Dal 25 maggio è entrato in in vigore il tanto temuto GDPR. Le aziende di settore che fanno leva sull'allarmismo crescono giorno dopo giorno e sempre più imprenditori e marketer si trovano a chiedersi se davvero sia necessario rivedere tutta la loro strategia di acquisizione e gestione contatti.
Come per ogni altro cambiamento, il pubblico tende a dividersi tra chi lo teme e preferisce cambiare strada e chi cerca di comprenderne gli aspetti positivi per farlo diventare un’opportunità per il proprio business. Tu da che parte stai?
Da buon imprenditore o marketer dovresti ormai saperlo: l’ambiente digitale è sovraffollato e purtroppo le figure che parlano con cognizione di causa sono davvero poche. In casi come questo, in cui serve un supporto professionale legale, invece si generano voci su voci non propriamente corrette.
Da tempo ormai, i nostri clienti ci pongono le domande più disparate sul tema:
- E' ancora possibile fare inbound marketing con il GDPR?
- Posso ancora utilizzare HubSpot per la mia strategia di inbound marketing?
- Devo cambiare i miei form?
- Che ne sarà dei contatti in database?
- Quali azioni devo intraprendere?
- Devo aggiornare la mia privacy policy?
In questo articolo cercheremo di rispondere in maniera esaustiva alle presenti domande. Partendo dal presupposto che le informazioni riportate dovranno essere verificate a seconda dei casi.
Il GDPR va contro l’inbound marketing?
NO! Anzi, ci sono solo opportunità
Dire che il nuovo Regolamento generale sulla protezione dei dati europeo contrasta l’inbound marketing sarebbe come legare le mani di un pugile dietro la schiena e pretendere che quest’ultimo vinca.
Con questa dimostrazione per assurdo intendiamo dire che non solo il GDPR non va assolutamente in contrasto con l’inbound marketing, ma al contrario ne favorisce la diffusione.
Entrambi hanno in comune un elemento centrale: il consenso.
Il nuovo Regolamento generale sulla protezione dei dati, infatti, richiede che le persone diano un consenso esplicito e libero al trattamento dei propri dati e l'utente deve essere in grado di modificare o revocare questo consenso con facilità in qualsiasi momento.
Ti ricorda qualcosa di familiare?
Grazie alle strategie di inbound marketing è l’utente stesso che decide se e quando ricevere informazioni. Ne consegue che le persone con cui comunichi ogni giorno, devono avere un reale interesse a ricevere notizie e comunicazioni da parte tua e possono decidere di smettere in qualsiasi momento di riceverle cancellando la propria iscrizione alle tue email o smettendo di seguire i tuoi canali sui social network.
Cosa cambia con il GDPR?
A questo punto possiamo dire senza ombra di dubbio che se stai attuando una strategia di inbound marketing sei dal lato giusto ed in linea con le le richieste del GDPR.
Quello che dovrai fare invece sarà semplicemente rivedere leggermente alcuni aspetti di raccolta dei dati.
Per assicurarti di essere effettivamente in linea con le richieste dovrai controllare i tuoi form ed assicurarti di:
- Permettere ai tuoi utenti di dare liberamente il consenso al trattamento dei propri dati. Niente più caselle precompilate, l'utente deve essere in grado di esprimere un chiaro sì o no
- Spiegare il modo in cui vengono utilizzati i dati raccolti, per quanto tempo saranno conservati e il modo in cui si possono modificare le proprie scelte o revocare i consensi (magari con un link alla privacy policy)
- Rendere chiaro se i dati raccolti verranno passati a terze parti e per quali usi
Il double opt-in non è obbligatorio (almeno finora), ma se la tua azienda già utilizza questo metodo sarà sicuramente avvantaggiata semmai dovrà dimostrare il modo in cui è entrata in possesso dei dati.
Per quanto riguarda email automatiche, email di follow-up e altre comunicazioni assicurati di farlo in maniera corretta ed in linea con quelle che sono state le richieste dell'utente.
Uno dei metodi migliori per utilizzare questi strumenti è quello di creare una pagina di sottoscrizione in cui gli utenti hanno la possibilità di indicare gli ambiti a cui sono più interessati.
Come vedremo meglio più avanti, il consenso non è l'unico metodo per ricevere l'autorizzazione al trattamento dei dati. Tuttavia, è sempre importante avere la possibilità di dimostrare il modo in cui si è entrati in possesso dei dati e la legittimità dell'uso che ne viene fatto.
L'impatto del GDPR sull'inbound marketing
A questo punto ti starai chiedendo "Dove devo iniziare?"
La nuova normativa è molto lunga ed articolata ed impatta la strategia di inbound marketing in maniera diversa a seconda della fase del processo in cui ci si trova.
Un elemento molto importante da tenere in considerazione è che allo stato attuale non sono stati emanati decreti a livello nazionale.
Proprio per questo motivo, quanto riportato di seguito si base sulla normativa comunitaria che però potrebbe subire delle variazioni nei singoli Paesi.
Detto questo, per facilitare il lavoro dei marketer che hanno avviato una strategia di inbound marketing, HubSpot ha creato un parallelo tra il processo di conversione e quanto richiesto dal GDPR.
Fase 1. Raccolta dati
Trasparenza
Il GDPR richiede una maggiore trasparenza da parte delle aziende che raccolgono i dati (Titolare del Trattamento) verso le persone che entrano a far parte dei loro database.
Dal punto di vista dell'inbound marketing ciò significa che tutte quelle aziende che attirano traffico verso il loro sito web con l'obiettivo di raccogliere informazioni sugli utenti attraverso dei form, devono necessariamente spiegare in maniera chiara perché stanno raccogliendo quei dati, in che modo intendono utilizzarli e per quanto tempo intendono conservarli.
A questo punto, l'utente deve essere in grado di dare (o non dare) un consenso libero, informato, volontario ed esplicito.
Minimizzazione dei dati
Nel momento in cui un'azienda si trova a raccogliere dati attraverso i form per convertirli in lead è importante ricordare che le informazioni richieste devono essere adeguate, rilevanti e limitate allo scopo per cui vengono raccolte.
Non sarà più possibile raccogliere informazioni inutili all'azienda solo perché tanto si ha la possibilità di farlo.
Se stai già attuando una strategia di inbound marketing, dovresti conoscere bene questo concetto. Le informazioni che richiedi devono essere in linea con il valore di ciò che offri e utile alla profilazione del contatto per assicurare un'esperienza d'acquisto personalizzata.
Fase 2. Archiviazione, trattamento e gestione dei dati
Scopi e limiti di utilizzo
Le aziende possono utilizzare solamente i dati da loro raccolti per scopi specifici, espliciti e legittimi. Inoltre, se l'azienda pianifica di trasferire i dati raccolti ad altre aziende, per farlo, deve ottenere il consenso esplicito da parte dell'interessato, anche se il trasferimento dei dati è necessario per usufruire di un servizio richiesto o per concludere un acquisto.
Sicurezza
Una volta raccolti, i dati devono essere conservati in accordo con le linee guida in materia di sicurezza fornite dal GDPR.
L'obiettivo è quello di proteggere i dati personali degli interessati in caso di accessi non autorizzati, perdite accidentali, distruzione e alterazione. Il livello di sicurezza necessario dipende dalla sensibilità dei dati raccolti e vanno dalla crittografia, alla pseudonomizzazione, all'anomizzazione. Inoltre è molto importante per tutte le aziende prevedere un processo da seguire nel caso in cui subiscano una delle situazioni precedentemente esposte.
Accuratezza
Con l'entrata in vigore del GDPR, le persone potranno chiedere in qualsiasi momento di correggere o aggiornare le proprie informazioni personali qualora queste ultime risultino incorrette.
Responsabilità
Tutte le aziende appartenenti all'Unione Europea o che gestiscono dati di cittadini dell'Unione (seppur con sede legale esterna) hanno l'obbligo di rispettare tutte le richieste del GDPR.
Una di queste richieste riguarda l'individuazione di un Data Protection Officer (DPO) che ha il compito di sorvegliare sulla sicurezza dei dati, informare e offrire consulenza alla propria azienda in materia di sicurezza dei dati, collaborare con l'autorità Garante e gestire inventari e registri di trattamento.
Fase 3. Conclusione della relazione
Mantenimento delle informazioni in database
Le aziende potrebbero mantenere in database le informazioni raccolte solo fino al momento in cui viene raggiunto lo scopo per cui sono stati raccolti.
Nel momento in cui si va a stabilire questo lasso di tempo, è molto importante tenere in considerazione altre leggi che potrebbero interessare questo aspetto.
Per esempio, potrebbe essere necessario conservare i dati per motivi finanziari. Sebbene questa motivazione potrebbe essere chiara da un punto di vista legale, il principio della trasparenza richiede che questo aspetto sia reso chiaro anche all'utente che presta il proprio consenso.
Diritto di cancellazione
Ognuno dei contatti in database può richiedere in qualsiasi momento la cancellazione dei proprio dati. A questo punto il titolare del trattamento dati ha l'obbligo di adempiere alla richiesta di cancellazione e confermarla, non solo per quanto riguarda i propri sistemi ma anche dai database di terze parti che in un modo o nell'altro sono entrati in contatto con i dati per adempiere alla vendita.
Come cambia l’utilizzo di HubSpot con il GDPR
Il GDPR nasce con l'obiettivo di tutelare la privacy delle persone che, nella ricerca di informazioni o nell'acquisto di prodotti e servizi si trovano a dover condividere dati con le aziende.
Ma cosa accade nel caso in cui un'azienda che ha avviato una strategia di inbound marketing ed utilizza HubSpot?
Uno degli aspetti di fondamentale importanza nel GDPR sta nell'adeguamento al presente regolamento da parte di tutti gli attori che entrano in contatto con i dati dei cittadini dell'Unione Europea.
Di conseguenza anche i software utilizzati per avviare e gestire strategie comunicative devono adeguarsi alle richieste del nuovo regolamento sulla privacy. Dai software di email marketing a Facebook, da Google Adwords ai CRM, tutti questi software devono adeguare la propria privacy policy ai nuovi regolamenti.
Proprio per questo motivo, HubSpot ha avviato un progetto di aggiornamento del software che permette alle aziende che lo utilizzano di poter rispettare le richieste del GDPR.
Di seguito faremo un piccolo elenco dei nuovi rilasci a livello di software pensati per garantire la massima trasparenza nei confronti degli utenti finali.
L'elenco in continuo aggiornamento è disponibile a questo link.
Partiamo da una premessa
Prima di procedere all'elenco di quelle che sono le novità targate HubSpot in merito al GDPR spieghiamo meglio il contesto in cui ci troviamo.
Poniamo il caso che Francesca, un tuo contatto in database sia una cittadina europea. All'interno del nuovo regolamento, Francesca è identificata con il termine "data subject" ed è il soggetto i cui dati personali vengono trattati da un "controller", in italiano Titolare del Trattamento (la tua azienda).
Se utilizzi HubSpot per gestire i dati dei tuoi contatti, HubSpot sarà identificato come "processor" ovvero il responsabile del trattamento oltre la tua azienda. Nel caso di chi si è affidato ad un'agenzia esterna per la gestione della piattaforma, l'agenzia in questione (come Adv Media Lab) può aiutare nel ruolo di "processor" nella gestione dei contatti.
Nello specifico le novità che riguardano HubSpot e GDPR sono:
- Base legale per la gestione dei dati
- Consensi
- Revoca del consenso o opt-out
- Cookie
- Cancellazione
- Accessibilità e portabilità
- Modifica
- Misure di sicurezza
1. Base legale per la gestione dei dati
Con l'entrata in vigore del GDPR sarà necessario avere una ragione legale per conservare e gestire i dati di Francesca.
Questa base legale può derivare da:
- Un'opt-in effettuato previo consenso esplicito attraverso un form in cui la si notificava sui termini e le condizioni che stava accettando dando il proprio consenso
- L'esecuzione di un contratto in essere
- Un interesse legittimo, ad esempio se Francesca è già tua cliente e vuoi aggiornarla su altri prodotti o servizi relazionati a ciò che ha richiesto.
Quello che diventa fondamentale è avere la possibilità di tracciare il momento esatto in cui l'azienda ha ottenuto la base legale per gestire il contatto.
Cosa sta facendo HubSpot: per consentire il tracciamento di questa informazione, sarà creata una nuova property che traccerà la base legale (Legal basis for processing contact's data).
Questa property nel CRM è editabile manualmente o attraverso automazione e permetterà di tracciare la data in cui è stata ottenuta attraverso la property history. Funzionalità appena rilasciata e disponibile.
2. Consensi
Una delle basi legali per cui è possibile mantenere contatti in database è il consenso.
Anche in questo caso il GDPR fa alcune specifiche:
- Francesca deve essere consapevole dei termini che sta accettando attraverso il consenso
- Il consenso di Francesca deve essere volontario e affermativo (i campi precompilati non sono più validi) e il fatto che stia compilando un form non significa che si stia iscrivendo a tutte le campagne comunicative della tua azienda.
- Il consenso deve essere granulare e coprire tutti i vari processi a cui la tua azienda sottoporrà i dati (es. email di marketing, chiamate di vendita e così via).
In caso di verifica, deve essere evidente a quali sono gli elementi per cui Francesca ha prestato il suo consenso e quali no, quale informativa ha letto e quando ha prestato il consenso.
Cosa sta facendo HubSpot: alcuni degli strumenti di HubSpot più utilizzati per attirare nuovi clienti sono i Form, Messages e Meetings. In ognuno di questi strumenti sarà possibile informare Francesca sulla normativa di gestione dei dati a cui sta prestando il suo consenso (attraverso caselle di testo inserite nei form) e di ottenere il suo consenso solo nel caso in cui accetti.
Nei form sarà possibile utilizzare hyperlink per inserire un collegamento alla privacy policy aziendale e fornire informazioni più esaustive.
Nel momento in cui l'utente presterà il suo consenso, HubSpot salverà una copia della privacy policy che ha accettato.
Inoltre la pagina "Subscription Preference" di HubSpot che al momento consente di effettuare solamente gli opt-out dai diversi tipi di comunicazioni effettuate da parte dell'azienda sarà aggiornata in modo da poter consentire agli utenti di indicare le proprie preferenze di opt-in.
Funzionalità disponibile.
3. Revoca del consenso o opt-out
Con l'entrata in vigore del GDPR, Francesca deve avere la possibilità di vedere in qualsiasi momento a cosa è iscritta e revocare il consenso (o obiettare al modo in cui vengono gestiti i suoi dati).
Revocare il proprio consenso deve essere tanto semplice quanto darlo.
Cosa sta facendo HubSpot: Francesca ha la possibilità di revocare i propri consensi in qualsiasi momento grazie alla Subscription Preference Page. Inoltre, se dovessi ricevere una richiesta diretta da parte di un contatto in database avrai la possibilità di modificare manualmente la property "lawful basis" menzionata precedentemente.
Funzionalità disponibile.
4. Cookie
Francesca deve essere consapevole del fatto che utilizzi cookie sul tuo sito web per tracciare il suo comportamento e deve essere in grado di prestare o meno il suo consenso.
Cosa sta facendo HubSpot: su questo aspetto ci potrebbero essere delle novità con l'entrata in vigore dell'ePrivacy Regulation ed HubSpot che si regolerà di conseguenza. Più a breve termine sarà effettuato un aggiornamento sulla lingua mostrata nei messaggi di default che chiedono il consenso sull'utilizzo dei cookie in modo che possa riflettere la lingua nativa dell'utente.
Funzionalità disponibile.
Per chi sta utilizzando Iubenda nella gestione della cookie policy confermiamo che la piattaforma è in via di completo aggiornamento e allineamento al nuovo Regolamento generale sulla protezione dei dati.
5. Cancellazione
Francesca ha il diritto di richiedere la cancellazione di tutti i dati che la riguardano dal tuo database. Stando al GDPR dovresti cancellare tutto quello che hai su Francesca, dai form compilati, al tracciamento di email e call e oltre.
Nella maggior parte dei casi si hanno 30 giorni per adempiere alla richiesta, tuttavia il diritto all'oblio non è sempre applicabile a seconda del contesto della richiesta.
Funzionalità disponibile. HubSpot, infatti, ha attivato una nuova funzionalità "GDPR Delete" che cancella permanentemente un contatto (piuttosto che mantenere in memoria le informazioni riguardanti il contatto in caso di una nuova conversione).
6. Accessibilità e portabilità
Francesca può richiedere in qualsiasi momento di accederà ai dati che hai raccolto su di lei.
In questo caso HubSpot consente di esportare i dati raccolti attraverso file .csv o .xls facilmente leggibili da qualsiasi computer.
7. Modifica
Così come può richiedere la cancellazione o l'accesso ai propri dati nel tuo database, Francesca può chiedere anche la modifica di ciò che hai registrato. HubSpot consente di effettuare modifiche manuali nei singoli contatti in database.
8. Misure di sicurezza
Il GDPR richiede tutta una serie di precauzioni in caso di violazioni o cancellazione accidentali dei database.
HubSpot sta migliorando le proprie misure di sicurezza all'interno della piattaforma e migliorando:
- Il sistema di crittografia
- Il sistema di autenticazioni
- Le autorizzazioni necessarie per accedere alle informazioni
In aggiornamento. Se vuoi restare costantemente aggiornato sui progressi di HubSpot in ambito GDPR, segui questo link.
Non guardare al GDPR come una minaccia. Piuttosto guardalo come un’occasione per migliorare la qualità del tuo database e migliorare le relazioni con i tuoi clienti o potenziali, dimostrando loro come ti prendi cura del trattamento e della protezione dei loro dati.
10 Step da intraprendere per allinearsi completamente con HubSpot e GDPR
L'entrata in vigore del GDPR è ormai vicina, ecco alcuni step essenziali per farti trovare preparato:
- Controlla il tuo database e assicurati di essere in linea con le richieste del GDPR e assicurati di registrare il consenso (a cosa ha acconsentito l'utente, come e quando). Parti dalla nostra autovalutazione sul GDPR che è uno strumento costantemente aggiornato con la normativa e cerca di approfondire ogni aspetto e problematica sulla protezione dei dati. In caso di esito negativo provvedi ad aggiornare il modo in cui raccogli queste informazioni
- Se non hai un consenso esplicito, avvia una permission pass campaign per ottenerlo
- Se stai raccogliendo una serie di informazioni che non utilizzi per i tuoi scopi, smetti di chiederle
- Aggiungi delle checkbox per il consenso che l'utente deve cliccare consapevolmente prima di inviare una richiesta da un form
- Aggiorna la tua privacy policy per chiarire chi raccoglie i dati, come li gestisce, come li protegge e per quanto tempo li conserva
- Aggiungi un link alla Subscription Preference Page in modo che l'utente possa indicare agevolmente le sue preferenze di iscrizione ai tuoi database
- Stabilisci delle procedure interne per rispondere ad ogni richiesta da parte dei contatti in database (richieste di accesso, modifica e cancellazione)
- Se fai affidamento su software di terze parti per raccogliere dati, assicurati che siano in linea con le richieste del GDPR. In caso di non allineamento, la responsabilità è condivisa
- Assicurati che i dati che tu o terze parti raccogliete, siano al sicuro da minacce esterne
- Stabilisci una procedura per notificare i contatti in database in caso di violazione dei dati
Come per ogni cambiamento, sarà necessario un periodo di adattamento ma ne varrà la pena.
Hai bisogno di supporto per capire come utilizzare al meglio gli strumenti di marketing tecnologico messi a disposizione da HubSpot o da altre applicazioni come MailChimp per allinearti alle richieste del GDPR?
*Adv Media Lab srl non risponde di danni derivanti dall'uso dei dati e delle notizie ivi contenuti; non risponde di eventuali danni causati da involontari refusi o errori di stampa; declina ogni responsabilità per l'uso delle suddette informazioni, per eventuali errori e/o contenuti inesatti.
