P di Privacy
Privacy vuol dire tante cose, ma se la applichiamo al web marketing la prima cosa che mi viene in mente è la privacy policy, e subito dietro anche la cookie policy. Ma poi c’ è anche tutto quel filone che riguarda la privacy nei social network… facciamo un po’ di chiarezza.
Come mettere un sito a norma con il GDPR
Per prima cosa non possiamo non nominarlo.
Sì, sto parlando di lui: il GDPR.
Quell’entità, quell’essere supremo che ci mette così tanta paura. Ebbene sì, fa parte delle nostre vite ormai da qualche anno e dobbiamo assolutamente rispettarlo o, detto meglio, dobbiamo essere compliant, cioè adeguarci a quello che dice la legge.
Il GDPR è un regolamento europeo (General Data Protection Regulation) che regola il trattamento dei dati personali. In particolare, nella puntata di oggi parleremo del GDPR applicato al web marketing e vorrei partire dai siti web, perché io che navigo tanto e che ne giro parecchi ogni giorno ne vedo di ogni. Non tutti sono a norma con il GDPR!
Ma a livello privacy un sito web che cosa dovrebbe avere, per esserlo?
Due elementi:
- La Privacy Policy
- La Cookie Policy
La Privacy Policy: cos’è e cosa deve contenere
La Privacy policy è un documento che va caricato all’interno di una pagina web come testo visibile (non un allegato da scaricare), nel quale vengono specificati agli utenti che navigano nelle nostre pagine:
- quali sono i dati personali che stiamo raccogliendo;
- con quali regole, cioè secondo quali norme;
- perché li stiamo raccogliendo (le finalità);
- come li stiamo conservando, perché ovviamente non basta raccoglierli, bisogna anche metterli al sicuro.
Ti faccio un esempio: quasi tutti i siti hanno un form di contatto che permette agli utenti di mettersi in contatto con te per farti una domanda, per chiederti qualcosa. La compilazione di questo form prevede l’inserimento di almeno un dato sensibile fondamentale che è l’email. Perché, per potergli rispondere, hai bisogno del suo contatto mail. A volte poi potrebbe essere chiesto anche il nome e il cognome, l’azienda di cui si fa parte, piuttosto che il titolo che si ha in quella azienda o altre informazioni più o meno personali.
Nella privacy policy devo quindi esplicitare quali sono i dati che richiesto, e perché ne ho bisogno. Nel nostro caso per poterti rispondere. Ma è sempre davvero necessario che tu mi fornisca tutti questi dati?
(NB: il form di contatto è cosa ben diversa dal form di iscrizione alla newsletter, attraverso il quale poi posso fare segmentazione, profilazione. Quindi non confondiamo le due cose).
Se mi stai chiedendo un preventivo per, ad esempio, una consulenza e io faccio consulenze in presenza, magari ho bisogno di sapere se sei a Verona, a Roma o a Palermo, per mettere in conto ovviamente anche le spese di trasferta. Diversamente, se faccio una consulenza online non mi cambia niente sapere da dove mi scrivi.
Per quanto riguarda la sicurezza, invece, devo esplicitare nella policy come li tengo al sicuro. Quindi, ad esempio, l’indirizzo mail lo acquisisco con il mio form fatto con Contact Form 7 sul mio sito WordPress. L’indirizzo viene quindi visto anche da altre piattaforme (dovrò indicare come lo trattano loro) e viene poi archiviato nel mio database o nel mio CRM o trasferito al mio strumento di e-mail marketing. Metti che mi hackerino il computer e io ho salvato lì tutte le e-mail dei clienti: sono a rischio furto di questi dati. E quindi devo specificare nella Privacy Policy che invece li tengo al sicuro, con tutta una serie di sistemi informatici che ne garantiscono la protezione.
La Privacy Policy va inserita nel sito in una zona ben visibile e facilmente fruibile. Quindi di solito si mette il link nel footer, così che io possa consultarla in qualsiasi momento (perché, si sa, il footer è sempre presente in tutte le pagine del mio sito). Se parliamo di form di contatto, deve essere inoltre presente la casellina da spuntare, per l’accettazione della privacy policy, affinché l’utente possa andare a leggerla prima di compilare e inviare la richiesta tramite il form.
E questo è un punto importantissimo, perché io vedo ancora form di contatto senza l’accettazione della privacy policy o peggio con la casella già flaggata. No! Bisogna che siano liberi e che il flag venga messo dalla persona in quel momento. Anche perché, sempre per essere compliant con il GDPR, ci dovrà essere anche un registro delle accettazioni della privacy policy, che mi testimoniano che Tizio Caio il giorno tale all’ora tale ha spuntato quella casella prima di inviarmi la sua richiesta.
Attenzione perché la violazione di questa norma, quindi il fatto di non essere adeguati dal punto di vista della privacy policy, comporta delle sanzioni davvero pesanti. Si parla del 4% del capitale annuo oppure di 20 milioni di euro.
E per darvi un altro consiglio spassionato, mi sento di dirti di fare attenzione anche a quei programmi e quelle piattaforme che generano le privacy policy in automatico, basta che tu gli dica che programmi usi e loro ti fanno la Privacy Policy, perché non è detto che siano completi di tutto quello che ti serve. Se vai a leggere i termini e condizioni di queste piattaforme, c’è scritto che loro alzano le mani e ti consigliano di farle comunque visionare a un legale per essere sicuri che vadano bene. Quindi, posto che lo trovi, un legale che ti legge la privacy fatta da qualcun altro, a questo punto mi sa che facciamo prima a farcela fare diretta direttamente dall’avvocato.
E qui il mio consiglio è di rivolgerti agli avvocati Brunella Martino e Alessandro Vercellotti, di Legal for Digital.
E la Cookie Policy: mi serve davvero?
La Cookie policy è un altro documento, che va sempre inserito sul nostro sito web, dove andiamo a specificare quali sono i programmi o le piattaforme che inseriscono dei cookie, quindi delle tracce, sul nostro sito per profilare il comportamento degli utenti.
E qua facciamo già una piccola distinzione, un piccolo chiarimento tra le tipologie di cookie. Perché ovviamente, mica tutti i cookie sono uguali.
- Cookie tecnici, che hanno banalmente lo scopo di facilitarci nella navigazione. Se ad esempio c’ è un’area riservata, ci sarà la possibilità, grazie ai cookie tecnici, di essere ricordati, così da non doversi loggare di nuovo tutte le volte.
- Cookie di profilazione, quelli che salvano le preferenze che l’utente fa quando naviga e che sono molto legati a quello che è poi la pubblicità e il marketing che sfruttiamo grazie a questi cookie, quindi tutto quello che è il famoso retargeting.
- Cookie di terze parti, sono quelli che provengono da siti esterni al nostro. Ad esempio, se abbiamo embeddato sul nostro sito un video di YouTube lo dobbiamo segnalare perché ci sono anche i cookie di YouTube – che non è il nostro sito, ma è un altro sito.
Ora non sto a dilungarmi su cosa sono questi file di testo, come funzionano eccetera, perché non è la sede e non sono la persona più titolata a farlo. Ma ti posso spiegare come rendere compliant il tuo sito, perché tutti li utilizziamo.
Devi redigere la Cookie Policy e inserire dentro tutte le attività di profilazione, di analytics e i cookie tecnici che utilizzi sul tuo sito, citando per nome e cognome tutte le piattaforme e i programmi che tracciano e il modo in cui trattano questi dati (quindi il riferimento alla loro privacy policy).
Facciamo l’esempio di Google Analytics, che in questi mesi è sulla bocca di tutti. Se installi il tag di GA4 sul sito, lui vede i dati dei tuoi utenti perché gli ho dato il permesso di tracciare quello che fanno, quando stanno navigando sul mio sito. Nella Cookie Policy quindi lo devo dire chiaramente, che uso questo programma, e devo anche dirti come lui tratta i tuoi dati.
A proposito di Cookie Policy, da aggiungere un’altra cosa: nel sito va anche inserito un banner, quello simpatico che ci oscura la vista finché non decidiamo di fare una scelta, di prendere una posizione. E anche questo banner deve essere a norma con il GDPR.
Deve cioè esserci la possibilità di accettare tutti i cookie, del tipo “fai di me quello che vuoi, tracciami tutto e pace”, ma deve esserci anche la possibilità di rifiutarsi, di poter dire “No, io non voglio che tu mi tracci con niente” oppure che mi tracci solo in una parte, ma non in un’altra.
Ora capisci bene che non è proprio una cosa semplicissima, la creazione di una Cookie Policy. Va fatta da chi lo fa di mestiere. Quindi anche qua serve il supporto di uno studio legale.
Privacy Social Network: cose importanti da sapere
Chiudo questa puntata dedicata alla privacy parlando di privacy sui social network. Qua in realtà si apre un capitolo che avrebbe bisogno di una serie, un podcast a se stante, ma noi lo riassumiamo in pochi minuti.
Se lavori con questi strumenti, dovresti prenderti qualche ora di tempo per andare a leggere la privacy policy e le condizioni delle piattaforme a cui ti iscrivi o a cui iscrivi i tuoi clienti. Perché in alcuni casi, praticamente sempre, una volta che crei un account, stai automaticamente dando il consenso a queste piattaforme di utilizzare i tuoi dati, li stai rendendo pubblici volontariamente, in qualche modo.
Prendiamo un argomento che secondo me ti interessa, e parecchio: quello delle recensioni. Il fatto che mi venga lasciata una recensione sulla pagina Facebook da Tizio Caio non mi dà l’autorizzazione a poterla screenshottare e a poterla utilizzare ad esempio in una campagna per dire “Guarda quanto sono bravo. Lo dice anche il Tizio Caio”.
Tizio Caio, quando si è iscritto, non ha dato a Facebook l’autorizzazione a poter usare il suo nome per finalità di marketing da parte di aziende terze. Quindi noi che lo stiamo facendo stiamo violando la privacy del social network e la privacy della persona che si è iscritta. Quindi se volessimo proprio usarla, la dobbiamo comunque anonimizzare, togliendo i riferimenti a nome e cognome di chi l’ha scritta.
Lo sa che mi dirai: “Ma no, non è così. Perché lo fanno tutti, di lasciare il nome visibile”. Sì, ma perché tutti vanno in giro senza casco e poi si ammazzano non è detto che dobbiamo farlo anche noi, ok?
La raccomandazione, quindi, è quella di adeguare i tuoi siti web al GDPR con tutto quello che serve. Informati e fai attenzione quando sei sui social, con il tuo business ma anche semplicemente con il tuo profilo personale: prima di pubblicare foto dove ci sono degli amici, se vuoi taggarli devi sempre prima chiedere il consenso.
Noi ci sentiamo la settimana prossima.