Lista di controllo della conformità al GDPR per i marketer digitali

18 ottobre 2017

Se non avete ancora sentito parlare del nuovo regolamento GDPR, questo post è per voi.

Sul serio, il GDPR è importante, cambia le carte in tavola e dovete agire di conseguenza. Preferibilmente ora.

Per questo abbiamo messo insieme questa Checklist di conformità al GDPR per i Digital Marketer.

Innanzitutto, questa nuova legge entrerà in vigore il 25 maggio 2018 e interesserà tutti i marketer digitali e di e-mail nell'UE. Inutile dire che non può essere ignorata. L'impatto sarà enorme. Iniziate subito a prepararvi.

Che cos'è il GDPR?

Introdotto per sostituire l'originario Data Protection Act del 1998, il GDPR è stato progettato per proteggere sia i consumatori che le aziende, standardizzando la raccolta e la condivisione dei dati. In futuro, i dati dei consumatori potranno essere utilizzati solo per lo scopo per cui sono stati acquisiti. Il modo in cui distribuite i dati dei clienti sta cambiando, indipendentemente dal luogo in cui i dati vengono memorizzati ed elaborati. Tutti i 500 milioni di cittadini dell'UE saranno coinvolti.

La definizione ufficiale del GDPR è:

"qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile con la quale l'interessato, mediante una dichiarazione o una chiara azione affermativa, manifesta il proprio consenso al trattamento dei dati personali che lo riguardano".

I dati personali si riferiscono a tutto ciò che rende identificabile una persona, anche caratteristiche granulari come l'affiliazione politica. Anche l'indirizzo IP è ora considerato un dato di identificazione personale.

Viviamo in un mondo in cui i dati di prima e terza parte guidano il digitale, rivoluzionato dai social media e dagli smartphone. Ma il nuovo regolamento trasformerà completamente le regole per i marketer.

Su chi inciderà?

La normativa interesserà chiunque utilizzi dati personali per scopi di marketing. Che si tratti di e-mail marketing o di pubblicità sociale, sarete interessati.

Coloro che saranno colpiti più duramente saranno quelli che utilizzano dati di terze parti, ad esempio affittando liste di e-mail. In sostanza, non sarete più in grado di utilizzarle, in quanto non avete chiesto personalmente l'opt-in alle persone che fanno parte della lista. Inoltre, non potrete dimostrare che vi hanno dato il permesso di contattarli.

Inoltre, a soffrire saranno anche i proprietari di queste liste di terze parti. A meno che non siano in grado di autorizzare nuovamente i loro elenchi, questi ultimi diventeranno superflui. Dovete essere in grado di dimostrare di avere un rapporto diretto con la persona che state cercando di contattare. In caso contrario, non potrete contattarla e, inoltre, non dovrete detenere i suoi dati. I dati devono sempre essere trattati in modo lecito e per uno scopo specifico. Una volta soddisfatta tale finalità, i dati in questione devono essere rimossi.

Inoltre, se una persona desidera che i suoi dati vengano rimossi dal vostro database e che non vengano più utilizzati per lo scopo per cui sono stati acquisiti, ha il diritto di farlo. Questo è ciò che viene comunemente chiamato "diritto all'oblio".

Più specificamente, il GDPR si applica ai "responsabili del trattamento" e agli "incaricati del trattamento" dei dati. Anche se uno dei due ha sede al di fuori dell'UE, finché tratta dati di residenti nell'UE, è comunque soggetto al GDPR.

L'effettiva raccolta di dati sui lead da parte di aziende come Google e Facebook non sarà probabilmente influenzata dal GDPR, soprattutto perché hanno già rapporti diretti con i clienti. È probabile quindi che questi network traggano grandi benefici dalla normativa, dato che gli operatori del marketing potrebbero vedere una riduzione della dimensione dei propri dati di prima parte, e quindi faranno maggiore affidamento sui social network per raggiungere i consumatori.

Quindi cosa cambierà?

Avrete senza dubbio visto gli occasionali articoli allarmistici, che descrivono i marchi e le loro reazioni impulsive alla legislazione, con alcuni marchi che sono arrivati persino a cancellare completamente il loro database di e-mail. In realtà, tutto ciò che serve è mettere ordine in casa propria.

Se attualmente disponete di un consenso opt-in per il vostro database, è improbabile che sia sufficiente. Anche se avete contattato una persona in precedenza, dovrete ottenere nuovamente il suo consenso. E avere una registrazione di ciò che è stato fatto. Questo è il problema principale: avere una registrazione di un utente che dichiara di essere felice di ricevere i vostri messaggi di marketing, quando ha dato il consenso e come.

E dovete dire COME verranno utilizzati i loro dati. Anche se qualcuno vi ha dato il suo biglietto da visita e vi ha detto "contattatemi", questo non è sufficiente. Anche un accordo verbale non reggerà di fronte al GDPR. Il consenso deve essere dimostrabile e registrato.

Senza il consenso esplicito di questi utenti, l'unica alternativa è quella di avere un database di dati degli utenti completamente ridondante. È una situazione che nessuna azienda vuole e che sarebbe catastrofica.

E la Brexit?

Non c'è modo di evitarlo: la legislazione sarà in vigore, indipendentemente dalla Brexit. Nel momento in cui il GDPR entrerà in vigore, il Regno Unito farà ancora parte dell'UE. Sappiamo già che il Regno Unito non uscirà per almeno altri due anni. Il governo britannico ha già confermato che i cambiamenti saranno portati avanti.

Potenzialmente potrebbero rivedere i regolamenti una volta completata la Brexit, ma non ha senso anticipare questa possibilità! Il GDPR è in vigore e le aziende devono mettersi in riga.

Che dire del retargeting attraverso i pubblici personalizzati?

Si potrebbe obiettare che, poiché i dati vengono pre-analizzati prima di essere caricati su Facebook, non sono identificabili. Tuttavia, questo non impedisce che si tratti di dati personali, poiché una volta che il caricamento raggiunge Facebook, viene ancora abbinato ai dati personali di qualcuno su Facebook. In sostanza, si sta ancora cercando di individuarlo e di raggiungerlo con la pubblicità.

Prima dell'entrata in vigore del GDPR, potevate potenzialmente eseguire la pulizia delle autorizzazioni come campagna pubblicitaria. Con i lead ads di Facebook, potreste semplificare questo processo e, inoltre, arricchire i vostri dati con ulteriori domande. Trattate il re-permissioning come un'opportunità per arricchire il vostro database.

Come influisce il GDPR sul retargeting attraverso Facebook Custom Audiences, LinkedIn Matched Audiences o Google Customer Match?

Utilizzando le soluzioni di sincronizzazione del pubblico di Driftrock, potete assicurarvi di essere in regola con il GDPR. Il nostro software può sincronizzare le liste e i segmenti del vostro CRM ogni tre ore. In questo modo, ogni volta che qualcuno si cancella dal vostro CRM, verrà rimosso dal vostro pubblico personalizzato su Facebook, LinkedIn o Google Matched Audiences. Per saperne di più sulle nostre soluzioni GDPR per il marketing digitale.

Quali sono le conseguenze della non conformità?

Davvero, non dovete nemmeno pensare di farla franca. Le sanzioni per la mancata conformità al GDPR sono multe fino a 20 milioni di euro, o il 4% del vostro fatturato globale annuo.

Tenete inoltre presente che, man mano che il GDPR si diffonde, i consumatori ne diventeranno sempre più consapevoli, conoscendo così i loro diritti, la possibilità di presentare un reclamo e la possibilità di chiedere un risarcimento. Non volete trovarvi dalla parte del torto: semplicemente non vale la pena rischiare la reputazione del vostro marchio.

Pensate alla PPI: dieci anni fa nessuno ne aveva sentito parlare. Ora è una parte importante della coscienza dei consumatori, così come il loro potenziale di risarcimento.

Se avete dei dubbi su una parte dei vostri dati e sul modo in cui li avete raccolti (ad esempio, non è chiaro se sia stata richiesta l'autorizzazione), allora piuttosto che cercare di ottenere una nuova autorizzazione, potrebbe essere più sicuro cancellarli.

Qual è il modo migliore per ottenere una nuova autorizzazione?

Innanzitutto, dovete essere preparati al rischio che le persone non rispondano alla vostra richiesta di ri-permesso. È molto probabile che questo esercizio riduca le dimensioni del vostro database di contatti. Potenzialmente, sarà una carneficina per i marketer. Se non si ottiene la ri-autorizzazione, l'opzione successiva è quella di cancellare i dati dell'utente. È l'opzione più sicura, per evitare sanzioni.

Naturalmente avete la possibilità di non contattare mai più i clienti dell'UE, poiché la legislazione riguarda solo l'UE. Ma è improbabile che questa sia un'opzione sensata per la maggior parte delle aziende dell'UE.

Prima di richiedere un nuovo consenso, vale la pena di porsi alcune domande, per essere sicuri di voler segnalare il fatto che si detengono i dati personali di qualcuno. Anche se si conservano i dati di una persona che ha scaricato un PDF dal proprio sito, non si può presumere che questa abbia accettato di essere aggiunta alla propria lista di e-mail.

  • Avreste dovuto avere questi dati fin dall'inizio?
  • Da dove sono stati ricavati i dati? Sono di prima o di terza parte? 
  • Perché avete i dati? 
  • Avete il permesso esplicito di fare marketing a un individuo?

Se al termine di queste domande si può ancora affermare di detenere i dati in modo legittimo, allora è il momento di decidere come chiedere una nuova autorizzazione. Inoltre, come accennato in precedenza, potete considerarla come un'opportunità per ottenere ulteriori informazioni dai contatti, ad esempio per sondare le opinioni e arricchire i dati in vostro possesso.

L'aspetto fondamentale è che possiate almeno dimostrare di aver preso provvedimenti per prepararvi al GDPR. Non è sufficiente dire: "Abbiamo pianificato questo e quello", ma devono essere fatti dei veri tentativi per ripulire i vostri dati. Inoltre, potete davvero permettervi di subire un colpo sul 4% del vostro fatturato? Penso di no.

Ora avete la possibilità di creare un database di contatti che VOGLIONO essere contattati e che vi hanno detto COME vorrebbero essere contattati e PER COSA vorrebbero essere contattati. Costruitevi un database di persone che vogliono essere contattate da voi e scoprite esattamente come vogliono essere contattate.

È ora di mettere in linea i vostri dati.

Volete sapere come Driftrock può mantenervi in regola con il GDPR con i nostri strumenti di CRM audience automation? Scoprite di più sulle soluzioni Driftrock per il regolamento GDPR:

IL GDPR PER I MARKETER DIGITALI