Sei pronto per i nuovi regolamenti sulla protezione dei dati dell'UE?

Quali sono i nuovi regolamenti sulla protezione dei dati?

L'Unione Europea presto promulgherà nuove normative che disciplinano quali dati puoi raccogliere sui tuoi clienti e come puoi usarli. Questa legislazione è chiamata Regolamento generale sulla protezione dei dati o GDPR . Ovviamente, come suggerisce il nome, il GDPR è generale e quindi copre qualsiasi organizzazione che raccolga dati sulle persone. Per i nostri scopi qui ci concentreremo semplicemente sulla relazione tra la tua attività e i tuoi (potenziali) clienti online.

Il GDPR entrerà in vigore il ²⁵ di maggio 2018, che ti lascia un anno per prepararsi a rispettare. Insieme al GDPR ci sarà probabilmente un nuovo aggiornamento al regolamento e-Privacy dell'UE . Questo regolamento entra in dettagli più specifici per la raccolta, l'archiviazione e l'utilizzo dei dati online. Il regolamento e-Privacy è ancora in fase di proposta e potrebbe ancora cambiare, ma i legislatori puntano alla stessa data di applicazione del GDPR.

Perché è importante che la tua azienda si conformi

Per le aziende europee la necessità di conformarsi può essere ovvia, ma in realtà è qualcosa a cui le aziende di tutto il mondo dovrebbero prestare attenzione. Questo è particolarmente vero per i siti Web e le attività online poiché il GDPR si applica a qualsiasi attività a livello globale che raccolga dati sui cittadini dell'UE. Se stai raccogliendo dati sul tuo sito Web e il tuo sito Web è visitato da cittadini dell'UE, il GDPR riterrà la tua azienda responsabile di ciò che fai con tali dati indipendentemente da dove si trova la tua attività. Le sanzioni per le aziende che violano il GDPR possono essere severe, la più grande è una multa di 20 milioni di euro o il 4% del fatturato annuo globale, a seconda di quale sia la maggiore.

Gli aspetti più importanti per il tuo marketing digitale

Per i marketer digitali ci sono una serie di elementi chiave della legislazione che è necessario conoscere. I seguenti quattro punti sono i più importanti per garantire la conformità del programma dati online.

1. Dati personali

Il primo è capire cosa è coperto dal GDPR e dal regolamento e-Privacy. Ho già detto che la legge si applica ai dati di tutti i cittadini UE ma è leggermente più specifica; si applica ai loro dati personali.

I dati personali sono tutti i dati specifici di un utente che potrebbero consentirne l'identificazione o l'individuazione. Questo copre informazioni come nome, indirizzo, posizione geografica, numero di telefono, indirizzo e-mail o numero di identità. Tuttavia, copre anche gli identificatori online che possono essere un nome utente o indirizzi IP.

2. Consenso

Forse il più grande cambiamento che il GDPR apporterà al panorama attuale è la sua idea di consenso. Il consenso deve essere esplicito, informato e gratuito.

Ciò significa che in base al GDPR gli avvisi sui cookie standard visualizzati sulla maggior parte dei siti Web non saranno più sufficienti. La legge richiede che gli utenti diano il consenso tramite un'"azione affermativa". L'utente deve compiere un passo attivo per acconsentire. Il silenzio e il consenso implicito non basteranno. I dati dell'utente non possono essere raccolti fino a quando non viene dato il consenso.

Inoltre, poiché la legge insiste sul consenso informato, le aziende dovranno dire all'utente esattamente quali dati vengono raccolti, come vengono archiviati e per cosa l'azienda utilizza i dati.

La normativa insiste anche su un metodo sempre disponibile per rinunciare al tracciamento. Ciò significa che in qualsiasi momento l'utente del sito web dovrebbe essere in grado di revocare il consenso.

3. Sicurezza dei dati

La sicurezza dei dati personali delle persone diventa responsabilità del titolare del trattamento. Il titolare del trattamento è definito come il soggetto che decide le finalità e le modalità della raccolta dei dati. Quindi, ad esempio, in qualità di titolare del sito web sei titolare del trattamento. Devi assicurarti che gli strumenti e i fornitori che utilizzi per raccogliere, archiviare e visualizzare i tuoi dati dispongano di una sicurezza adeguata per proteggere i tuoi clienti.

4. Posizione dei dati

Parte degli sforzi del GDPR per proteggere i dati dei cittadini dell'UE si estende al luogo in cui tali dati vengono elaborati e archiviati. Il GDPR insiste sul fatto che i dati siano conservati ed elaborati nell'UE o almeno in un paese che ha una protezione dei dati simile all'UE. È possibile trovare un elenco di questi paesi qui .

Ciò pone un problema quando si utilizzano strumenti con server e data center situati in paesi, come gli Stati Uniti, che non dispongono di protezioni dei dati equivalenti. Lo US-EU Privacy Shield consente alle aziende negli Stati Uniti di firmare una dichiarazione che sosterranno gli stessi standard con i dati che archiviano come richiesto dal GDPR.

Tuttavia, la sua validità è ancora oggetto di contestazione poiché i legislatori dell'UE sono preoccupati che senza alcuna legge che li disciplini, le forze di mercato indurranno le aziende a utilizzare i dati in modi che violano la legge. Un'altra preoccupazione è che, anche se le aziende rispettano i termini del Privacy Shield, stanno ancora operando in base a una legge che potrebbe richiedere loro di rivelare i dati personali dei cittadini dell'UE al loro governo.

L'ultima preoccupazione che deve essere affrontata quando si tratta della posizione dei dati è il consenso informato. Se i dati vengono trasferiti al di fuori dell'UE, ciò deve essere reso esplicito all'utente quando si dà il consenso alla raccolta dei propri dati.

Cosa dovresti fare per essere pronto per il GDPR?

1. Anonimizza gli indirizzi IP

Se utilizzi uno strumento, come Google Analytics , per visualizzare i modelli di comportamento nei dati anonimi sul tuo sito web senza identificare i singoli utenti, stai utilizzando il monitoraggio aggregato del sito web. Per questo tipo di tracciamento ci sono solo due punti dati di cui tutti i siti web devono occuparsi. Questi due punti principali sono l'indirizzo IP dell'utente e il cookie di tracciamento dello strumento.

Per l'indirizzo IP esiste un modo relativamente semplice per assicurarsi di essere conformi e non richiedere il consenso dell'utente. La maggior parte degli strumenti utilizzati per il monitoraggio aggregato del sito Web consente di anonimizzare l'indirizzo IP degli utenti. Assicurandosi che questa impostazione sia attivata, non dovrebbe essere possibile identificare l'utente individualmente.

2. Determina se è necessario il consenso dell'utente

Con l'indirizzo IP anonimizzato possiamo ora guardare i cookie di tracciamento. La proposta di normativa e-Privacy prevede un'esenzione al consenso dell'utente per i cookie per gli strumenti del sito web aggregati. Tuttavia, in questo momento non è chiaro se questa esenzione riguarderà solo gli strumenti gestiti dal sito web o se riguarderà strumenti di terze parti come Google Analytics. Ciò diventerà più chiaro man mano che le nuove normative sulla e-Privacy saranno finalizzate e ratificate.

3. Utilizzare uno strumento di analisi self-hosted

Con l'incertezza sul fatto che gli strumenti di terze parti richiedano il consenso, l'opzione più sicura sarebbe quella di implementare uno strumento di analisi web self-hosted. Questi strumenti consentono di ospitare un'intera istanza dello strumento sulla propria infrastruttura. Ciò significa che solo la tua azienda ha accesso ai dati e puoi essere certo che non avrai bisogno del consenso per il monitoraggio aggregato del tuo sito web.

4. Ottieni l'adesione

Se non puoi utilizzare uno strumento self-hosted, dovrai convincere gli utenti a partecipare. Ci sono due possibili soluzioni per questo.

Il primo è l'approccio Soft Opt-In. Con questo approccio devi informare il visitatore quando arriva per la prima volta sul tuo sito che qualsiasi ulteriore azione intrapresa sul sito verrà tracciata. A questo punto, devi fornire loro l'opzione di non essere tracciato. Questo metodo è comunemente usato nei paesi europei con rigide leggi sulla privacy dei dati esistenti come la Germania. Non è chiaro a questo punto se sarà ancora accettabile con il nuovo regolamento e-Privacy.

Il secondo approccio è un hard opt-in. Questo è l'approccio più sicuro in quanto sarà sicuramente conforme quando le leggi verranno pubblicate, ma è più invadente per l'utente. Con questo approccio chiederai all'utente il suo consenso prima che possa iniziare a navigare nel sito. Questo può essere fatto con una finestra pop-up sulla prima pagina della loro prima visita.

5. Fornire una possibilità di rinuncia

Se ti viene richiesto di ottenere il consenso degli utenti per acquisire i loro dati in base alle nuove normative, devi fornire loro un modo per cambiare idea e rinunciare in qualsiasi momento. La legge dice che questo deve essere sempre disponibile per l'utente. Il modo migliore per farlo sarebbe avere una pagina dedicata che dettaglia il tuo monitoraggio che consenta agli utenti di rinunciare. Questa pagina può poi essere linkata nel tuo piè di pagina in modo che sia sempre presente sul tuo sito.

6. Prestare attenzione ai profili utente e all'automazione del marketing

Se il programma dati della tua azienda va oltre l'aggregazione e imposti i profili utente , devi pensare di più per prepararti al GDPR. Ciò è particolarmente vero se stai eseguendo un programma di automazione del marketing, retargeting o anche marketing mirato manualmente. Tutte le attività di profilazione degli utenti e ogni tipo di comunicazione di marketing che invii sulla base di questi profili richiedono il consenso degli utenti. Tutti i dati personali o di profilazione che acquisirai e tutto il marketing diretto che invierai loro devono essere specificati nel momento in cui chiedi il consenso agli utenti. Inoltre, dovrebbe essere fornito un metodo per revocare il loro consenso – opting out.

Fateci sapere se avete domande sul prossimo GDPR e sul regolamento sulla e-privacy proposto. Dai un'occhiata ai nostri audit di conformità e GDPR se desideri assicurarti che il tuo marketing digitale sia conforme.