Il 25 maggio entrerà in vigore il GDPR: la maggior parte delle attività di marketing, basandosi sull’uso di dati più o meno personali, saranno soggette a nuovi controlli e vincoli!
Sei sicuro di essere in grado di dimostrare il rispetto di tutta la normativa?
API, SDK e Plugin: raccogliere e integrare i dati, abilitare un profilo consu...
GDPR: è iniziato il countdown
1. GDPR: è iniziato il Countdown!
General Data Protection Regulation
Luca Bolognini, Presidente Istituto Italiano Privacy e valorizzazione dei dati
Marco Zambardi, Head of Product Management, Contactlab
Milano, 11 Aprile 2018
2. 2
Che fine fanno i nostri dati personali?
GDPR: è iniziato il Countdown!
Meno del 10% degli intervistati in un sondaggio
KPMG International* a livello mondiale, ritiene
attualmente di avere il controllo sul modo in cui le
organizzazioni gestiscono e utilizzano i loro dati
personali.
“
”
* KPMG Global International, 2017
3. 3
GDPR in breve
GDPR: è iniziato il Countdown!
• E’ un Regolamento, non una Direttiva e quindi è immediatamente esecutivo
• Definisce e regolamenta i diritti delle persone fisiche relativamente al trattamento dei loro Dati
Personali: le aziende e le pubbliche amministrazioni devono costruire un vero e proprio processo
strutturato di trattamento dei dati e tutela della privacy che preveda anche nuovi ruoli, responsabili e
responsabilità
• Decorrenza dell’applicazione: 25 maggio 2018
• Le sanzioni amministrative pecuniarie previste sono rilevanti: fino a 20 000 000 EUR, o per le
imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore
4. 4
Principali attori e definizioni
GDPR: è iniziato il Countdown!
• Titolare del Trattamento o data controller: il soggetto (persona fisica, giuridica, pubblica
amministrazione e qualsiasi altro ente, associazione od organismo) che decide le
modalità e le finalità del trattamento dei dati personali.
• Responsabile del Trattamento o data processor: il soggetto, persona fisica o giuridica,
l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del
titolare del trattamento.
• Interessato o data subject: la persona fisica a cui si riferiscono i dati personali.
• Dati Personali: ogni informazione riferita a una persona fisica, identificata o identificabile
anche indirettamente.
5. 5
Un Titolare del trattamento (es. impresa, ente) che tratta dati personali per finalità di marketing digitale…
…deve garantire il rispetto degli obblighi e dei diritti previsti dal GDPR – oltre
che della normativa speciale ePrivacy - nel trattamento dei dati dei clienti/utenti
E può farlo, tra l’altro, attraverso:
✓ Politiche di gestione dei dati atte a garantire l’accesso e a fornire il controllo sui
propri dati e sul loro trattamento alle persone interessate
✓ Controlli più rigorosi su dove sono archiviati i dati personali e su come sono
utilizzati (per quali finalità, con quali strumenti, per quanto tempo ecc.)
✓ Strumenti di governance dei dati ideati per una migliore trasparenza, diversi a
seconda degli ambiti di trattamento (es. specifici per piattaforme di marketing)
6. 6
GDPR: è iniziato il Countdown!
Il Titolare: rispetto dei principi fondamentali nel trattamento dei dati personali
Il Titolare del Trattamento è competente per il rispetto dei principi e in grado di comprovarlo
(responsabilizzazione)
• Liceità, correttezza e trasparenza nel trattamento dei dati personali
• I dati personali sono raccolti per finalità determinate, esplicite e legittime, e successivamente
trattati in modo che non sia incompatibili con tali finalità
o Minimizzazione dei dati raccolti rispetto alle finalità
o Esattezza: devono essere adottate tutte le misure ragionevoli per cancellare o rettificare
tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati
• I dati sono conservati in una forma che consenta l'identificazione degli Interessati per un arco di
tempo non superiore al conseguimento delle finalità per le quali sono trattati
• I dati sono trattati in maniera da garantire un'adeguata sicurezza dei dati personali
“
”
7. 7
GDPR: è iniziato il Countdown!
I diritti dell'Interessato (Capo III, art 12 – 23)
Diritto di accesso (art. 15) Diritto di ottenere dal Titolare del Trattamento la conferma che sia o meno in corso un trattamento di
dati personali che lo riguardano e di ottenere l'accesso ai dati personali e a altre informazioni. Diritto
di ricevere una copia dei dati personali oggetto di trattamento. Indicazione del periodo di
conservazione previsto
Diritto di rettifica (art.16) Diritto di ottenere dal Titolare del Trattamento la rettifica dei dati personali inesatti. Tenuto conto delle
finalità del trattamento, l'interessato ha il diritto di ottenere l'integrazione dei dati personali incompleti
Diritto di cancellazione (diritto all'oblio)
(art.17)
Diritto alla cancellazione dei propri dati personali quando non vi sia più una base di legittimità per
trattarli. Obbligo per i Titolari di informare della richiesta altri Titolari che trattano i dati cancellati.
Diritto di limitazione di trattamento (art.
18)
Diritto esercitabile in caso di violazione dei presupposti di liceità del trattamento o nel caso
l‘Interessato chieda la rettifica dei dati (in attesa di tale rettifica da parte del Titolare) o si opponga al
loro trattamento per motivi legittimi
Obbligo di notifica in caso di rettifica o
cancellazione dei dati personali o
limitazione del trattamento (art.19)
Il Titolare del Trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati
personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate
Diritto alla portabilità dei dati (art. 20) Diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati
personali che lo riguardano forniti a un Titolare del Trattamento, o anche di chiederne la trasmissione
diretta da Titolare 1 a Titolare 2, 3, x
Diritto di opposizione (art.21) L‘Interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione
particolare, al trattamento dei dati personali basato su legittimo interesse, interesse pubblico o
anche, senza motivare, nel caso di marketing diretto
Processo decisionale automatizzato
relativo alle persone fisiche, compresa la
profilazione (art. 22)
Diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato,
compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo
significativamente sulla sua persona
9. 9
GDPR: è iniziato il Countdown!
La piattaforma di Contactlab: overview
Public REST API
Data River / Data Lake
AUTHORIZATION / AUTHENTICATION
MARKETING
AUTOMATION
AUTOMATION
Sistemi esterni Progetti Custom 1-TO-1 CONVERSATION
INGESTION &
CORRELATION
CUSTOMER DATA
PLATFORM
ENRICHMENT SEGMENTATION
MULTICHANNEL
PERSONALIZATION
DELIVERY
INSIGHTS
ANALYSIS
10. 10
GDPR: è iniziato il Countdown!
La piattaforma Contactlab e il GDPR
• La piattaforma Contactlab da sempre e by design offre le più alte garanzie di rispetto delle
normative della privacy
• Numerose nuove funzioni sono disponibili per aiutarvi a rispettare ed assolvere i principi e le norme
contenute nel GDPR
➢ raccolta, gestione e modifica dei consensi
➢ stato dei consensi disponibili sempre su ogni modulo della piattaforma per scegliere al meglio
il target e l'azione di marketing
➢ azioni automatiche per evitare di non rispettare il diritto degli interessati
➢ strumenti di analisi e verifica specifici per garantire il rispetto dei diritti degli Interessati
➢ Nuovo ruolo per gli utenti della piattaforma con privilegio di accesso a log modifiche consensi
e esecuzioni richieste esercizio diritti
11. 11
GDPR: è iniziato il Countdown!
Raccolta e Gestione del Consenso: raccolta consensi
I profili degli utenti mantenuti nella piattaforma Contactlab sono arricchiti con una nuova sezione "Consensi"
• Versione e data dell’emissione del
disclaimer con il quale sono stati
raccolti i consensi
• Elenco predefinito di consensi con il
relativo stato: rilasciato, revocato, non
noto
• Presenza per ciascun consenso di
eventuali azioni di limitazione od
opposizione in atto
• Elenco dello stato di sottoscrizione a
newsletter o altre comunicazioni
12. 12
GDPR: è iniziato il Countdown!
Raccolta e Gestione del Consenso: consensi mappabili
Marketing
• Telefonico
• Cartaceo
• Sms
• Email
• Push
• IM
• Telephonic
Profilazione
• Tradizionale
• Online
Softspam
• Email
• Cartaceo
Trasferimento terze parti
• Per Marketing
• Per Profilazione
13. 13
GDPR: è iniziato il Countdown!
Raccolta e Gestione del Consenso: modifica consensi
La modifica dei consensi, l'espressione del diritto di Limitazione od Opposizione sono possibili:
• Manualmente da interfaccia per gli utenti con apposito ruolo
• Via API (anche come normale flusso di aggiornamento dei dati di profilo)
In entrambi i casi sono generati in automatico degli eventi per tenere traccia della modifica dei consensi.
Questi eventi sono mantenuti per tutta la durata del contratto tra Contactlab e il Titolare.
Alla conclusione del contratto, questi eventi sono esportati, consegnati al Titolare ed eliminati dalla piattaforma.
Informazioni inserite nei log:
• Date
• Identificativo del customer
• Sorgente della modifica
• Identificativo Operatore (se modifiche
eseguite via UI)
Log generati alla modifica dei consensi:
• Disclaimer accettato
• Modifica consensi (rilascio/revoca)
• Esercizio Limitazione
• Esercizio Obiezione
• Richiesta di portabilità
• Richiesta oblio
14. 14
GDPR: è iniziato il Countdown!
Raccolta e Gestione del Consenso: visualizzazione storico
Lo storico delle modifiche dei consensi è visualizzato
su una timeline specifica per ogni utente e in una
sezione globale dedicata a questi eventi.
Consensi modificati
Richiesta Limitazione
Entrambe accessibili solo al DPO del Titolare
(nuovo ruolo configurabile in piattaforma) e
mantenute anche dopo eventuale cancellazione
dell'utente.
15. 15
GDPR: è iniziato il Countdown!
Raccolta e Gestione del Consenso: utilizzo dati in tutta la piattaforma
Le informazioni sullo stato dei consensi, limitazioni e obiezioni sono
disponibili come parte del profilo utente in tutti moduli di piattaforma
Variazioni sullo stato dei consensi sono propagate in near real time
a tutti i moduli della piattaforma
Sono disponibili strumenti per conoscere in quali campagne già
programmate o automazioni è presente un dato contatto, cosi' da
poterlo eliminare in caso di variazione dei consensi o esercizio del diritto
di Limitazione o Opposizione
16. 16
GDPR: è iniziato il Countdown!
Diritto di Cancellazione (Oblio)
A seguito della richiesta da parte dell'Interessato al Titolare di esercitare il diritto all'Oblio, un utente con ruolo DPO, può:
• Richiedere via UI o API la cancellazione fisica di tutti i dati (profilo, eventi, insight calcolati) di un utente
• La cancellazione dei dati del contatto viene propagata automaticamente a tutti i moduli di piattaforma
• Il contatto viene eliminato da tutte le spedizioni programmate e automazioni attive
• Viene generato un log della richiesta ed avvenuta cancellazione
• Anche dopo la cancellazione del contatto, tutti i log di modifica dei consensi sono mantenuti a disposizione del
Titolare
17. 17
GDPR: è iniziato il Countdown!
Diritto di Accesso e Diritto alla Portabilità
Su Hub esiste la possibilità di richiedere i seguenti dati per uno specifico utente, via UI e API e solo da parte
di utenti con il ruolo DPO:
• Profilo
• Sezione "consesi"
• Tutti gli eventi comportamentali associati all'utente
• Eventuali Insight calcolati e associati all'utente
Le informazioni sono restituite in formato JSON.
Viene generato un log di avvenuta richiesta ed export dei dati.
18. 18
GDPR: è iniziato il Countdown!
Diritto di Rettifica
A seguito della richiesta da parte dell'Interessato al Titolare di rettificare i propri dati personali, il Titolare può eseguire le
modifiche al profilo dell'utente secondo i normali flussi di aggiornamento dei dati in essere.
Per garantire che l'Interessato non riceva spedizioni programmate in precedenza e non più coerenti con i dati rettificati, la
piattaforma Contactlab permette di:
• Recuperare tramite UI l'elenco delle spedizioni programmate o delle automazioni attive in cui è presente il contatto
così da decidere se rimuoverlo o meno
19. 19
GDPR: è iniziato il Countdown!
Diritto di Limitazione / Diritto di Opposizione
A seguito della richiesta da parte dell'Interessato di esercitare il diritto di Limitazione od Opposizione, le modifiche alla
sezione "Consensi" del profilo dell'utente possono essere eseguite secondo i normali flussi di aggiornamento dei dati in
essere.
Viene generato in automatico e a fini di log, un evento di richiesta di Limitazione / Opposizione
La limitazione, opposizione o revoca del consenso alla Profilazione Online comporta lo stop immediato all'utilizzo
dei dati del contatto per il calcolo di insight (es. RFM) associati al contatto stesso
20. 20
Contactlab è pronta?
GDPR: è iniziato il Countdown!
La piattaforma di Engagement Marketing è pronta per
supportare i brand a essere conformi nelle loro attività
di digital marketing, in previsione del go-live del
GDPR (25 maggio 2018)
SI
21. SONO APERTE LE PREISCRIZONI
Teatro Franco Parenti, Milano
19 Giugno 2018