Perché il consenso diventa una questione di marketing
Fermento sul fronte normativo
GDPR: seconda stagione
Qualcuno ha forse creduto che l’argomento del GDPR (Regolamento generale sulla protezione dei dati) appartenesse già al passato. Che questo argomento un tempo attuale avesse trovato ormai il proprio posto negli archivi. E per una buona ragione: le organizzazioni situate nell’Unione europea (UE), o che trattano dati di carattere personale relativi a cittadini dell’UE, hanno vissuto l’entrata in vigore del GDPR il 25 maggio 2018 come un punto di svolta, di quelli che segnano un prima e un dopo. Di fatto, il GDPR ha introdotto un pacchetto di novità e diritti rafforzati o aggiuntivi: diritti di accesso e rettifica, diritto all’oblio, diritto di portabilità, senza dimenticare il consenso. Senza dimenticare… o quasi.
Sul fronte digitale, sebbene le organizzazioni abbiano modificato banner e schermate di consenso in vista del 25 maggio 2018, la pratica è rimasta tuttavia piuttosto distante dai principi del GDPR. La ragione è semplice: le lacune del testo, in particolare l’ambiguità che circonda l’applicazione concreta del GDPR, hanno permesso ad esempio a un discreto numero di imprese di limitarsi al consenso “soft”. Si tratta di un consenso che non si basa su un’azione esplicita dell’utente, come ad esempio quando il proseguimento della navigazione equivale al consenso. A partire da luglio 2020, questa pratica non sarà più ammessa. Entro tale termine, la CNIL (Commission nationale de l’informatique et des libertés) francese, che finora si è dimostrata molto tollerante, avrà formulato una raccomandazione definitiva sui cookie che abrogherà una volta per tutte quella del 2013. Una raccomandazione che fa riferimento per tutta Europa. Le prime linee direttive sono state pubblicate durante l’estate del 2019, pertanto i principi fondamentali sono già noti.
Coerentemente con il GDPR, l’installazione di cookie o l’attivazione di qualsiasi altro meccanismo di tracking sarà soggetto all’acquisizione di un consenso libero, specifico, chiaro e univoco. In sostanza, la posizione della CNIL si irrigidisce. Dimentichiamoci quindi la conferma tramite il proseguimento della navigazione, ma anche le caselle preselezionate “Accetto“. Entro luglio 2020, si tratterà di proporre all’utente una scelta equilibrata e chiara per consentirgli di concedere o negare il proprio consenso con la stessa facilità. Con quale impatto sull’acquisizione del consenso? Difficile formulare pronostici dal momento che, secondo la 2a edizione del Barometro della privacy di Commanders Act, solo il 37% dei consensi viene raccolto in modo esplicito. Ma è già evidente che questa nuova “presentazione” del consenso sarà per gli utenti un grande spunto di riflessione…
CCPA: quando la California legifera in materia di consenso
Con il GDPR, l’Europa ha senza dubbio dato il “la”, ma oggi non è la sola a implementare misure per la protezione dei dati personali. Negli Stati Uniti, la California ha affrontato la questione con il “California Consumer Privacy Act” (CCPA). Un testo che dalla sua adozione a giugno del 2018 ha ispirato una decina di altri stati e potrebbe dare qualche idea su scala federale. Il CCPA presenta un campo di applicazione più ristretto rispetto al GDPR per varie ragioni:
- Si applica ai diritti del consumatore californiano, mentre il GDPR tutela il cittadino europeo.
- Anche se introduce dei diritti (di accesso, di portabilità, di oblio), il CCPA si basa comunque sull’opt-out.
- Riguarda le imprese che esercitano un’attività all’interno dello stato e che soddisfano una delle seguenti condizioni: fatturato annuo superiore a 20 milioni di dollari; acquisto o vendita di dati personali di almeno 50.000 consumatori; più del 50% del fatturato annuo derivato dalla vendita di dati personali dei consumatori.
- Infine, le sanzioni sono fissate a 7.500 dollari per ogni infrazione accertata; ricordiamo che con il GDPR le sanzioni possono arrivare al 4% del fatturato.
Il CCPA, la cui applicazione è prevista nel 2020, non è dunque un “GDPR americano”. Si riferisce solo in minima parte alla nozione di consenso e non ne fa un prerequisito alla raccolta di dati personali. Per contro, il testo californiano introduce un principio di trasparenza, in linea con il GDPR, e indica delle linee da seguire che riguardano pur sempre la 5a potenza economica mondiale. Con questo regolamento, anche le pratiche delle grandi imprese dell’economia digitale dovranno evolvere.
Cina: l’altra visione dei dati personali
Impossibile non citare la posizione della Cina su questo argomento. Da un lato perché il paese conta 1,4 miliardi di abitanti, dall’altro perché il suo ecosistema digitale è in pieno sviluppo e attira numerosi soggetti stranieri. Nel tempo, la Cina aveva adottato diverse misure per proteggere i dati personali, ma queste riguardavano per lo più casi particolari (imprese di telecomunicazioni, enti pubblici e così via).
La situazione è cambiata dopo il 1° giugno 2017 con l’entrata in vigore di una legge sulla sicurezza informatica per la Repubblica Popolare Cinese. Questo gruppo di 79 articoli presenta dei punti in comune con il GDPR, poiché fa riferimento alla necessità di emanare delle regole sulla raccolta e l’utilizzo dei dati, regole che devono indicare chiaramente gli obiettivi perseguiti.
Va precisato inoltre che il testo regolamenta la conservazione dei dati personali e la loro trasmissione al di fuori del territorio cinese. Se le questioni di sovranità digitale e di tutela dei dati personali si intrecciano, questi testi introducono dunque il principio di informazione esplicita delle persone interessate dalla raccolta. Tutto ciò suggerisce che le buone pratiche europee si stanno dimostrando pertinenti nel contesto cinese.
Una questione globale e in pieno fermento
Se il GDPR e il CCPA fanno scorrere fiumi d’inchiostro, la questione della protezione dei dati personali ha effettivamente assunto un carattere globale. Il Canada conta di rivedere il suo Personal Information Protection and Electronic Documents Act per portarlo al livello del GDPR europeo, l’India sta apportando gli ultimi ritocchi al suo Personal Data Protection Bill, il Regno Unito ha pubblicato la sua Guidance on the Use of Cookies and Similar Technologies per disciplinare l’utilizzo dei cookie.
Questo elenco, lungi dall’essere esaustivo, conferma che i dati personali sono sempre più spesso considerati in tutto il mondo come un materiale sensibile, e che è pertanto necessario regolamentarne la raccolta e l’utilizzo. In questo panorama ancora mutevole i brand dovranno imparare a coltivare la fiducia.
Cookie: un’attesa snervante
Dall’Europa alla Cina, passando per gli Stati Uniti, la gestione del consenso è dunque ormai disciplinata, o sta per esserlo. Questo contesto normativo porterà inevitabilmente gli utenti a soppesare maggiormente il valore del loro consenso. Non è l’unica variabile a cambiare nell’equazione dei responsabili marketing. Anche il contesto tecnico porta alcune novità…
ITP 2.2: Apple aumenta la pressione…
Apple si considera un promotore della protezione dei dati personali: la prima versione del suo sistema Intelligent Tracking Prevention risale infatti al 2017. Integrato nel browser Safari, nel tempo questo meccanismo che filtra i cookie si è notevolmente rafforzato. Risultato: se la prima versione riduceva il ciclo di vita dei cookie di terze parti a 24 ore, le versioni successive li hanno praticamente debellati. Ricordiamo che un cookie di terze parti è associato a un dominio diverso da quello del sito visitato. È quindi grazie a questo tipo di cookie che è possibile monitorare il percorso di un visitatore da un sito all’altro. In pratica, senza questi cookie, la gestione del marketing programmatico e del retargeting diventa rischiosa, al punto che qualcuno ha bandito Safari dalle proprie campagne.
L’ultima versione in odine di tempo dell’ITP (2.2) fa un ulteriore passo avanti, andando a colpire i cookie di prima parte, quelli direttamente associati a un sito. Il sistema prende di mira in realtà un tipo preciso di cookie di prima parte, talvolta utilizzato per aggirare le restrizioni applicate ai cookie di terze parti. Con ITP 2.2, questi cookie possono essere tracciati solo per 24 ore. Un lasso di tempo decisamente troppo breve per monitorare un percorso, soprattutto nell’ottica dell’attribuzione. Una cosa non da poco per un browser la cui fetta di mercato in ambito mobile si aggira intorno al 30%.
Phoenix di Commanders Act – Ovvero, come prolungare la vita dei cookie su Safari
L’eliminazione dei cookie di prima parte su Safari dopo 24 ore rappresenta un vero e proprio vicolo cieco per gli operatori di marketing. Un esempio d’impatto: a causa di questa eliminazione, uno strumento come Google Analytics non è più in grado di ricollegare 2 sessioni di uno stesso utente se queste hanno avuto luogo a più di 24 ore di distanza. È un problema… Ecco perché da ottobre 2019 Commanders Act integra nel suo TMS TagCommander il modulo Phoenix. Questa tecnologia consente di salvare questi cookie in un apposito server per mantenerli in vita per più di 24 ore: in pratica, fino a 13 mesi. Applicato a TrustCommander, la CMP di CommandersAct, Phoenix risparmia agli utenti un una ben nota seccatura: la richiesta di consenso ad ogni sessione in quanto, per impostazione predefinita, è altamente probabile che il cookie di una CMP sia stato eliminato da Safari.
E Firefox si intromette
Con la sua versione 76, Firefox ha inaugurato la funzione Enhanced Tracking Protection (ETP). Nel mirino, ci sono i cookie di terze parti bloccati da questo meccanismo. Va notato che Facebook ha diritto a un trattamento particolare, poiché Firefox impedisce al social network di tracciare il percorso dell’utente tramite i pulsanti Condividi e Mi piace presenti su alcuni siti.
Chrome: la grande incognita
E Chrome in tutto questo? Tutti attendono la risposta con un pizzico di preoccupazione, data la quota di mercato del browser di Google. Unica certezza: la società sta lavorando a un “privacy framework” di cui ha pubblicato una prima bozza quest’estate. Un documento presentato come una proposta per fornire spunti di riflessione a tutti, ma attraverso il quale si delinea un Google diventato l’hub mondiale della raccolta dei consensi. Una cosa che desta preoccupazione. E già la società modifica la gestione delle preferenze degli utenti rendendola più accessibile per via diretta e più comprensibile nell’ultima versione di Chrome.
Da ricordare
Cosa tenere a mente dei nuovi quadri normativi e dei vincoli tecnici che si moltiplicano?
- Per la maggior parte delle organizzazioni, la questione della raccolta online dei consensi è ancora un caso aperto. L’adeguamento entro luglio 2020 alle nuove raccomandazioni della CNIL richiederà una seria revisione delle modalità di raccolta.
- I vincoli tecnici che limitano il campo d’azione dei cookie porteranno ad esplorare, nella scia del consenso, le modalità per conservare un flusso di dati di qualità sufficiente per lavorare.
- A livello globale, si sta affermando l’idea che la gestione dei consensi sia a tutti gli effetti un pilastro della strategia marketing, e non più una semplice questione da delegare all’ambito legale o tecnico.
Analytics
-
Commanders Act consolida la sua posizione di performance partner per i brand, con l’acquisizione di Adloop -
Quali sono le soluzioni per sostituire i cookie di terze parti?
CDP
-
Come conciliare l’arricchimento dei dati e il consenso? -
6 best practices per ottimizzare i tassi di consenso
Corporate
-
CMP Partner Program: Commanders Act riceve la certificazione di Google in seguito all’annuncio dei nuovi requisiti di gestione del consenso -
Privacy Barometer 2023
DATA
-
Come utilizzare la CDP in ogni fase della lifecycle del cliente -
Commanders Act si unisce al programma CMP Partner lanciato da Google nel settembre 2022
