Se hai un brand attivo sui social, ti piace creare occasioni di engagement per la tua community oppure semplicemente ti stai affacciando al digitale con un nuovo e-commerce, ti sarà sicuramente capitato di confrontarti con la normativa sulla protezione dei dati. Se la tua azienda raccoglie, archivia o utilizza qualsiasi tipo di informazione personale il GDPR (Regolamento dell’Unione Europea direttamente applicabile negli Stati Membri, e quindi anche in Italia) ha di sicuro un profondo impatto sui tuoi processi aziendali. 

Infatti, da dominio esclusivo degli specialisti del settore, gli estremi della normativa sono diventati il pane quotidiano di chiunque abbia un business e preveda touchpoints digitali. Esistono comunque specifiche attività e strategie che necessitano di una comprensione più profonda dei limiti dettati dal regolamento. Pensiamo ai digital e/o social contest, che richiedono da parte dell’utente un contributo maggiore in termini di informazioni e dati condivisi.

Cerchiamo allora di orientarci in questo terreno apparentemente ostile, facendo una panoramica della normativa e delle principali problematiche che possono insorgere nell’organizzazione di attività online.  Alla fine di questo articolo capirai che non c’è bisogno di precluderti nulla, perché ti forniremo tutti gli strumenti necessari per capire come approcciare serenamente al mondo della data protection.

La normativa di riferimento

Allo stato attuale, in Italia il trattamento dei dati è disciplinato dal Regolamento (UE) 2016/679 General Data Protection Regulation e dal Codice Privacy Dlgs. n. 196/2003 (modificato dal Dlgs. di adeguamento al GDPR n. 101/2018). 

GDPR requirements

Il GDPR espande in modo significativo i diritti alla privacy concessi agli individui e impone molti nuovi obblighi alle organizzazioni che gestiscono le informazioni personali. In poche parole, la normativa stabilisce le regole su come le aziende, i governi e altre entità possono trattare i dati personali delle persone fisiche, i cosiddetti interessati. Molte di queste regole esistevano già, alcune sono state rielaborate per risultare più rigide e altre ancora sono nuove di zecca. 

È bene sapere che i contenuti del regolamento vanno oltre i confini fisici dell’UE e si applicano a qualsiasi organizzazione, indipendentemente dal fatto che abbia presenza fisica nell’UE, offra beni o servizi a cittadini dell’Unione oppure tenga traccia del comportamento di tali persone (anche mediante, ad esempio, l’utilizzo di cookie). 

Questo ecosistema – ora solo accennato – comporta la necessità per qualsiasi tipo di organizzazione si trovi a trattare dati altrui, di predisporre un’infrastruttura idonea, in grado di rispondere alle esigenze normative dal punto di vista tecnico, gestionale e operativo. 

GDPR roadmap

La tutela dei dati nel marketing digitale

Partiamo da questa considerazione: i dati personali spesso vengono trattati non solo una tantum con finalità di coinvolgimento dell’utente in una determinata attività, ma vengono sfruttati anche per ricerche di mercatostrategie commerciali e lead generation.

A fronte del legittimo diritto di svolgere questo tipo di attività per il proprio business, deve essere sempre tenuto in considerazione un doveroso bilanciamento con tutti i diritti riconosciuti ai soggetti interessati dal trattamento. Fondamentalmente, i dati condivisi non possono essere riutilizzati a scopi pubblicitari senza la giusta base giuridica che – guardando all’art. 130, commi 1 e 2, del D. Lgs. 196/2003 – risulta essere un consenso libero, specifico, inequivocabile e informato, espresso personalmente dal soggetto interessato.

Tra le tutele che il GDPR ha valorizzato c’è la rinnovata attenzione verso i diritti dell’utente e la sua volontà di poter rifiutare in qualsiasi momento futuri contatti commerciali. A ciò si aggiungono molti altri diritti a cui il Titolare deve rendere conto – tra cui il diritto di accesso (art. 15), il diritto di rettifica (art. 16), il diritto di limitazione (art. 18).

Da ultimo, tieni sempre a mente che qualsiasi finalità diversa dal marketing diretto (come, ad esempio, la profilazione dell’utente) richiede la disposizione di un’informativa specifica all’interno della quale deve essere esplicitato e descritto integralmente il motivo del trattamento dei dati. Evidentemente dovrà poi seguire la prestazione di un consenso indipendente da parte dell’individuo coinvolto.

Come gestire il tuo contest online

Ritornando ai concorsi allestiti sulle piattaforme social, questo tipo di attività immersive ed interattive prevedono la raccolta di una lunga serie di dati: contenuti fotografici, nome e cognome, numero di telefono, indirizzo di casa e chi più ne ha più ne metta. Guardando ancora al GDPR, l’art. 4 dispone che il trattamento dei dati personali si consideri già iniziato nel momento della loro raccolta. E allora: da dove iniziare per organizzare un contest a norma di legge? Come evitare di incorrere in sanzioni?

Il GDPR definisce dato personale

qualsiasi informazione riguardante una persona fisica identificata o identificabile (l’interessato) che identifichi o renda identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, […]

Lo stesso regolamento ci suggerisce di prestare particolare attenzione ad alcune categorie di dati, i cd. dati particolari la cui definizione era assente nel codice della Privacy (si parlava di dati sensibili) e che oggi ci risulta particolarmente utile per apprendere quali domande evitare nella stesura dei nostri form. Parliamo ovviamente di tutti i dati biometrici, genetici e sanitari, ma anche di quelli che per loro natura sono maggiormente sensibili (l’origine razziale o etnica, le opinioni pubbliche, le convinzioni religiose o filosofiche) di cui l’art. 9 impone il divieto di trattazione (fanno eccezione una serie di esenzioni che, con adeguata motivazione, superano il divieto posto dal comma 1).

Riprendendo quanto accennato nei primi paragrafi, ricordati che ogni qualvolta volta decidi di raccogliere e trattare dati per un’attività sulle piattaforme social, tipo un concorso a premi, non puoi utilizzare gli stessi dati per le strategie interne di marketing. Quei dati possono essere destinati solo ed esclusivamente alla partecipazione dell’utente a quella specifica attività, a meno che non si predispongano informative distinte e si raccolgano separatamente i relativi consensi. Le due finalità sono sempre diverse e non compatibili ed è proprio per questo che spesso ci viene chiesto di sbarrare un’infinità di caselle.

Consenso regolamento e privacy policy

Sappiamo perfettamente quanto possa risultare complesso e spaventoso gestire tutto questo sia dal punto di vista conoscitivo che operativo. Per questo Datalytics, con la Suite proprietaria ENGAGE, vi offre un sostegno concreto e agisce al vostro fianco non solo come organizzatore delle soluzioni esperienziali ma anche in qualità di gestore di tutti gli aspetti legali:

  • Regolamento: consulenza strategica nella stesura del regolamento;
  • Server: fisicamente ubicati o replicati in Italia per un corretto svolgimento del contest e delle operazioni a premio;
  • Notaio: assegnazione di un funzionario camerale per un corretto svolgimento di estrazione dei premi o tramite giuria;
  • Software: certificato MISE e, insieme all’adempimento delle pratiche burocratiche e tutta la documentazione del caso, 100% GDPR compliant.

Ottieni maggiori informazioni sulle nostre soluzioni di Customer Engagement e Data Visualization, scarica ora il Company Profile

‌‌

Grazie, tra poco potrai scaricare il company profile