Floriana Capone
GDPR e Marketing Automation: come agire nel rispetto della compliance
Come fare marketing automation rispettando le norme del GDPR? Questo è un tema che dall’introduzione del Regolamento UE 2016/679 ha generato non pochi dubbi (e preoccupazioni) agli imprenditori che fanno dell’automazione una delle principali strategie di marketing, soprattutto per gli e-commerce.
illustrazione di Francesco Zorzi
Avere la possibilità di mostrare il contenuto giusto, alla persona giusta e nel momento giusto è un’arma potentissima e (se fatta bene) la marketing automation può portare ottimi risultati per gli shop online e per ogni business in generale.
Al contempo, però, la stringente compliance europea che tutela la privacy delle persone fisiche implica una serie di paletti da rispettare affinché questa proficua attività di marketing non generi problemi per le aziende e per i consumatori.
La questione sorge soprattutto perché la marketing automation per e-commerce funziona se si dispone di una serie di informazioni approfondite sugli utenti, soprattutto informazioni comportamentali, (oltre ai più comuni dati anagrafici) e la raccolta e l’utilizzo di questi dati, dal punto di vista della privacy, rientra nel complesso concetto di “profilazione”.
Vediamo allora con Floriana Capone, Avvocato dell’e-commerce, partner di isendu e founder di E-commerce Legale, qual è il rapporto che intercorre tra GDPR e marketing automation e quali sono gli obblighi delle imprese per essere in regola ed evitare pesanti sanzioni.
Perché è necessario rispettare il GDPR quando fai Marketing Automation?
Oltre alla questione legale, che chiaramente rappresenta un vincolo imperativo, fare attività di marketing automation rispettando il GDPR significa creare un asset di valore per l’impresa.
Perché? Pensiamo, per esempio, a una delle attività più semplici e comuni di automazione, l’email marketing.
Inviare raffiche di email a contatti che non hanno dato il consenso a ricevere comunicazioni commerciali e che, molto probabilmente, non sono interessati a prodotti e servizi offerti o non gradiscono questo tipo di interazione, significa sparare nel mucchio senza ottenere grandi risultati, anzi, generando un effetto opposto rispetto a quello sperato.
Il classico spamming selvaggio finisce solo per infastidire il consumatore, creando un’immagine negativa del brand che attua queste azioni “moleste”.
Al contrario, rispettando la compliance, si costruisce un rapporto di fiducia e trasparenza tra brand e consumatore e l’attività di marketing risulterà certamente più centrata, efficiente ed efficace.
Ma entriamo maggiormente nel tecnico, analizziamo nel dettaglio come impattano le norme sulla privacy sulle attività di marketing automation.
Profilazione e Trattamento Automatizzato nel GDPR
Per farlo, innanzitutto, è bene riprendere i passaggi del Regolamento Europeo che affrontano i concetti di profilazione e trattamento automatizzato, le attività che nella pratica sono alla base della marketing automation.
Nell’art. 4 del GDPR, l’articolo che contiene tutte le definizioni utili a una migliore comprensione del Regolamento stesso, è specificato che per profilazione si intende “qualsiasi forma di trattamento automatizzato di dati personali” utile ad analizzare e prevedere diversi aspetti relativi a una persona.
Ad esempio?
- La situazione economica;
- la salute,
- l’ubicazione o gli spostamenti;
- le preferenze e gli interessi personali.
Imprenditori e marketers oculati sanno bene quanto queste (e altre) informazioni siano estremamente utili e spesso necessarie per fare marketing automation, in particolare l’ultima voce in elenco.
La definizione parla, dunque, di trattamento automatizzato. Ma nella pratica, quando un trattamento può definirsi tale?
L’European Data Protection Board (ex WP29) afferma che:
“Il processo decisionale esclusivamente automatizzato consiste nella capacità di prendere decisioni impiegando mezzi tecnologici senza coinvolgimento umano”
Questo processo decisionale può essere basato su qualsiasi tipo di dato, come ad esempio:
- dati forniti dall’interessato;
- dati osservati;
- dati derivati o desunti.
Queste definizioni esplicano come ogni attività di marketing automation, quindi, è soggetta a quanto normato dal GDPR.
Stabilito ciò, quali sono gli obblighi delle aziende che svolgono questa attività?
La Valutazione d’Impatto sulla Protezione dei Dati per le attività di Marketing Automation
Il primo passaggio necessario per fare marketing automation rispettando il GDPR è predisporre una valutazione d’impatto sulla protezione dei dati, prima di iniziare qualsiasi attività.
Lo stabilisce l’art. 35 del Regolamento, affermando che tale valutazione è obbligatoria
“Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche…”
specificando, a seguire, il caso pratico della valutazione sistematica e globale di aspetti personali, basata su un trattamento automatizzato, compresa la profilazione.
Nello stesso articolo è stabilito cosa bisogna approfondire in una valutazione d’impatto.
Riassumendo è necessario:
- esaminare ogni trattamento da effettuare e le finalità connesse;
- valutare i rischi per i diritti e le libertà degli interessati legata a ogni trattamento;
- definire quali sono le misure previste per affrontare i rischi, soprattutto per quei trattamenti considerati più pericolosi.
Marketing Automation nel GDPR: DPO si o no?
L’art. 37 definisce quando è necessaria la nomina del DPO (Data Protection Officer o Responsabile della Protezione dei dati).
Se l’attività consiste in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala (per numero di soggetti e persistenza nel tempo delle informazioni raccolte), il DPO diventa obbligatorio.
Per l’attività di marketing automation questo è quasi sempre vero, tuttavia non è possibile generalizzare, quindi è necessario sempre valutare la questione caso per caso.
Quello che è certo, invece, è che, oltre alla valutazione d’impatto, gli altri due elementi obbligatori in questo contesto sono il consenso e l’informativa privacy.
GDPR e Marketing Automation: il consenso per marketing e profilazione
Nonostante il Regolamento Europeo stabilisce il diritto di un individuo a non essere sottoposto a decisioni basate solo su decisioni automatizzate, compresa la profilazione, nell’art. 22 sono definiti gli unici casi specifici in cui è fatta eccezione a questa regola e che costituiscono la base giuridica di un processo decisionale automatizzato relativo alle persone fisiche.
Su questo il GDPR è molto preciso: bisogna raccogliere il consenso per l’attività di marketing automation e questo ne costituisce il presupposto di liceità.
Quindi, per fare marketing automation bisogna avere il consenso dell’interessato per attività di marketing e per attività di profilazione.
E come deve essere questo consenso?
È necessario che il consenso sia il risultato di un comportamento attivo dell’utente (no caselle pre-flaggate), e che sia raccolto in maniera distinta e separata per ogni finalità del trattamento.
Inoltre, è necessario che l’interessato esprima il suo consenso in maniera libera e informata, e, per questo, il linguaggio utilizzato nella formula deve essere chiaro e semplice.
GDPR e Marketing Automation: l’informativa privacy e i diritti degli interessati
Altro adempimento obbligatorio per fare marketing automation è chiaramente l’informativa privacy.
Essa deve conservare le caratteristiche comuni alle privacy policy previste per qualsiasi tipologia di trattamento e rendere ben evidenti i diritti che possono esercitare gli interessati, su tutti il diritto di opposizione e di revisione della decisione presa in maniera automatizzata, in più, nello specifico, deve contenere:
- espressa indicazione delle finalità di marketing e profilazione;
- indicazione della tipologia di attività promozionale svolta con i dati trattati;
- quale logica è usata nella profilazione dei dati (es. ripartizione geografica, comportamentale, ecc…);
- indicazione di eventuale soggetti terzi protagonisti del trattamento (anche se appartenenti allo stesso gruppo aziendale del titolare del trattamento)
Proprio in merito al consenso e all’informativa, va sottolineato che, con un provvedimento a carattere generale del 2013 (Consenso al trattamento dei dati personali per finalità di “marketing diretto” attraverso strumenti tradizionali e automatizzati di contatto), il Garante ha aggiunto ulteriori elementi al tema, specificando che:
“con riguardo alla riconosciuta possibilità per l’interessato di esprimere la propria volontà di ricevere comunicazioni commerciali e promozionali esclusivamente attraverso modalità tradizionali di contatto, spetterà al titolare del trattamento richiamarla espressamente nell´informativa e rendere tale volontà esercitabile in maniera agevole e gratuitamente”.
Conclusioni
Impostare le campagne di marketing automation in maniera conforme al GDPR è fondamentale non solo per evitare le sanzioni dalle Autorità, ma soprattutto per rendere l’attività di marketing certamente più centrata, efficiente ed efficace.
Per questo è sempre consigliabile rivolgersi ad un avvocato specializzato nella normativa privacy e nel diritto dell’e-commerce, affinché sappia indirizzarti verso misure e adempimenti adeguati alla legge.
