Il GDPR è entrato in vigore il 25 maggio di quest’anno ma rimangono ancora molte domande su cosa può e non può essere fatto con i dati dei clienti e su come questi dati possono essere elaborati nell’ambito delle strategie di analisi di marketing di un’azienda. Ecco alcuni dubbi sull’applicazione del GDPR.
Il regolamento generale sulla protezione dei dati dell’Unione europea (GDPR) è entrato in vigore a partire dal 25 maggio 2018. Ma, come il Millennium Bug prima di lui, il GDPR sembra aver fatto molto rumore per nulla, almeno per ora. Per essere chiari, molte aziende stanno semplicemente monitorando la situazione aspettando la prima vera sanzione del Garante. Il punto non è che la maggior parte delle aziende non voglia aderire al nuovo Regolamento, la maggior parte lo fanno già, e l’idea di rispettare la privacy degli utenti e proteggere i dati personali è importante, ma rimane poco chiaro come effettivamente implementare il GDPR nella pratica.
Facciamo un passo indietro, ci sono sette principi chiave nel GDPR: elaborazione legale, equa e trasparente dei dati; limitazione delle finalità; minimizzazione dei dati; elaborazione accurata e aggiornata delle informazioni sui clienti; limitazione dell’archiviazione, riservatezza, sicurezza e accountability.
Proprio come quelli della Costituzione, i principi guida del GDPR possono essere sembrati chiari ai loro autori, ma possono risultare incredibilmente grigi nel mondo reale delle operazioni commerciali.
Prendiamo il principio della limitazione delle finalità. L’idea è che le aziende non debbano raccogliere informazioni (come ad esempio in un modulo) se non abbiano una ragione “legittima” per raccoglierle. Ma come si determinano quali campi sono legittimi e quali no? Consideriamo l’idea di chiedere a un visitatore di fornire il proprio indirizzo fisico per registrarsi a un webinar o a un white paper. Chiedere il loro indirizzo fisico è legittimo per contattarli? E il loro numero di telefono? Non si potrebbe sostenere che solo l’indirizzo email del potenziale cliente (se possibile) può essere legittimamente raccolto allo scopo di mantenere il contatto?
Oltre a garantire che i dati vengano raccolti solo per uno scopo specifico, il GDPR stabilisce anche che le informazioni dell’utente debbano essere memorizzate solo nel numero minimo di casi assolutamente necessario. Ma il problema è che spesso le aziende non conoscono dove e in quale quantità vengono memorizzati i dati degli utenti. I dati spesso vengono accumulati in sistemi che non comunicano tra loro e non sempre i dipartimenti IT sono effettivamente coscienti della loro esistenza. Allo stesso modo, il GDPR non fornisce linee guida chiare su chi debba avere accesso ai dati sensibili dei clienti all’interno di un’organizzazione – le aziende sono le sole a stabilire le relative politiche interne.
Una problematica spesso citata è la tendenza dei professionisti a salvare localmente le informazioni sui clienti e sui potenziali clienti su un laptop personale o altri dispositivi. Questa pratica non si scontra solo con il principio della limitazione della conservazione, ma anche con il principio della responsabilizzazione. Un agente malintenzionato ha molte più probabilità di accedere ai dati dei clienti violando il dispositivo personale di un agente di commercio piuttosto che bypassare i sistemi di sicurezza di una società. Tuttavia, in base al GDPR, la società potrebbe essere ritenuta direttamente responsabile dei danni.
Per fare altri esempi, una delle questioni più problematiche per le società, è stabilire quando sia necessario un doppio opt-in per comunicare con i consumatori. Pensate a un’attività come GetYourGuide. Quando un cliente acquista un biglietto per una gita, il sito deve ottenere il permesso del cliente per inviare via email il biglietto vero e proprio? Che dire delle app desktop o sui dispositivi mobili? Richiedono ulteriori permessi dai clienti oltre all’installazione iniziale per inviare notifiche?
Forse la domanda più irritante di tutte è cosa fare nei casi in cui la richiesta di un cliente possa comportare una perdita per sé stessi. Poniamo che la tua attività venda mobili e tutti i tuoi divani siano coperti da una garanzia di cinque anni. Un giorno un cliente ti contatta e richiede che, per il regolamento GDPR, tu elimini tutte le informazioni che hai raccolto su di lui. Come puoi onorare la garanzia se non possiedi più alcuna delle registrazioni del cliente? Che cosa significa per la capacità delle aziende di rispettare i controlli finanziari, aver cancellato i record delle tue interazioni con quel cliente? E’ evidente che i dati possono essere cancellati solo quando essi non sono più utili per l’esecuzione del contratto o per obblighi di legge, ma quel momento non è sempre chiaro. Il rischio è che la limitazione della conservazione diventi un principio vuoto di contenuto, poiché professionisti e aziende preferiranno sempre conservare i dati ad libitum piuttosto che rischiare di non averli in caso di necessità.
Applicato alla lettera, il GDPR ha il potenziale per mutare radicalmente il modo in cui sia il marketing che l’analisi di mercato sono stati tradizionalmente fatti fino ad oggi. Ad esempio, gli operatori di marketing usano tipicamente i “cookie” dei visitatori dei loro siti web per saperne di più sugli interessi dei visitatori e li classificano in base a quei dati, spesso senza il permesso esplicito di farlo. I gestori di siti web dovranno ripensare a come applicare la normativa cookie in futuro, visto che non l’hanno fatto a dovere negli ultimi anni (secondo le analisi oltre il 60% dei siti non è a norma).
Allo stesso tempo, in che modo gli studiosi di dati possono giustificare l’aggregazione dei dati degli utenti al fine di eseguire analisi e ottenere informazioni sul loro comportamento? Tale analisi è un “legittimo” uso dei dati? E in quale ipotesi l’aggregazione dei big data potrebbe essere necessaria alle finalità di cui al consenso o per l’esecuzione del contratto? Tale uso richiede quindi sempre un esplicito consenso da parte degli utenti?
In breve, mentre il GDPR è già in vigore, con tutti i suoi principi, nella pratica aziende e professionisti sono ancora impegnati a decifrarlo.
Elio Errichiello