L’entrata in vigore del GDPR ha generato un nuovo modo di fare marketing aziendale mediante la piattaforma Web.
Sfruttare i social media per implementare il proprio business è il nuovo approccio del mercato digitale ma tale sistema deve necessariamente seguire i dettami imposti dal GDPR a tutela dell’utente-consumatore, i cui (molti) dati personali sono oggetto di questo preciso trattamento.
Ed invero, il Web Marketer necessariamente si ritrova a trattare moltissimi dati personali, in quanto il marketing sviluppato sui social media richiede sempre più l’esigenza di creare un’esperienza-utente personalizzata.
Si parla infatti di messaggi commerciali automatizzati, indirizzati a soggetti i cui dati personali risiedono in un CRM aziendale; mediante specifici strumenti di analisi, collegati allo stesso CRM, è possibile tracciare gli utenti fin dalle prime fasi di contatto tramite la semplice visita al sito web aziendale o alla pagina social di una determinata azienda.
Come ben potrà comprendere il lettore, trattasi questa di una massiccia invasione nella quotidianità degli utenti e il mancato rispetto delle prescrizioni in ambito di tutela dei dati personali può comportare un notevole rischio per i diritti e le libertà degli utenti nonché esporre l’azienda promotrice del social marketing a pesanti sanzioni e di conseguenza subire un pregiudizio sotto il profilo della propria web reputation.
Motivo questo per cercare di affidare la regolamentazione della campagna di marketing ad un consulente data protection esperto di privacy e GDPR per ogni fase di sviluppo del progetto stesso e che dialoghi in maniera costante con il Social Media Manager o il Digital Marketer.
Lo scopo è quello di creare un rapporto di fiducia e trasparenza tra l’azienda e gli utenti, che passa proprio dall’adottare e far rispettare le norme del GDPR, fornendo ai potenziali consumatori le informazioni sul trattamento dei loro dati personali e prevedendo, in maniera puntuale, i casi in cui raccogliere (ed eventualmente saper dimostrare con certezza di averlo raccolto) il consenso per procedere con il trattamento automatizzato dei dati personali dell’utente.
Fondamentale adempimento è infatti quello di verificare che l’utente abbia la possibilità di verificare come i suoi dati saranno trattati e visualizzare le impostazioni della pagina social. Ad esempio, la pagina fan di Facebook contiene un’apposita sezione “informazioni” dove è possibile inserire l’indirizzo URL della pagina privacy del sito Web del cliente.
Il testo dell’informativa privacy ex art 13 GDPR deve essere facilmente consultabile da parte dell’utente, indicando nello specifico le finalità cui saranno destinati i suoi dati entrando in contatto con l’azienda.
Ciò in quanto è sempre l’azienda, in qualità di titolare del trattamento, a dover fornire per prima ogni chiarimento circa il social marketing posto in essere nei confronti dei suoi potenziali clienti/ visitatori degli spazi web aziendali.
Nello specifico, come ha chiarito più volte il Garante per la protezione dei dati personali, il solo fatto che un utente pubblichi contenuti o dati di contatto su un social media, non rende pubbliche quelle informazioni né consente all’aziende in maniera automatica all’azienda di poterle utilizzare con finalità di marketing.
Inoltre, è preclusa ogni forma di spam aggressivo mediante l’invio di messaggi sulle bacheche dei profili degli utenti o messaggi diretti tramite messaggistica istantanea ai non-followers. Anche l’utilizzo di bot automatici può diventare insidioso se l’utente non ha la possibilità di cancellare la propria iscrizione a qualsiasi newsletter e interrompere l’invio di messaggi automatici, esercitando in tal caso il diritto di opposizione ex art. 21 GDPR.
Il piano editoriale di creazione dei contenuti e le attività di marketing devono inoltre essere rispettosi dei principi di trasparenza e minimizzazione dei dati personali come impone l’art 5 GDPR.
Quanto ai rapporti tra l’azienda, i clienti e il Social Media Manager/Digital Marketer si deve sottolineare che il professionista esperto di web marketing effettua un trattamento di dati personali per conto dell’azienda cliente, che essendo titolare del trattamento, è obbligata a predisporre misure adeguate per proteggere i dati personali dei propri (potenziali) clienti.
Affidando l’azienda i dati personali dei propri utenti a tali soggetti esterni, gli stessi dovranno sottoscrivere la nomina ai sensi dell’art. 28 GDPR, per stabilire le reciproche responsabilità e garantire le misure di sicurezza tecniche e organizzative adeguate, essendo sottoposti alle direttive e istruzioni da parte del titolare del trattamento.
Un utile riferimento per individuare i rapporti che determinano una responsabilità nel trattamento è quello offerto dalla Opinion 1/2010 Working Party Article 29 “on the concepts of “controller” and “processor”.