Dal 25 maggio è entrato in in vigore il tanto temuto GDPR. Le aziende di settore che fanno leva sull'allarmismo crescono giorno dopo giorno e sempre più imprenditori e marketer si trovano a chiedersi se davvero sia necessario rivedere tutta la loro strategia di acquisizione e gestione contatti.
Come per ogni altro cambiamento, il pubblico tende a dividersi tra chi lo teme e preferisce cambiare strada e chi cerca di comprenderne gli aspetti positivi per farlo diventare un’opportunità per il proprio business. Tu da che parte stai?
Da buon imprenditore o marketer dovresti ormai saperlo: l’ambiente digitale è sovraffollato e purtroppo le figure che parlano con cognizione di causa sono davvero poche. In casi come questo, in cui serve un supporto professionale legale, invece si generano voci su voci non propriamente corrette.
Da tempo ormai, i nostri clienti ci pongono le domande più disparate sul tema:
In questo articolo cercheremo di rispondere in maniera esaustiva alle presenti domande. Partendo dal presupposto che le informazioni riportate dovranno essere verificate a seconda dei casi.
Dire che il nuovo Regolamento generale sulla protezione dei dati europeo contrasta l’inbound marketing sarebbe come legare le mani di un pugile dietro la schiena e pretendere che quest’ultimo vinca.
Con questa dimostrazione per assurdo intendiamo dire che non solo il GDPR non va assolutamente in contrasto con l’inbound marketing, ma al contrario ne favorisce la diffusione.
Entrambi hanno in comune un elemento centrale: il consenso.
Il nuovo Regolamento generale sulla protezione dei dati, infatti, richiede che le persone diano un consenso esplicito e libero al trattamento dei propri dati e l'utente deve essere in grado di modificare o revocare questo consenso con facilità in qualsiasi momento.
Ti ricorda qualcosa di familiare?
Grazie alle strategie di inbound marketing è l’utente stesso che decide se e quando ricevere informazioni. Ne consegue che le persone con cui comunichi ogni giorno, devono avere un reale interesse a ricevere notizie e comunicazioni da parte tua e possono decidere di smettere in qualsiasi momento di riceverle cancellando la propria iscrizione alle tue email o smettendo di seguire i tuoi canali sui social network.
A questo punto possiamo dire senza ombra di dubbio che se stai attuando una strategia di inbound marketing sei dal lato giusto ed in linea con le le richieste del GDPR.
Quello che dovrai fare invece sarà semplicemente rivedere leggermente alcuni aspetti di raccolta dei dati.
Per assicurarti di essere effettivamente in linea con le richieste dovrai controllare i tuoi form ed assicurarti di:
Il double opt-in non è obbligatorio (almeno finora), ma se la tua azienda già utilizza questo metodo sarà sicuramente avvantaggiata semmai dovrà dimostrare il modo in cui è entrata in possesso dei dati.
Per quanto riguarda email automatiche, email di follow-up e altre comunicazioni assicurati di farlo in maniera corretta ed in linea con quelle che sono state le richieste dell'utente.
Uno dei metodi migliori per utilizzare questi strumenti è quello di creare una pagina di sottoscrizione in cui gli utenti hanno la possibilità di indicare gli ambiti a cui sono più interessati.
Come vedremo meglio più avanti, il consenso non è l'unico metodo per ricevere l'autorizzazione al trattamento dei dati. Tuttavia, è sempre importante avere la possibilità di dimostrare il modo in cui si è entrati in possesso dei dati e la legittimità dell'uso che ne viene fatto.
A questo punto ti starai chiedendo "Dove devo iniziare?"
La nuova normativa è molto lunga ed articolata ed impatta la strategia di inbound marketing in maniera diversa a seconda della fase del processo in cui ci si trova.
Un elemento molto importante da tenere in considerazione è che allo stato attuale non sono stati emanati decreti a livello nazionale.
Proprio per questo motivo, quanto riportato di seguito si base sulla normativa comunitaria che però potrebbe subire delle variazioni nei singoli Paesi.
Detto questo, per facilitare il lavoro dei marketer che hanno avviato una strategia di inbound marketing, HubSpot ha creato un parallelo tra il processo di conversione e quanto richiesto dal GDPR.
Il GDPR richiede una maggiore trasparenza da parte delle aziende che raccolgono i dati (Titolare del Trattamento) verso le persone che entrano a far parte dei loro database.
Dal punto di vista dell'inbound marketing ciò significa che tutte quelle aziende che attirano traffico verso il loro sito web con l'obiettivo di raccogliere informazioni sugli utenti attraverso dei form, devono necessariamente spiegare in maniera chiara perché stanno raccogliendo quei dati, in che modo intendono utilizzarli e per quanto tempo intendono conservarli.
A questo punto, l'utente deve essere in grado di dare (o non dare) un consenso libero, informato, volontario ed esplicito.
Nel momento in cui un'azienda si trova a raccogliere dati attraverso i form per convertirli in lead è importante ricordare che le informazioni richieste devono essere adeguate, rilevanti e limitate allo scopo per cui vengono raccolte.
Non sarà più possibile raccogliere informazioni inutili all'azienda solo perché tanto si ha la possibilità di farlo.
Se stai già attuando una strategia di inbound marketing, dovresti conoscere bene questo concetto. Le informazioni che richiedi devono essere in linea con il valore di ciò che offri e utile alla profilazione del contatto per assicurare un'esperienza d'acquisto personalizzata.
Le aziende possono utilizzare solamente i dati da loro raccolti per scopi specifici, espliciti e legittimi. Inoltre, se l'azienda pianifica di trasferire i dati raccolti ad altre aziende, per farlo, deve ottenere il consenso esplicito da parte dell'interessato, anche se il trasferimento dei dati è necessario per usufruire di un servizio richiesto o per concludere un acquisto.
Una volta raccolti, i dati devono essere conservati in accordo con le linee guida in materia di sicurezza fornite dal GDPR.
L'obiettivo è quello di proteggere i dati personali degli interessati in caso di accessi non autorizzati, perdite accidentali, distruzione e alterazione. Il livello di sicurezza necessario dipende dalla sensibilità dei dati raccolti e vanno dalla crittografia, alla pseudonomizzazione, all'anomizzazione. Inoltre è molto importante per tutte le aziende prevedere un processo da seguire nel caso in cui subiscano una delle situazioni precedentemente esposte.
Con l'entrata in vigore del GDPR, le persone potranno chiedere in qualsiasi momento di correggere o aggiornare le proprie informazioni personali qualora queste ultime risultino incorrette.
Tutte le aziende appartenenti all'Unione Europea o che gestiscono dati di cittadini dell'Unione (seppur con sede legale esterna) hanno l'obbligo di rispettare tutte le richieste del GDPR.
Una di queste richieste riguarda l'individuazione di un Data Protection Officer (DPO) che ha il compito di sorvegliare sulla sicurezza dei dati, informare e offrire consulenza alla propria azienda in materia di sicurezza dei dati, collaborare con l'autorità Garante e gestire inventari e registri di trattamento.
Le aziende potrebbero mantenere in database le informazioni raccolte solo fino al momento in cui viene raggiunto lo scopo per cui sono stati raccolti.
Nel momento in cui si va a stabilire questo lasso di tempo, è molto importante tenere in considerazione altre leggi che potrebbero interessare questo aspetto.
Per esempio, potrebbe essere necessario conservare i dati per motivi finanziari. Sebbene questa motivazione potrebbe essere chiara da un punto di vista legale, il principio della trasparenza richiede che questo aspetto sia reso chiaro anche all'utente che presta il proprio consenso.
Ognuno dei contatti in database può richiedere in qualsiasi momento la cancellazione dei proprio dati. A questo punto il titolare del trattamento dati ha l'obbligo di adempiere alla richiesta di cancellazione e confermarla, non solo per quanto riguarda i propri sistemi ma anche dai database di terze parti che in un modo o nell'altro sono entrati in contatto con i dati per adempiere alla vendita.
Il GDPR nasce con l'obiettivo di tutelare la privacy delle persone che, nella ricerca di informazioni o nell'acquisto di prodotti e servizi si trovano a dover condividere dati con le aziende.
Ma cosa accade nel caso in cui un'azienda che ha avviato una strategia di inbound marketing ed utilizza HubSpot?
Uno degli aspetti di fondamentale importanza nel GDPR sta nell'adeguamento al presente regolamento da parte di tutti gli attori che entrano in contatto con i dati dei cittadini dell'Unione Europea.
Di conseguenza anche i software utilizzati per avviare e gestire strategie comunicative devono adeguarsi alle richieste del nuovo regolamento sulla privacy. Dai software di email marketing a Facebook, da Google Adwords ai CRM, tutti questi software devono adeguare la propria privacy policy ai nuovi regolamenti.
Proprio per questo motivo, HubSpot ha avviato un progetto di aggiornamento del software che permette alle aziende che lo utilizzano di poter rispettare le richieste del GDPR.
Di seguito faremo un piccolo elenco dei nuovi rilasci a livello di software pensati per garantire la massima trasparenza nei confronti degli utenti finali.
L'elenco in continuo aggiornamento è disponibile a questo link.
Prima di procedere all'elenco di quelle che sono le novità targate HubSpot in merito al GDPR spieghiamo meglio il contesto in cui ci troviamo.
Poniamo il caso che Francesca, un tuo contatto in database sia una cittadina europea. All'interno del nuovo regolamento, Francesca è identificata con il termine "data subject" ed è il soggetto i cui dati personali vengono trattati da un "controller", in italiano Titolare del Trattamento (la tua azienda).
Se utilizzi HubSpot per gestire i dati dei tuoi contatti, HubSpot sarà identificato come "processor" ovvero il responsabile del trattamento oltre la tua azienda. Nel caso di chi si è affidato ad un'agenzia esterna per la gestione della piattaforma, l'agenzia in questione (come Adv Media Lab) può aiutare nel ruolo di "processor" nella gestione dei contatti.
Nello specifico le novità che riguardano HubSpot e GDPR sono:
Con l'entrata in vigore del GDPR sarà necessario avere una ragione legale per conservare e gestire i dati di Francesca.
Questa base legale può derivare da:
Quello che diventa fondamentale è avere la possibilità di tracciare il momento esatto in cui l'azienda ha ottenuto la base legale per gestire il contatto.
Cosa sta facendo HubSpot: per consentire il tracciamento di questa informazione, sarà creata una nuova property che traccerà la base legale (Legal basis for processing contact's data).
Questa property nel CRM è editabile manualmente o attraverso automazione e permetterà di tracciare la data in cui è stata ottenuta attraverso la property history. Funzionalità appena rilasciata e disponibile.
Una delle basi legali per cui è possibile mantenere contatti in database è il consenso.
Anche in questo caso il GDPR fa alcune specifiche:
In caso di verifica, deve essere evidente a quali sono gli elementi per cui Francesca ha prestato il suo consenso e quali no, quale informativa ha letto e quando ha prestato il consenso.
Cosa sta facendo HubSpot: alcuni degli strumenti di HubSpot più utilizzati per attirare nuovi clienti sono i Form, Messages e Meetings. In ognuno di questi strumenti sarà possibile informare Francesca sulla normativa di gestione dei dati a cui sta prestando il suo consenso (attraverso caselle di testo inserite nei form) e di ottenere il suo consenso solo nel caso in cui accetti.
Nei form sarà possibile utilizzare hyperlink per inserire un collegamento alla privacy policy aziendale e fornire informazioni più esaustive.
Nel momento in cui l'utente presterà il suo consenso, HubSpot salverà una copia della privacy policy che ha accettato.
Inoltre la pagina "Subscription Preference" di HubSpot che al momento consente di effettuare solamente gli opt-out dai diversi tipi di comunicazioni effettuate da parte dell'azienda sarà aggiornata in modo da poter consentire agli utenti di indicare le proprie preferenze di opt-in.
Funzionalità disponibile.
Con l'entrata in vigore del GDPR, Francesca deve avere la possibilità di vedere in qualsiasi momento a cosa è iscritta e revocare il consenso (o obiettare al modo in cui vengono gestiti i suoi dati).
Revocare il proprio consenso deve essere tanto semplice quanto darlo.
Cosa sta facendo HubSpot: Francesca ha la possibilità di revocare i propri consensi in qualsiasi momento grazie alla Subscription Preference Page. Inoltre, se dovessi ricevere una richiesta diretta da parte di un contatto in database avrai la possibilità di modificare manualmente la property "lawful basis" menzionata precedentemente.
Funzionalità disponibile.
Francesca deve essere consapevole del fatto che utilizzi cookie sul tuo sito web per tracciare il suo comportamento e deve essere in grado di prestare o meno il suo consenso.
Cosa sta facendo HubSpot: su questo aspetto ci potrebbero essere delle novità con l'entrata in vigore dell'ePrivacy Regulation ed HubSpot che si regolerà di conseguenza. Più a breve termine sarà effettuato un aggiornamento sulla lingua mostrata nei messaggi di default che chiedono il consenso sull'utilizzo dei cookie in modo che possa riflettere la lingua nativa dell'utente.
Funzionalità disponibile.
Per chi sta utilizzando Iubenda nella gestione della cookie policy confermiamo che la piattaforma è in via di completo aggiornamento e allineamento al nuovo Regolamento generale sulla protezione dei dati.
Francesca ha il diritto di richiedere la cancellazione di tutti i dati che la riguardano dal tuo database. Stando al GDPR dovresti cancellare tutto quello che hai su Francesca, dai form compilati, al tracciamento di email e call e oltre.
Nella maggior parte dei casi si hanno 30 giorni per adempiere alla richiesta, tuttavia il diritto all'oblio non è sempre applicabile a seconda del contesto della richiesta.
Funzionalità disponibile. HubSpot, infatti, ha attivato una nuova funzionalità "GDPR Delete" che cancella permanentemente un contatto (piuttosto che mantenere in memoria le informazioni riguardanti il contatto in caso di una nuova conversione).
Francesca può richiedere in qualsiasi momento di accederà ai dati che hai raccolto su di lei.
In questo caso HubSpot consente di esportare i dati raccolti attraverso file .csv o .xls facilmente leggibili da qualsiasi computer.
Così come può richiedere la cancellazione o l'accesso ai propri dati nel tuo database, Francesca può chiedere anche la modifica di ciò che hai registrato. HubSpot consente di effettuare modifiche manuali nei singoli contatti in database.
Il GDPR richiede tutta una serie di precauzioni in caso di violazioni o cancellazione accidentali dei database.
HubSpot sta migliorando le proprie misure di sicurezza all'interno della piattaforma e migliorando:
In aggiornamento. Se vuoi restare costantemente aggiornato sui progressi di HubSpot in ambito GDPR, segui questo link.
L'entrata in vigore del GDPR è ormai vicina, ecco alcuni step essenziali per farti trovare preparato:
Come per ogni cambiamento, sarà necessario un periodo di adattamento ma ne varrà la pena.
*Adv Media Lab srl non risponde di danni derivanti dall'uso dei dati e delle notizie ivi contenuti; non risponde di eventuali danni causati da involontari refusi o errori di stampa; declina ogni responsabilità per l'uso delle suddette informazioni, per eventuali errori e/o contenuti inesatti.