Al giorno d’oggi, con la diffusione di tecnologie digitali che permettono una facile gestione di informazioni sensibili dei clienti – come il Cloud, Big Data, IoT – risulta necessario uniformare la normativa Europea, così da garantire una protezione maggiore a livello comunitario. Per questo motivo, anche le aziende italiane dovranno adeguarsi agli standard europei per il trattamento e la salvaguardia dei dati sensibili.
Indice dei contenuti
GDPR in dettaglio
Cosa prevede il Regolamento UE 2016/679 che entrerà in vigore il 25 maggio 2018?
Il GDPR – General Data Protection Regulation ha come oggetto principale la tutela delle persone fisiche in relazione ai loro dati personali, assicurando un contesto comunitario libero e sicuro. A tal proposito, il secondo articolo della legge parla chiaro:
“I principi e le norme a tutela delle persone fisiche con riguardo al trattamento dei dati personali dovrebbero rispettarne i diritti e le libertà fondamentali, in particolare il diritto alla protezione dei dati personali, a prescindere dalla loro nazionalità o dalla loro residenza. Il presente regolamento è inteso a contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia e di un’unione economica, al progresso economico e sociale, al rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone fisiche.”
I diritti dei clienti e i doveri delle aziende
Entro il 25 Maggio di quest’anno le aziende avranno l’obbligo di adeguarsi agli standard imposti dall’UE poichè il Regolamento entrerà in vigore in modo diretto, senza la necessità di decreti o leggi attuative. Quindi nessuna possibilità di ritardi o ripensamenti.
Tre sono i principali diritti che devono essere garantiti al singolo cliente, nonché utente web:
– diritto alla portabilità dei dati, ovvero informare il cliente che i suoi dati possono essere trasferiti da un servizio online ad un altro;
– diritto all’oblio, ovvero dare la possibilità al cliente di richiedere la cancellazione dei propri dati personali;
– trasparenza maggiore nelle informative, permettendo un consenso consapevole.
Per assicurare tutto ciò, si dovranno rivedere i processi aziendali che gestiscono i dati sensibili, come ad esempio i sistemi di raccolta, archiviazione, elaborazione, diffusione, ecc..
Tra i doveri delle aziende ci sarà quello di redigere un documento chiamato Privacy Impact Assessment. Il suo scopo sarà quello di prevenire rischi e di fornire misure di sicurezza adeguate in merito al trattamento dei dati.
Dalle parole ai fatti: alcuni esempi concreti
Come cambierà il quotidiano dei Retailer? Ecco due esempi:
- Le azioni di retargeting (con Adwords o con i pixel di Facebook) è una delle strategie digitali più usate dai retailer per riattivare l’attenzione del cliente nei confronti di un prodotto visualizzato nel proprio ecommerce. Infatti è ormai noto che solo il 2% delle persone acquista alla prima visita, il restante 98% deve essere “riagganciato”. Ma da Maggio bisognerà prestare attenzione: per attivare delle campagne di retargeting è necessario rendere conforme il proprio sito internet al tracciamento e alla profilazione degli utenti. Una strategia da adottare per rispondere a questa nuova esigenza sono i Cookie Bot: la soluzione completamente automatizzata che, non solo semplifica al massimo il rispetto della normativa, ma fornisce anche informazioni utili su cosa succede dietro le quinte del proprio sito.
- Anche le attività di email marketing, o DEM dovranno adattarsi alle novità. Come dovranno essere trattate le informazioni degli utenti raccolte e archiviate? Come potranno essere utilizzate e per quanto tempo? La legislazione differisce in base al soggetto considerato: per il cliente, il dato può essere usato senza limiti di tempo, mentre per il potenziale cliente l’azienda può usare i dati per attività di upselling solo per un anno, al termine del quale dovrà chiedere il rinnovo del consenso.
Da qui nasce l’esigenza di appoggiarsi a strumenti che non solo supportino il marketing nel rendere quanto più performanti le sue campagne, ma altresì che permettano di gestire con flessibilità e in sicurezza i dati dei clienti che si iscrivono a una newsletter o scaricano un white paper, ad esempio.
Il GDPR non è l’unica new entry
Dall’introduzione di strumenti idonei, all’implementazione di nuove procedure aziendali, il nuovo regolamento a tutela della privacy ha tutte le caratteristiche per avere un impatto importante sulle aziende, soprattutto sulle imprese Retail che si trovano a gestire una mole ingente di dati.
Per gestire tale complessità, la legge stessa prevede l’introduzione di una nuova figura professionale, il DPO – Data Protection Officer. Essa diventa addirittura obbligatoria in alcune tipologie di azienda (per esempio nelle imprese che operano una massiccia profilazione dei clienti). Questa new entry avrà il compito di adeguare l’azienda ai 99 articoli presenti nel testo comunitario, informare i colleghi sulla normativa, vigilare sul rispetto del Regolamento e fungere da punto di contatto con le Autorità.
Occhio alle sanzioni
Secondo la relazione annuale di Federprivacy sono circa il 72% le aziende che non hanno ancora preposto tale figura a garanzia del rispetto delle nuove direttive. Quattro aziende su cinque non conoscono nel dettaglio cosa implichi il regolamento e solo il 9% ha già elaborato e progettato processi di adeguamento alla normativa.
Dati rappresentativi di un mercato che non sente ancora la necessità di adeguarsi allo standard europeo. La stessa Federprivacy specifica che in caso di inadempimento o violazione del Regolamento sono previste pesanti sanzioni amministrative per aziende e PA. Si può arrivare a 20 milioni di euro o al 4% del fatturato globale annuo.
Ormai siamo agli sgoccioli e il tempo per correre ai ripari e per adeguarsi alle direttive scarseggia. Bisogna agire adesso (se non lo si è già fatto) e non procrastinare più. Forse Adam Grant non ne sarebbe entusiasta, ma d’altronde qui non si parla di creatività ma di leggi da rispettare. E rimandare all’ultimo in questo caso non è buona scelta perché la trasformazione da Dott.Jekyll a Mr.Hyde potrebbe essere davvero fulminea.
