice niente a proposito di questo punto ma si fa riferimento dall’art. 32 del Regolamento 2016/679
Vediamo insieme cosa fare nella pratica:
1.é necessario controllare che non siano presenti informazioni personali come nome, mail o numero di telefono all’interno di questi report:
- all’interno delle URL e quindi nei report di pagina anche considerando i parametri dinamici come le “query string”
- alla’interno degli eventi, come quando un utente lascia il numero di telefono e parte un evento GA o la mail
- come dimensioni personalizzate
2. è necessario anonimizzare l IP. Con google tag magaer questa operazione è molto facile da compiere. chiaramente sarà meno preciso poter identificare da quale luogo proviene quel cookie e quindi i report geografici ne resentiranno.
3. è necessario controllare anche quelli che si chiamano “pseudonymous identifiers” ovvero email user id e altre informazioni personali che vengono rese anonime ma è possibile ricondurre in un secondo momento ad un utente preciso. Parliamo quindi di
- user ID criptato che proviene dal CRM e viene storiccizzata all’interno di google analytics come custom dimensiomn
- email criptata, utilizzata quando un utente fa login o lascia la mila per scaricare un ebook ad esempio
- transaction ID, id della transazioni spesso uguale a quella del CRM
Se collezioni questi 3 tipi di dati devi chiedere il consenso esplicito all’utente.
4. è necessario aggiornare la privacy policy esplicitando tutti gli scopa sopra citati come analisi e profilazione per Google analytics, il remarketing e gli AB test.
Nota: google analytcs sta lavorando per darci la possibilità di sapere ad esempio, dove si trovano i dati e quanto dura il collezionamento. Per tutte le persone che usano GA stanno arrivando delle mail con le principali informazioni (prima email inviata Aprile 2018)
EMAIL MARKETING
- è chiaramente necessario aggiornare il consenso rendendolo libero, specifico, informato e non ambiguo come da regolamento (articolo 32)
- è necessario differenziare l’utilizzo del consenso per ogni obiettivo si collezione dell’email (scaricare ebook o riceve mail informative)
- è vivamente consigliato il bouble opt in
- non si possono più usare flag preimpostati
- devi farti dare il consenso anche dai tuoi vecchi contatti e quindi devi creare un piano effettuando un check della situazione attuale, una mail dove si richiede il consenso e il salvataggio di chi accetta
- è possibile comprare contatti email solo se è stato esplicitato tra gli obiettivi e le persone hanno acconsentito
- in ogni mail deve essere presenta la possibilità di cancellarsi a 1) comunicazioni di marketing 2) tutte le comunicazioni 3) cancellare tutti i suoi dati storicizzati
a questo link trovate una bella intervista di Mailup
SOCIAL MEDIA ANALYSIS & LISTENING
tutte le attività come la ricerca degli influencer, la sentiment analysis basata sui commenti online non saranno più disponibili come le conosciamo ora. Aspetteremo di vedere come si comporteranno gli strumenti che usano API, analizzano nomi e commenti.
Facebook ad esempio in questo caso è un data controller e dovrà essere lui ad assicurare l’utilizzo di dati “legali” per le analisi. Nel caso in cui si faccia advertising su facebook con dati del CRM o custom audience facebook diventa data processor (approfondimento)
WORDPRESS E GESTIONE SITI HTML
in questo caso le persone che gestiscono i siti web si dovranno occupare del data design ovvero delle soluzione grafiche per richiedere il consenso. L’informativa della privacy invece sarà di competenza di un legale. per le PMI esistono servizi come cookie bot che fanno già queste cose ma vi consiglio, come per google analytics, di aspettare le mail di wordpress ed evitare vari plugin non legali o corretti.
HAI BISOGNO DI UN AIUTO PER LA TUA AZIENDA? MARKETING FREAKS E L’UNIVERSITA’ DI BARCELLONA SANNO COSA FARE
Esistono soluzioni per grandi e piccole aziende, per le piccole potrebbe usare cookie bot per il data design e default per quelle grandi esistono aziende specializzate come IBM, PWC, Onetrust e così via.
Noi sappiamo che questa legge è molto difficile da comprendere e soprattutto non si sa bene da che parte iniziare. Per questo motivo noi di marketing freaks, in collaborazione con l’università di Barcellona (e in particolare il professor Pere Juarez Vives ) offriamo corsi aziendali per la comprensione e l’attuazione della normativa tramite il metodo LEGO Seriosu Play. Questo metodo utilizza le LEGO per migliorare il processo di apprendimento e creazione delle idee e calza a pennello per spiegare temi così difficili.
I servizi offerti comprendono:
- Formazione aziendale tramite apprendimento esperenziale (giocando e non studiando) sulla comprensione dei dati personali e del consenso; sulla gestione del data design e dell’informativa; i ruoli delle persone nel processo (quando , come e cosa chiedere a chi)
- Worskhop per migliorare la relazione tra azienda e data officer protector: anche se usate esperti legali siete voi a dovergli dire che tipo di dati usate. è fondamentale capire la tipologia del dato e la sua finalità al fine della redazione corretta della privacy policy
Raccontami e io dimenticherò, insegnami e potrei ricordare, coinvolgimi e io imparerò
Se ti interessa contattaci tramite questo form! altrimenti vienici a trovare al nostro workshop gratuito il 19 Maggio a Navacchio, Pisa (link evento)
Errore: Modulo di contatto non trovato.