La GDPR è ormai alle porte, e per chi lavora gestendo dati altrui la tensione si fa sentire: i cambi sulla regolamentazione della privacy sono, in effetti, numerosi e a tratti oscuri, poiché enunciati in un gergo molto tecnico. Vediamo di analizzarli uno alla volta, in un linguaggio più intuibile per tutti. Prima di tutto, per semplificare il discorso, dividiamo nel numero minimo di punti fondamentali tutte le novità che prevede la nuova regolamentazione sull'ottenimento e la gestione dei dati: informare sull'uso dei dati: i tuoi utenti avranno il diritto di sapere come e a che scopo saranno utilizzate le loro informazioni personali, in un linguaggio chiaro, semplice e, soprattutto, esplicito. Anche per quanto riguarda la loro archiviazione occorre essere specifici, sia per le tempistiche che per le modalità ottenere il consenso dei visitatori: anche in questo passaggio, la parola chiave è chiarezza. L'utente deve dare il suo consenso in modo esplicito e diretto, e per questo il permesso di utilizzo dei suoi dati deve essere chiesto tramite modalità altrettanto cristalline specificare l'accesso ai siti: molto simile al primo punto sull'informazione, tranne che per le tempistiche: non solo nel momento della cessione dei dati, ma anche al primo contatto con un sito l'utente andrà avvisato su come verranno utilizzati i suoi dati personali e da chi avvisare in caso di problemi: occorrerà avvisare tempestivamente un proprio lead nel caso i suoi dati vengano esposti a rischi o a veri e propri furti: la notifica all'utente andrà eseguita entro massimo 72 ore dall'avvenimento cancellare i dati inutili: nel caso un lead richieda la cancellazione dei suoi dati personali dopo che essi sono stati usati per il fine precedentemente specificato, sarai obbligato ad accontentarlo, a meno che gli stessi dati non siano utilizzabili in processi giudiziari profilare gli utenti: come nel caso dell'ottenimento dei dati, gli utenti andranno informati anche sulla profilazione che i loro dati subiranno, sia per modalità che per utilizzi garantire la sicurezza dei dati: ribadisce l'obbligo di tenere al sicuro i dati sensibili dei propri utenti: in un epoca in cui il dato ha un valore inestimabile, è compito di chi lo ottiene garantire per la sua sicurezza chiarire le offerte di marketing: una volta che un utente avrà fornito i suoi dati, non si potrà inviargli nessun tipo di pubblicità a meno che lo stesso non conceda il suo consenso esplicito. trasferimento dati all'estero: se si intende trasferire i dati di un cittadino europeo all'estero, bisognerà garantire per la loro sicurezza durante tutto il processo e anche dopo; anche in questo passaggio è obbligatorio ottenere prima il consenso dell'utente Quanto costa adattarsi alla novità Quali sono i prezzi per adattarsi alla nuova regolamentazione? La risposta cambia da caso a caso, in base all'imponenza della realtà interessata: Se parliamo di realtà molto piccole, come possono essere un blog o un ecommerce personale, ovvero di strumenti che non hanno come fine ultimo la raccolta e l'utilizzo dei dati, basterà utilizzare delle soluzioni molto semplici quali checkbox o voci aggiuntive nei form di compilazione, nelle quali si richiederanno tutti i consensi del caso. Nel caso delle piccole imprese la GDPR può richiedere solamente un tributo di tempo, o al limite una spesa veramente esigua per quanto riguarda l'aggiornamento dell'informativa sulla privacy: in linea generale, basterà modificare le informazioni fornite ai visitatori e aggiungere comunicazioni dirette, e verificare gli strumenti utilizzati per questi fini. Il discorso può essere diverso per alcune medie e molte delle grandi imprese. Per esse la spesa può essere più ingente e non limitarsi solo al tempo, in base al numero di dipendenti tra le loro fila: se ne contano più di 250, saranno obbligate a mantenere attivo e aggiornato uno schema sulle modalità di trattamento dei dati, oltre a dover garantire un più alto grado di sicurezza dei dati dei propri utenti (in caso di necessità dovranno acquistare nuovi software e nuovi strumenti). Per far fronte alle novità sarà inoltre necessario formare il personale a riguardo, tramite corsi di aggiornamento e formazione, e all'occorrenza procurarsi nuovi programmatori che sappiano gestire i nuovi obblighi di tutela dei dati, in particolar modo la gestione del diritto all'oblio (visionare, scaricare ed eliminare dati). Trattamento dei cookies Nonostante la questione sui cookies non sia ancora confermata pienamente, concentriamoci su quanto contiene la bozza della GDPR a tal proposito. Tutti i cookies ricadono negli obblighi previsti dal regolamento, anche quelli anonimi (i quali possono comunque rimandare al mittente, tramite metodi meno diretti): questi strumenti vengono definiti dalla GDPR come temporanei, nonostante essi debbano rispettare tutte le nuove regole sui consensi (consenso sul trattamento dei dati, consenso per la raccolta dati a fini commerciali, consenso del genitore se l'utente ha meno di 16 anni, consenso per la raccolta dei dati sensibili). Il cambiamento più importante ricade nella condizione dell'anonimato. Prima esso permetteva di aggirare la richiesta di consenso, mentre ora non sarà più valido, poiché non sarà la condizione della richiesta dei dati l'elemento chiave, bensì i dati stessi che richiederai. Fisionomia dell'informativa sulla privacy Affinchè l'informativa sia conforme alle norme della GDPR, occorre che rispetti alcune linee: Deve essere sintetica ed intuitiva, e solo in caso di necessità di dettagli aggiuntivi rimandare alla versione più estesa Deve essere scritta con un linguaggio intellegibile e conciso, che non lasci spazio a fraintendimenti Deve specificare l'utilizzo che si farà dei dati che si richiedono Deve contenere i dati del titolare e un modo per contattarlo Deve indicare per quanto saranno conservati i dati Deve motivare la richiesta dei dati (questionario, marketing, sondaggio, ...) Deve informare l'utente se i suoi dati verranno trasferiti all'estero Nuove figure introdotte dalla regolamentazione Parlando di formazioni e assunzioni di nuove personalità, non possiamo non citare la nuova figura legata alla GDPR: si tratta del DPO, ovvero il Data Protection Officer (responsabile della protezione dei dati). Chi dovrà nominarlo? La risposta è semplice: tutti gli enti pubblici, eccezion fatta per le autorità giudiziarie. Anche tutte le attività che, in modo o nell'altro, gestiscono o richiedono i dati dei loro clienti o utenti, a prescindere dalla loro grandezza. Anche la sola azione di monitoraggio dei dati obbliga alla nomina di un DPO con il compito di supervisionare tutto il processo e fungere da referente per ogni questione riguardante la privacy dei dati. Sanzioni per i trasgressori Se è vero che per molte realtà la GDPR può non costare nulla o quasi, le sanzioni per coloro che non rispettano le condizioni sulla privacy le sanzioni possono essere molto pesanti: si può arrivare, nei casi più gravi, fino ai 20 milioni di euro o al 4% del fatturato mondiale. La multa dipende in grande misura dalla dolosità o colposità dell'infrazione, dalla collaborazione che il trasgressore offre all'autorità nella risoluzione del problema e, ovviamente, dalla gravità del problema generato.
Con l’arrivo della nuova normativa GDPR (General Data Protection Regulation), la vita si fa più dura per tutte le organizzazioni che controllano o processano dati appartenenti ai cittadini UE. Perchè? Perché la regolamentazione per le aziende e istituzioni che raccolgono dati personali diventerà ancora più severa e attenta alla tutela dei cittadini. Questa cornice legale segnerà inevitabilmente un profondo cambiamento su come il reparto marketing si rapporterà verso i propri contatti e clienti, e occhio, perché se non rispetti la legge, stavolta la sanzione è alquanto salata, si parla di multe fino a 20 milioni di euro o, in alternativa, il 4% del fatturato nel caso in cui esso superi tale somma. Quindi meglio prepararsi bene prima del 25 maggio 2018: in questo articolo parleremo delle funzioni di HubSpot che ti aiuteranno ad iniziare il tuo adeguamento al GDPR. >> Non sei molto pratico con i termini utilizzati all'interno della normativa? Consulta il nostro Glossario GDPR Coordinare le fasi dell'Inbound Marketing con il GDPR Fase 1: Raccolta dei dati - Landing Page, Form e Double Opt-In Secondo la GDPR, un contatto deve essere informato che i propri dati verranno archiviati e utilizzati dall’azienda nel momento in cui li concede, ossia proprio quando sta compilando un form con le informazioni a lui richieste. Il consenso al trattamento da parte dell’interessato si deve “manifestare necessariamente in modo libero, specifico, informato e inequivocabile, attraverso un’azione altrettanto inequivocabile”. HubSpot ti viene in aiuto permettendoti di creare ad hoc le landing page e i form per il tuo sito: gli strumenti li hai già, perché attraverso la possibilità di inserire caselle di spunta e testi ovunque tu voglia, puoi tranquillamente informare in modo più che esaustivo i tuoi contatti su come tu abbia deciso di utilizzare, archiviare e trattare i dati, quali siano i loro diritti sul ritiro del consenso e tutto ciò che ti viene in mente che ti renda conforme alla legge GDPR. Rintracciare il consenso nel form Come abilitare il monitoraggio del consenso e della presa visione della privacy aziendale nei form attraverso HubSpot: Entra in Marketing> Lead Capture > Form. Clicca su Create form per creare un nuovo form oppure clicca sul nome del form esistente per modificarlo Clicca su Notice and Consent / Legitimate Interest (GDPR) nel pannello di sinistra e scegli dal menù a tendina il tipo di notifica o consenso da utilizzare. Edita i testi del consenso cliccando sul simbolo della matita e scegli il tipo di comunicazione Salva e pubblica le modifiche. Abbiamo approfondito il tema della configurazione dei form nell'articolo Come utilizzare i form di HubSpot in regola con il GDPR. Come configurare il Double Opt-In Il double opt-in è una procedura che permette agli utenti che compilano un form di confermare il loro desiderio di ricevere delle comunicazioni da te. Il GDPR non si esprime sul fatto se sia obbligatoria questa forma di consenso, di fatto non lo è, però molte aziende la preferiscono per avere una misura addizionale di tutela che viene confermata proprio dal doppio consenso. Una volta abilitata, la funzione di opt-in manda una mail di richiesta di conferma a tutti i contatti che hanno compilato per la prima volta un form nel tuo sito web. Per iniziare ad utilizzare il double opt-in, segui questi step: Entra in Content > Content Settings Nel menu a sinistra, clicca su Email > Subscriptions > scorri fino alla voce Double Opt-In Clicca su Edit Opt-In email e personalizza il messaggio che desideri sia ricevuto dal contatto dopo aver compilato un form nel tuo sito per la prima volta Nella pagina di conferma, clicca su Crea nuova pagina per aprire il landing page editor e impostare la pagina in cui i tuoi contatti verranno indirizzati dopo aver cliccato la conferma di opt-in Se lo desideri, puoi anche creare una follow-up email da inviare dopo che gli utenti hanno confermato l’opt-in. Per farlo, spunta la casella Include follow-up email e poi clicca su Create/Edit Email Nella sezione Abilita, sono presenti diverse opzioni che ti permettono di decidere quali pagine del tuo sito azioneranno la funzione di double opt-in Salva le modifiche. Fase 2: Archiviazione e trattamento dei dati - esportazione contatti, modifica e aggiornamento dati Una persona ha sempre avuto il diritto di richiedere l’accesso ai propri dati, ma con il GDPR la tutela è ulteriormente rafforzata. L’arco temporale per rispondere alla richiesta di accesso ai dati si riduce ai 40 giorni successivi, e non oltre. HubSpot ti permette già di esportare i dati dal registro dati di un contatto. Il processo è semplice e dura solo alcuni secondi. Come esportare i contatti Entra in Contacts > Contacts Cerca e seleziona il contatto da esportare Nel menu a sinistra, sotto la voce All Contacts, clicca su Options Clicca su Export Seleziona l’indirizzo mail a cui inviare il documento esportato e in quale formato desideri che avvenga Seleziona le colonne che vuoi siano incluse nell’esportazione Clicca su Export. Come modificare/aggiornare i dati Già attraverso la legislazione corrente, i soggetti possono chiederti di modificare o aggiornare i loro dati personali presenti nel tuo database (per esempio se dovessero cambiare indirizzo mail), e con la GDPR il diritto non viene meno, anzi, comporta una sanzione maggiore se ignorato. Segui gli step per modificare le informazioni o qualsiasi altra proprietà di un contatto: Entra in Contacts > Contacts Cerca il contatto che vuoi modificare e clicca sul nome per aprire il record del contatto Nel record del contatto, cerca la sezione About e clicca sulla proprietà che vorresti cambiare Se non riesci a trovare la proprietà che vuoi aggiornare, clicca su View all properties per visualizzare tutte le informazioni che hai sul contatto Clicca su Save per salvare le modifiche. Fase 3: Fine del rapporto - Annullamento iscrizione e preferenze di posta Quando invii delle mail ai tuoi contatti e clienti utilizzando HubSpot, al loro interno è sempre incluso il pulsante per annullare l’iscrizione alla newsletter, il quale permette al cliente di farti sapere in modo chiaro e semplice che desidera ritirare il suo consenso per non ricevere messaggi di marketing dalla tua azienda. Mentre la funzione di preferenza di posta permette al cliente e agli utenti di scegliere quali categorie di mail vogliono ricevere. Come impostare l’annullamento iscrizione e le preferenze di posta Vai a Content > Content Settings Nel menu a sinistra, clicca su Email > Subscription Settings Nelle Subscription Settings sono già presenti delle pagine di default utilizzabili da subito Se però vuoi personalizzarle, clicca su View Template e clona il modello Una volta che hai finito, torna alle impostazioni di iscrizione e seleziona il nuovo template che hai appena creato Salva le modifiche. Queste sono solo alcune delle funzioni più semplici che HubSpot propone per arrivare preparati al 25 maggio 2018. Oltre alla serie di nuove regole a cui attenersi - e a cui molti di noi probabilmente avrebbero fatto a meno - la GDPR ci fornisce qualcos’altro di molto importante: l’opportunità di comprendere meglio se l’approccio al contatto e al cliente sia ottimale e di creare un rapporto di fiducia e trasparenza consolidato. Edit: aggiornamento delle informazioni riguardo le procedure di impostazione di HubSpot.
Dal 25 maggio 2018 entrerà in vigore il GDPR (General Data Protection Regulation, per noi italofoni il Regolamento Generale sulla Protezione dei Dati), e sarà attivo in tutti gli Stati dell’Unione Europea. E attenzione: sarà valido anche per tutti i cittadini europei che si affideranno ad imprese ed aziende straniere. Esso andrà ad influenzare radicalmente il modo di rapportarsi alle operazioni sui dati online, ed eventuali infrazioni porteranno a multe piuttosto salate. Ma passiamo all’argomento focale dell’articolo: come cambierà la musica per coloro che utilizzano la strategia dell’inbound marketing? Osserviamo come adattarci alle nuove regolamentazioni nelle diversi fasi di questa metodologia: inoltre consideriamo le opzioni che ci propone Hubspot, la piattaforma della quale non potete fare a meno per praticare inbound, per allinearci con le novità del Regolamento. Ottenimento dei dati e “Double opt-in” Nell’inbound marketing la fase di ottenimento dati è quella che da inizio all’effettivo processo di conversione del potenziale cliente: è qui che avvengono dunque i primi contatti diretti. Con l’intento di raccogliere dati vengono utilizzate le landing page e i form, strumenti che presuppongono il consenso del lettore nel fornire i propri dati per la procedura. Ma per il nuovo Regolamento presupporre non va bene: esso vuole che il nostro lettore dia un “consenso libero, specifico, informato e non ambiguo”, in seguito a richieste “chiare ed esplicite” da parte dell’azienda. Fortunatamente, la grande versatilità di Hubspot ci viene in soccorso nell’adattamento: nel reparto “Contacts”, sezione “Forms” troverete tutti gli elementi utili per modificare a piacimento la creazione di nuove compilazioni, includendo aggiunte che richiedano espressamente il consenso del lettore, nel modo che ritenete più adatto. Ulteriore strumento a nostra disposizione è il “Double opt-in” (attivabile in “Content”>”Content settings”>”email”), una procedura che affianca ai form una richiesta di consenso che apparirà ai visitatori; se accettata, essi acconsentiranno ad accettare ulteriori comunicazioni da noi. Questo particolare strumento, studiato e creato espressamente per massimizzare le email, risulta piuttosto utile in queste circostanze. Qualora l'utente non desideri più ricevere comunicazioni di marketing, nelle mail di marketing inviate ai vostri contatti (sia lead che clienti) dalla piattaforma è sempre presente il bottone con l’opzione “Unsubscribe”. Per impostare questa opzione seguite lo stesso iter spiegato nella guida al “Double opt-in”, quindi “Content”>”Content settings”>”Email”, selezionando poi “Subscription settings”. Tanto per gradire, Hubspot vi dà la possibilità di personalizzare l'aspetto e il testo dell'opzione di cancellazione o modifica delle preferenze delle email che si desidera ricevere. Archiviazione, esportazione e modificazione dei dati Uno dei punti chiave del Regolamento è che chi acconsente di fornire i suoi dati personali deve avere la possibilità di accedervi liberamente quando desidera, e, se lo desidera, poterli “spostare” da un archivio ad un altro. Questo rimanda anche ad un altro punto di fondamentale importanza, il diritto all’oblio: se, per le giuste ragioni, un cliente richiede la cancellazione dei propri dati da un determinato archivio, deve essere accontentato. Qualora un utente richiedesse la verifica dei darti archiviati, è possibile esportare in formato excel o csv tutte le voci relative al singolo contatto dalla scheda del contatto o dalla lista CONTATCS, selezionando il record desiderato e poi esporta. Chiusura e cancellazione dei contatti Il Regolamento Generale sulla Sicurezza dei Dati tutela i fornitori di dati non solo all’inizio e durante il processo di registrazione di informazioni personali, ma anche verso la fine: per essere precisi, consegna nelle loro mani la possibilità di chiudere i rapporti in qualsiasi momento preferiscano, e soprattutto garantisce loro il diritto di chiedere la cancellazione dei propri dati personali, nel caso essi non siano più utili allo scopo per la quale sono stati forniti. La cancellazione del dato può essere effettuata in modo semplice sia dalla scheda del singolo contatto che dalla lista dei contatti ed è un'operazione irreversibile. Considerazioni finali Se vuoi restare aggiornato su come HubSpot sta venendo incontro alle esigenti degli utenti dell'Unione Europea, puoi consultare la pagina HubSpot & GDPR.