Per attività di marketing B2B è sufficiente richiedere il consenso sul trattamento dati congiuntamente all’invio di comunicazioni di marketing occasionali (non periodiche) o sono necessari 2 flag e 2 consensi (trattamento dati + info occasionali di marketing)?
Lodovico Mabini: Come hai fatto ad avere l’indirizzo email personale? Se l’indirizzo ti è stato fornito in passato a seguito di un contatto, puoi chiedere solo il consenso (e quindi devi predisporre la possibilità di cancellazione one-click). Se il dato lo hai avuto in altro modo (es. recuperandolo da un database di terzi) non potresti trattarlo. Se gli invii sono a indirizzi mail business e non personali (info) ti è sufficiente permettere la cancellazione
Donatella Ardemagni: Aggiungo un aspetto legato al content marketing. Se costruiamo contenuti utili e interessanti
39Marketing
donatella.ardemagni@39marketing.it
per il lavoro e la formazione dei nostri interlocutori, non si porrà mail il problema del consenso esplicito. Come marketing dobbiamo puntare a questo più che ad un atteggiamento di tutela e timore.
E’ lecito fare attività di Permission Marketing sui vecchi database al fine di ripopolare un nuovo databse con i consensi? Noi lo abbiamo fatto su piattaforme automatiche di invio, ma questo evento ha generato qualche problematica di segnalazione spam…
Lodovico Mabini: Si, ha senso visto che il dato personale ti era stato fornito in precedenza. A questo punto quindi devi solo mettere l’interessato nella condizione di darti consenso per lo specifico trattamento di marketing. La disiscrizione in un passaggio con un click sulla mail marketing può essere la soluzione più pratica. Per quanto riguarda lo spam, temo che lo strumento che utilizzi non sia particolarmente “solido”. Se ti genera spam nella procedura di raccolta consensi che hai lanciato, probabile che lo crei anche quando rendi operative le newsletter
Donatella Ardemagni: lo spam concordo che derivi dalla qualità della mailing list e non dal messaggio di permission a meno che il messaggio specifico non contenga qualche elemento particolare come video o animazioni, fortemente sconsigliato in questo tipo di e-mail. Il problema dello spam e della riattivazione di contatti “vecchi” o “disattenti” può essere fatto in modo assolutamente compliant con il GDPR al fine di migliorare la qualità dei contenuti inviati, ma andrebbe progettato a tavolino (ricorda il concetto di Privacy by Design) e magari supportato da uno strumento informatico come un sistema di marketing automation.
Seguo un’azienda che vende prodotti industriali (quindi mercato B2B). Ha un processo come indicato da voi con obiettivi e pianificazione. Trova informazioni di aziende potenziali interessate tramite siti delle aziende o elenchi di associazioni di categoria. La responsabile contatta l’azienda e parla con un contatto aziendale, con raccolta delle info strettamente necessarie, e se c’è interesse, viene fissato appuntamento o invio di comunicazioni di prodotti industriali specifici. Serve firmare un consenso? Basta la conferma verbale? O vale il legittimo interesse. Specifico che poi la gestione dell’attività avviene con CRM e le comunicazione avvengono via newsletter con possibilità di disiscriversi
Lodovico Mabini: La procedura che descrivi appare corretta, visto che prima dell’invio di materiale vi è una telefonata. Sebbene una telefonata non abbia il requisito forte di dimostrabilità, come può essere una risposta ad un mail o una firma d
LMTeam
lodovico.mabini@lmteam.eu
i un modulo, avere documentato come procedura standard la chiamata di pre-contatto è una buona cosa. Se poi venisse registrata la data in cui la telefonata è avvenuta ancora meglio. Sembra che vi sia un aspetto di “legittimo interesse” e comunque la disiscrizione con CRM è sufficientemente compliant.
Donatella Ardemagni: condivido questa pratica che stiamo mettendo in atto nelle attività di profilazione e lead generation che stiamo portando avanti dopo maggio 2018. Successivamente alla telefonata, l’operatrice invia una e-mail (con dominio aziendale nel sender) in cui si riepilogano i dati raccolti nella chiacchierata, si invia un documento in pdf come ebook, white paper di approfondimento rispetto alla proposta dell’azienda e le indicazioni chiare su come modificare o cancellare i dati raccolti dall’operatrice. In questo modo è più facile avere una prova scritta del processo di contatto.
Come considerare il contatto e invio comunicazioni dopo contatto tramite Linkedin dove accetto il collegamento?
Lodovico Mabini: Ogni Social network è il titolare del trattamento. Chi si iscrive autorizza l’uso dei propri dati solo nell’ambito del social. Utilizzare questi dati al di fuori del social non è lecito. Il suggerimento è di postare un sito internet per stimolare i collegamenti ad uscire dal social e passare dal sito, dove l’informativa ed i consensi sono finalizzati alla raccolta del dato in qualità di titolare.
Donatella Ardemagni: non avrei avuto risposta migliore da dare. Il piano di content marketing per i social dovrebbe proprio avere come fine lo stimolo per i lettori a cliccare su link che riportino fuori dal social network su landing page costruite con moduli di raccolta dati e “call to action” a compilare reali moduli per chiedere maggiori approfondimenti. Tutto questo significa aver pianificato bene una campagna secondo i requisiti del GDPR. (Privacy by Design)
Dem di Auguri natalizi: confido che non sia un problema da un punto di vista GDPR . Giusto?
Lodovico Mabini: Nessun problema.
Donatella Ardemagni: ricordiamoci di cogliere sempre l’occasione per “comunicare”. In queste formule di invio per ringraziamenti, auguri, ecc cerchiamo di essere creativi e di pensare se sia possibile dire quel qualche cosa in più che generi interesse…. i principi del customer care valgono ancora di più in era di GDPR.
Nel B2B, l’email aziendale di una persona non dovrebbe essere considerato un dato sensibile e personale, perchè tipicamente attinente al suo lavoro?
Lodovico Mabini:Una mail nome.cognome@azienda è comunque un dato riconducibile ad una persona fisica. E’ da ritenersi dato personale (e non sensibile). Evidentemente se lo hai è perché con questa persona hai avuto occasione di scambiare info B2B, quindi l’utilizzo per comunicare “personalmente” lo si può ritenere lecito. Se però vuoi utilizzarlo per altri scopi (Es. newsletter) è necessario un consenso o per lo meno una chiara procedura di disiscrizione.
Donatella Ardemagni: procedura di disiscrizione chiara assolutamente necessaria e fiducia nel potere del content marketing. Se scrivi cose utili chi mai si lamenterà?
Non avendo ancora OPT in, posso inviare DEM con OPT out comunque?
Lodovico Mabini: Si. Non avendo OPT in, io potrei registrarmi con la tua mail, quindi un po’ di spam lo si rischia. Un buon OPT out può mediare questa situazione.
Donatella Ardemagni: assolutamente d’accordo ma …..proviamo a essere creativi e a portare avanti un progetto di content marketing su più piattaforme (e-mail, social, sito, ecc) per raccogliere consensi provati e certi.
Ma con l’utilizzo del Cloud , i server su cui vengono conservati possono essere ovunque a livello mondiale anche per motivi di disaster recovery etc. Quindi come posso garantire che siano in Europa ?
Lodovico Mabini: Il server primario collocato in UE è particolarmente consigliato, e come puoi vedere anche i BIG cercano di attivare i loro datacenter all’interno dell’UE. Si suppone che un provider serio che sfrutti il disaster recovery intercontinentale, utilizzi strumenti di criptazione del dato di elevati standard. In generale un server criptato non contiene dati personali, quindi avere sistemi criptati worldwide non è particolarmente critico. Come accennato nel webinar, è forse più importante capire quali nazioni accedono al dato piuttosto che la collocazione fisica del server. E’ evidente che un server in un datacenter sconosciuto, del quale non si conoscono le tecnologie di sicurezza, collocato extra-ue è particolarmente a rischio. Ma lo sarebbe anche in UE
Donatella Ardemagni: aggiungo solo che se sussiste la possibilità di avere un trattamento dei dati (compreso un semplice accesso) al di fuori della UE è necessario che questo sia indicato nella Informativa di ciascuna tipologia di raccolta dati personali (sito, social, eventi, ecc)
Cosa ne pensate del considerando 47, che lega il legittimo interesse al marketing diretto?
Donatella Ardemagni: Questione assai spinosa. Dimostra la sensibilità del legislatore nell’offrire uno spiraglio a chi fa marketing perché le cose non si bloccassero il 25 maggio 2018. Battute a parte, si tratta di un concetto troppo “generico” che lascia spazio a interpretazioni disparate. Personalmente non progetterei attività invocando come unica base giuridica il Legittimo Interesse. Vedremo la giurisprudenza e le sentenze cosa scriveranno, ma al momento cercherei di muovermi quanto più possibile su un terreno di lealtà e fiducia nei confronti dei miei interlocutori, offrendo opportunità e contenuti progettati per il loro interesse, più che per quello dell’imprenditore.
Per finalità di profilazione quanto tempo posso tenere i dati dei miei clienti?
Lodovico Mabini: Domanda molto generica. Se sono tuoi clienti e la profilazione riguarda il vostro rapporto B2B, il dato è lecito e sicuramente può e deve essere mantenuto per tutta la durata del rapporto. Il primo termine è quindi a partire dalla cessazione del rapporto B2B, indipendentemente dalla profilazione. La profilazione può invece determinare rischi nel trattamento e quindi scatta proprio l’ambito della valutazione di impatto, analisi che è in grado di valutare il rischio e suggerire le azioni di riduzione. Una possibile azione è appunto quella di ridurre il tempo di conservazione dei dati
Donatella Ardemagni: un tempo prescritto per legge comunque non c’è. Quello che è chiaro ed esplicitamente scritto nel GDPR è che però non può essere per sempre. I dati di profilazione poi sono quelli che invecchiano più rapidamente per cui il consiglio è sempre quello di avere campagne di marketing mirate e che portino ad attivare reazioni e scambi con gli interlocutori, affinché all’azienda sia consentito conservare i dati nel proprio CRM il più a lungo possibile.
Se sul mio sito traccio i comportamenti di un utente (dove clicca e per quanto tempo legge una pagina) senza memeorizzare il suo nome, cognome e indirizzo, devo necessariamente mettere sul sito una privacy policy o i cookies?
Lodovico Mabini: Si. Il semplice indirizzo IP è da considerarsi dato personale, perché se io dovessi avere un archivio nome, cognome, ip assegnato dal provider, con il tuo archivio sarei in grado di fare una seria profilazione. La cookies policy e la privacy policy sono ormai indispensabili su un sito.
Donatella Ardemagni: avendo a disposizione quei dati perché rinunciare a usarli? Gli strumenti affidabili ed economici esistono per cui il mio invito è al loro utilizzo all’interno di una strategia pianificata (Privacy by Design).
Mi riferisco unicamente a soggetti interessati al trattamento che sono persone giuridiche. Il considerando n.14 del GDPR non le ritiene assoggettate alla norma compresi i dato di contatto che possono riferirsi a persone fisiche ovvero essere dati che identificano una persona fisica. Posso utilizzare legittimamente, per tutte le operazioni che voglio (trattamento ai fini di mass maling automatico, profilazione della persona giuridica, trasmissione a terzi, etc.) sino a quando le mie finalità rimangono quelle di “relazionarmi commercialmente” unicamente alla persona giuridica. Corretto?
Lodovico Mabini: Spesso capita che profili Business abbiano comunque mail contenenti “nome e cognome”, definirle email generiche o dato personale in questo caso può essere lievemente soggettivo. Se è certo che questo non accada, non vedo alcun limite. A sua tutela comunque verifichi l’efficacia della procedura di disiscrizione integrata nella mail, in modo da avere uno strumento compatibile anche con eventuali osservazioni sull’utilizzo di dati personali.
Donatella Ardemagni: Se con l’espressione “relazione con persona giuridica” intende usare le e-mail aziendali generiche come le info@dominio.it o acquisti@dominio.it per inviare massa marketing, la risposta è che si certamente può farlo. Con il nuovo GDPR la situazione da questo punto di vista si è semplificata. Gli stessi numeri di telefono di centralino delle aziende, se non iscritte al registro delle opposizioni, possono essere usati per operazioni di primo contatto in caso di telemarketing e profilazione.
Potete inviare le vostre domande all’indirizzo redazione.bitmat@bitmat.it
