GDPR e Marketing Automation (intervista a Gianluca Lombardi)

Il tema di oggi scotta, scotta tantissimo ed è davvero complesso e delicato.

Per parlare di normativa GDPR e Marketing Automation ho scelto di intervistare Gianluca Lombardi, un mio caro amico e un super esperto di privacy, e queste sono le tematiche che tratteremo:

• profilazione e consenso;

• la GDPR in azienda;

• cosa fare per essere a norma: la valutazione di impatto;

• come gestire i nominativi raccolti prima della GDPR;

• acquisto di liste già profilate;

• responsabilità (committente o soggetto terzo?) e sanzioni.

Come sempre, il punto di partenza è il cuore pulsante della Marketing Automation ovvero il contenuto giusto alla persona giusta nel momento giusto. 

In questo caso il contenuto giusto viene prodotto in base alle buyer personas identificate come target e ai clienti acquisiti quindi non ci sono particolari problemi legati alla privacy.

Ma per trovarsi nel momento giusto e per intercettare la persona giusta è necessario disporre di una serie di informazioni aggiuntive importantissime, soprattutto comportamentali, oltre a quelle che si possono chiedere (come i dati anagrafici).

Dal punto di vista della privacy, questa raccolta di informazioni finisce sotto il concetto di profilazione ed è un’attività fondamentale per la Marketing Automation. 

Fatta questa premessa, siamo pronti per capire come impatta la privacy all’interno di un progetto di Marketing Automation e cosa bisogna fare per essere a norma.

Iniziamo con le domande!

“Gianluca ci spieghi un pochino cosa vuol dire profilazione e come la normativa ci guida nel realizzare un approccio corretto alla raccolta di questi dati?”

Certamente. Le parole chiave su cui dobbiamo concentrare la nostra attenzione sono due: profilazione e consenso.

Partiamo dal termine profilazione utilizzato all’interno della GDPR, la nostra Bibbia sulla privacy a livello europeo. 

In base all’art. 4 per profilazione si intende qualsiasi forma di trattamento automatizzato dei dati personali che serve per conoscere alcune caratteristiche di quel particolare utente oppure per analizzarne e/o prevederne 

• il rendimento professionale;

• la situazione economica;

• la salute;

• le preferenze personali e gli interessi.

La Marketing Automation rientra prevalentemente nell’ultima casistica.

Insieme a questa definizione, la GDPR fornisce un’altra indicazione fondamentale in merito: la profilazione è legittima solo se l’utente ne è a conoscenza e se esprime la sua autorizzazione al trattamento dei dati attraverso il consenso. 

È esattamente così perchè preferenze e interessi ci servono per guidare l’utente nel processo di marketing e per costruire una comunicazione corretta che lo porta a finalizzare l’acquisto di un prodotto o servizio.

Inoltre, non bisogna trascurare neanche i dati che riguardano la situazione economica dato che spesso vengono raccolti e utilizzati nei progetti di Marketing Automation. 

Pensiamo, ad esempio, ad un e-commerce, dove è possibile monitorare i percorsi dell’utente, i prodotti che guarda, la categoria, il valore medio del carrello: eseguendo una segmentazione RFM (dove il monetary è una delle variabili), si capisce il potenziale di spesa di questo utente. 

Io ho un'azienda che ha sviluppato centinaia di progetti di Marketing Automation e siamo là fuori sul mercato ogni giorno. 

Quando iniziamo a lavorare con un cliente, la prima attività che facciamo (ovviamente insieme a te Gianluca) è il check-up ovvero un'analisi della situazione relativa alla privacy per capire se è tutto in regola. E normalmente cosa succede??! 

Ci troviamo di fronte davvero a dei disastri in cui su 10 aziende 9 sono totalmente impreparate, soltanto una è seguita da professionisti e nonostante questo ha delle nozioni molto strane sulla GDPR, a volte molto rigide ma sicuramente particolari.

“Per fare una panoramica generale della situazione, le aziende o non sono in linea con la GDPR perchè veramente poco seguite o, se sono seguite, hanno delle idee completamente diversa una dall'altra. Perché succede questo?”

Innanzitutto la normativa della privacy è molto complessa e negli ultimi 2-3 anni (da quando è arrivata la GDPR) molte persone si sono gettate in questo mercato convinte di poter vendere delle ore o delle giornate di consulenza sul tema.

Il settore si è rivelato molto attrattivo e purtroppo vi sono entrati soggetti di ogni genere, spesso senza una profonda esperienza maturata negli anni.

Noi seguiamo la privacy da ormai più di vent'anni e in questo arco di tempo abbastanza lungo non c'è stato solo il GDPR o precedentemente la Legge 196 ma ci sono stati una serie di provvedimenti del Garante che è intervenuto in casi precisi. 

“Come si può essere a norma con la GDPR? Da dove si parte?”

Innanzitutto quando si parla di Marketing Automation si parla di una profilazione e di un trattamento dei dati eseguito con strumenti automatizzati tecnologicamente all’avanguardia.

Qui entra in gioco l'art. 35 della GDPR che chiede di eseguire una valutazione d'impatto sulla protezione dei dati per comprendere quali rischi corrono i soggetti interessati.

L'articolo 35 al comma 3, infatti, specifica che la valutazione d’impatto deve essere fatta quando 

• c'è una valutazione sistematica, cioè ricorrente e continuativa nel tempo e non una tantum, dei dati degli utenti;

• sui dati raccolti si basano una serie di decisioni che hanno degli effetti nei confronti degli interessati (come la proposta di offerte commerciali e sconti). 

La valutazione di impatto, per chi la sa fare e soprattutto per chi conosce gli strumenti di Marketing Automation, non è di per sé un qualche cosa di complesso o di difficile ma ha carattere mandatorio.

Ciò significa che un’azienda sottoposta al controllo del Garante è immediatamente sanzionabile proprio qualora dovesse mancare la valutazione di impatto, anche a fronte di regolari attività di trattamento dati. 

L'assurdo è che qualsiasi azienda può essere punita non perché ha eseguito scorrettamente il trattamento o la raccolta del consenso ma perché non ha i documenti giusti e corretti che tracciano e definiscono l’attività in corso sui dati.

Infatti, questa documentazione dovrebbe essere sempre prodotta prima di iniziare una qualsiasi attività di profilazione. 

Inoltre, l'articolo 37 della GDPR dice in maniera sufficientemente chiara che, quando l'attività consiste in trattamenti che per loro natura o per la loro finalità richiedono il monitoraggio regolare e sistematico degli interessati su larga scala (per numero di soggetti e persistenza nel tempo delle informazioni raccolte), serve anche la figura del D.P.O. (Data Protection Officer o responsabile della protezione del trattamento).

Il DPO deve essere nominato dall’azienda e il suo compito è quello di verificare il rispetto della normativa e di fare da interfaccia con gli interessati. 

Oltre a questo ovviamente è necessario raccogliere delle liste di soggetti consenziati in maniera corretta e in merito a questo subentrano due ulteriori tematiche: 

• l’informativa che può essere legata all'art. 13 o 14 della GDPR 

• il consenso tenendo presente che può essercene più di uno. 

Io credo che molte aziende siano solamente un po’ spaventate dal dover nominare un D.P.O. ma se trovassero una persona strutturata mentalmente nel modo corretto ne trarrebbero un grande vantaggio e riceverebbero un grandissimo aiuto.

Vedo, spesso, che gli avvocati che forniscono consulenza si focalizzano su concetti molto burocratici e rigidi non dando importanza al beneficio che l'azienda vuole ottenere dalle attività di marketing e dalla Marketing Automation.

Un’azienda che investe in attività di marketing desidera indubbiamente aumentare il proprio fatturato ma anche costruire un corretto dialogo con il proprio interlocutore dandogli solo le informazioni che ritiene corrette per lui ed evitando di spammare a tutta la lista la stessa comunicazione con una modalità random.

Infatti, se io so che a te Gianluca interessa solo il prodotto x perché nell’e-commerce sei sempre venuto a vedere il prodotto x, hai sempre aperto le mail del prodotto x, hai guardato i video del prodotto x, perché dovrei mandarti in modo indistinto gli altri 100 prodotti che ho a catalogo? 

Questa a mio avviso è assolutamente una cosa da non fare. 

Quando parlo con te utente Gianluca devo focalizzarmi e concentrarmi solo sull'argomento che ti interessa creando un vantaggio reale anche per te (non è solo brutto e cattivo chi vuole fare marketing e Marketing Automation!).

Che ne pensi? 

Assolutamente Paolo. Io, infatti, apprezzo tantissimo quei siti internet che mi permettono di selezionare dei prodotti chiedendomi di essere avvisato se saranno sottoposti a degli sconti, a delle campagne promozionali o addirittura al riassortimento!

Questo perché a me interessa quel prodotto però a prezzo pieno faccio fatica a prenderlo e voglio aspettare perché so che prima o poi andrà in promozione. 

Quindi, ben vengano questi sistemi se correttamente implementati ed esplicati al pubblico perché l'utente, che vuole acquistare, quando riceve una mail che dice “Guarda che il tuo prodotto è scontato del 10%” è contento della comunicazione, non la considera spam e finalmente può acquistare! 

Mentre, al contrario, se venissi a sapere dal mio amico che ha comprato il prodotto che cercavo perché casualmente è finito sul sito e l'ha trovato col 20% di sconto (e io invece non ho potuto cogliere quella occasione) probabilmente mi arrabbierei per questa mancanza. 

Sarebbe davvero un peccato, un’occasione persa.

Oggi, ogni azienda dovrebbe instaurare una giusta relazione con il potenziale acquirente, nella liceità e nella trasparenza del trattamento dei dati secondo i principi della GDPR. Nel tempo si consoliderebbe la fiducia e il Brand acquisirebbe valore.

Ti faccio un'altra domanda. Come dicevo prima, 9 volte su 10 troviamo delle situazioni veramente paradossali con liste di utenti (pensiamo, ad esempio, agli e-commerce) con 50.000, 30.000, 80.000 lead (come li definiamo noi) cioè con un gran numero di contatti all’interno del database raccolti negli anni in modo diverso e molto spesso in modo anche non corretto.

“Cosa si può fare con questi nominativi? Si può comunicare loro qualcosa per poi raccogliere il consenso al monitoraggio? Si può fare un’attività di marketing normale quindi con solo delle comunicazioni oppure butto via tutto e ricomincio da zero?” 

Ovviamente bisogna fare un'analisi del contesto e di queste liste perché ci sono varie possibilità. 

Innanzitutto, dobbiamo considerare i canali (mail, telefono, WhatsApp e altri strumenti) perché le strategie di comunicazione sono diverse.

Il secondo elemento fondamentale che voglio chiarire si rivolge alle aziende B2B che hanno come destinatari altre aziende e le loro mail aziendali e che si recano periodicamente in Camera di Commercio per richiedere i contatti di tutti gli iscritti al fine di inviare loro comunicazioni commerciali massive.

Su questo punto preciso non interviene il GDPR ma il decreto legislativo 196 che è il codice legislativo della Privacy italiano così come modificato dal 101 del 2018 ma tuttora in vigore.

All'art. 130 rubricato come “comunicazioni indesiderate” spiega proprio come non è possibile inviare delle mail contenenti materiale pubblicitario, di vendita diretta, per il compimento di ricerche di mercato o semplici comunicazioni commerciali se non c'è il consenso del contraente o dell'utente.

In altre parole, l’art. 130 non fa solo riferimento all’utente persona fisica ma al contraente in senso generale che quindi può benissimo essere un'azienda.

In conclusione, dobbiamo sempre fare riferimento al consenso e il consenso presuppone che ci sia una giusta informativa. 

Il terzo fattore a cui prestare attenzione riguarda la finalità dei consensi raccolti e la correttezza dell’informativa. 

Le norme della GDPR sono molto rigide: è vietato richiedere il consenso per l’utilizzo di una mail dichiarando una certa finalità e poi usare il contatto in modo diverso (ad esempio, richiedere il consenso per svolgere un servizio e poi inserire la mail all'interno di una newsletter). 

Faccio un esempio. Incontro Paolo Confortini in fiera, mi dà il suo biglietto da visita e lo inserisco nel CRM. Si parla di un trattamento legittimo basato sul legittimo interesse dell'azienda di poter trattare i dati di Paolo Confortini potenziale acquirente dei miei prodotti. 

Ciò non vuol dire, però, che Paolo Confortini si aspetta che io lo inserisca nella mia newsletter nè vuol dire che Paolo Confortini si aspetta che io profili il suo comportamento a seguito di quello che gli ho inviato per vedere se scarica un PDF, se va su una pagina internet e così via. 

Le finalità sono diverse anche se il dato è esattamente lo stesso (la mail) e la norma è molto precisa: bisogna raccogliere l'eventuale consenso per la finalità specifica. 

Quindi quando si ragiona su una lista di mail bisogna comprendere come queste mail sono state raccolte e fare delle valutazioni caso per caso. 

Ad esempio, se sono state raccolte delle mail 5, 6 o 7 anni fa, è possibile scrivere a tutti gli utenti per comunicare che è stato aggiornato il consenso sulla privacy e dare loro un premio se accettano che il loro nominativo venga usato con un’altra finalità (il premio può consistere in una scontistica o in un regalo, ad esempio).

Esistono n strategie per riconvertire i contatti che non sono correttamente utilizzabili per l’attività di Marketing Automation in contatti utilizzabili. 

Infine, un piccolo spiraglio lo dà l’art. 130 al comma 4 dove si dice esplicitamente che se l'azienda (cioè il titolare del trattamento) utilizza per fini di vendita diretta di prodotti e servizi le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di quel prodotto di quel servizio, allora il titolare può evitare di richiedere il consenso dell'interessato per fare altri tipi di comunicazione a patto che queste comunicazioni riguardino servizi analoghi o correlati a quelli che l'interessato ha sostanzialmente ha già comprato.

Questo è proprio un classico caso dell’e-commerce e, in sostanza, nei confronti dei clienti che hanno già comprato posso fare una comunicazione purché pertinente. Se, ad esempio, l’utente ha acquistato un paio di scarpe stringate nere posso informarlo sui nuovi arrivi ma sicuramente non potrò proporgli una lavatrice.

Questa tipo di attività è definita dal Garante soft spam e viene ammessa perché io ho già instaurato una relazione con il mio cliente che a sua volta sa benissimo chi sono perchè ha già comprato da me. 

La norma dice, però, che anche in questo caso l’interessato può opporsi e deve sempre poter fare l’opt-out per interrompere le comunicazioni in modo semplice e immediato. 

Ciò significa che io azienda devo tener traccia che quel soggetto non vuole ricevere comunicazioni per non commettere l’errore di inserirlo in un’altra newsletter.

Ricordo che le sanzioni arrivano fino a 20 milioni di euro o ammontano al 4% del fatturato se tale valore è superiore a 20 milioni di euro.

Ti faccio l’ultima domanda. Prima hai parlato di un’attività frequente nel B2B cioè della raccolta dei contatti, a cui mandare comunicazioni random, all'interno della Camera di Commercio.

Esistono, però, anche delle società che vendono listoni di nominativi già profilati (anche in base a delle richieste specifiche) e che si occupano di fare email marketing per l’azienda che si rivolge a loro.

Per quanto mi riguarda, dal punto di vista marketing è un'attività veramente negativa perché si va a mandare una comunicazione generica random su un prodotto ad una lista fredda, freddissima, congelata, iper congelata dove nel migliore dei casi il 99.9 % degli utenti sarà totalmente disinteressato a ciò che propongo. 

Inoltre, questi utenti molto probabilmente neanche mi conoscono! É come se andassimo in casa di qualcuno ad urlargli qualcosa in faccia. 

Quindi tutto ciò ha un effetto negativo sia sul ritorno d'immagine che sul posizionamento dell'azienda: anche se su un milione di utenti, 10 o 20 vendite le fate avete il restante 999.000 e rotti che vi odia!

Ma è possibile fare questa cosa?

Sotto certi punti di vista è possibile. 

Premetto che sono totalmente d'accordo con te... è come se io trovassi un estraneo che mi suona al campanello e dice “Buongiorno signor Lombardi, sono qui per venderle questo prodotto”. Sicuramente penserei ma chi sei? Chi ti ha chiamato? e chiuderei la porta dicendo “Non mi serve. Ce l'ho già. Adesso per non è il momento giusto”.

Questa strategia è proprio sbagliata ma purtroppo viene adottata in molte aziende perchè amministratori delegati e CDA guardano la quantità quindi sembra che il responsabile marketing stia facendo al meglio il suo lavoro solo perché manda mail a raffica.

Tutto ciò non serve assolutamente a nulla e si rischia di elevare in maniera mostruosa la possibilità che ci sia qualcuno che si arrabbi e che segnali la cosa al Garante. 

Adesso però voglio rispondere alla tua domanda riportandoti due casi diversi.

Nel primo, questa attività è ammessa nel momento in cui, chi ha raccolto il dato per vendere la lista, ha raccolto anche il consenso dell'interessato a ricevere comunicazioni di marketing da Terzi (diversi dall'agenzia o dal soggetto con cui si sta interfacciando).

E, a sua volta, l’interessato deve aver ricevuto una corretta informativa che descrive in maniera puntuale se non il nome del soggetto terzo che gli può scrivere almeno l’area merceologica.

(Ad esempio, se raccolgo su un portale di architettura i dati degli architetti e poi li passo a chi vende la pasta di Gragnano non può funzionare).   

L’azienda che commissiona questo tipo di attività è responsabile della profilazione (anche se l’ha acquistata) ed è il soggetto che spedisce la mail.

A sua volta dovrebbe, quindi, fare un’attività di audit cioè una verifica sul 15 o 20% degli utenti che compongono le liste controllando giorno, ora e soggetto che ha espresso il consenso.

Infatti, con questa verifica puntuale l’azienda si accerta che il dato è stato raccolto in maniera corretta e con l’informativa corretta e che c'è stata la terza spunta (cioè il consenso a passare l’indirizzo a qualcun altro per finalità di marketing).

Il secondo caso è a volte utilizzato da chi pensa di essere un pochino più furbo e decide di far spedire le mail all'agenzia in modo che sia quest’ultima ad accollarsi i problemi relativi alla privacy. 

Anche in questo caso il Garante è intervenuto con dei provvedimenti sanzionatori (che hanno colpito primarie imprese anche italiane molto note) in base ai quali la responsabilità resta a capo dell’azienda committente e non può essere scaricata sull’agenzia.

Questo perchè la mail non parla del soggetto A che l'ha spedita ma del soggetto B che ha commissionato la spedizione al soggetto A ed è chiaro che il prodotto pubblicizzato è del soggetto B.

In conclusione chi commissiona a terzi la propria comunicazione pubblicitaria è sanzionabile in caso di errori o mancanze nel trattamento dei dati perché non ha verificato a chi venivano spedite queste mail oltre alla presenza e alla correttezza del consenso.

“Gianluca è arrivato il momento di concludere, quali consigli ti senti di dare?”

Fare le cose fatte bene non comporta un’eccessiva fatica ed eccessivi costi. Un’analisi della situazione e la realizzazione delle giuste informative per raccogliere i consensi richiede, infatti, normalmente qualche giornata di lavoro (non mesi). 

Inoltre, il costo varia a seconda delle dimensioni e della complessità ma indicativamente è di qualche migliaio di euro a fronte di sanzioni e di danni di immagine esagerati. 

Il mio consiglio è di affidarsi non tanto al principe del foro ma a chi conosce questo campo e gli strumenti informatici, i software e la tecnologia, a chi sa come funziona la profilazione, a chi sa cos’è un lead e a chi parla il linguaggio di chi Marketing Automation la fa.  

Inoltre, mi sento di dire di diffidare dai tool automatici che a basso costo generano le informative automaticamente perché non potranno mai essere specifiche e rischiate molto.