Uno degli aspetti che rende particolarmente affascinante internet è la sua intangibilità. Quando pensiamo alla rete, possiamo facilmente immaginarla come uno spazio virtuale, in cui al posto di pianeti, stelle e galassie ci sono informazioni e dati. È importante capire come proteggere questi dati e, se sei un’azienda, è essenziale sapere come gestirli per non incorrere in battaglie… spaziali.
Gestire i propri dati personali
La realtà sarà anche virtuale, ma le problematiche che riguardano la protezione dei dati personali è concreta. I nostri dati, provenienti da dispositivi informatici e telematici, percorrono ogni giorno collegamenti e traiettorie che, una volta intercettati, rappresentano una vera e propria miniera d’oro per le aziende. Queste informazioni astratte infatti definiscono persone reali, le loro vite, il loro passato, le loro abitudini. Ecco perché negli ultimi anni si è resa necessaria una regolamentazione per la protezione dei dati.
A quali informazioni diamo accesso ogni volta che inviamo un CV, sottoscriviamo una carta fedeltà, visualizziamo documenti o cartelle cliniche? Principalmente alla nostra identità e a dati sensibili come il nostro indirizzo, i luoghi che frequentiamo, i nostri gusti e molto altro: così le aziende possono ricostruire una vera e propria carta di identità ricchissima di dettagli su chi siamo, quali sono i nostri comportamenti (anche d’acquisto) e molto altro ancora.
Da un’analisi di ForgeRock e The Economist sulla privacy dei consumatori è emerso che questi sono diventati sempre più consapevoli dell’uso che le aziende fanno delle loro informazioni personali, cedute quando si richiedono dei servizi (i moduli di consenso e disiscrizione sono tra le preoccupazioni principali). Oggi è sempre più difficile filtrare i dati che vengono comunicati in automatico grazie all’Internet of Things: ogni cosa è “connessa” e trasmette dati senza che ce ne accorgiamo. Il 79% degli intervistati ha espresso particolare preoccupazione per i momenti in cui effettuano pagamenti online e accedono a messaggistica personale e social network: queste attività sono considerate le più rischiose per i propri dati, i quali valgono al punto da mettere le caratteristiche di sicurezza dei dispositivi al primo posto quando si tratta di scegliere smartphone e laptop, prima ancora di accessibilità economica e facilità d’uso.
Attività di marketing e utilizzo dei dati
Quasi nove intervistati su dieci (86%) desiderano gestire le proprie informazioni personali in modo proattivo, possibilmente usando canali che ne garantiscano la riservatezza. I partecipanti vogliono poter controllare quali informazioni vengono raccolte dai dispositivi collegati e la maggioranza chiede trasparenza sulla raccolta automatica dei dati, anche se spessissimo questi dati, come abbiamo accennato prima, vengono trasmessi in modo involontario e senza molta chiarezza attraverso questi dispositivi.
Ecco perché le aziende devono porre particolare attenzione all’uso che fanno dei dati ricevuti dai propri utenti e clienti: se è vero che una strategia di marketing non può fare a meno di raccoglierli, è anche essenziale che tenga conto dei bisogni e della soddisfazione dei clienti per quanto riguarda la loro privacy. Il marketing diretto è particolarmente interessato dall’impatto sulla protezione dei dati: per questo si è reso necessario un intervento mirato del Garante della Privacy all’interno del GDPR 679/2016. Le basi giuridiche dell’articolo 6 prevedono ad esempio il consenso, il legittimo interesse, gli obblighi di legge e gli obblighi derivanti dal rapporto contrattuale con l’interessato. Vediamo più nello specifico di cosa si tratta.
Vuoi restare sempre aggiornato sul mondo del digital marketing? Iscriviti alla newsletter
Il GDPR
Il GDPR è il Regolamento generale per la protezione dei dati personali: pubblicato il 4 maggio 2016 sulla Gazzetta Ufficiale europea, è entrato in vigore due anni dopo, il 25 maggio 2018. Si tratta di una normativa complessa che tiene conto anche di usabilità dei dati, tecnologie di sicurezza e fattori umani: ecco perché è bene studiarlo con attenzione per adempierne gli obblighi. Tutte le aziende devono essere conformi, di qualsiasi settore facciano parte.
Il GDPR in sintesi si basa su principi di protezione dei dati come legalità, correttezza, trasparenza, limitazione dello scopo, limitazione e conservazione dei dati, confidenzialità e responsabilità (qui entra in gioco il DPO, di cui parleremo tra poco).
L’azienda, per essere certa di rispettare la privacy degli utenti, dovrà:
- Verificare i dati e categorizzarli a seconda del tipo, della finalità e della base giuridica del trattamento, redigendo il registro dei trattamenti
- Aggiornare l’informativa privacy
- Verificare le modalità di ottenimento del consenso e verificare l’età degli utenti
- Stabilire l’autorità di vigilanza.
Le figure che garantiscono la privacy
Chi si occupa di proteggere la privacy dei cittadini? In ogni Stato dell’Unione europea esiste un’autorità di controllo che gestisce i reclami o le violazioni del regolamento europeo: in Italia si tratta del Garante per la protezione dei dati personali, un’autorità amministrativa istituita nel 1996 e disciplinata oggi dal Codice in materia di protezione dei dati personali. Il Garante privacy prescrive le misure da adottare secondo la legge, esamina i reclami, adotta misure per limitare o punire con sanzioni in caso di violazione, promuove la buona condotta e partecipa ad attività comunitarie e internazionali in materia di privacy.
Se a livello nazionale possiamo contare sul Garante, per le aziende è previsto il DPO (Data Protection Officer), il responsabile legale della protezione dei dati designato dal titolare e dal responsabile del trattamento dei dati. Ha il compito di far applicare le norme del GDPR in modo corretto al fine di evitare sanzioni o problemi per l’azienda. Gestisce e protegge la sicurezza dei dati personali e aziendali.
Vincoli alla raccolta dei dati
Quasi un terzo degli intervistati di ForgeRock afferma che sarebbe efficace un impegno da parte delle singole aziende, oltre che da un codice di condotta mantenuto collettivamente, e chiede che i governi sviluppino degli standard di privacy per garantirne l’applicazione. Il 92% chiede punizioni più severe per le aziende che violano la privacy dei consumatori. La buona notizia (un po’ meno buona se la tua azienda non è alla pari con la normativa) è che i consumatori sono stati esauditi, almeno in parte.
Quali sono i reati previsti dalla normativa europea e italiana in materia di protezione dei dati? Vediamo i principali:
- Trattamento illecito di dati
- Comunicazione e diffusione illecita di dati personali
- Acquisizione fraudolenta dei dati
- Inosservanza dei provvedimenti del Garante Privacy
- Violazione di controlli a distanza dei lavoratori.
In poche parole, il trattamento dei dati deve essere conforme alla legge e perseguire uno scopo legittimo.
Vuoi restare sempre aggiornato sul mondo del digital marketing? Iscriviti alla newsletter
Cosa deve fare la tua azienda
In quanto titolare, hai il dovere di predisporre autorizzazioni corrette e formazione al personale che accede ai dati per le attività di marketing. Se non hai previsto delle figure interne alla tua azienda, puoi affidarti a un’agenzia che lo faccia per te: in questo caso il titolare e il responsabile del trattamento sottoscrivono un accordo come da articolo 28 del GDPR.
I dati non possono essere trasferiti all’estero a meno che non ci siano garanzie idonee, anche e soprattutto per le attività di marketing e comunicazione. I dati dovranno avere un registro, di cui si devono occupare titolare e responsabile del trattamento, ed essere protetti con le adeguate misure di sicurezza in base al rischio che prevede il tipo di dati trattati e la dimensione dell’azienda. Eventuali segnalazioni al Garante Privacy andranno fatte entro i termini stabiliti dalla normativa. In quali sanzioni puoi incorrere se non rispetti la normativa? Si va dalle sanzioni pecuniarie di minore entità (articolo 83 del GDPR) fino ai 10.000.000 di euro per le imprese e al 2% del fatturato totale annuo.
Il regolamento sulla privacy
Il GDPR prevede che il titolare del trattamento dati fornisca le informazioni richieste all’utente che cede i propri dati. Come? Attraverso l’informativa sulla privacy.
Si tratta di dare all’interessato tutte le informazioni riguardanti la raccolta, le finalità e le modalità dei trattamenti per assicurare la massima trasparenza e correttezza: tutto questo rende il suo consenso valido e legittimo.
I dati devono essere trasmessi secondo regole semplici e chiare, facilmente comprensibili dagli utenti: l’informativa quindi deve essere accessibile e messa per iscritto, anche con l’eventuale utilizzo di immagini, in modo da essere controllata dagli organi di vigilanza. È importante quindi inserirla all’interno del sito web aziendale, in homepage, ma anche nelle comunicazioni cartacee ed elettroniche.