Il rapporto tra GDPR e attività marketing è turbolento e pieno di incomprensioni. Il regolamento europeo per la protezione dei dati e della privacy è visto come un vincolo troppo stretto per l’utilizzo dei dati sui clienti. Eppure i clienti sono più disposti a fornire informazioni sulle loro abitudini e preferenze quando comprendono che il marchio avrà cura dei dati raccolti e che li utilizzerà per rendere migliore la navigazione sul sito, le raccomandazioni dei prodotti, le pubblicità offerte. È una questione di fiducia.
Rovesciando poi la prospettiva, si può pensare al GDPR come un’opportunità per rendere più trasparente la comunicazione con il cliente. Ne abbiamo parlato con Vincenzo Cervino, Insurance & Data Protection advisor.
A febbraio, Noyb European Center for digital rights ha pubblicato un report che ha evidenziato quanto sia difficile l’applicazione del GDPR e le difficoltà che incontrano i DPO nelle aziende. Qual è la tua opinione?
Devo dire che mi ritrovo nelle principali conclusioni dell’indagine, anche se l’Italia è sottorappresentata con solo 29 professionisti che hanno partecipato in un campione molto ampio. Purtroppo, a quasi sei anni dalla piena applicazione del GDPR, le evidenze sono tristemente veritiere. Personalmente, per alcune domande avrei forse dato un giudizio più negativo. Per esempio, tre professionisti su quattro dicono che in caso di un’indagine o un’ispezione si troverebbero sicuramente delle violazioni nelle loro aziende, penso che in Italia questa percentuale potrebbe essere ancora più alta. Questo è particolarmente vero se si considera che l’Italia è costituita principalmente da piccole e medie imprese che spesso sottovalutano l’importanza della protezione e della sicurezza dei dati.
Un altro punto che emerge dall’indagine è che metà delle imprese non rispetta i principi generali del GDPR. Secondo me, questa percentuale è generosa. Faccio soltanto due esempi. Il primo è facilmente riscontrabile da chiunque, basta navigare in rete e vedere quanto ancora siano inosservate le prescrizioni del Garante per quanto riguarda la gestione dei cookie nei siti web. Il secondo riguarda la limitazione della conservazione dei dati: a mio parere la maggior parte delle aziende conserva dati vecchi di decenni che non vengono buttati via perché non si sa, possono sempre essere utili .
Per quanto riguarda altri aspetti della solitudine del DPO, come mi verrebbe da dire mutuando un titolo di un libro famoso, devo ammettere che è una professione complessa. Anche se dipende molto da come la si fa.
Ci sono molte indagini che evidenziano che i clienti scelgono un brand basandosi anche sulla fiducia che hanno in esso, ma questo non sembra essere un incentivo sufficiente per rendere la privacy e la sicurezza dei dati una priorità. Come pensi che si possa cambiare questa prospettiva?
Il fatto che a sei anni di distanza non siamo ancora riusciti a farlo dimostra quanto sia complesso. Innanzitutto, i vertici delle aziende, sia grandi che piccole e medie, spesso non danno il buon esempio. Se i leader non credono nel rispetto delle disposizione della normativa, è difficile che i manager e i dipendenti le adottino. Se il GDPR è visto solo come un fastidioso ostacolo al business, alla vendita, al marketing, allora è difficile sviluppare una cultura della privacy. In Italia, c’è anche un problema più generale di cultura digitale, primo passo verso una cultura alla protezione dei dati e alla sicurezza informatica. E poi, chiaramente, nelle aziende più strutturate è necessaria la formazione del personale, non una formazione episodica solo per compiere un atto burocratico, ma una formazione seria e concreta che coinvolga tutte le figure che raccolgono e trattano i dati. Inoltre, è necessaria una comunicazione coerente. Le aziende dovrebbero sviluppare tutte queste leve, ma in primo luogo le buone pratiche dovrebbero partire dai vertici. Se i dipendenti vedono che i loro comportamenti virtuosi non vengono riconosciuti e anzi vengono visti come una perdita di tempo, è difficile che si facciano progressi.
Infine, con l’avanzare della tecnologia digitale, tutto questo diventa ancora più complesso e urgente. Rispetto a sei anni fa, il professionista che si occupa di questa materia deve conoscere non solo il GDPR e la disciplina collegata, ma tutti i regolamenti europei emanati negli ultimi anni per gestire l’evoluzione digitale, dal Digital Services Act all’AI Act.
Le informative sono viste solo come un obbligo da ottemperare e non come un ulteriore strumento di comunicazione con il cliente. Il linguaggio utilizzato normalmente è uno scoglio, forse con una collaborazione più stretta tra chi si occupa di compliance e chi di comunicazione potrebbe dare frutti interessanti. Qual è la tua opinione a proposito?
L’informativa è un punto dolente di tutto il settore. Le informative dovrebbero diventare più intellegibili, cambiare tono, utilizzare un design diverso. Non si tratta di fare un copia-incolla da testi adottati da altre aziende dello stesso settore, perché il contenuto deve essere coerente con i trattamenti dei dati che l’azienda svolge.
Nelle grandi aziende, chi si occupa di comunicazione dovrebbe assumere un ruolo importante nella redazione delle informative. L’informativa non dovrebbe nascere nell’ufficio della privacy, ma in tutti gli uffici che concorrono al trattamento, perché sono loro che conoscono l’uso che viene fatto dei dati raccolti. Quindi ci vorrebbe uno sforzo maggiore dell’ufficio comunicazione in collaborazione con il DPO o con l’Ufficio privacy per dare all’informativa una veste che invogli il cliente a leggerla. Infine, sarebbe utile anche testarla con gli utenti, magari organizzando dei focus group, per verificare la sua effettiva leggibilità e comprensibilità prima di divulgarla.
Anche le piccole aziende possono migliorare l’intelligibilità delle loro informative, magari affidandosi a consulenti che hanno esperienza su questi argomenti. Le competenze ci sono, si potrebbero sfruttare di più.
Torno su quello detto poco fa: sono i vertici aziendali i primi a dover credere che portare avanti un messaggio di cultura della privacy innesca un circolo virtuoso. Oggi abbiamo bisogno di dati per fare previsioni più accurate, per personalizzare offerte e comunicazione, ma se porto valore aggiunto ai clienti, se guadagno la loro fiducia avrò più condivisione dei dati necessari ad alimentare tutte le tecnologie che si nutrono di essi.
Intendiamoci, in questi anni i progressi registrati nella consapevolezza dei temi legati alla privacy e nei livelli di conformità all’interno delle aziende sono importanti. Tuttavia, se riuscissimo a vedere il GDPR non come un mero obbligo, ma come un framework di indicazioni operative, l’applicazione della disciplina sarebbe più agevole. Come in tutte le professioni, le piccole e medie aziende dovrebbero affidarsi a consulenti che sappiano adattare il framework alla singola realtà. Bisogna saper gestire gli adempimenti e le esigenze di semplificazione in maniera proporzionata e ragionevole, e il buon consulente si vede proprio su questo. Altrimenti facciamo scappare tutti.
COMMENTI