GDPR e Marketing

Pubblicato: 2023-03-27

I consumatori esperti sono consapevoli del fatto che la loro attività e i loro dati vengono monitorati online. Ecco perché è diventato così importante disporre di normative che garantiscano la privacy (soprattutto sui social media) e consentano ai clienti di scegliere quali informazioni personali condividere.

Il regolamento generale sulla protezione dei dati (GDPR) è una legge introdotta dall'Unione Europea il 25 maggio 2018. Questa legge ha sostituito la direttiva sulla protezione dei dati 95/46/CE ed è stata progettata per:

  • Armonizzare le leggi sulla privacy dei dati in tutta Europa
  • Proteggi e potenzia la riservatezza dei dati di tutti i cittadini dell'UE
  • Rimodella il modo in cui le organizzazioni di tutta la regione affrontano la privacy dei dati

Cosa significa GDPR per le aziende?

In quanto norma applicabile per legge, il GDPR non è facoltativo. Se una persona o un'organizzazione vuole fare affari all'interno dell'Unione Europea, o con cittadini dell'UE, deve rispettare i regolamenti.

Con la legislazione GDPR, le aziende devono essere esplicite sui modi in cui raccolgono i dati personali per scopi di marketing. Ciò significa chiedere un permesso esplicito specifico mentre lo raccolgono, oltre a offrire ai consumatori un motivo valido per avere le informazioni.

In sostanza, il GDPR:

  • Offre alle persone un maggiore controllo sull'utilizzo dei propri dati personali
  • Fornisce chiarezza in tutta la regione su come i dati possono essere utilizzati da un paese dell'UE all'altro (e oltre)
  • Richiede che le aziende assegnino più risorse alla privacy dei dati, oltre ad assumersi maggiori responsabilità al riguardo

Basi giuridiche per il trattamento dei dati

Per conformarsi alle normative, il GDPR fornisce sei basi legali per il trattamento e la conservazione dei dati personali. Nella protezione dei dati una base giuridica si riferisce alla giustificazione del trattamento dei dati personali.

Le sei basi giuridiche per il trattamento dei dati ai sensi del regolamento GDPR sono:

  1. Consenso dell'interessato - I dati sono forniti liberamente dall'interessato in circostanze chiare e non ambigue.
  2. Obbligo contrattuale tra l'organizzazione e l'individuo - L'organizzazione ha bisogno di determinati dati per fornire loro un servizio, ad esempio un indirizzo per la consegna dell'e-commerce.
  3. Obbligo legale dell'organizzazione - L'organizzazione potrebbe aver bisogno di determinate informazioni per conformarsi ai requisiti legali o statutari.
  4. Interessi vitali dell'individuo - L'organizzazione potrebbe dover elaborare determinati dati per proteggere la vita di qualcuno
  5. Interesse pubblico/incarico pubblico - L'organizzazione può trattare informazioni per svolgere funzioni pubbliche previste dalla legge
  6. Interesse legittimo - L'organizzazione ha interesse a trattare dati come i dettagli di contatto, perché ha un legittimo interesse commerciale a inviare e-mail o chiamare l'individuo per motivi di vendita.

Responsabilità dei data marketer

I professionisti del marketing digitale devono comprendere le proprie responsabilità specifiche in relazione alle sei basi giuridiche e alle norme associate all'elaborazione e all'archiviazione dei dati.

Questi includono:

  • Regole sul consenso ai dati : il consenso ai dati si riferisce alla raccolta di dati personali su contatti e potenziali clienti tramite i vari canali di marketing digitale di un'organizzazione e all'acquisizione del loro consenso esplicito e inequivocabile per l'adesione all'audizione da parte dell'organizzazione.
  • Regole di elaborazione dei dati : l'elaborazione dei dati si riferisce al modo in cui un'organizzazione utilizza i dati che raccoglie e se i lead, i potenziali clienti e i clienti comprendono perché devono essere elaborati in quel modo.
  • Regole di conservazione dei dati : la conservazione dei dati si riferisce a quanto tempo un'organizzazione conserva i dati personali e le ragioni aziendali per farlo.
  • Regole sul trasferimento dei dati : il trasferimento dei dati si riferisce al trasferimento dei dati personali dei cittadini dell'Unione Europea al di fuori dell'UE per scopi commerciali legittimi.
  • Regole di eliminazione dei dati : l'eliminazione dei dati si riferisce a quando e come i dati personali vengono rimossi in modo permanente dai sistemi di un'organizzazione

Ruolo del dipartimento Marketing nella compliance GDPR

Il reparto marketing e, per impostazione predefinita, il responsabile del marketing, svolge un ruolo chiave nell'abilitare, supportare e comunicare il GDPR e il suo impatto sull'azienda al senior management.

A causa del ruolo unico del marketing nella raccolta, elaborazione, conservazione, trasferimento ed eliminazione dei dati appartenenti al pubblico e agli utenti e clienti delle organizzazioni, la persona o le persone all'interno del team nominate per implementare la conformità al GDPR devono essere pienamente consapevoli dell'ambito e le responsabilità del progetto.

Si tratta in genere di uno sforzo di squadra interfunzionale, poiché il marketer digitale che guida le attività relative al GDPR dovrà collaborare con IT, vendite, supporto, ingegneria, successo del cliente e prodotto, ad esempio, per garantire che i processi di riservatezza dei dati e le eventuali dipendenze sono compresi e supportati in tutta l'organizzazione.

Responsabile della protezione dei dati

La nomina di un DPO, o responsabile della protezione dei dati, aiuterà a indirizzare le risorse in atto per la conformità al GDPR:

[Il] GDPR prevede la nomina obbligatoria di un DPO per qualsiasi organizzazione che elabori o memorizzi grandi quantità di dati personali, siano essi dipendenti, individui esterni all'organizzazione o entrambi. I DPO devono essere “nominati per tutte le autorità pubbliche, e laddove le attività principali del titolare o del responsabile del trattamento implichino il 'monitoraggio regolare e sistematico degli interessati su larga scala' o laddove l'ente effettui trattamenti su larga scala di 'categorie speciali di dati personali dati'”, come quelli che descrivono in dettaglio la razza o l'etnia o le credenze religiose.

Titolare e Responsabile del trattamento dei dati

I membri del team di marketing digitale devono inoltre avere familiarità con i ruoli di Titolare del trattamento e Responsabile del trattamento. È indispensabile capire in quali scenari sono il Titolare del trattamento o il Responsabile del trattamento.

Il Titolare del trattamento può essere definito come:

La persona o l'organismo che determina le finalità e i mezzi del trattamento dei dati personali. In parole povere, sei tu a decidere a cosa servono i dati e cosa ne sarà di loro.

Il Responsabile del trattamento può essere definito come:

Una persona o un organismo che è separato dal titolare del trattamento (vale a dire non un dipendente) e che elabora i dati personali per conto di tale titolare del trattamento. In altre parole, il controllore assegna al processore un compito specifico da svolgere e il processore lo fa.

È importante che un marketer digitale sappia quando ricopre uno o entrambi questi ruoli ogni volta che si occupa dei dati nei loro ruoli.

Legittimo interesse commerciale

"Legittimo interesse commerciale" significa che deve esserci un chiaro motivo per cui l'azienda raccoglie ed elabora dati particolari su un interessato. Ad esempio, potrebbe trattarsi del nome e dell'indirizzo di casa di un cliente di un'attività di consegna di pizze. Solo perché una persona ordina una pizza non significa automaticamente che sia legittimo utilizzare queste informazioni per scopi di marketing diretto, ad esempio inviando loro volantini. Anche la trasmissione di queste informazioni a terzi senza interesse legittimo sarebbe probabilmente considerata una violazione del GDPR.

I motivi della raccolta e del trattamento non devono violare alcun diritto della persona fisica. In qualità di marketer digitale, devi considerare attentamente: quali dati vengono raccolti e perché?

Per questo motivo, la registrazione del consenso è un requisito molto importante del GDPR. Il consenso deve essere espresso liberamente, inequivocabile, chiaro e trasparente per l'interessato. Non devono esserci lunghe e sconcertanti risme di legalese da leggere. Il consenso deve essere registrato correttamente. Inoltre, il percorso per annullare l'iscrizione deve essere altrettanto semplice - e chiaro - per l'interessato.

GDPR e ruoli di marketing

I manager di linea e gli alti dirigenti dovrebbero inoltre essere consapevoli del funzionamento completo e dell'impatto del GDPR sul loro team nel suo insieme e su quello dei singoli contributori.

Considerando un team di marketing digitale medio, quali sono alcuni dei ruoli e delle attività chiave di cui i singoli contributori e i loro manager devono essere consapevoli:

Sviluppatori

  • I moduli del sito Web sono impostati correttamente.
  • I plugin del sito web sono conformi.
  • La piattaforma del sito web è sicura.
  • CMS è integrato correttamente.

Analisti di dati

  • Gli strumenti di analisi sono conformi.
  • Le integrazioni vengono utilizzate ove possibile per impedire l'esportazione dei dati sui computer.

Grafici

  • Le informazioni aziendali esclusivamente interne non vengono utilizzate nella grafica rivolta al pubblico.
  • I dati dei clienti utilizzati per i contenuti rivolti al pubblico devono avere il consenso esplicito firmato e registrato.

Copywriter

  • Le informazioni aziendali esclusivamente interne non vengono utilizzate sui contenuti rivolti al pubblico.
  • I dati dei clienti utilizzati per i contenuti rivolti al pubblico devono avere il consenso esplicito firmato e registrato.
  • Gli appaltatori non devono avere accesso non autorizzato ai dati CMS.

PR

  • Ottenere, registrare e conservare il consenso dei contatti dei media per l'invio di materiali.
  • Preparare le comunicazioni sulla violazione dei dati.
  • Mantenere un marchio affidabile per quanto riguarda la gestione dei dati.

Eventi

  • Ottieni, registra e mantieni il consenso dei visitatori dello stand prima di aggiungerli al tuo CRM per il marketing.
  • Controlla i termini e le condizioni dell'elenco dei partecipanti all'evento. (I partecipanti sono consapevoli di essersi iscritti per ricevere comunicazioni dalla tua organizzazione e quali comunicazioni sono in linea con tali aspettative?)
  • Esamina le norme di qualsiasi app e servizio di terze parti che utilizzi per eseguire o partecipare a un evento. (Chi possiede i dati ed è sicuro?)

Marketing digitale

  • Valutazioni d'impatto sulla privacy (PIA) su tutti i processi e progetti

Dati sensibili

A seconda del settore, alcuni marketer digitali avranno richieste più rigorose di altri quando si tratta delle normative GDPR.

Questi includono:

  • Assistenza sanitaria
  • Finanza o fintech
  • Servizio pubblico
  • Organizzazioni che trattano i dati di una persona di età inferiore ai 16 anni
  • Organizzazioni che raccolgono dati PII sensibili e vulnerabili.

Tutte queste organizzazioni richiedono il rispetto delle più rigorose politiche sulla privacy e sulla protezione dei dati

Responsabilità dell'ufficio marketing

Quindi, quali sono le responsabilità di un team di marketing digitale per la registrazione, il mantenimento e la segnalazione dei dati in relazione al GDPR?

Questi includono:

Definizione e registrazione di opt-in e opt-out via e-mail
Progettare un flusso di opt-in e opt-out chiaro in cui il consenso possa essere interpretato in modo inequivocabile; assicurati che l'opt-out sia facile e chiaro come l'opt-in.

Standardizzare il modo in cui un nuovo contatto entra nel CRM attraverso tutte le vie di marketing
Comprendi ogni processo di acquisizione dei dati del CRM sotto la giurisdizione del team di marketing e assicurati che, nel caso dei cittadini dell'UE, ogni processo abbia linee guida chiare sul consenso.

Delineare il processo di onorare le richieste e le cancellazioni degli interessati
Eseguire un'esecuzione di prova di una richiesta dell'interessato e di una richiesta di cancellazione dei dati; perfezionare e documentare il processo e formare i membri del team interessati.

Comunicazione delle violazioni dei dati
Comprendi il periodo di tempo entro il quale devi pubblicare un avviso su una violazione dei dati e tieni a portata di mano modelli di comunicazione pre-approvati per uno scenario di crisi.

Mantenere aggiornate la pagina sulla privacy e la pagina dei termini e delle condizioni del sito web
A intervalli regolari, chiedi al tuo DPO, al team IT e a un esperto legale di esaminare la documentazione sull'utilizzo dei dati destinata al pubblico.

Controllo e approvazione del modo in cui i dati CRM vengono utilizzati per scopi di marketing internamente ed esternamente
Assicurati che i membri del tuo team dispongano delle autorizzazioni appropriate per l'accesso ai dati all'interno degli strumenti che utilizzano e che siano consapevoli degli scopi a cui i dati a cui hanno accesso possono e non possono essere utilizzati nel marketing. Avere una politica consolidata in materia di co-marketing o marketing dei partner, in cui l'interessato è protetto in conformità con il regolamento GDPR.

Comprendere le normative GDPR, le migliori pratiche e il modo in cui è possibile conformarsi in modo etico è fondamentale per il tuo ruolo di professionista del marketing digitale.