Il consenso si inserisce, e vi resterà a lungo, nell’elenco dei compiti dei responsabili marketing. Come trattarlo? Se alcuni sono tentati da tattiche di elusione, altri lo includono in una riflessione più strategica.

Sul campo

La reazione a breve termine: la tentazione dell’elusione

Se la durata della validità dell’opt-in è di 13 mesi (ossia, un cookie legittimamente accettato può avere un tale ciclo di vita), per contro ad oggi nei testi non c’è niente che specifichi la durata della validità dell’opt-out. Per alcune organizzazioni questa situazione rappresenta un’opportunità: quella di sollecitare gli utenti in opt-out a ciascuna delle loro visite. In altre parole, come reinventare nell’epoca del digitale le telefonate moleste…

Non è l’unica strada esplorata da coloro che privilegiano le tattiche di elusione: optare per la visualizzazione impaginata delle diverse categorie di cookies, annoiare l’utente e spingerlo ad accettare rapidamente qualsiasi cosa è un’altra di queste tattiche. Un comportamento che, a nostro avviso, assomiglia a una fuga in avanti poco efficace, se non addirittura dannosa per il brand. La pratica della raccolta del consenso diventa, ovviamente, uno dei criteri di valutazione della fiducia da concedere o meno a un brand. E non dobbiamo sottovalutare nemmeno “la cultura del consenso” che gli utenti stanno gradualmente acquisendo. Le audience non si lasceranno imbrogliare a lungo da queste tattiche.

L’investimento a lungo termine: il ritorno all’autenticazione e alla connessione

All’opposto di queste tattiche di elusione, numerosi brand stanno riesaminando in modo approfondito la loro strategia digitale per inserirvi la raccolta e la gestione del consenso. Ecco perché stiamo assistendo al ritorno delle autenticazioni sui siti, compresi quelli che non offrono uno spazio per le transazioni (account di e-commerce, ad esempio). Ma non è tutto: in alcuni settori di attività, si creano alleanze per proporre agli utenti un sistema di autenticazione comune a più brand e siti. In particolare, i gruppi editoriali sono i pionieri di questo movimento. In Francia, ad esempio, l’associazione di editori online Le Geste sta lavorando con una decina di media allo sviluppo di un tale sistema di autenticazione comune. Queste iniziative “autenticazione e privacy” si moltiplicano anche in Germania (dove il gruppo editoriale Axel Springer è impegnato in una lotta contro le piattaforme) e in Portogallo.

Di fatto, proporre agli utenti di autenticarsi per accedere a contenuti e servizi presenta numerosi vantaggi. Sebbene questo tipo di autenticazione non esoneri dall’ottenere un consenso laddove si desidera utilizzare cookie per gli utenti non connessi, consente tuttavia di lavorare a due velocità. Ad esempio, facendo ricorso ad alcuni cookie per i visitatori anonimi (cosa che semplifica la schermata di raccolta) e scegliendo un monitoraggio più dettagliato per i visitatori autenticati. Per questi ultimi, l’autenticazione rappresenta l’occasione di curare la formulazione del “contratto” e dell’utilizzo dei dati.

Altro vantaggio dell’autenticazione: mantenendo una “sessione utente”, consente di compensare i meccanismi che, come abbiamo visto in precedenza, riducono il campo d’azione dei cookie. Inoltre, questa connessione diretta con l’audience è un mezzo per arricchire i dati di prima parte. Una preoccupazione molto attuale…

Gli indispensabili

Studiare la formulazione del consenso

Ovvero, come rinnovare la collaborazione tra l’ambito marketing e l’ambito legale

Che si scelga o meno di ricorrere all’autenticazione, è auspicabile una nuova collaborazione tra i team che si occupano di marketing e quelli che si occupano degli aspetti giuridici. Attualmente, la formulazione del consenso è stata troppo spesso trascurata da chi dovrebbe occuparsi delle questioni legali. Probabilmente con l’idea che, come spesso accade per le condizioni generali di vendita, nessuno si divertirà più di tanto a leggere queste righe.

Questa posizione può essere comprensibile nel momento in cui i tassi di consenso si avvicinano al 90%, quando le organizzazioni si avvalgono del consenso “soft”. Ma, come abbiamo visto, entro luglio 2020 la situazione sarà cambiata: all’utente sarà richiesta un’azione positiva. E per giustificarla, un testo strettamente legale non sarà sufficiente. Per riuscire ad ottenere l’adesione delle audience, l’accordo che costituisce la raccolta di consensi deve essere formulato in modo congiunto dal team legale e dal team marketing. Obiettivo: formulare nel modo più chiaro possibile il valore di questo consenso e gli obblighi del brand. Sta ad ognuno trovare la sua formula…

Dalla gestione del consenso a quella delle preferenze

Ovvero, come trasformare il consenso in un’esperienza utente

Dato che il consenso non consiste più nel chiedere all’utente di annuire di fronte a una schermata precompilata, è logico considerare il momento della raccolta come parte integrante dell’esperienza utente. E utilizzare questo momento non solo per ottenere il consenso, ma anche per offrire ai visitatori la possibilità di determinare l’insieme delle loro preferenze. Accettano di ricevere notifiche web? Di visualizzare annunci sui social network? Desiderano ricevere un’e-mail con il riepilogo delle ultime informazioni? Con quale frequenza?

Da questi esempi si capisce che la gestione delle preferenze sarà tanto più esaustiva e “utile” se l’utente è autenticato. In ogni caso, si delinea la strada: il “privacy center” (la pagina in cui l’utente visualizza i suoi consensi) diventa un “preferences center”, un luogo in cui ciascun visitatore può avere una visione globale dei punti di contatto e delle informazioni che accetta o meno di condividere. Un luogo a cui non accede per impostazione predefinita, ma per disciplinare la sua relazione con il brand.

Contestualizzare il consenso

Ovvero, come potenziare la collaborazione tra marketing e MarTech

Dal momento che il consenso “soft” appartiene al passato, ogni organizzazione deve prepararsi a una raccolta dei consensi molto più esplicita. E, altresì, a una sensibile diminuzione dei tassi di consenso. Fino a che punto? L’ultima edizione del Barometro della privacy di Commanders Act fornisce alcuni indizi.

Il 32% circa dei siti analizzati si limita a un consenso “super soft” (conferma del consenso mediante scorrimento della pagina o al primo clic su un elemento) e il 31% a un consenso “soft” (conferma alla seconda pagina visitata). Ecco perché i tassi di consenso in settori come “Moda & Vendita al dettaglio” o “Viaggi” oscillano tra il 66% e il 91%! Questi tassi sono in netto contrasto con quelli di operatori della finanza che, applicando per lo più un consenso “rigido” (clic esplicito sul pulsante “Accetto”), registrano dal canto loro un tasso di consenso medio pari al 29%. Ecco un’idea di quello che possono aspettarsi gli editori di siti con la fine del consenso “soft”.

Con consensi dimezzati o divisi per 3, la contestualizzazione del consenso diventa un argomento centrale. Senza tabù. Bisogna richiedere il consenso già dalla prima pagina? Se il consenso viene negato, bisogna sistematicamente richiederlo a ogni visita? In caso di consenso parziale, siamo autorizzati a “rilanciare”? È probabile che, nella pratica, la raccolta e il completamento del consenso si inseriscano a poco a poco in una logica simile a quella della Marketing Automation, con scenari condizionati e test. Una disciplina a tutti gli effetti? In ogni caso, un terreno su cui ciascuna organizzazione dovrà coltivare la propria esperienza.

Monitorare il consenso

Ovvero, come attrezzarsi per passare all’azione

Poiché fa parte dell’esperienza utente, poiché determina la capacità di sviluppare la conoscenza del cliente e di attivare strumenti digitali, la raccolta dei consensi richiede un monitoraggio preciso con KPI (Key Performance Indicators) dedicati. E per una buona ragione: le domande non mancano:

• Qual è il tasso di opt-in globale?
• Come sono distribuiti gli opt-in in base alle varie categorie (analisi, retargeting, e-mail marketing e così via)?
• Tra le diverse schermate e i vari messaggi proposti, quali offrono il tasso di conversione migliore?
• Qual è il traffico sul Privacy Center?

Si tratta di dati preziosi che consentono di scegliere gli strumenti di cui dotarsi per un miglioramento continuo del consenso e per curare questo patto di fiducia con la propria audience.

TrustCommander

Da ricordare

Poiché la pratica del consenso esiste ed esisterà per molto tempo ancora, i tentativi di elusione sono destinati a fallire. I brand hanno tutto l’interesse a strutturare il consenso come un momento dell’esperienza utente. Un momento che, per funzionare, richiede una stretta collaborazione tra i team legale, tecnico e marketing.

Fermento sul fronte normativo

GDPR: seconda stagione

Qualcuno ha forse creduto che l’argomento del GDPR (Regolamento generale sulla protezione dei dati) appartenesse già al passato. Che questo argomento un tempo attuale avesse trovato ormai il proprio posto negli archivi. E per una buona ragione: le organizzazioni situate nell’Unione europea (UE), o che trattano dati di carattere personale relativi a cittadini dell’UE, hanno vissuto l’entrata in vigore del GDPR il 25 maggio 2018 come un punto di svolta, di quelli che segnano un prima e un dopo. Di fatto, il GDPR ha introdotto un pacchetto di novità e diritti rafforzati o aggiuntivi: diritti di accesso e rettifica, diritto all’oblio, diritto di portabilità, senza dimenticare il consenso. Senza dimenticare… o quasi.

Sul fronte digitale, sebbene le organizzazioni abbiano modificato banner e schermate di consenso in vista del 25 maggio 2018, la pratica è rimasta tuttavia piuttosto distante dai principi del GDPR. La ragione è semplice: le lacune del testo, in particolare l’ambiguità che circonda l’applicazione concreta del GDPR, hanno permesso ad esempio a un discreto numero di imprese di limitarsi al consenso “soft”. Si tratta di un consenso che non si basa su un’azione esplicita dell’utente, come ad esempio quando il proseguimento della navigazione equivale al consenso. A partire da luglio 2020, questa pratica non sarà più ammessa. Entro tale termine, la CNIL (Commission nationale de l’informatique et des libertés) francese, che finora si è dimostrata molto tollerante, avrà formulato una raccomandazione definitiva sui cookie che abrogherà una volta per tutte quella del 2013. Una raccomandazione che fa riferimento per tutta Europa.  Le prime linee direttive sono state pubblicate durante l’estate del 2019, pertanto i principi fondamentali sono già noti.

Coerentemente con il GDPR, l’installazione di cookie o l’attivazione di qualsiasi altro meccanismo di tracking sarà soggetto all’acquisizione di un consenso libero, specifico, chiaro e univoco. In sostanza, la posizione della CNIL si irrigidisce. Dimentichiamoci quindi la conferma tramite il proseguimento della navigazione, ma anche le caselle preselezionate “Accetto“. Entro luglio 2020, si tratterà di proporre all’utente una scelta equilibrata e chiara per consentirgli di concedere o negare il proprio consenso con la stessa facilità. Con quale impatto sull’acquisizione del consenso? Difficile formulare pronostici dal momento che, secondo la 2^a edizione del Barometro della privacy di Commanders Act, solo il 37% dei consensi viene raccolto in modo esplicito. Ma è già evidente che questa nuova “presentazione” del consenso sarà per gli utenti un grande spunto di riflessione…

CCPA: quando la California legifera in materia di consenso

Con il GDPR, l’Europa ha senza dubbio dato il “la”, ma oggi non è la sola a implementare misure per la protezione dei dati personali. Negli Stati Uniti, la California ha affrontato la questione con il “California Consumer Privacy Act” (CCPA). Un testo che dalla sua adozione a giugno del 2018 ha ispirato una decina di altri stati e potrebbe dare qualche idea su scala federale. Il CCPA presenta un campo di applicazione più ristretto rispetto al GDPR per varie ragioni:

• Si applica ai diritti del consumatore californiano, mentre il GDPR tutela il cittadino europeo.
• Anche se introduce dei diritti (di accesso, di portabilità, di oblio), il CCPA si basa comunque sull’opt-out.
• Riguarda le imprese che esercitano un’attività all’interno dello stato e che soddisfano una delle seguenti condizioni: fatturato annuo superiore a 20 milioni di dollari; acquisto o vendita di dati personali di almeno 50.000 consumatori; più del 50% del fatturato annuo derivato dalla vendita di dati personali dei consumatori.
• Infine, le sanzioni sono fissate a 7.500 dollari per ogni infrazione accertata; ricordiamo che con il GDPR le sanzioni possono arrivare al 4% del fatturato.

Il CCPA, la cui applicazione è prevista nel 2020, non è dunque un “GDPR americano”. Si riferisce solo in minima parte alla nozione di consenso e non ne fa un prerequisito alla raccolta di dati personali. Per contro, il testo californiano introduce un principio di trasparenza, in linea con il GDPR, e indica delle linee da seguire che riguardano pur sempre la 5^a potenza economica mondiale. Con questo regolamento, anche le pratiche delle grandi imprese dell’economia digitale dovranno evolvere.

Cina: l’altra visione dei dati personali

Impossibile non citare la posizione della Cina su questo argomento. Da un lato perché il paese conta 1,4 miliardi di abitanti, dall’altro perché il suo ecosistema digitale è in pieno sviluppo e attira numerosi soggetti stranieri. Nel tempo, la Cina aveva adottato diverse misure per proteggere i dati personali, ma queste riguardavano per lo più casi particolari (imprese di telecomunicazioni, enti pubblici e così via).

La situazione è cambiata dopo il 1^° giugno 2017 con l’entrata in vigore di una legge sulla sicurezza informatica per la Repubblica Popolare Cinese. Questo gruppo di 79 articoli presenta dei punti in comune con il GDPR, poiché fa riferimento alla necessità di emanare delle regole sulla raccolta e l’utilizzo dei dati, regole che devono indicare chiaramente gli obiettivi perseguiti.

Va precisato inoltre che il testo regolamenta la conservazione dei dati personali e la loro trasmissione al di fuori del territorio cinese. Se le questioni di sovranità digitale e di tutela dei dati personali si intrecciano, questi testi introducono dunque il principio di informazione esplicita delle persone interessate dalla raccolta. Tutto ciò suggerisce che le buone pratiche europee si stanno dimostrando pertinenti nel contesto cinese.

Una questione globale e in pieno fermento

Se il GDPR e il CCPA fanno scorrere fiumi d’inchiostro, la questione della protezione dei dati personali ha effettivamente assunto un carattere globale. Il Canada conta di rivedere il suo Personal Information Protection and Electronic Documents Act per portarlo al livello del GDPR europeo, l’India sta apportando gli ultimi ritocchi al suo Personal Data Protection Bill, il Regno Unito ha pubblicato la sua Guidance on the Use of Cookies and Similar Technologies per disciplinare l’utilizzo dei cookie.

Questo elenco, lungi dall’essere esaustivo, conferma che i dati personali sono sempre più spesso considerati in tutto il mondo come un materiale sensibile, e che è pertanto necessario regolamentarne la raccolta e l’utilizzo. In questo panorama ancora mutevole i brand dovranno imparare a coltivare la fiducia.

Cookie: un’attesa snervante

Dall’Europa alla Cina, passando per gli Stati Uniti, la gestione del consenso è dunque ormai disciplinata, o sta per esserlo. Questo contesto normativo porterà inevitabilmente gli utenti a soppesare maggiormente il valore del loro consenso. Non è l’unica variabile a cambiare nell’equazione dei responsabili marketing. Anche il contesto tecnico porta alcune novità…

ITP 2.2: Apple aumenta la pressione…

Apple si considera un promotore della protezione dei dati personali: la prima versione del suo sistema Intelligent Tracking Prevention risale infatti al 2017. Integrato nel browser Safari, nel tempo questo meccanismo che filtra i cookie si è notevolmente rafforzato. Risultato: se la prima versione riduceva il ciclo di vita dei cookie di terze parti a 24 ore, le versioni successive li hanno praticamente debellati. Ricordiamo che un cookie di terze parti è associato a un dominio diverso da quello del sito visitato. È quindi grazie a questo tipo di cookie che è possibile monitorare il percorso di un visitatore da un sito all’altro. In pratica, senza questi cookie, la gestione del marketing programmatico e del retargeting diventa rischiosa, al punto che qualcuno ha bandito Safari dalle proprie campagne.

L’ultima versione in odine di tempo dell’ITP (2.2) fa un ulteriore passo avanti, andando a colpire i cookie di prima parte, quelli direttamente associati a un sito. Il sistema prende di mira in realtà un tipo preciso di cookie di prima parte, talvolta utilizzato per aggirare le restrizioni applicate ai cookie di terze parti. Con ITP 2.2, questi cookie possono essere tracciati solo per 24 ore. Un lasso di tempo decisamente troppo breve per monitorare un percorso, soprattutto nell’ottica dell’attribuzione. Una cosa non da poco per un browser la cui fetta di mercato in ambito mobile si aggira intorno al 30%.

Phoenix di Commanders Act – Ovvero, come prolungare la vita dei cookie su Safari

L’eliminazione dei cookie di prima parte su Safari dopo 24 ore rappresenta un vero e proprio vicolo cieco per gli operatori di marketing. Un esempio d’impatto: a causa di questa eliminazione, uno strumento come Google Analytics non è più in grado di ricollegare 2 sessioni di uno stesso utente se queste hanno avuto luogo a più di 24 ore di distanza. È un problema… Ecco perché da ottobre 2019 Commanders Act integra nel suo TMS TagCommander il modulo Phoenix. Questa tecnologia consente di salvare questi cookie in un apposito server per mantenerli in vita per più di 24 ore: in pratica, fino a 13 mesi. Applicato a TrustCommander, la CMP di CommandersAct, Phoenix risparmia agli utenti un una ben nota seccatura: la richiesta di consenso ad ogni sessione in quanto, per impostazione predefinita, è altamente probabile che il cookie di una CMP sia stato eliminato da Safari.

E Firefox si intromette

Con la sua versione 76, Firefox ha inaugurato la funzione Enhanced Tracking Protection (ETP). Nel mirino, ci sono i cookie di terze parti bloccati da questo meccanismo. Va notato che Facebook ha diritto a un trattamento particolare, poiché Firefox impedisce al social network di tracciare il percorso dell’utente tramite i pulsanti Condividi e Mi piace presenti su alcuni siti.

Chrome: la grande incognita

E Chrome in tutto questo? Tutti attendono la risposta con un pizzico di preoccupazione, data la quota di mercato del browser di Google. Unica certezza: la società sta lavorando a un “privacy framework” di cui ha pubblicato una prima bozza quest’estate. Un documento presentato come una proposta per fornire spunti di riflessione a tutti, ma attraverso il quale si delinea un Google diventato l’hub mondiale della raccolta dei consensi. Una cosa che desta preoccupazione. E già la società modifica la gestione delle preferenze degli utenti rendendola più accessibile per via diretta e più comprensibile nell’ultima versione di Chrome.

Da ricordare

Cosa tenere a mente dei nuovi quadri normativi e dei vincoli tecnici che si moltiplicano?

• Per la maggior parte delle organizzazioni, la questione della raccolta online dei consensi è ancora un caso aperto. L’adeguamento entro luglio 2020 alle nuove raccomandazioni della CNIL richiederà una seria revisione delle modalità di raccolta.
• I vincoli tecnici che limitano il campo d’azione dei cookie porteranno ad esplorare, nella scia del consenso, le modalità per conservare un flusso di dati di qualità sufficiente per lavorare.
• A livello globale, si sta affermando l’idea che la gestione dei consensi sia a tutti gli effetti un pilastro della strategia marketing, e non più una semplice questione da delegare all’ambito legale o tecnico.