Privacy dei dati: come conciliare la strategia di marketing con i requisiti legali

I consumatori sono oggi più che mai consapevoli del valore che i loro dati rappresentano per le aziende e di come le aziende possono utilizzarli. In questo contesto, in tutto il mondo sono state emanate diverse norme sulla protezione dei dati. Il loro obiettivo? Garantire che ogni utente abbia il diritto di proteggere e accedere ai propri dati personali. Questa può essere una questione spinosa per gli addetti al marketing, e ancora di più per chi ha a che fare con diversi tipi di dati in diversi Paesi.

Che cos'è la privacy dei dati?

Il termine protezione dei dati si riferisce alle regole che si applicano all'utilizzo dei dati personali degli utenti nel contesto di un'attività professionale. Ogni Paese ha le proprie normative, per cui può essere difficile per le aziende rispettarle. Tuttavia, tutte queste regole hanno la stessa base, cioè:

- Consenso: Gli utenti devono essere chiaramente informati su come i loro dati possono essere raccolti, archiviati e utilizzati. I clienti devono dare il loro esplicito consenso alla raccolta, all'archiviazione e all'utilizzo di questi dati.

- Condizioni legali: La normativa definisce le conseguenze e gli obblighi legali per le aziende che raccolgono e utilizzano questo tipo di dati.

- Diritti degli utenti: Gli utenti hanno accesso ai propri dati personali in qualsiasi momento e possono richiederne la modifica, la correzione, la cancellazione o il ripristino.

- Sicurezza dei dati: Ogni azienda deve informare le autorità il prima possibile se è stata rilevata una violazione dei dati personali.

Di che tipo di dati stiamo parlando?

Qualsiasi tipo di dati personali è soggetto alle norme sulla protezione dei dati. Pertanto, tutti i dati che consentono di identificare una persona, direttamente o indirettamente, rientrano in questo quadro giuridico. Questi dati personali sono:

- Cognome, nome, indirizzo e-mail e numero di telefono
- Qualsiasi tipo di dato socio-demografico (professione, sesso, età...)
- Qualsiasi tipo di geolocalizzazione
- Dati relativi al modo in cui un utente utilizza internet (indirizzo IP, dati comportamentali...)

Si noti che sono interessati anche i dati trasmessi su iniziativa dell'utente. Lo stesso vale per i dati aziendali interni (tutti i dati relativi ai dipendenti dell'azienda).

Chi è interessato dalla protezione dei dati?

Qualsiasi azienda che raccoglie, archivia o utilizza dati personali dei propri utenti è interessata dalla protezione dei dati. La maggior parte dei regolamenti è stata concepita dal punto di vista dell'utente. Ciò significa che si applicano alle aziende che utilizzano i dati personali degli utenti situati nella regione a cui si applicano tali norme. In altre parole, anche se un'azienda non ha sede in una regione in cui si applica una particolare normativa, o i suoi dati sono conservati in un altro Paese, è
l'azienda è comunque colpita, i suoi utenti dovrebbero trovarsi in questa regione. È quindi importante conoscere le diverse normative e rispettarle.

Quali sono i regolamenti in vigore per monitorare la protezione dei dati?

Di seguito vengono illustrate le varie normative sulla protezione dei dati personali che è necessario conoscere per poter adattare al meglio le attività di marketing alle normative.

In Europa si applica il DSGVO/GDPR (Regolamento generale sulla protezione dei dati). Si tratta di un regolamento dell'Unione Europea entrato in vigore nel 2018 e applicato dalle rispettive autorità nazionali competenti.
Richiede che le aziende, tra le altre cose,...
- richiedere il consenso esplicito degli utenti quando si raccolgono i loro dati personali
- disporre di un registro che spieghi come questi dati vengono raccolti, conservati e protetti in ogni momento
- consentire agli utenti di modificare, correggere, cancellare o recuperare i propri dati personali.

In California, è il CCPA (California Consumer Privacy Act) che deve essere rispettato. Questo regolamento, entrato in vigore nel 2020, è molto simile al GDPR, ma regola specificamente il modo in cui le aziende conservano e condividono i dati dei residenti in California. Questi utenti devono essere informati sulle modalità di raccolta dei loro dati e devono avere accesso a tali dati in qualsiasi momento per richiederne la cancellazione.

In Brasile, la LGPD (Lei Geral de Proteção de Dados), entrata in vigore nell'agosto 2020, regola il concetto di protezione dei dati. Questa legge, anch'essa direttamente ispirata al GDPR, definisce le modalità con cui le aziende raccolgono, elaborano e condividono i dati personali degli utenti residenti in Brasile.

Le norme sul trasferimento dei dati al di fuori dell'UE

Se un'azienda ha bisogno di trasferire i dati in Paesi al di fuori dell'UE, è necessario rispettare le normative in vigore in tali Paesi. In Francia, ad esempio, la CNIL (Commission Nationale de l'Informatique et des Libertés), in Germania il BFDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) e nel Regno Unito l'ICO (Information Commissioner's Office) non sono più tenuti a concedere l'autorizzazione per i trasferimenti di dati al di fuori dell'UE dall'entrata in vigore del GDPR se sono basati su ...
- Clausole contrattuali standard ("SCC") stabilite dalla Commissione europea,
- un codice di condotta approvato dall'UE,
- un regolamento interno approvato dall'UE per una specifica azienda, oppure
- essere basato su una certificazione approvata dall'UE.

Tuttavia, è importante notare che sia l'azienda che esporta i dati personali sia quella che li importa devono verificare quali sono le normative specifiche del rispettivo Paese.

Quali cambiamenti si profilano all'orizzonte? E come influiranno sul mercato?

Poiché il concetto di protezione dei dati è costantemente oggetto di nuove leggi e regolamenti, è fondamentale anticipare i cambiamenti futuri in questo settore.

revDSG: una nuova legge per la protezione dei dati in Svizzera

In Svizzera, le aziende dovranno conformarsi alla nuova legge sulla protezione dei dati revDSG a partire dal 1° settembre 2023. Questa legge è inoltre allineata al GDPR per mantenere il libero flusso di dati tra la Svizzera e l'UE e per garantire la protezione dei diritti degli utenti.

- Contiene i principi più importanti del GDPR
- Gli utenti devono essere informati sulla raccolta dei loro dati personali (non solo sui dati sensibili, come già indicato nella legge)
- Le aziende devono creare un registro dei dati
- Devono inoltre informare immediatamente il Responsabile della protezione dei dati se viene rilevata una violazione della sicurezza.
- I principi di "Privacy by Design" e "Privacy by Default" sono introdotti dalla legge.

Trasferimento di dati tra gli Stati Uniti e l'UE

All'inizio di ottobre 2022, il Presidente degli Stati Uniti ha annunciato l'introduzione di un nuovo regolamento per il trasferimento dei dati tra gli Stati Uniti e l'Unione Europea, per garantire che questi dati siano protetti come quelli previsti dal GDPR. Questo nuovo regolamento sostituisce le due precedenti bozze, "Safe Harbor" e "Privacy Shield", che sono state dichiarate non valide dalla magistratura europea.

Questo regolamento...
- Istituisce un nuovo tribunale per il controllo della privacy sotto la responsabilità del Dipartimento di Giustizia degli Stati Uniti.
- prevede che gli Stati Uniti limitino l'accesso delle proprie autorità competenti ai dati dei cittadini europei nella misura "necessaria" e "proporzionata".

Navigare tra le numerose normative sulla privacy in vigore in tutto il mondo può essere una sfida per i marketer, che devono garantire la conformità fornendo al contempo una buona esperienza agli utenti e ottimizzando le prestazioni delle campagne.
Per raggiungere questo equilibrio, sono essenziali una potente piattaforma di gestione del consenso (CMP), nonché un monitoraggio avanzato su tutte le piattaforme e il controllo dei risultati attraverso gli analytics.

* Zbynek Zapletal è direttore dello sviluppo programmatico e tecnologico DACH e CZ di Gamned Suisse SA.