Intervista con la dottoressa Jana Moser: Il marketing digitale ai tempi del GDPR e dell’e-Privacy

23 Dicembre 2019 | 489 0

A partire dal 25 maggio 2018, in tutta l’Unione europea è stato applicato il Regolamento generale sulla protezione dei dati (GDPR) con l’obiettivo di imporre dei limiti alla raccolta di dati non controllata. Con la direttiva e-Privacy, l’economia digitale europea si trova oggi a dover affrontare nuove sfide.

L’ultima sentenza della Corte di giustizia europea del 1° ottobre 2019 conferma ciò che Commanders Act comunica ai suoi clienti dal 2018: prima di poter installare cookie o raccogliere dati personali, è necessario un opt-in esplicito.

In un’intervista con Timo von Focht, Country Manager DACH di Commanders Act, la dottoressa Jana Moser, esperta in materia di protezione strategica dei dati, spiega cosa significa tutto questo per le aziende europee e gli operatori di marketing online. Illustra inoltre le condizioni generali e gli effetti della nuova giurisprudenza della Corte di giustizia europea sulla protezione dei dati e sulle strategie per i dati delle aziende europee e descrive il marketing attuale nell’epoca del GDPR e dell’e-Privacy.

Timo von Focht: Salve Jana, grazie per avermi concesso questa intervista. Da quanti anni ti occupi di protezione dei dati e strategie per i dati nelle aziende? Secondo te, in che modo si sono sviluppati questi temi negli ultimi anni?

Dr. Jana Moser: Mi occupo della questione della protezione dei dati ormai da almeno 10 anni. Tutto è iniziato con il mio lavoro di responsabile della protezione dei dati presso studiVZ/schülerVZ. All’epoca, questo argomento era ancora piuttosto di nicchia. Ricordo che abbiamo fatto molta fatica a spiegare ai rappresentanti delle autorità e ai politici come potessero apparire dei comportamenti volti a favorire la protezione dei dati su un social network. A quel tempo, tutto ciò che costituiva anche solo un piccolo passo verso il trattamento digitale o la divulgazione dei dati personali non veniva visto di buon occhio.

Negli ultimi anni, sia la società che la politica si sono abituate a questa situazione attraverso una rapida digitalizzazione. Possiamo osservarlo in modo molto chiaro con Google StreetView. Questo non è più un problema, ad esempio. Quasi tutti utilizzano WhatsApp, e lavorare con strumenti come Trello, Office 365, Slack o Google Docs sta diventando la normalità.

Allo stesso tempo, tuttavia, si assiste alla moltiplicazione delle sentenze in materia di protezione dei dati e dei movimenti che vogliono tutelare la privacy delle persone. È una cosa positiva, ma non sorprende: maggiore è il numero di persone che fanno un uso digitale dei propri dati, maggiore è la diffusione dell’argomento e maggiore è la probabilità che emergano divergenze di opinione.

Timo von Focht: A tuo avviso, il GDPR è un male necessario o piuttosto un passo in avanti o un’opportunità per l’economia digitale?

Dr. Jana Moser: In questo senso, il GDPR rappresenta un progresso economico, in quanto cerca di armonizzare i vari regolamenti sulla protezione dei dati in tutta Europa. Norme uniformi sono sempre un vantaggio perché consentono a tutti di giocare sullo stesso campo. Tuttavia, gli stati membri dell’Unione europea hanno ancora margine sufficiente per creare i propri regolamenti e così generare di nuovo disparità in Europa. In più, le regole europee sono difficili da imporre fuori dall’Europa. È qui che volontà e realtà divergono.

I veri vincitori del GDPR, d’altra parte, sono le associazioni e gli avvocati che si occupano di protezione dei dati, che adesso hanno la possibilità di fare causa alle aziende che non rispettano il GDPR.

In questo senso, il regolamento generale sulla protezione dei dati costituisce un vantaggio anche per le aziende che attualmente dipendono da un livello di protezione dei dati ancora molto disomogeneo nel mondo, soprattutto sul livello di protezione diverso tra Unione europea e Stati Uniti. I clienti che temono reclami da consumatori, autorità di vigilanza e associazioni cercheranno salvezza nelle aziende locali. Ritengo, tuttavia, che questo vantaggio delle imprese locali scomparirà nel medio termine. Sia l’Unione europea che gli Stati Uniti hanno interesse a cooperare. Quindi, si tratta solo di sapere se i servizi europei sono sufficientemente buoni e se nel frattempo sono stati in grado di acquisire un grande numero di clienti per competere con le offerte del resto del mondo.

Timo von Focht: In seguito alle tre sentenze della Corte di giustizia europea sul GDPR, quali rischi corrono le aziende europee continuando a ricorrere alle esenzioni come il famoso legittimo interesse (art. 6 1 (f) GDPR) nella raccolta dei dati personali in ambito marketing?

Dr. Jana Moser: Se un’azienda utilizza il legittimo interesse coma base giuridica e questo viene a mancare, ossia, se gli interessi o i diritti fondamentali e le libertà del soggetto interessato che richiedono la protezione dei dati personali prevalgono, il trattamento dei dati è semplicemente illegale.

Naturalmente, è possibile che si applichi un’altra base giuridica, come ad esempio un contratto con il soggetto interessato o un consenso. Nella maggior parte dei casi in cui è stato applicato l’art. 6 punto 1 comma 1 lettera (f) del GDPR, il consenso non viene ottenuto.

Pertanto, in mancanza di una base giuridica, i dati sono stati illecitamente trattati. Il soggetto interessato ha, tra le altre cose, il diritto di richiedere l’eliminazione dei propri dati (art. 17 punto 1 lettera (d) del GDPR). In questo caso, l’azienda deve in teoria informare i destinatari di tali dati della richiesta di eliminazione.

Il soggetto interessato può inoltre presentare un reclamo all’autorità di vigilanza competente, che successivamente esaminerà in dettaglio il processo di trattamento dei dati. Ciò può portare all’adozione di misure opportune, come ad esempio restrizioni temporanee o permanenti sul trattamento dei dati o la revoca di certificazioni. Infine, possono essere imposte sanzioni fino al 4% del fatturato annuo totale o 20 milioni di euro.

In più, il soggetto interessato può avviare un procedimento giudiziario direttamente contro l’azienda, ad esempio richieste di risarcimento danni o richieste di informazioni.

Timo von Focht: Quanto sono elevati i rischi connessi alla responsabilità dell’azienda in questione? Quanto sono elevati i rischi personali per gli addetti alla protezione dei dati, i dirigenti d’azienda o gli amministratori delegati in questione? Quali sanzioni sono già state imposte in questi casi?

Dr. Jana Moser: La questione della responsabilità è estremamente pertinente per le aziende responsabili, non solo in considerazione delle salatissime sanzioni già menzionate. Mentre in passato la Direttiva europea sulla tutela dei dati personali consentiva un massimo di 300.000 euro per caso, oggi sono previste sanzioni da 20 milioni di euro o basate sul fatturato globale, e le autorità le applicano. Recentemente, è stata resa nota la sanzione, non ancora giuridicamente vincolante, di 14,5 milioni di euro imposta alla Deutsche Wohnen per l’eliminazione/archiviazione erronea di dati. Ad esempio, Google ha ricevuto una sanzione di 50 milioni di euro dall’autorità di vigilanza francese per informazioni non trasparenti sulla protezione dei dati, e il servizio di consegna tedesco Delivery Hero ha ricevuto una sanzione di circa 200.000 euro per non aver eliminato i profili dei clienti.

Oltre agli illeciti amministrativi secondo quanto disposto dal GDPR, sono possibili altri rischi di natura monetaria. Tra questi figurano soprattutto le richieste di risarcimento danni presentate dal soggetto interessato o misure di divieto che possono portare a un collasso dei fatturati. Non devono essere sottovalutati nemmeno i danni indiretti causati da critiche e proteste, con conseguente calo della reputazione e perdita della fiducia nei confronti di un brand o di un’azienda.

Inoltre, possono essere prese in considerazione anche le richieste di informazioni o astensione del codice civile. In generale, tutto questo comporta costi aggiuntivi per avvocati e tribunali. In più, sono possibili sanzioni penali, soprattutto nei confronti di dirigenti e amministratori delegati, nel caso in cui i dati vengano intenzionalmente trattati senza autorizzazione.

Tuttavia, il rischio concreto per un’azienda e i suoi amministratori o membri del consiglio dipende sempre dal caso individuale. È importante che terze parti, condirettori o incaricati del trattamento dati non possano semplicemente escludere la propria responsabilità. Questo perché il GDPR consente al soggetto interessato di effettuare una richiesta diretta di risarcimento danni nei confronti sia della parte responsabile che dell’incaricato del trattamento. A questa si aggiunge la sanzione imposta dalle autorità di vigilanza.

Timo von Focht: A maggio 2018, il governo degli Stati Uniti sotto Donald Trump ha inasprito il “Cloud Act”, secondo il quale le aziende statunitensi e le aziende che operano negli Stati Uniti sono tenute a divulgare i propri dati anche se archiviati su server fuori dagli Stati Uniti. In che modo le aziende devono ora relazionarsi con Google, Amazon e altri provider di servizi cloud statunitensi? Come possono tutelarsi qui le aziende europee e come si è espressa la Corte di giustizia europea al riguardo? È possibile appellarsi ancora allo Scudo UE-USA per la privacy?

Dr. Jana Moser: In effetti, non è più sufficiente dire “I dati sono trattati nell’Unione europea”. In considerazione della legislazione statunitense, non è possibile escludere che i servizi di intelligence degli Stati Uniti possano avere accesso a informazioni archiviate nell’Unione europea da filiali europee di aziende americane.

I requisiti statunitensi per tale accesso sono sempre stati diversi dai requisiti europei. Ad esempio, il precedente accordo con gli Stati Uniti noto come “Safe Harbor”, che serviva da base giuridica per il trasferimento di dati verso gli Stati Uniti, è stato ritenuto inadeguato. Non solo perché le aziende americane potevano dichiararsi come “certificate Safe Harbor” e i controlli da parte della Federal Trade Commission (FTC) non erano efficaci dal punto di vista dell’Unione europea. Al contrario, casi giudiziari come quello di Microsoft, che ha dovuto trasferire i dati dalla filiale irlandese all’azienda madre statunitense, hanno fatto capire chiaramente che c’erano due ordinamenti giuridici in conflitto tra loro e che la tutela della privacy dei cittadini europei era a rischio.

L’accordo successivo al Safe Harbor, ossia lo Scudo UE-USA per la privacy, viene adesso criticato per gli stessi motivi dagli attivisti per la protezione dei dati. Nell’ottobre del 2019, tuttavia, la Commissione europea ha confermato l’accordo come base sufficiente per un cosiddetto trasferimento verso paesi terzi. Pertanto, continua a valere come condizione per il trasferimento di dati verso un “terzo paese altrimenti insicuro”. Solo la Corte di giustizia europea può ribaltare questa valutazione. La procedura è già in corso, perciò tutti sono in trepidante attesa della sentenza. Se l’accordo sulla protezione dei dati non si applicherà più, in teoria sarà possibile utilizzare clausole contrattuali standard oppure sarà possibile ottenere il consenso. Ad ogni modo, è difficile immaginare che un’azienda di un paese che non dispone di un livello di protezione adeguato a causa delle sue leggi (come ad esempio il Cloud Act) possa firmare e rispettare clausole contrattuali standard effettive. Inoltre, il consenso dovrà essere particolarmente trasparente e dettagliato, affinché il soggetto interessato sia consapevole anche del rischio della mancanza di protezione dei dati.

Finché la legge differisce così ampiamente in termini di protezione dei soggetti interessati e finché non c’è accordo tra paesi, ci sarà sempre un rischio per le aziende che lavorano con partner che non hanno esclusivamente sede nell’Unione europea.

Timo von Focht: Il consenso sta diventando sempre più importante come base giuridica per la raccolta di dati personali e l’impostazione di cookie. Oggi esistono numerose piattaforme per la gestione dei consensi. Cosa ti senti di consigliare alle aziende che devono scegliere un provider?

Dr. Jana Moser: In linea di principio, per prima cosa bisognerebbe mettere in discussione il concetto di protezione dei dati del provider di CMP. È qui che si può capire la validità di un provider. Un esperto è in grado di capire velocemente dal concetto se il provider conosce la materia e se applica davvero la protezione dei dati o se la considera solo una promettente fonte di guadagno. In secondo luogo, controllerei esattamente per quali scopi vengono ancora utilizzati i dati trattati dal provider. Non di rado, vengono ulteriormente utilizzati o persino trasferiti a terzi. Infine, è consigliabile la separazione dei clienti, di modo che i dati siano trattati separatamente per ciascuna azienda.

La scelta tra un’azienda europea o statunitense dipende dalla propria affinità al rischio e dagli elementi trattati dal provider. Le soluzioni in locale sono senza dubbio a bassissimo rischio, mentre le soluzioni SaaS comportano un rischio elevato per la protezione dei dati a causa del Cloud Act.

Timo von Focht: Quali vantaggi offrono le soluzioni con autenticazione o connessione per il marketing? Consiglieresti a ognuno di costruirsi la propria soluzione o di utilizzare una soluzione di rete (come NetID o Verimi)? Quali soluzioni sono consigliate per i vari settori?

Dr. Jana Moser: Le soluzioni con autenticazione e registrazione degli utenti sono essenziali se si desidera documentare in modo trasparente i consensi relativi alla protezione dei dati. È interessante notare come gli attuali detentori del monopolio Google, Facebook, Apple, Amazon e Microsoft lo abbiano capito da tempo. Senza registrazione, non è possibile utilizzare i servizi di queste società. Effettuando la registrazione, i consensi personali possono essere archiviati e documentati. Questa è la base per costruire profili utenti ancora più dettagliati e utilizzarli a fini economici.

Non dovrebbero essere raccolti altri dati solo per essere conformi al GDPR. Tuttavia, le persone responsabili sono soggette a un obbligo di responsabilità e prova ai sensi dell’art. 5 punto 2 del GDPR. Ed è pressoché impossibile archiviare in modo duraturo un consenso conforme alla protezione dei dati e dimostrarlo nel risultato senza una registrazione. Ad esempio, l’utente per il quale è stato archiviato solo un ID cookie o un altro identificativo può modificare le impostazioni del suo dispositivo ed eliminare i cookie, rendendo quindi anonimo il profilo utente. Ma molto spesso, vengono archiviati dati aggiuntivi la cui combinazione consente di identificare di nuovo una persona o un terminale. Se un utente si connette per far eliminare i propri dati, è difficile identificarlo come utente autenticato. Qui dipende fortemente dal singolo caso.

A parte questo, sono sempre meno gli utenti disponibili a dare un consenso completo se non ricevono in cambio alcun valore aggiunto. La registrazione ha senso dal momento che questo valore aggiunto è spesso legato alla persona. A questo punto, sono i pezzi grossi ad essere in vantaggio: gli utenti che hanno già registrato dati di accesso presso un provider che offre già valore aggiunto tramite i suoi servizi preferiranno conservarli piuttosto che dover memorizzare dei nuovi dati di registrazione. Questo rafforzerà ulteriormente la posizione dei grandi provider del web e consentirà loro di ottenere consensi e raccogliere dati prima e più spesso rispetto ad altri.

Le aziende che capiscono questa situazione sono già in vantaggio, ma sono una minima parte. Iniziative come Verimi e NetID sono quindi particolarmente importanti: queste alleanze per l’autenticazione puntano ad essere un’alternativa alle società che detengono il monopolio delle registrazioni. Grazie a loro, il “dilemma della registrazione” diventa sempre più evidente. Purtroppo, persino i legislatori non hanno capito la situazione prima dell’entrata in vigore del GDPR. Pertanto, è importante che oggi qualsiasi azienda si occupi di queste alternative e della registrazione.

A mio avviso, le principali alleanza tedesche per l’autenticazione Verimi e NetID perseguono obiettivi completamente diversi. La struttura azionaria mostra già che NetID è orientata al marketing e alla pubblicità nel settore dei media. Mi aspetto che tutte le imprese che fanno parte di NetID ottengano congiuntamente un consenso per un tracking completo. Verimi, invece, è un’alleanza multisettoriale fortemente incentrata sul valore aggiunto per gli utenti attraverso la garanzia di un’archiviazione sicura dei dati. Dal mio punto di vista, Verimi mette l’accento sulla sicurezza e sulla protezione dei dati. Questo sembra dovuto al carattere piuttosto conservatore degli azionisti e delle aziende che ruotano attorno a Verimi, tra cui figurano, ad esempio, Allianz Versicherung, Deutsche Bank e Bundesdruckerei.

Timo von Focht: Secondo te, cosa possono o devono fare adesso le società europee per tutelarsi da eventuali avvertimenti e costruire una strategia solida e a lungo termine in materia di dati?

Dr. Jana Moser: Le aziende devono affrontare questo problema. È inutile aspettare ancora e sperare che qualcun altro si occupi del problema. Con il GDPR, le società che detengono il monopolio lo hanno fatto molto bene e hanno saputo fare pressione. Se le aziende continueranno ad aspettare, in caso di dubbio, un concorrente si occuperà del loro problema di protezione dei dati e invierà loro un avviso o richiamerà su di loro l’attenzione dell’autorità di vigilanza.

Il primo punto consiste dunque in una rapida analisi di quanto è già disponibile: quali sono i dati, la documentazione e i partner disponibili? Come secondo punto, cercherei di determinare i rischi per ogni area: quanto è elevato il rischio e che probabilità ha di materializzarsi?

Dopodiché, procederei con un approccio graduale a ciascuna area. Consiglio sempre di affidare questo incarico a due persone interne. Inizialmente, possono fronteggiare i problemi con l’aiuto di esperti esterni e acquisire con il tempo le loro conoscenze. Successivamente, non avranno più bisogno di dipendere da esperti esterni. In fondo, i dipendenti interni conoscono meglio l’azienda e ne hanno una visione più approfondita rispetto agli esterni. In più, spesso, godono di maggiore fiducia.

Timo von Focht: Come vedi il futuro dell’e-Privacy? Cosa possono aspettarsi le aziende e i provider di soluzioni?

Dr. Jana Moser: Il regolamento e-Privacy non entrerà in vigore prima della fine del 2021. Ciononostante, le aziende si dovrebbero preparare al fatto che la questione del consenso diventerà poi ancora più importante. Il legittimo interesse precedentemente menzionato, che emana dal GDPR, non è presente allo stato attuale nel regolamento e-Privacy. Ciò si applica probabilmente non solo ai dati personali, ma anche a metadati e dati macchina. Tuttavia, i dettagli non sono ancora stati stabiliti. Ad ogni modo, lo stesso si applica anche all’impostazione predefinita dei browser e all’installazione dei cookie di terze parti, che per impostazione predefinita non è consentita. Se le previsioni precedenti verranno effettivamente accettate, l’industria pubblicitaria così come la conosciamo oggi cesserà presto di esistere. Una cosa positiva per il consumatore, una cosa negativa per l’inserzionista aggrappato a metodi obsoleti. Perciò, è il momento giusto per trovare nuove idee e nuovi concetti nel settore pubblicitario.

Timo von Focht: In che modo le imprese possono ottimizzare le loro impostazioni per la privacy in modo che siano sempre di più gli utenti che condividono i propri dati? A questo proposito, per i consumatori, quando vale la pena accettare un cookie?

Dr. Jana Moser: In questo contesto, trasparenza, praticità e valore aggiunto sono senza dubbio le parole chiave decisive.

Più le impostazioni per la protezione dei dati sono chiare e trasparenti, più l’utente ha fiducia nel servizio che vuole utilizzare. Inoltre, le impostazioni devono essere semplici e comprensibili. Non ritengo necessario fornire una quantità eccessiva di informazioni visualizzando anche i dettagli e la descrizione del più piccolo dei cookie. Per il soggetto interessato, questo non aggiunge alcun valore in termini di informazioni.

Chi nasconde le opzioni di protezione dei dati non riceverà certo elogi dagli utenti. Bisogna tenere conto che gli esempi negativi vengono sempre più spesso esposti sui social network. Perciò, una cattiva strategia di comunicazione sulla protezione dei dati può anche portare a critiche e proteste nei confronti dell’azienda.

In ultima analisi, se possono aspettarsi di ricevere buoni servizi o addirittura valore aggiunto da un’azienda, gli utenti sono sempre ben disposti. A quel punto, anche i regolamenti sulla protezione dei dati lunghi o confusi vengono accettati.

Di conseguenza, è possibile dire solo in maniera approssimativa quale accordo sui cookie è valido per un determinato consumatore in un determinato momento. Se un utente vuole stare tranquillo e non desidera alcuna personalizzazione, non darà alcun consenso. Per coloro che considerano la personalizzazione apprezzabile e vantaggiosa, la profilazione ha senso. Tuttavia, se la personalizzazione non è già un punto necessario del contratto, dovrà essere dato il consenso a questo fine.

Timo von Focht: Grazie per l’intervista, Jana.

Jana Moser :

Per non perdere nessuna delle ultime notizie di Commanders Act, iscriviti alla nostra newsletter!