Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

REPORTAGE

Per il Marketing il GDPR è l’occasione per riconquistare la fiducia dei clienti

Trasparenza è la parola d’ordine del nuovo regolamento, che garantisce ai consumatori che i propri dati vengano trattati correttamente e prevede pesanti sanzioni per gli abusi. Se ne è parlato in un evento internazionale organizzato da RSA Security, in vista della scadenza di maggio

12 Feb 2018

Gabriele Tori

Si avvicina inesorabilmente l’applicabilità del regolamento europeo GDPR, ma restano ancora molti dubbi da chiarire, in particolare per quanto riguarda la ripartizione delle responsabilità e l’esercizio di nuovi diritti da parte dell’interessato.

Se ne è parlato durante l’evento organizzato a inizio febbraio a Londra da RSA Security, società che offre soluzioni di Business-Driven Security, alla presenza di numerosi esperti internazionali.

Gestire i rapporti contrattuali con le terze parti, in massima trasparenza

Inizialmente è stata trattata la gestione dei rapporti (contrattuali e non) con le terze parti, ovvero tutti i partner aziendali ed eventuali fornitori di servizi esternalizzati che vengono coinvolti nell’offerta di un bene e/o servizio. Rashmi Knowles, Chief Security Architect EMEA per RSA Security, ha evidenziato come la digital transformation abbia spostato tutta l’attenzione sul front end di ogni prodotto/servizio. Esistono però, alle spalle di esso, una serie di terze parti spesso non facilmente individuabili dall’utente finale.

Questo si scontra con quanto dettato dal GDPR (o Regolamento UE n. 2016/679), che impone la massima trasparenza da parte del titolare e responsabile per ogni trattamento di dati personali. Con il GDPR i rischi ed i doveri anche in capo alle terze parti aumentano e solo il 18% delle aziende effettua una procedura di risk assessment per queste. Il GDPR, secondo Rashmi Knowles, è tutta una questione di evidence and documentation (documentazione e riscontro) ed il rischio maggiore in cui incorrono le società è quello di non essere pronte per il giorno dell’applicabilità del Regolamento, visto l’ingente numero di adempimenti che devono essere condotti. Ha concluso specificando che il metodo migliore per far si che la tua sicurezza in azienda sia efficace è quella di condividere le best practices adottate, espandendo la propria idea di “security” anche al di fuori della propria società.

Javier Sanchez Ureta, Data Office Director per Banco Sabadell, ha invece individuato quale prima regola da seguire nel trattamento dei dati personali quella di individuare i trattamenti essenziali, scegliere quali servizi dare in outsourcing e poi procedere con una accurata analisi dei rischi. Inoltre, ha specificato come sia necessario avere un ottimo sistema di incident management per gestire senza ulteriori complicazioni i nuovi adempimenti richiesti in caso di data breach.

È poi Raef Meeuwisse (GRC Expert e autore di numerosi libri in materia di cybersecurity) a stabilire come, per lui, il principio più importante introdotto dal GDPR risiede in quella che viene definita la “privacy by design” (ovvero un approccio che impone di considerare le possibili implicazioni privacy sin dalla progettazione di un nuovo prodotto/servizio, come imposto dall’articolo 25 del GDPR). Ha poi spostato il focus del suo intervento sui servizi in cloud, affermando che “ciò che una persona paga per un servizio in cloud, non necessariamente include la gestione dei possibili rischi”. Ha poi evidenziato come numerosi servizi cloud (quali, ad esempio, Gmail) offrono agli utenti ottimi servizi di sicurezza (si pensi al “two-factor authentication), ma recenti studi hanno evidenziato che solo una piccolissima percentuali di utenti li utilizza o è intenzionata ad utilizzarli. La chiave, secondo lui, risiede in una estensione della propria governance aziendale. Questo per appianare le forti differenze esistenti tra la governance interna e quella intrapresa con terze parti: internamente si ha tutto sotto controllo (e risulta possibile seguirne tutte le evoluzioni), mentre con le terze parti si parte fissando obiettivi comuni (spesso rispondendo alle domande “Cosa dobbiamo fare?”, “Quale obiettivo bisogna raggiungere?”) senza poi necessariamente avere un contatto diretto con esse.

A chiudere il giro è l’avvocato londinese Anthony Lee (partner presso lo studio legale DMH Stallard) che, sulla scia di quanto affermato da Rashmi Knowles, ha ribadito che sarà complicato per le società essere integralmente conformi a quanto disposto dal GDPR poiché sono in circolazione numerosissimi tipi di contratti, la cui gestione non può far altro che rallentare i vari processi di adeguamento.

Molto è stato detto, inoltre, sul tema della responsabilità solidale, previsto dall’articolo 82 del GDPR. A norma di tale articolo, e salvo che non dimostri che l’evento danno non possa essergli in alcun modo imputato, il responsabile risponde, in solido con il titolare e per l’intero ammontare, del danno cagionato da un trattamento non conforme a normativa se ha agito in modo difforme o contrario rispetto alle istruzioni legittime ricevute dal titolare; ovvero se non ha adempiuto agli obblighi che il GDPR pone direttamente in capo ai responsabili. Tra di essi, rilevano soprattutto gli obblighi relativi alla sicurezza, l’obbligo di informare senza giustificato ritardo il titolare del verificarsi di un eventuale data breach, nonché l’obbligo di nominare un DPO (Data Protection Officier), laddove richiesto per legge.

Il ruolo del Marketing nell’era dei rischi

L’attenzione si è poi spostata sul “il ruolo del Marketing nell’era dei rischi”. La discussione ha coinvolto Holly Rollo (Chief Marketing Officer per RSA Security), Suzanne Carter (Marketing & Engagement Director per National Dance Company Wales), Hellena Theakstone (Head of Digital aperOasis Fashion) e Chris Daly (Chief Executive per CIM) tutti esperti marketing molto preparati e consapevoli di come deve essere condotta una giusta campagna marketing in questi anni di forte progresso tecnologico.

Holly Rollo ha esordito dicendo una verità fondamentale, valevole per qualsiasi settore di business: “Giorno dopo giorno siamo alla costante ricerca del modo più rapido e veloce per compiere una determinata azione”. Spesso però tale velocità impone standard qualitativi più bassi e nello specifico campo del marketing, comporta una gestione sbagliata e poco proficua.

Gli operatori del settore devono sempre essere in grado di valutare la complessità e la vulnerabilità delle infrastrutture messe loro a disposizione. Fare ciò, al giorno d’oggi, significa instaurare una stretta collaborazione con gli uffici IT, sales e legali.

GDPR e Marketing: trasparenza innanzitutto

It’s all about transparency, because transparency is the key” così, Suzanne Carter ha aperto il suo intervento durante il quale ha dimostrato come un operatore marketing si trova a lavorare quotidianamente a stretto contatto con gli esperti IT per poter comprendere le potenzialità di un tool utile nello svolgimento del suo lavoro specificando come la cosa più importate consiste nell’essere il più chiari possibile con i propri clienti.

Chris Daly ha chiuso il Panel dicendo di aver capito che tramite i nuovi adempimenti previsti dal GDPR e dalla futura Direttiva ePrivacy, le società hanno finalmente l’occasione di “riconquistare la fiducia dei propri consumatori”, proprio perché i clienti si aspettano che i propri dati vengano trattati nella maniera migliore possibile, senza abusi. Infatti, il “motto” che tutti gli speaker hanno spostato è stato “Customers first!” una frase che, pur avendo perso molta della sua veridicità, rimane ancora uno dei principali motivi di differenziazione tra chi sa fare bene il proprio lavoro e chi brancola nel buio senza canoni ben definiti, errando.

Il marketing, con l’avvento del GDPR, sarà uno degli ambiti più colpiti dai nuovi canoni di trasparenza del trattamento e chiarezza delle informazioni che devono essere fornite all’interessato. Inoltre, alla stregua del principio della limitazione del trattamento, i dati raccolti non possono essere applicati in maniera estensiva anche ai trattamenti di marketing.

Che sia la fine del marketing sfrenato e smisurato? Difficile rispondere, poiché le nuove soluzioni tecnologiche che verranno sviluppate permetteranno sicuramente tali implicazioni. Non resta che sperare nel forte potere dissuasivo delle elevate sanzioni imposte dal Regolamento (10/20 mln di euro; 2%/4% del fatturato mondiale annuo dell’esercizio precedente: trattasi dei massimali consentiti per le sanzioni amministrative, gli Stati Membri dovranno definire gli importi specifici assegnati ad ogni violazione).

Fake data: un italiano su tre fornisce informazioni false

RSA Security ha infine presentato i risultati di una ricerca, da essa commissionata, concernente la qualità dei dati forniti dagli interessati del trattamento ai. Ciò che emerge è che uno dei maggiori problemi odierni non risiede nelle esclusivamente nelle fake news, ma anche nei cosiddetti fake data. Questo poiché i consumatori spesso falsificano i propri dati online (ad es. il numero di telefono, l’indirizzo di residenza, la data di nascita) per evitare di condividere le informazioni personali con le aziende, per non ricevere comunicazioni non richieste, non voler essere profilati oppure perché, più semplicemente, non si fidano dell’azienda che dovrebbe trattare i loro dati.

Un italiano su tre fornisce informazioni false e il 64% ritiene che la reputazione di una azienda in termini di gestione dei dati dei clienti abbia influenzato le proprie scelte di acquisto

Dal sondaggio risulta che le due principali preoccupazioni dei consumatori italiani risiedono nella protezione delle credenziali bancarie e finanziarie e delle informazioni di sicurezza (come, ad esempio, le password). Questo perché i rischi che spaventano di più gli italiani, in particolare, sono il furto monetario (78% degli intervistati), il furto di identità e la pubblicazione di informazioni imbarazzanti o sensibili (54%).

La vision di RSA Security consiste proprio in questo: non devono solo essere venduti i prodotti, ma è necessario anche educare i clienti.

Perchè l’integrità dei dati conta. Rsa ha intervistato migliaia di consumatori sulla Data Privacy

Gabriele Tori
Legal Consultant, P4I - Partners4Innovation
Argomenti trattati

Aziende

R
RSA Security

Approfondimenti

G
GDPR
P
Privacy
S
security

Articolo 1 di 5