Qualsiasi attività di marketing ha come elemento fondamentale la raccolta, l’analisi, l’integrazione, la conservazione, il trattamento dei dati personali.
Dopo aver stabilito una strategia di marketing e prima di acquisire i contatti, è di fondamentale importanza la privacy degli utenti. Se la Lead Generation e dunque l’acquisizione di dati personali di prospect viene compiuta in modo non conforme alla normativa, l’attività costituisce un trattamento illecito di dati personali, con conseguenze penali e civili nonchè sanzioni.
I dati personali nei CRM
I dati personali destinati a confluire nei CRM dell’azienda possono essere di vario tipo. Si parla di qualsiasi informazione relativa ad una persona fisica, identifica o identificabile: e quindi, non solo il nome e cognome, ma anche un indirizzo e-mail che contenga tali riferimenti, dati relativi all’ubicazione, identificativo online, elementi che riguardano l’identità fisica, culturale, sociale.
I dati personali possono essere registrati nei database dell’azienda attraverso varie modalità. Ciascuna tipologia può determinare un flusso di dati differente e quindi l’utente dovrà essere adeguatamente informato. Ad esempio:
- Registrazione al servizio di newsletter;
- Acquisizione tramite social network (Like alla pagina Facebook, Segui nel profilo Instagram, Follow su Twitter);
- Partecipazione a contest, concorsi, giochi organizzati attraverso i social o nel sito web o attraverso fidelity card;
- Acquisizione telefonica del dato personale o acquisizione tramite fiere, manifestazioni o altre modalità c.d. tradizionali;
- Comunicazione da terzi (vendita di database clienti, cessioni di ramo d’azienda);
- Organizzazione di landing pages o utilizzo di altri tool e strumenti di lead generation;
- Organizzazione di campagne pubblicitarie e sponsorizzazioni;
- Acquisizione di contatti tramite offerta di contenuti di valore (ebook, podcast, presentazioni, corsi gratuiti);
- Commenti e recensioni in social e sito web;
- Ricevimento diretto di richieste di informazioni e di contatto tramite sito web o social;
- Ideazione e realizzazione di esperienze utente per acquisire informazioni specifiche relative al comportamento (inbound marketing, cookies di profilazione, marketing esperienziale).
Sebbene sempre di marketing si parli, ciascuna delle modalità sopra indicate si presta a trattare (acquisire, conservare, comunicare, diffondere, gestire) il dato personale in modo differente anche in ragione degli obiettivi: vendere immediatamente il prodotto, studiare il comportamento del lead, creare dei profili utente, costruire relazioni a lungo termine, erogare contenuti ottimizzati, ideare campagne di marketing interessanti, attirare l’attenzione, attrarre , convertire i prospect in clienti. É quindi doveroso analizzare il flusso di dati per poi implementare le misure adeguate. Vediamo come.
La Marketing Automation e il trattamento dei dati personali
Il marketing può essere diretto, attraverso, ad esempio, la spedizione di comunicazioni mirate all’utente, oppure indiretto, mediante, ad esempio l’uso di Facebook Insight.
I dati per realizzare una strategia di marketing possono essere acquisiti autonomamente o anche, ad esempio, attraverso un’altra azienda: è di fondamentale importanza, che il dato sia stato acquisito nel rispetto della normativa (finalità di marketing di terzi). In questo caso, l’azienda che riceve i dati personali dovrà fornire alcune informazioni agli utenti acquisiti: si parla in tali casi di Informativa ai sensi dell’art 14 GDPR.
L’azienda può impostare una strategia di marketing anche rivolgendosi ad un’agenzia specializzata in marketing automation, lead generation, SEO, inboud marketing, il cui core business sia quindi quello di attirare i clienti realmente interessati al prodotto o servizio offerto. In questi casi, la digital agency dovrà essere nominata responsabile del trattamento ex art 28 GDPR in quanto tratta dati personali degli utenti (prospect) per conto dell’azienda (titolare del trattamento).
Collegato al tema privacy nel marketing c’è anche la profilazione degli utenti. Le due attività non possono essere gestite allo stesso modo con riguardo al Regolamento generale sulla protezione dei dati n. 2016/679 (GDPR). Nei casi in cui la finalità del trattamento non sia unicamente quella di svolgere attività di marketing, ma anche la profilazione degli utenti, è infatti necessario uno specifico ulteriore consenso: fare marketing è diverso da trattare i dati personali in modo automatizzato per valutare determinati aspetti relativi alla persona fisica (analizzare e prevedere aspetti riguardo la situazione professionale, economica, preferenze personali, comportamenti).
Per fare marketing serve il consenso
Le caratteristiche del consenso
La regola fondamentale è che i dati personali possono essere trattati per finalità di marketing solo con il consenso dell’utente. L’interessato (utente) deve avere la facoltà di manifestare la propria volontà in modo libero, informato, inequivocabile. Il titolare (l’azienda) ha quindi l’onere di informare l’utente in modo completo circa le modalità di trattamento, le finalità, il periodo di conservazione dei dati, l’esercizio dei diritti.
Il consenso può essere revocato
Il consenso per l’attività di marketing non è per sempre: all’utente deve essere data la possibilità di revocare il consenso precedentemente prestato attraverso l’esercizio del diritto di revoca del consenso. L’azienda ha quindi l’onere di prevedere delle modalità che consentono di intervenire sul CRM, cancellare il record relativo all’utente, disiscrivere il soggetto dal servizio di newsletter, aggiornare le preferenze nei vari tools utilizzati per creare profili utente.
La check-list per la privacy compliance nel digital marketing: 10 punti
Per realizzare una strategia di marketing è quindi di fondamentale importanza porre attenzione al trattamento dei dati personali.
Puoi partire da questo questionario per compiere una prima analisi relativa al trattamento dei dati personali nelle attività di marketing che hai scelto di adottare:
- Quali categorie di dati vengono utilizzati dal reparto marketing?
- Quali sono le principali attività di marketing che svolge l’azienda?
- Dove vengono conservati i dati personali acquisiti?
- Il CRM da quali fonti acquisisce i dati personali?
- Per quanto tempo vengono conservati i dati personali?
- L’utente può richiedere la modifica dei dati personali?
- È prevista la possibilità di cancellare i dati personali?
- Come viene contattato l’utente? Quali risposte dà l’utente?
- È mai accaduto che l’utente si opponesse all’attività adducendo di non essere iscritto al servizio, di non aver mai dato il consenso, di aver richiesto la cancellazione dei dati o altro di questo tipo?
- L’azienda si avvale di aziende o agenzie esterne per ottenere contatti?
Le risposte al questionario dovrebbero poi essere analizzate per verificare il rispetto del Regolamento Europeo per la protezione dei dati personali. Attraverso questa attività sarà poi possibile implementare la strategia di marketing in modo conforme a GDPR, adottare i correttivi necessari e scegliere le modalità adeguate per continuare a svolgere attività di acquisizione di lead, senza ritrovarsi con database inutili.
La check list non ha alcuna pretesa di esaustività ma costruisce un esempio che può rivelarsi uno strumento utile come punto di partenza per l’analisi del flusso di dati nelle attività di marketing.
Puoi però farmi conoscere i risultati così da poterne discutere insieme
Sbagliare strategia di marketing: dati personali inutili
Ci sono svariate attività che potrebbero causare problematiche sia con riguardo ai dati personali sia in merito alla strategia di marketing. Ad esempio:
- Conservare dei lead non acquisiti in modo conforme a GDPR;
- Continuare ad alimentare un database non legittimamente utilizzabile;
- Impostare complessive e costose strategie di marketing sulla base di dati personali ricevuti da altre aziende le quali tuttavia non hanno acquisito i dati in modo corretto;
- Contattare o svolgere attività di direct marketing nei confronti di utenti che hanno compiuto opt out, che non hanno mia prestato il consenso o che sono iscritti nel registro delle opposizioni;
- Conservare dati personali per svariate diverse finalità senza aver ottenuto il consenso dell’utente;
- Gestire dati personali in modo non sicuro oppure non adottare misure di sicurezza adeguate per evitare perdite di dati personali:,
- Non annotare e/o archiviare gli elementi che consentono di dimostrare di aver acquisito correttamente il dato personale e di aver ottenuto il consenso;
- Non individuare correttamente i soggetti che si occupano di acquisire e trattare dati personali per finalità promozionali;
- Non formare i dipendenti circa la corretta modalità di acquisizione dei contatti;
Questi ed altri comportamenti possono causare l’inutilizzabilità di dati personali e quindi l’impossibilità di dare concretezza ad una strategia di marketing; inoltre, espongono l’azienda a responsabilità di vario tipo, in ragione al tipo di comportamento e alla violazione posti in essere.
È quindi importante, analizzare i flussi di dati personali (puoi iniziare con la check list), evitare di adottare i comportamenti errati sopra indicati, implementare procedure conformi alla normativa, impostare strategie adeguate a GDPR, assumere iniziative nel rispetto del Codice Privacy e delle specifiche regole in materia privacy che riguardano l’attività di marketing.
Photo by Hugo Rocha on Unsplash