Marketing intelligente o illegale?

Estratto dal libro di Bruno DUMAY: GDPR DECRYPTION – Per manager, dipartimenti strategici e dipendenti di aziende e organizzazioni – Prefazione di Gaëlle MONTEILLER

Chiariamoci: negli ultimi quindici anni, il buon marketing si è basato in gran parte sull'uso intelligente dei dati personali. Alzi la mano chi non ha mai trasmesso informazioni su un prodotto a una persona specifica senza chiederglielo. Dai? Nessuna mano alzata, ho pensato. Scagliamo la prima pietra se non avete mai conservato un nome, un numero di telefono o un indirizzo email senza avvisare la persona interessata. Ok, niente pietre. Scagliamo la prima pietra se... Credo che abbiate capito.

Certo, alcuni sono andati ben oltre, attirando, recuperando, poi deviando o trasferendo profili, interessanti perché consumatori, di persone innocenti che hanno avuto la debolezza di aprire un sito, di seguire un link, o di esprimersi registrandosi, aderendo, lasciando un commento... E chi, va da sé, si è affrettato ad accettare le condizioni generali di vendita; a leggerle? Non credo proprio. La responsabilità è quindi condivisa.

Ultimamente, bisogna ammetterlo, le trappole si sono moltiplicate. Di certo, la frenesia consumistica, la dipendenza dalle reti, il bisogno di riconoscimento – "Esisto, clicco!" – non sono stati vani nella creazione di giganteschi database, centinaia di milioni di individui che si consegnano senza esitazione a chiunque voglia molestarli.

Allora perché privarci? Era meraviglioso, la nuova economia, l'orizzontalità, l'uberizzazione, l'intelligenza artificiale. I dati, che hobby! E ci siamo buttati tutti, fino in fondo! La crisi? Il mio occhio. Non per tutti, e non per tutto. Mai dei piccoli uomini hanno prodotto, venduto e comprato così tanto. Per evitare di fallire, vendiamo. Anche a costo di crollare. Ogni nome, e ogni informazione associata a quel nome, valeva la pena di conservarlo, testarlo, profilarlo. Tutti hanno bisogno di qualcosa, un giorno. Bisogna solo crearlo, questo bisogno, mi dispiace rivelarlo. Soddisfarlo? Sì, ma non troppo comunque. In modo che la macchina continui a girare.

Lo sapevamo. Lo accettavamo. Sì, ma ecco. Siamo andati troppo oltre. Siamo adulti? No, gli adulti non esistono. Solo i bambini crescono. Quindi, come i bambini, volevamo sempre di più e siamo andati troppo oltre. O quasi troppo oltre. Prima che fosse troppo tardi, le autorità sono intervenute. La CNIL non ci aveva lasciato andare, ma, benevola e confinata nel suo territorio, è stata sopraffatta. Così l'Europa è intervenuta. Diverse volte. Prima nel 1995, e poi nel 2016, con effetto da oggi.

Qual è questo effetto? Illegalità. Quello che una volta era marketing intelligente ora è marketing illegale. D'ora in poi, se utilizzi i file dei tuoi clienti o utenti come prima, stai agendo illegalmente. E sì. Ma?... No. Come?... Perché.

Si tratta di capire cosa sono i dati personali e come dovrebbero essere trattati. La posta in gioco è alta, i rischi sono alti. Multe milionarie, responsabilità personale, giustizia, tribunale, vi dice qualcosa? Non stiamo più scherzando. Mark, Larry, Serguei, Jeff, mi sentite? Non ridete, anche voi. Anche se i giganti digitali sono i principali obiettivi del GDPR, tutte le organizzazioni sono interessate, indipendentemente dalle loro dimensioni. Grandi aziende, startup, idraulici, il municipio di Triffouillis e associazioni di ogni tipo: non potete più usare i vostri file come meglio credete.

Certo, c'erano già delle regole e delle sanzioni. Davvero? Sì. Quindi, nel gennaio 2018, prima dell'entrata in vigore del regolamento, Darty è stata sanzionata dalla CNIL per non aver sufficientemente protetto i dati dei suoi clienti. L'utilizzo contestato proveniva in realtà da un subappaltatore, ma è stata l'azienda a essere multata. Una multa di 100.000 euro. Quindi non è niente, ma è un peccato rispetto a quello che può succedere a te d'ora in poi, se anche tu non sei abbastanza vigile.

Stiamo sognando. No, per niente. La legge europea stabilisce che i dati appartengono ai cittadini e che nessuna organizzazione può appropriarsene per usarli a suo piacimento. Ah... Le aziende devono indicare in modo chiaro e preciso come raccolgono, trattano e conservano i dati personali. È una questione di lealtà, trasparenza, finalità specifiche, legittime, adeguate e limitate... Eh? Queste parole ci avrebbero fatto ridere prima. Ma i tempi sono cambiati. Le autorità europee stanno reagendo e possiamo capirne il motivo.

È necessario condurre una valutazione d'impatto prima di trattare i dati, aderire a un codice di condotta che disciplini le pratiche nel proprio settore e nominare un responsabile della protezione dei dati che segnalerà eventuali incidenti all'autorità di controllo, la CNIL in Francia. Sono previste diverse sanzioni per il mancato rispetto di queste normative, che vanno da un avvertimento a una multa di 20 milioni di euro o 4 miliardi di euro del fatturato globale dell'azienda. Ehm... Oh cielo.

È pesante. Persino brutale. Ma è per il nostro bene. Eppure... Okay, okay. È vero che qualcosa doveva essere fatto. Che noi, le aziende, abbiamo teso a spogliarci, noi individui. Le prime prendono ai secondi un nome, poi un indirizzo, poi un gusto, poi un'abitudine, poi un profilo, e poi, senza che ce ne rendiamo conto, ci tolgono il libero arbitrio. La libertà. La maggior parte delle aziende non ha intenzioni malvagie. Solo marketing. Ma alla fine... Basta così.

Con il Web 2.0, ci siamo resi conto che la ricchezza risiedeva nei dati, il che ha portato all'attuale onnipotenza dei big data. Questo potere è tale che alcuni si chiedono se l'idea di un confine tra vita pubblica e privata abbia ancora un senso. Non è troppo tardi?, si chiedono altri. I promotori del GDPR non la pensano così, o almeno non lo dicono. Per loro, possiamo e dobbiamo intervenire per non essere espropriati o vampirizzati dai data center e da chi li possiede.

Questa oscillazione del pendolo è nell'aria. Uno studio condotto da Pégasystems tra 7.000 consumatori nella primavera del 2017 in sette paesi dell'Unione Europea mostra che l'82% dei cittadini ha deciso di far valere i propri diritti ai sensi del GDPR. E i francesi, insieme a spagnoli e italiani, sembrano i più sensibili al tema dei propri dati personali. Pertanto, il 96% degli intervistati francesi desidera sapere quali informazioni su di loro sono in possesso delle aziende. Data la crescente preoccupazione dei cittadini di vedere riconosciuti i propri diritti, queste cifre non sono da prendere alla leggera.

Costruire fiducia, combinando protezione e libera circolazione

Il GDPR non è quindi un testo che può essere facilmente dimenticato dopo la sua entrata in vigore. Il suo scopo è porre fine al furto di informazioni che dovrebbero rimanere riservate e all'intrusione nella vita privata. La protezione delle persone è quindi l'obiettivo primario del GDPR.

Fin dall'inizio dei considerando (ben 173), il tono è dato: "La protezione delle persone fisiche con riguardo al trattamento dei dati personali è un diritto fondamentale" (1^lui considerando). E anche "Il trattamento dei dati personali dovrebbe essere concepito per servire l'umanità" (4^e considerando).

Se si avverte l'esigenza di protezione, è perché i membri del Parlamento europeo e del Consiglio, emanazioni rappresentative dei cittadini dell'UE, hanno ritenuto che le aziende, e in alcuni casi forse le amministrazioni, si fossero spinte troppo oltre nello sfruttamento dei dati personali. In effetti, il GDPR si inserisce in un'evoluzione socioeconomica, richiamata nel 6^e considerando che: "I rapidi sviluppi tecnologici e la globalizzazione hanno creato nuove sfide per la protezione dei dati personali. La portata della raccolta e della condivisione dei dati personali è aumentata in modo significativo. Le tecnologie consentono sia alle aziende private che alle autorità pubbliche di utilizzare i dati personali nelle loro attività commerciali come mai prima d'ora. Gli individui rendono sempre più accessibili al pubblico e a livello globale le informazioni che li riguardano. Le tecnologie hanno trasformato le relazioni economiche e sociali e dovrebbero facilitare ulteriormente la libera circolazione dei dati personali all'interno dell'Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al contempo un elevato livello di protezione dei dati personali."

È chiaro che l'UE non sta dando la colpa a una parte più dell'altra, ma sta evidenziando le responsabilità condivise delle imprese, delle autorità pubbliche, della tecnologia e degli stessi cittadini.

Anche l'Europa non è esente, dal momento che il 9°^e considerando che afferma: "Pur rimanendo soddisfacente in termini di obiettivi e principi, la direttiva 95/46/CE (il primo testo di riferimento europeo in materia) non ha impedito la frammentazione nell'attuazione della protezione dei dati nell'Unione, l'incertezza giuridica o la diffusa sensazione da parte dell'opinione pubblica che permangano rischi significativi per la protezione delle persone, in particolare nell'ambiente online."

Il problema principale individuato è la differenza nei livelli di protezione tra i vari Paesi. Pertanto, l'unità, per tutte le aziende dell'UE e persino per i loro subappaltatori al di fuori dell'UE, sembra essere una condizione sine qua non per una politica efficace in questo settore. "Al fine di garantire un livello coerente ed elevato di protezione delle persone fisiche e di rimuovere gli ostacoli alla circolazione dei dati personali all'interno dell'Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È pertanto opportuno garantire un'applicazione coerente e uniforme delle norme per la protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l'Unione" (10).^e considerando).

Il testo, pur essendo molto restrittivo come vedremo, mira tuttavia ad avere un obiettivo economico positivo: "Questi sviluppi richiedono un quadro solido e più coerente in materia di protezione dei dati nell'Unione, accompagnato da un'applicazione rigorosa delle norme, perché è importante generare la fiducia che consentirà all'economia digitale di svilupparsi in tutto il mercato interno" (7^e considerando).

"Fiducia". A nostro avviso, questa è la parola più importante. Se il GDPR mira a garantire, ripristinare o "instillare" la fiducia dei cittadini negli stakeholder pubblici e privati del mercato unico europeo, allora lo sosteniamo con tutto il cuore. È essenziale che chi acquista online, utilizza un servizio, consulta offerte o esprime un'opinione possa svolgere queste azioni senza timore di essere privato di parte della propria privacy.

Senza timore di essere espropriati, o addirittura molestati, per usare un termine di moda dalla fine del 2017 che potrebbe applicarsi alla tecnologia digitale. Quante volte al giorno riceviamo informazioni che non abbiamo mai richiesto, presumibilmente perché ci siamo iscritti a qualcosa di cui ignoravamo persino l'esistenza? Oggi, dobbiamo annullare l'iscrizione anche se non ci siamo mai iscritti. Se il GDPR verrà applicato correttamente, questo non sarà più necessario: l'invio di una newsletter è ora vietato se il destinatario non ha espressamente acconsentito.

Questo nuovo rispetto è positivo. Gli scambi economici non sono mai così fruttuosi come quando le diverse parti si sentono sicure l'una dell'altra.

Questi scambi fluidi sono chiaramente incoraggiati: "Al fine di garantire un livello uniforme di protezione delle persone fisiche in tutta l'Unione ed evitare divergenze che ostacolino la libera circolazione dei dati personali nel mercato interno, è necessario un regolamento che garantisca certezza del diritto e trasparenza per gli operatori economici, comprese le micro, piccole e medie imprese, che fornisca alle persone fisiche in tutti gli Stati membri lo stesso livello di diritti esecutivi, obblighi e responsabilità per i titolari del trattamento e i responsabili del trattamento e che assicuri un controllo coerente del trattamento dei dati personali e sanzioni equivalenti in tutti gli Stati membri, nonché un'efficace cooperazione tra le autorità di controllo dei diversi Stati membri. Affinché il mercato interno funzioni correttamente, è necessario che la libera circolazione dei dati personali all'interno dell'Unione non sia limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali" (13).^e considerando).

Come possiamo vedere, la protezione dei dati non dovrebbe essere un ostacolo, ma piuttosto una risorsa "per il corretto funzionamento del mercato interno". L'articolo 1 del GDPR incorpora questa combinazione dei due obiettivi. Citiamo semplicemente il primo paragrafo: "Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati". Protezione e libera circolazione, i due fondamenti dell'Unione Europea, non avrebbero potuto essere affermati in modo più esplicito.  

I recital che seguono a volte annunciano parola per parola gli articoli successivi, solo che il più delle volte sono scritti al condizionale, per esprimere il desiderio, l'intenzione, mentre gli articoli sono all'indicativo, il che significa che sono legalmente vincolanti.

Stabilita la filosofia del testo, osserviamone ora le disposizioni principali.