Ce diaporama a bien été signalé.

Marketing e GDPR: Esercitazioni. Workshop a SMAU Bologna 2019

1

Partager

Chargement dans…3
×
1 sur 39
1 sur 39

Marketing e GDPR: Esercitazioni. Workshop a SMAU Bologna 2019

1

Partager

Dopo il primo anno di servizio del GDPR, come procedono le attività di marketing? Abbiamo fatto il punto della situazione a partire dai più tipici dilemmi del marketing digitale e non solo. Guarda le slide

Dopo il primo anno di servizio del GDPR, come procedono le attività di marketing? Abbiamo fatto il punto della situazione a partire dai più tipici dilemmi del marketing digitale e non solo. Guarda le slide

Plus De Contenu Connexe

Livres associés

Gratuit avec un essai de 14 jours de Scribd

Tout voir

Marketing e GDPR: Esercitazioni. Workshop a SMAU Bologna 2019

  1. 1. BOLOGNA-7giugno2019 GDPR NEL L A PRATICA MA RK ETING. ESERCITA ZIONI PRIVA CY Donatella Ardemagni - Angelo Modica QUANTO NE SAI? FAI IL NOSTRO QUIZ E RICEVI BONUS FORMAZIONE
  2. 2. INBREVE 1 anno fa sembrava la fine dei giochi Ora sappiamo che si tratta di • Pianificare con cura • Organizzare risorse e strumenti • Esercizio su casi reali
  3. 3. DONATELLA ARDEMAGNI Content Marketing & Marketing Automation Advisor. ANGELO MODICA Privacy Specialist Consulente e Formatore PRESENTIA MOCI
  4. 4. • Definizione del singolo trattamento • Comprensione del livello di impatto sugli interessati • Valutazione del rischio e probabilità di accadimento di una minaccia • Calcolo del rischio generale sul trattamento CAL COL O DEL RISCHIO 4 f as i i m p o r t an t i
  5. 5. Regolamento (UE) 2016/679 Articolo 6, comma 1, lettera f) Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore. Il Legittimo Interesse
  6. 6. Regolamento (UE) 2016/679 - Considerando 47 I legittimi interessi di un titolare del trattamento, compresi quelli di un titolare del trattamento a cui i dati personali possono essere comunicati, o di terzi possono costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato, tenuto conto delle ragionevoli aspettative nutrite dall'interessato in base alla sua relazione con il titolare del trattamento.… … Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto. Il Legittimo Interesse
  7. 7. Regolamento (UE) 2016/679 - Articolo 95 Il regolamento non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell'Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE. Il Legittimo Interesse
  8. 8. Bruxelles, 10 gennaio 2017 Commissione europea - Comunicato stampa La Commissione propone norme per tutte le comunicazioni elettroniche che garantiscono un elevato livello di tutela della vita privata e aggiorna le norme sulla protezione dei dati per le istituzioni dell'UE. Il Legittimo Interesse
  9. 9. D.L. 2003/196 Articolo 130 - Comunicazioni indesiderate L'uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente. Quanto sopra citato si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo. Comunicazioni per le finalità sopra indicate, mediante l’impiego del telefono e della posta cartacea per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito nei confronti di chi non abbia esercitato il diritto di opposizione (registro delle opposizioni). Il Legittimo Interesse
  10. 10. D.L. 2003/196 Articolo 130 - Comunicazioni indesiderate Se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente. Il Legittimo Interesse
  11. 11. LEGGE di BILANCIO 2018 - Articolo 1 comma 1022 Il titolare di dati personali, individuato ai sensi dell'articolo 4, numero 7), del regolamento GDPR, ove effettui un trattamento fondato sull’interesse legittimo che prevede l'uso di nuove tecnologie o di strumenti automatizzati, deve darne tempestiva comunicazione al Garante per la protezione dei dati personali. Il Legittimo Interesse
  12. 12. INFORMATIVA • Importanza • Reperibilità • Es ercizio dei Diritti • Linguaggio s emplice e comprens ibile per l’interes s ato
  13. 13. PROFILAZIONE B UYER PERSONAS INDIVIDUAL B EHAVIOUR • DECISIONI AUTOMATIZZATE • PREVISIONI E DISCRIMINAZIONE • LIMITAZIONE DELLE OPPORTUNITA’
  14. 14. Diritti dell’interessatoTRASPARENZA Regolamento (UE) 2016/679 - Articolo 12 Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni e le comunicazioni relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato.
  15. 15. Diritti dell’interessatoINFORMAZIONI Regolamento (UE) 2016/679 - Articolo 13 (presso l’interessato) 1. Informazioni all’interessato: a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante; b) i dati di contatto del responsabile della protezione dei dati, ove applicabile; c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento; d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f ), i legittimi interessi perseguiti dal titolare del trattamento o da terzi; e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali
  16. 16. Diritti dell’interessatoINFORMAZIONI Regolamento (UE) 2016/679 - Articolo 13 (presso l’interessato) f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili. 2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente: a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  17. 17. Diritti dell’interessatoINFORMAZIONI Regolamento (UE) 2016/679 - Articolo 13 (presso l’interessato) b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati; c) qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca; d) il diritto di proporre reclamo a un’autorità di controllo; e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
  18. 18. Diritti dell’interessatoINFORMAZIONI Regolamento (UE) 2016/679 - Articolo 13 (presso l’interessato) f) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato. 3. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente. 4. I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l’interessato dispone già delle informazioni.
  19. 19. Diritti dell’interessatoINFORMAZIONI Regolamento (UE) 2016/679 - Articolo 14 (non presso l’interessato) 1. Informazioni all’interessato: d) le categorie di dati personali in questione; 2. Ulteriori informazioni all’interessato: f) la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico; 3. Il titolare del trattamento fornisce le informazioni di cui ai paragrafi 1 e 2: a) entro un termine ragionevole dall’ottenimento dei dati personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati; b) nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato, al più tardi al momento della prima comunicazione all’interessato; c) nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali.
  20. 20. Diritti dell’interessatoINFORMAZIONI Regolamento (UE) 2016/679 - Articolo 14 (non presso l’interessato) 4. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati ottenuti, prima di tale ulteriore trattamento fornisce all'interessato informazioni in merito a tale diversa finalità e ogni informazione pertinente di cui al paragrafo 2.
  21. 21. Diritti dell’interessatoINFORMAZIONI Regolamento (UE) 2016/679 - Articolo 14 (non presso l’interessato) 5. I paragrafi da 1 a 4 non si applicano se e nella misura in cui: a) l’interessato dispone già delle informazioni; b) comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatte salve le condizioni e le garanzie di cui all’articolo 89, paragrafo 1, o nella misura in cui l’obbligo di cui al paragrafo 1 del presente articolo rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, anche rendendo pubbliche le informazioni;
  22. 22. Diritti dell’interessatoINFORMAZIONI Regolamento (UE) 2016/679 - Articolo 14 (non presso l’interessato) c) l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento e che prevede misure appropriate per tutelare gli interessi legittimi dell’interessato; d) qualora i dati personali debbano rimanere riservati conformemente a un obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri, compreso un obbligo di segretezza previsto per legge.
  23. 23. • Il consenso deve avere delle specifiche cartteristiche: • Scritto o provabile • Successivo ad una Informazione • Granulare, cioè specifico per diverse finalita e modalità di trattamento • Ospitato su un Sistema dedicato all’Opt-In Page RACCOLTA DEL CONSENSO
  24. 24. TRACCIAMENTO DEI DATI E MISURABILITA’ DEI RISULTATI IL MARKETING DIGITALE E’
  25. 25. Cookie Analytics Google, Facebook, ecc… E-mail Marketing TRACCIAMENTO DEI DATI E MISURABILITA’ DEI RISULTATI
  26. 26. Tracciamento Risultati Distinzione in base all'utilizzo (o finalità) • Cookie tecnici: servono per la navigazione e per facilitare l'accesso e la fruizione del sito da parte dell'utente. • Cookie statistici o “analytics”: vengono utilizzati a fini di ottimizzazione del sito, direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito. • Cookie per la memorizzazione delle preferenze: sono cookie utili a favorire l'utilizzo corretto del sito da parte dell'utente. • Cookie pubblicitari: questi cookie hanno lo scopo di fornire spazi pubblicitari. • Cookie di social network: si tratta dei cookie che consentono di condividere anche con altri utenti i contenuti del sito che si sta visitando. Sono i cookie tipicamente utilizzati per attivare le funzioni “Mi piace” o “Segui” dei Social Network quali Facebook e Twitter, solo per citarne alcuni.
  27. 27. Tracciamento Risultati  Nel caso di un sito con la presenza di soli cookie tecnici/funzionali (carrello della spesa, selezione lingua, preferenze) e/o di cookie di statistica di prima parte (es. Piwik e simili) non è necessario avere un cookie banner, il blocco preventivo dei cookie prima del consenso e il salvataggio dei consensi (Prova).  In questo caso rientrano anche i cookie di statistica di terza parte come Google Analytics con IP anonimizzato in modo tale che non possa essere ricostruito l’indirizzo IP con tecniche di “reverse engineering”.
  28. 28. Tracciamento Risultati Nel caso di presenza di altri tipi di cookie, e quindi quelli pubblicitari (Google Adsense, DoubleClick, retargeting, ecc) e tutti gli altri di terze parti (Social Network, YouTube, ecc) oltre al cookie banner il GDPR richiede: • il consenso esplicito (opt-in) e quindi non più implicito come ad esempio "scrollare" la pagina; • il blocco preventivo dei cookie prima del consenso; • la registrazione dei log del consenso da fornire come “Prova”; • la descrizione per ogni cookie che comprende chi riceve i dati, per quale scopo e la data di scadenza; • la possibilità di revocare il consenso in modo semplice anche in un secondo momento.
  29. 29. Caso 1 - Limiti e strumenti per la profilazione Regolamento (UE) 2016/679 - Articolo 4 - (Definizioni) «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica. «consenso dell'interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.
  30. 30. Limiti e s trumenti per la profilazione CASO 1 • CRM • Marketing Automation • Informazioni provenienti dai social • Insight e Analytics • Analisi del sentiment e dell’engagement PRATICHE MA RK ETING
  31. 31. Caso 2 - I dati dei Clienti per il Marketing Principi  «liceità, correttezza e trasparenza»  «limitazione della finalità»  «minimizzazione dei dati»  «esattezza»  «limitazione della conservazione»  «integrità e riservatezza»  «responsabilizzazione»
  32. 32. I dati dei Clienti per il Marketing CASO 2 • Centralità del Cliente • Usare i dati per migliorare la customer experience PRATICHE MA RK ETING
  33. 33. Caso 3 i vecchi prospect senza consenso Compliance GDPR … Non esistono “disposizioni” che consentono l’utilizzo di vecchi prospect senza consenso. Ogni contatto rappresenta una “violazione”. Valutazione del Rischio Che cosa propongo? Che probabilità ci sono che il potenziale cliente sia interessato a ricevere la nostra chiamata o una mail? Che probabilità ci sono che il potenziale cliente ricevendo la nostra chiamata o una mail ci denunci? … Un’alternativa potrebbe essere il contatto tramite centralino o mail generale e successivamente inviare informative ed ottenere consensi
  34. 34. Cas o 3 i p r o s p ec t s en za c o n s en s o • Differenze tra prospect e suspect • Calcolo del rischio • Campagne multipiattaforma per la raccolta del consenso PRATICHE MA RK ETING
  35. 35.  L’agente per i dati in suo possesso è da considerare Titolare del Trattamento e come tale deve rispettare il GDPR (compliance).  L’agente che opera su dati di terzi è da considerare Responsabile Esterno del Trattamento e come tale operare solo su precise indicazioni del Titolare del Trattamento. Caso 4 - Condivisione dei Dati con Agenti, Reseller, Partner commerciali e Agenzie esterne
  36. 36. 60.000VIOLAZIONI IN EUROPA TRA IL 25 MAGGIO 2018 E FEBBRAIO 2019 SOLO DATA BREACH DIDYOUKNOW
  37. 37. NEWSLETTER N. 453 del 30 maggio 2019 Il Garante privacy ha comminato una sanzione di oltre 2 milioni di euro ad una società che aveva svolto, tramite un call center albanese, attività di telemarketing e teleselling per conto di una azienda del settore energetico, in violazione della normativa sulla protezione dei dati personali in vigore prima del Regolamento europeo. La Guardia di finanza, Nucleo speciale privacy, a seguito di un’ispezione, aveva accertato che la società, oltre a non aver reso alcuna informativa alle persone contattate, non aveva richiesto come previsto il consenso al trattamento dei dati personali per finalità di marketing. Consenso che la società, peraltro, avrebbe dovuto annotare per iscritto. Tali adempimenti spettavano infatti alla società che operava in qualità di autonomo titolare del trattamento, non essendo mai stata designata responsabile. La società, sulla base di presunti accordi con l’agente di vendita del gestore di energia, aveva incaricato il call center albanese di contattare telefonicamente potenziali clienti utilizzando numerazioni telefoniche raccolte dal call center stesso, senza che la lista dei contatti fosse stata fornita o validata dalle tre aziende coinvolte nella campagna promozionale (la società multata, l’agente di vendita del gestore e il gestore stesso). Dopo il primo contatto da parte del call center, le persone che avevano manifestato la volontà di sottoscrivere un contratto venivano richiamate dalla società. La sanzione, definita cumulando ogni violazione contestata per singolo interessato, tiene conto anche della gravità della condotta della società che ha evidenziato un marcato disinteresse per la normativa in materia di protezione dei dati e una netta sottovalutazione delle gravi implicazioni che possono derivare dall’utilizzo di forme di acquisizione della clientela improntate all’informalità e alla unilaterale semplificazione degli adempimenti prescritti. Garante privacy sanziona società: 2 milioni di euro per telemarketing indesiderato
  38. 38. LIBRI E CORSI
  39. 39. GRAZIE!!!! Donatella Ardemagni – donatella.ardemagni@39marketing.it Angelo Modica – amodica@iter.it www.iter.it/corsi Milano, Bologna, Torino

×