Il primo assunto dell’analisi Forrester, esplicitata in un recente report, è che il GDPR, nato per aumentare il controllo dei consumatori sull’uso dei loro dati personali da parte delle aziende, non limiti di per sé le potenzialità del marketing data-driven, ma richieda alle persone del marketing di superare molti ostacoli per continuare a utilizzare i dati come prima che il regolamento entrasse in vigore.
Le disposizioni avranno ricadute soprattutto sul modo di utilizzare la pubblicità online, fra le quali:
- Il ritorno all’era della pubblicità basata su segmenti di clienti e non sul singolo, con il risultato di non poter utilizzare tutte le potenzialità delle piattaforme di gestione dei dati (DMP) a causa del conflitto fra le nuove regole e attività quali l’analisi dell’evoluzione del profilo di un singolo consumatore attraverso diversi canali e la previsione del comportamento in risposta al messaggio marketing.
- La limitazione dell’uso dei dati di terze parti che possono generare molti problemi, a partire dalla possibilità di qualificare il dato come “personale”, di risalire all’identità di un individuo, di conoscere come sono stati ottenuti i dati e su quale base legale; tutti aspetti determinanti per garantire il rispetto della normativa da parte dell’organizzazione.
- Giustificare il business case per la profilazione dei clienti ai responsabili della compliance. Il consenso non sempre è necessario per la profilazione; la personalizzazione basata su dati già regolarmente in possesso dell’azienda può, in particolare, non essere influenzata dal nuovo regolamento, molto dipende dall’uso che se ne fa. Se è indirizzata a mostrare pubblicità diverse in base al profilo, dice Forrester, non si ravvisano problemi, ma se, per esempio, vengono effettuati sconti o inviati coupon in base al profilo si può incorrere in problemi legali perché la si può ritenere una pratica discriminatoria.
L’adozione delle nuove regole sulla privacy ha riflessi immediati sullo scenario dei vendor e delle partnership. Le aziende si devono aspettare, secondo Forrester, la riduzione del numero di fornitori di tecnologia fra cui scegliere. Infatti da un lato essi stessi sono esposti a rischi nel caso in cui i clienti non rispettino le regole su privacy e security imposte da GDPR, dall’altro il rispetto del GDPR scoraggia i nuovi entranti, in particolare i vendor più piccoli che non possono investire per risultare compliant. Le terze parti che forniscono dati inoltre sono sotto osservazione da parte del marketing aziendale per il modo in cui raccolgono e trattano i dati. Il restringimento del mercato dell’offerta e l’aumento dei costi per la compliance potrà aver come conseguenza l’aumento del prezzo dei dati forniti da terze parti.
L’uso di dati compatibili GDPR si basa su un’adeguata governance
Le organizzazioni del marketing si devono familiarizzare con la legislazione GDPR per continuare a utilizzare i dati personali per le loro attività. Quanto possono ottenere dai dati dipende oggi soprattutto da quanto sono capaci di rispettare e implementare le disposizioni del GDPR, fatto a sua volta subordinato alla loro modalità di governance dei dati.
Una delle conseguenze del GDPR è che il rispetto delle regole prevede modalità di manipolazione dei dati relative e contestualizzate, in relazione allo scopo per il quale i dati sono elaborati che può cambiare nel tempo. Per ottenere questo risultato le imprese devono seguire passi organizzativi e tecnici che assicurino la compliance, con ricadute sulle organizzazioni di marketing quali:
- un’architettura dei dati che aiuti a rinforzare la compliance;
- una strategia di minimizzazione (ossia la raccolta e conservazione dei soli dati veramente necessari).
- dei dati per ridurre l’esposizione ai rischi e i costi;
- la messa a punto di processi per valutare e verificare la compliance nel tempo;
- la collaborazione cross-funzionale per assicurare l’efficacia della governance dei dati;
- una gestione del cambiamento per rendere la cultura della privacy integrata nell’organizzazione.
L’approccio suggerito da Forrester per affrontare le nuove regole sulla privacy
Il report suggerisce alle persone del marketing di evitare un approccio di attesa per vedere come eventualmente il GDPR sarà rafforzato, ma abbracciare in modo proattivo lo spirito del regolamento per assicurare che i processi interni e le campagne esterne rispettino la privacy dei clienti e preservino la loro fiducia.
I passi da seguire dovrebbero essere:
Cercare risorse specializzate in grado di fornire un corretto indirizzo. Anche se i fornitori di tecnologia sono certamente documentati sul GDPR, ognuno di loro avrà una propria filosofia sul tema. Si dovrebbe invece far riferimento a organizzazioni specializzate in grado di aiutare l’azienda a definire il proprio specifico approccio alle regole della nuova privacy.
Stare in allerta con lo sguardo rivolto all’orizzonte della regolamentazione sulla privacy. Le imprese dovrebbero prendere in considerazione l’aggiornamento delle opzioni relative ai cookie alla luce dei cambiamenti derivanti dalle nuove regole: la Commissione Europea si appresta a rinegoziare la bozza del regolamento ePrivacy che prevede il consenso come unica base legale per la pubblicità comportamentale online. Ma non vanno sottovalutati gli effetti delle normative non europee.
La California ha ad esempio emanato una legge (California Consumer Privacy Act – CaCPA) che entrerà in vigore nel 2020 ed espande, fra l’altro, la definizione di dati personali per allinearlo più strettamente al GDPR, includendo dati come dispositivi di identificazione, storia dei cookie, biomentria. Il CaCPA potrebbe essere il punto di partenza per nuove leggi a livello dei singoli stati Usa, che andrebbero a superare quelle federali, assai meno stringenti del GDPR. Inoltre i legislatori di Australia, Canada, India e Giappone stanno rivisitando la loro legislazione in tema di privacy nel tentativo di renderla compatibile con quella europea e proteggere gli accordi commerciali in essere con la UE.
Essere certi che i partner tecnologici e commerciali non siano causa di difficoltà. La capacità di rispettare le nuove regole dipende dalla capacità dei partner tecnologici di rispettarle a loro volta. Nel caso, ad esempio, del diritto del cliente ad essere dimenticato, le autorità di controllo si aspettano che le aziende siano in grado di implementare la decisione del cliente attraverso tutta la catena dei partner con cui collaborano. Serve dunque garantirsi la visibilità sul modo in cui fornitori di tecnologia trattano la privacy per potere, di conseguenza, modificare i contratti in base alle nuove regole e per assicurare che tutti i partner trattino i dati non solo nel rispetto della legge ma anche secondo le aspettative dell’azienda. Un ulteriore suggerimento è lavorare con i colleghi della sicurezza, del rischio e della privacy per mettere in atto meccanismi di audit per valutare le pratiche attuali e la loro evoluzione nel tempo.
Spostare l’attenzione dalla quantità alla qualità dei dati. Secondo Forrester, la “frenesia” sui big data degli ultimi anni ha spinto a credere che più dati ci sono meglio si opera e che i dati non utili al momento lo saranno un giorno grazie alla tecnologia, all’algoritmo o al data scientist giusti. Il principio della minimizzazione dei dati forza invece a una raccolta più disciplinata, alla focalizzazione sui dati proprietari, su quelli provenienti da fonti verificabili e su quelli con una migliore performance.
Il GDPR potrebbe dunque avere la conseguenza positiva, probabilmente non prevista dai legislatori, di generare un ambiente dati più pulito e snello, capace di aiutare le persone del marketing a utilizzare le informazioni in modo più facile e consapevole. E probabilmente anche più efficace.