Mettiamoci nei panni del Social Media Manager o del Web Marketer dopo la rivoluzione Gdpr: due figure che si occupano del marketing aziendale sul Web.
La creazione di contenuti tramite social media è attività che può determinare un consistente trattamento di dati personali. Tramite il piano editoriale il Social Media Manager si trova a gestire un grande quantitativo di dati per conto del cliente. Il Web Marketer, a seconda del tipo di campagna promozionale da ideare, può trattare una mole considerevole di dati personali.
Il marketing sui social media richiede sempre più di creare un’esperienza-utente personalizzata, magari coinvolgendo la community nella condivisione di testi e immagini.
Alcuni strumenti CRM, inoltre, consentono ormai di tracciare gli utenti fin dalle prime fasi di contatto tramite bot o visita al sito Web o profili social dell’azienda-cliente.
Questo tipo di attività può determinare un impatto anche significativo sulla quotidianità degli utenti. Un trattamento dei dati personali che non tenga conto delle norme in materia di protezione dei dati personali rischia non solo di recare danno o fastidio agli interessati, ma di ledere l’immagine dell’azienda stessa.
Spesso l’azienda non è in grado di determinare quali siano le modalità corrette di svolgere marketing online basato sui contenuti nel rispetto della privacy. Per questo motivo, è essenziale che chi si occupa di creazione e condivisione di contenuti o di marketing online recepisca la materia della privacy e data protection come parte integrante della propria professionalità.
Il Social Media Manager o il Digital Marketer devono, quindi, porre come priorità la creazione di un rapporto di fiducia e trasparenza tra l’azienda e gli utenti, che passa anche per il rispetto della privacy: bombardare gli utenti di messaggi spam non solo comporta un trattamento di dati personali illecito, ma è controproducente per l’azienda.
La creazione di un database tramite i social media per proporre offerte commerciali deve necessariamente passare tramite un rapporto di trasparenza: da un lato, è necessario fornire ai potenziali consumatori le informazioni sul trattamento dei loro dati personali, dall’altro, è necessario stabilire i casi in cui sia obbligatorio raccogliere il consenso.
Indice degli argomenti
Marketing aziendale sul Web: informare e rispettare gli interessati
Il primo passo da fare per verificare che l’utente abbia la possibilità di verificare come i suoi dati saranno trattati, è quello di visualizzare le impostazioni della pagina fan. Ad esempio, la pagina fan di Facebook contiene un’apposita sezione “informazioni” dove è possibile inserire l’indirizzo URL della pagina privacy del sito Web del cliente. Qualora l’azienda non sia in possesso di un proprio sito Web, è necessario adottare rimedi più fantasiosi ma non meno efficaci. Il testo dell’immagine di copertina della pagina può contenere il testo di informativa al trattamento dei dati personali con tutti gli elementi richiesti dall’art. 13 Regolamento UE n. 679/2016.
Il testo dell’informativa privacy deve essere fornito dall’azienda. Infatti, è l’azienda-cliente a rivestire il ruolo di titolare del trattamento: dopotutto si tratta della sua pagina fan e la creazione di contenuti ha lo scopo di ottenere dati personali dei suoi potenziali clienti.
Per quanto riguarda le azioni che si possono intraprendere per contattare i potenziali consumatori e coinvolgerli nella condivisione di contenuti, è necessario operare una distinzione.
Infatti, come ha chiarito più volte il Garante per la protezione dei dati personali, il solo fatto che un utente pubblichi contenuti o dati di contatto su un social media, non rende pubbliche quelle informazioni. Non è possibile utilizzare quei dati personali senza il consenso dell’interessato: i profili utenti non sono un mare dal quale pescare “lead”. L’attività online degli utenti deve essere rispettata e la loro privacy tutelata. Per questo motivo, assume un preciso significato il fatto che una persona diventi o meno un “fan” di una pagina o “follower” di un’azienda. In tale caso si crea effettivamente un rapporto, un interesse, che giustifica l’invio di materiale commerciale e promozionale all’utente se tale intenzione è resa evidente. L’inserimento dell’informativa privacy sulla pagina social e l’utilizzo di messaggi evidenti sulle immagini di copertina o simili, aiuta l’interessato a comprendere le conseguenze di diventare follower circa il trattamento dei suoi dati personali.
Per lo stesso motivo, deve essere evitata qualsiasi attività di spam come l’invio di messaggi sulle bacheche dei profili degli utenti o messaggi diretti tramite messaggistica istantanea ai non-followers. Anche l’utilizzo di bot automatici può diventare insidioso se l’utente non ha la possibilità di cancellare la propria iscrizione a qualsiasi newsletter e interrompere l’invio di messaggi automatici.
Il Social Media Manager e il Web Marketer devono perciò ideare il piano editoriale di creazione dei contenuti e le attività di marketing nel rispetto di tali principi di trasparenza e minimizzazione dei dati personali. Lo stesso design della pagina social media deve facilitare l’immediata comprensione, da parte dell’interessato, della finalità cui saranno destinati i suoi dati entrando in contatto con l’azienda.
Titolare o responsabile del trattamento dei dati personali?
Quelli finora indicati sono solo alcuni esempi delle misure da adottare per proporre un servizio rispettoso della privacy. È tuttavia doveroso precisare quali siano i rapporti tra l’azienda, i clienti e il Social Media Manager/Digital Marketer.
Infatti, il professionista effettua un trattamento di dati personali per conto dell’azienda cliente, che essendo titolare del trattamento, è obbligata a predisporre misure adeguate per proteggere i dati personali dei propri (potenziali) clienti.
Il regolamento europeo introduce i principi privacy by design e privacy by default: ogni titolare del trattamento deve personalizzare il trattamento dei dati personali. I soggetti che effettuano trattamenti di dati personali per conto del titolare del trattamento sono tenuti a sottoscrivere un accordo in forma scritta, ai sensi dell’art. 28 GDPR, per stabilire le reciproche responsabilità e garantire le misure di sicurezza tecniche e organizzative adeguate. Essi ricevono istruzioni da parte del titolare del trattamento con tale contratto e sono considerati “responsabili del trattamento”.
Un utile riferimento per individuare i rapporti che determinano una responsabilità nel trattamento è quello offerto dalla Opinion 1/2010 Working Party Article 29 “on the concepts of “controller” and “processor”: è necessario abbandonare l’approccio italiano della “nomina” in quanto la responsabilità è determinata in sé dal tipo di relazione, dalla realtà dei fatti, e non è facoltà delle parti determinare tali ruoli.
In primo luogo, è perciò necessario verificare se il tipo di attività condotta comporti effettivamente un trattamento dei dati personali. In caso contrario, la gestione della presenza online dell’azienda non comporterà per il professionista la sottoscrizione dell’accordo indicato e dell’applicazione delle misure in materia di data protection.
Qualora le strategie di marketing e presenza sui social determinino un trattamento di dati personali, nella prassi l’azienda si affida completamente al soggetto che cura la sua presenza online. Infatti, in alcuni casi l’azienda non ha le competenze tecniche per vigilare sulle misure che il responsabile dovrebbe rispettare nella gestione della pagina. Tuttavia, è bene ricordare che la stessa non può venire meno ai suoi obblighi di controllo e verifica dell’operato del responsabile del trattamento.
Diventa perciò strategico per il Social Media Manager o Digital Marketer dimostrare di avere la professionalità adeguata al tipo di trattamento che si propone, dal momento che l’azienda dovrà valutare attentamente tali aspetti ai fini del conferimento dell’incarico.
Inoltre, per determinare misure di sicurezza effettive, il professionista potrebbe sottoporre all’azienda un proprio modello contrattuale contenente tutti gli elementi richiesti dall’art. 28 GDPR, ma trattando con l’azienda-titolare del trattamento quali misure di sicurezza siano le più adeguate al caso concreto, al fine di inserirle nell’accordo. Il vantaggio di questo approccio è quello di non prevedere misure di sicurezza estranee all’organizzazione della Web Agency, ma di applicare effettivamente misure di sicurezza “ponderate” tra le parti.
Adeguate misure di sicurezza per i social media
Proprio la determinazione delle misure di sicurezza rappresenta spesso un elemento critico per determinare non solo l’adeguatezza del trattamento rispetto agli obblighi di legge, ma la stessa professionalità di chi lavora nel marketing online.
Un primo aspetto fondamentale riguarda le modalità di accesso ai profili social media e CRM dell’azienda-cliente. Troppo spesso vengono ancora scambiate credenziali di accesso comuni tra professionista e cliente. Questa modalità è certamente da condannare, perché priva il rapporto di ogni responsabilità, soprattutto nei casi di utilizzo ibrido dell’account: in caso di violazione dei dati personali, non sarebbe possibile determinare a chi attribuire il fatto.
Un’altra modalità diffusa è l’utilizzo della funzione “admin di pagina” o simili. Tale modalità determina due criticità. In primo luogo, è l’azienda il titolare del trattamento, perciò è bene che alla stessa non venga impedito l’accesso alla propria pagina social, assicurandole sempre un ruolo come admin. In secondo luogo, nel caso in cui il Social Media Manager si avvalga di collaboratori, con questa modalità costringerebbe gli stessi ad utilizzare il proprio profilo social personale per gestire la pagina come admin o come editor. In tal modo, la modalità di lavoro prescelta costringe i propri collaboratori a esporsi con i propri profili personali sul web.
Al fine di eliminare ogni confusione tra profilo personale e amministrazione professionale della pagina, è consigliabile utilizzare appositi strumenti di gestione come, ad esempio, Facebook Business Manager. Tali strumenti consentono di gestire le pagine delle aziende-cliente con credenziali di accesso dedicate, oltre a una migliore gestione dei collaboratori, che devono ricevere strumenti adeguati e una formazione dedicata al trattamento dei dati personali.
Infine, è necessario valutare attentamente le funzionalità di CRM, o applicativi utilizzati per la creazione di contenuti online. Il solo fatto che un prodotto consenta di effettuare una certa operazione, non rende il trattamento di per sé lecito. Anche se il prodotto è rilasciato da un notissimo fornitore di servizi web (non esiste, nel regolamento, il principio del “così-fan-tutti”!).
Il Digital Marketer deve essere in grado di identificare le funzioni che possono comportare dei trattamenti di dati personali rischiosi o impattanti sui diritti e libertà degli interessati, al fine di avvisare il titolare del trattamento. Il titolare del trattamento deve così definire il perimetro del trattamento dei dati personali per evitare che i dati vengano trattati per finalità eccedenti rispetto allo scopo per cui sono conferiti. In questa circostanza, la comunicazione effettiva tra azienda e professionista del web aumenta il livello di consapevolezza dell’azienda sull’utilizzo dei propri strumenti. Si pensi alle funzioni di tracking dei visitatori online, di bot con attivazione automatizzata di campagne, di funzioni di notifica di lettura delle e-mail senza consenso del destinatario. Gli esempi potrebbero continuare a lungo. In molti casi, si tratta di funzioni che limitano l’interessato nella sua volontà di auto-determinarsi sul web.
Il ruolo del Social Media Manager e del Digital Marketer diventa strategico per l’azienda, al fine di ideare un piano editoriale e una campagna promozionale rispettosa dei principi di tutela dei dati personali per restituire potere agli utenti. La sfida della trasparenza e della restituzione del potere di controllo al cliente non rappresenta solo limiti. È un vero valore aggiunto per la professionalità di queste professioni emergenti.
