Per quanto riguarda il digital marketing, il GDPR cambia completamente il modo in cui gestire i dati degli utenti.

Il GDPR prevede che la raccolta dei dati personali debba essere pertinente allo scopo. Ciò significa che se hai in corso una campagna o un contest, puoi utilizzare le informazioni personali raccolte solo allo scopo per cui le hai raccolte.

Per usarle, ad esempio, per inviare newsletter successivamente alla campagna o al contest va chiesto all’utente uno specifico consenso.

In termini di database di marketing, le tue liste di clienti e nominativi dovranno essere pulite e riviste per garantire che la tua azienda possa identificare se il consenso è stato concesso in modo lecito e legale, se viene utilizzato per scopi espliciti e legittimi, quali dati sono stati raccolti e la precisione di tali informazioni.

Con la nuova normativa l’onere della prova passa alle aziende. In caso di contestazioni saranno infatti le aziende a dover dimostrare di aver rispettato la normativa di raccolta e trattamento dei dati personali.

Vediamo di seguito gli 11 punti chiave del GDPR che influenzano il Digital Marketing.

11 Punti chiave del GDPR legati al digital marketing

1. Le persone possono chiederti l’accesso ai loro dati in tuo possesso.
2. I dati personali possono essere conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. Il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione.
3. In caso di dispute, l’azienda ha l’onere della prova: significa che devi essere in grado di dimostrare come e quando l’interessato ha acconsentito al trattamento dei dati. Quindi il consiglio per il marketing è quello di attrezzarsi per conservare le informazioni dettagliate sui consensi al trattamento dei dati raccolti.
4. L’interessato deve essere in grado di revocare il consenso in qualsiasi momento (il diritto di opporsi) ed esercitare la revoca del consenso deve essere semplice come lo è stato il dare il consenso.
5. L’interessato ha il diritto di chiedere all’azienda di poter visionare i dati che lo riguardano, di conoscere in che modo sono stati utilizzati e di cancellarli (diritto all’oblio).
6. Il consenso è legato alla finalità, dovrebbe quindi riguardare tutte le attività di trattamento effettuate per gli stessi scopi. Se il trattamento dei dati è per più scopi, il consenso deve essere dato singolarmente, per ognuno di questi scopi.
7. Il consenso non può essere richiesto mettendo l’interessato nelle condizioni di doverlo dare necessariamente, senza una scelta libera o genuina. Il consenso silenzioso, le caselle pre-spuntate non costituiscono consenso.
8. Dati personali sui minori: se la tua azienda offre servizi online a minori allora devi ottenere un consenso di un genitore o tutore per poter trattare i loro dati personali a norma di legge.
9. Il documento dell’informativa sulla privacy sul tuo sito web deve essere scritto con un linguaggio semplice e facilmente comprensibile all’interessato.
10. In caso di violazione dei dati personali (data breach), Il GDPR introduce l’obbligo per tutte le aziende di notificare all’autorità garante ed a tutti gli interessati quando subiscono una violazione dei dati personali, nel caso in cui il titolare intraveda un rischio per la libertà e la sicurezza degli interessati coinvolti. Per “Violazione di dati” si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati (Art. 4 p.12 GDPR). Diventa quindi fondamentale investire sulla sicurezza informatica del proprio sito web se attraverso il sito raccogliamo e conserviamo i dati che gli utenti ci inviano attraverso il form dei contatti.
11. Nuovo onere per le aziende: la formazione obbligatoria ai dipendenti in termini di sicurezza e privacy. Il GDPR prevede che l’azienda debba erogare una formazione costante e sempre aggiornata ai dipendenti in termini di privacy, per evitare il rischio di diffusione illecita o di un utilizzo erroneo dei dati personali in relazione alle finalità di trattamento consentite. Inoltre, l’azienda deve essere in grado di dimostrare di aver erogato la formazione necessaria.