Che cos'è la conformità al GDPR? Ecco il minimo che devi sapere

Il GDPR , o Regolamento generale sulla protezione dei dati per chiunque abbia utenti in Europa, entra in vigore oggi. Ha la sfortunata combinazione di essere ESTREMAMENTE IMPORTANTE mentre DIFFICILE DA COMPRENDERE.

La maggior parte degli esperti di conversione, degli e-mail marketer e degli esperti di marketing online in generale non avranno il tempo di passare attraverso il legalese, ma dovranno comunque uscire dalla zona di esplosione.

Questo articolo vuole essere un punto di partenza per quei marketer.

Non sostituirà il consiglio del tuo team legale: dovresti assolutamente riunirti con i tuoi team legali e di sicurezza delle informazioni per finalizzare la strategia. Ma questo dovrebbe indicarti la giusta direzione e aiutarti se desideri ottenere dettagli sul GDPR in un linguaggio semplice.

Minimizzazione dei dati: nessuna sindrome da "marketing avido".

Uno dei motivi principali per cui l'UE sta implementando il GDPR è il modo in cui i dati vengono raccolti dai professionisti del marketing. Quando chiedi informazioni in qualsiasi parte del mondo, puoi chiedere in cambio una quantità sproporzionata di informazioni. Il tuo tasso di conversione probabilmente aumenterà a causa di ciò, ma non c'è motivo legale per cui non puoi farlo.

Il GDPR lo cambia.

Ecco la parte rilevante dell'articolo 5 , sui principi in materia di trattamento dei dati personali .

I dati personali devono essere:

• trattati in modo lecito, secondo correttezza e in modo trasparente nei confronti dell'interessato ("liceità, correttezza e trasparenza");
• raccolti per finalità determinate, esplicite e legittime e successivamente trattati in modo non incompatibile con tali finalità; l'ulteriore trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica oa fini statistici, ai sensi dell'articolo 89, paragrafo 1, non è da considerarsi incompatibile con le finalità iniziali ("limitazione delle finalità");
• adeguati, pertinenti e limitati a quanto necessario in relazione alle finalità per le quali sono trattati ("minimizzazione dei dati");

Ciò significa che hai ancora più motivi per raccogliere solo i dati di cui hai bisogno .

• Hai bisogno di quell'indirizzo email per inoltrare all'utente il PDF che ha richiesto
• Vuoi il numero di telefono, l'azienda per cui lavorano, le dimensioni dell'azienda e l'indirizzo fisico per costruire il loro profilo all'interno del tuo sistema di automazione del marketing

Quelle cose extra che vuoi? Non sono più un gioco leale se hai utenti in Europa.

Devi essere esplicito su ciò per cui utilizzerai i dati e raccogliere solo i dati di cui hai bisogno dall'utente.

Consenso di attivazione: nessun abbonamento predefinito

Alcuni esperti di marketing giocano a questi giochi di consenso con i visitatori:

• Gli utenti possono annullare l'iscrizione durante la compilazione di un modulo, ma la casella di spunta per l'attivazione è preselezionata
• Gli utenti vengono automaticamente acconsentiti e gli utenti devono notificare manualmente all'azienda che non desiderano aderire a un particolare programma
• La lingua nel programma di attivazione è abbastanza vaga che gli utenti potrebbero registrarsi per più cose senza rendersene conto

Tutti questi giochi metteranno le organizzazioni a rischio di non conformità. Ecco le parti rilevanti dell'articolo 7, condizioni per il consenso :

Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha acconsentito al trattamento dei propri dati personali.

Qualora il consenso dell'interessato sia prestato nell'ambito di una dichiarazione scritta che riguardi anche altre materie, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma intelligibile e facilmente accessibile, con modalità chiare e linguaggio semplice. Qualsiasi parte di tale dichiarazione che costituisca una violazione del presente regolamento non è vincolante.

Ciò che questo significa per te è che se hai utenti in Europa, quei giochi di consenso non sono più praticabili.

Devi essere chiaro su ciò a cui gli utenti stanno optando. Se vuoi che accettino la tua newsletter E vuoi mostrare loro le promozioni sui prodotti, vorrai che acconsentano a entrambe le cose separatamente e dovrai dichiararlo esplicitamente.

Ricorda queste quattro cose:

• Il consenso dovrebbe essere dato attivamente
• Gli utenti dovrebbero essere informati su ciò per cui si stanno iscrivendo in un linguaggio chiaro
• Il silenzio e le caselle preselezionate non contano come consenso
• Il consenso per un'attività non si applica come consenso per altre attività

Ritiro del consenso: non far fare i salti mortali ai visitatori

Un'altra cosa su cui devi lavorare è dare agli utenti la possibilità di rinunciare ai tuoi programmi. L'articolo 7 continua:

L'interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di prestare il consenso, l'interessato ne è informato. Il ritiro deve essere facile quanto il consenso.

Se ricevi messaggi di posta elettronica sotto forma di promozioni di prodotti o newsletter, questi dovrebbero sempre avere modi chiari per consentire alle persone di rinunciare ai tuoi programmi. E quelli dovrebbero essere in bella vista.

In passato era meglio dal punto di vista della conversione avere nel database solo persone che VOGLIONO essere presenti. Ora, è meglio anche dal punto di vista legale.

Stack tecnologico: nessuna sicurezza, nessun nome

Se stai giocando veloce e sciolto con qualsiasi cosa contenente informazioni di identificazione personale, faresti meglio a rafforzare rapidamente il tuo stack tecnologico. Ciò significa che non puoi avere informazioni sensibili sui clienti e la creazione di profili senza disposizioni per la pseudonimizzazione o tecnologie correlate.

I file Excel che circolano nell'azienda con nomi reali e informazioni sensibili avrebbero dovuto essere sempre un no-no, ma ora hai più motivi per evitare che ciò accada.

L'articolo 25, Protezione dei dati fin dalla progettazione e per impostazione predefinita , contiene disposizioni piuttosto dure per le aziende con una sicurezza leggera:

Tenuto conto dello stato dell'arte, dei costi di attuazione e della natura, dell'ambito, del contesto e delle finalità del trattamento, nonché dei rischi di diversa probabilità e gravità per i diritti e le libertà delle persone fisiche posti dal trattamento, il titolare del trattamento, sia al momento della determinazione dei mezzi per il trattamento che al momento del trattamento stesso, attuare misure tecniche e organizzative adeguate, come la pseudonimizzazione, volte ad attuare principi di protezione dei dati, come la minimizzazione dei dati, in modo efficace modo e di integrare nel trattamento le garanzie necessarie per soddisfare i requisiti del presente regolamento e proteggere i diritti degli interessati.

Il titolare del trattamento adotta misure tecniche e organizzative adeguate per garantire che, per impostazione predefinita, siano trattati solo i dati personali necessari per ciascuna specifica finalità del trattamento. Tale obbligo si applica alla quantità di dati personali raccolti, all'entità del loro trattamento, al periodo della loro conservazione e alla loro accessibilità. In particolare, tali misure garantiscono che per impostazione predefinita i dati personali non siano resi accessibili senza l'intervento dell'interessato a un numero indefinito di persone fisiche.

In conclusione, se si desidera conservare informazioni di identificazione personale, è necessario raccogliere per mantenere tali informazioni al sicuro.

Conformità al GDPR: una bestia complessa

Evita di essere colpito da sanzioni. Se sei indietro sul lavoro di conformità al GDPR, devi, come minimo, fare...

• un controllo della quantità di dati che raccogli e se è necessario ridurre al minimo i dati,
• una panoramica su come trasformare i dati personali in dati anonimi e
• una revisione di quanto sei esplicito riguardo all'ottenimento del consenso per l'utilizzo dei dati dei visitatori