Consenso e interesse legittimo: quale scegliere per il marketing?

L'articolo 6 del GDPR ti consente di trattare i dati personali dei tuoi utenti in sei basi legittime tra cui Consenso e Interessi legittimi:

GDPR Articolo 6(1)(a) – Consenso come base giuridica per il trattamento dei dati: L'interessato ha prestato il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

GDPR Articolo 6, paragrafo 1, lettera f) – Il trattamento è necessario per la realizzazione dei legittimi interessi perseguiti dal titolare o da un terzo, salvo che su tali interessi prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che lo richiedano protezione dei dati personali, in particolare se l'interessato è un minore.

Queste due sono anche le basi giuridiche più discusse per il trattamento dei dati personali a fini di marketing.

Di questi, la base del consenso funziona in modo abbastanza semplice ... poiché l'utente ha "consenso" al trattamento dei dati.

Il problema, tuttavia, con il consenso è che non è sempre adatto al processo di marketing.

Il che lascia quindi ai marketer la disposizione sui legittimi interessi.

A prima vista, Interessi legittimi sembra un termine generico che può consentire molto trattamento dei dati personali. Tuttavia, l'utilizzo degli interessi legittimi come base giuridica richiede un'attenta considerazione in quanto possono essere considerati una base legale per l'elaborazione dei dati solo SE il trattamento dei dati è effettivamente NECESSARIO.

Scegliere tra consenso e interessi legittimi per scopi di marketing

Il trattamento dei dati personali utilizzando il consenso come base giuridica è considerato abbastanza sicuro in quanto il consenso è il "golden standard".

È anche un terreno molto più forte per l'elaborazione dei dati rispetto al terreno degli interessi legittimi perché non è ambiguo. Hai chiesto all'utente e loro hanno detto "Sì!".

Tuttavia, ottenere il consenso ogni volta che si desidera elaborare un determinato tipo di dati personali significa convincere i propri utenti ad accettare una serie di diversi moduli di consenso.

Il GDPR, infatti, offre delle direttive molto chiare e stringenti su come si può chiedere legittimamente il consenso:

[…] un'indicazione di consenso deve essere inequivocabile e comportare una chiara azione affermativa (opt-in). Vieta specificamente le caselle di attivazione preselezionate. Richiede inoltre opzioni di consenso distinte ("granulari") per operazioni di trattamento distinte. Il consenso dovrebbe essere separato da altri termini e condizioni e in genere non dovrebbe essere una condizione preliminare per l'iscrizione a un servizio.

La base legale dei legittimi interessi, d'altra parte, è abbastanza flessibile.

Innanzitutto, il GDPR consente agli operatori di marketing di rendere legittimo il caso di trattamento di dati personali per finalità di marketing diretto in base al Legittimo Interesse:

…Il trattamento dei dati personali per finalità di marketing diretto può considerarsi effettuato per un legittimo interesse.

Inoltre, l'ICO (Information Commissioner's Office, un'autorità indipendente con sede nel Regno Unito che guida le aziende su come applicare le leggi sulla privacy dei dati del Regno Unito come il GDPR) spiega come un tale legittimo interesse nel marketing (come quello per "incrementare le vendite") può fare un vero scopo per il trattamento dei dati:

[Noi] abbiamo un legittimo interesse a commercializzare i nostri prodotti ai clienti esistenti per aumentare le vendite.

ICO spiega anche come gli interessi legittimi possono essere la base più appropriata in più casi come quando:

• il trattamento non è obbligatorio per legge ma è di evidente beneficio per te o per altri;
• c'è un impatto limitato sulla privacy sull'individuo;
• l'individuo dovrebbe ragionevolmente aspettarsi che utilizzi i propri dati in questo modo; e
• non puoi, o non vuoi, dare all'individuo il pieno controllo anticipato (cioè il consenso) o disturbarlo con richieste di consenso dirompenti quando è improbabile che si opponga al trattamento.

Per ogni esigenza (o scopo) di marketing a portata di mano, un marketer deve decidere attentamente le diverse basi legali da utilizzare (tra le sei basi legali in base alle quali il GDPR consente il trattamento dei dati). Di questi sei, il consenso e gli interessi legittimi sono le due basi legali che vengono spesso utilizzate per la personalizzazione del sito Web per i visitatori generici (o non registrati). (Questo articolo si concentra su come utilizzare la base legale dei legittimi interessi per personalizzare le esperienze del tuo sito web.)

In generale, l'inclusione di un caso ai sensi della disposizione sui legittimi interessi richiede molta riflessione. Per rendere questo in qualche modo facile, ICO ha progettato un test in tre parti per aiutarti a identificare se lo scopo che hai a portata di mano è effettivamente una base legale ai sensi della disposizione sui legittimi interessi.

Ecco il test in tre parti di ICO per determinare gli interessi legittimi ai sensi del GDPR:

1. Test delle finalità: esiste un interesse legittimo dietro il trattamento?
   Per utilizzare i legittimi interessi come base legale per il trattamento dei dati personali, devi prima spiegare la tua necessità di elaborare i dati personali in questione. Hai bisogno di uno scopo chiaramente articolato dietro a volerlo elaborare.
2. Test di necessità: il trattamento è necessario a tale scopo?
   Per utilizzare i legittimi interessi come base legale per il trattamento dei dati personali, devi dimostrare che non esiste altro modo meno invasivo per raggiungere il tuo scopo e che il tuo trattamento è " proporzionato e adeguatamente mirato per raggiungere i suoi obiettivi... "
3. Test di bilanciamento: l'interesse legittimo è scavalcato dagli interessi, dai diritti o dalle libertà dell'individuo?
   Dopo che il tuo caso si è qualificato nei primi due test, devi assicurarti che il trattamento dei dati personali in questione non violi i diritti e le libertà della persona i cui dati personali saranno trattati.

Detto ciò, diamo ora un'occhiata ad alcuni esempi di trattamento dei dati personali molto comuni che potrebbero rientrare nella disposizione sui legittimi interessi del GDPR.

10 Esempi di motivi per il trattamento dei dati personali utilizzando interessi legittimi

Prima di vedere gli esempi effettivi, ti preghiamo di comprendere che ogni esempio elencato di seguito ha un ampio elenco di avvertimenti. Questi esempi hanno solo lo scopo di fornire alcuni suggerimenti su scopi di marketing che potrebbero essere esplorati ai sensi della disposizione sui legittimi interessi.

Ecco qui …

1. Elaborazione dei dati dell'indirizzo IP

A seconda della quantità di dati acquisiti, un indirizzo IP può dire molto. Ad esempio, puoi usarlo per trovare la posizione di un visitatore o puoi anche usarlo per scoprire per quale azienda lavorano (leggi di più nel nostro articolo ABM 101).

Il legittimo interesse è una delle basi legali che possono essere utilizzate per il trattamento dei dati dell'indirizzo IP di un utente (classificati come dati personali). Un esempio di uno scopo di marketing ai sensi della disposizione sui legittimi interessi che utilizza l'indirizzo IP potrebbe essere quello di offrire offerte localizzate.

Ad esempio, un negozio di eCommerce può promuovere un impermeabile a qualcuno che naviga da un'area in cui è la stagione dei monsoni. In alternativa, un negozio online potrebbe utilizzare i dati sulla posizione di un visitatore per offrire un'offerta di spedizione gratuita per un periodo limitato nell'area del visitatore.

Allo stesso modo, un'azienda B2B può utilizzare l'azienda di un visitatore (identificata dal suo indirizzo IP) per mostrare loro una personalizzazione dinamica sotto forma di un'immagine o di un contenuto personalizzato, ad esempio, con il nome dell'azienda o il settore.

Nota: se utilizzi gli indirizzi IP dei tuoi visitatori per personalizzare le loro esperienze sul sito Web, è meglio non archiviarli mai nel tuo database se li hai utilizzati per servizi meteorologici o di localizzazione. In questo modo, questi dati non rappresentano un problema quando si raccolgono più punti dati su una persona nello stesso punto.

2. Elaborazione dei dati di analisi del sito web

La maggior parte dei siti Web raccoglie i dati di navigazione dei visitatori per scopi di ottimizzazione delle prestazioni. Questo di solito è coperto dalla disposizione sugli interessi legittimi. In genere, tali dati non rappresentano un problema in quanto sono spesso anonimi e la maggior parte degli strumenti di analisi come Google Analytics vietano il trattamento/memorizzazione di PII (Personally Identifiable Information).

Le tendenze di tale trattamento dei dati possono essere utilizzate per formare la base di un'ampia gamma di esperienze personalizzate sul sito web.

Ad esempio, utilizzando Google Analytics, puoi identificare le pagine del tuo sito Web in cui perdi la maggior parte dei tuoi contatti. Puoi anche utilizzare alcune delle opzioni di segmentazione avanzate in Google Analytics per identificare i segmenti di pubblico che diminuiscono. Tale elaborazione dei dati può generare molte informazioni per te sui dati demografici e altro sul traffico che stai perdendo.

Utilizzando queste informazioni, puoi anche provare a offrire a questi segmenti esperienze sul sito Web più personalizzate.

Ad esempio, se un negozio di eCommerce rileva che una determinata pagina di prodotto ha un alto tasso di abbandono, può utilizzare le informazioni demografiche del suo pubblico per ottimizzare i messaggi della sua pagina di prodotto.

Tale personalizzazione non è solo sottile e significativa, ma anche i dati personali elaborati non sembrano invadenti.

3. Trattamento dei dati di comunicazione

L'esecuzione di comunicazioni di marketing personalizzate tramite e-mail o SMS richiede sempre un consenso esplicito.

Inoltre, pubblicare il GDPR, aggiungere l'e-mail di una persona al tuo CRM e inviare loro e-mail di marketing solo perché ti hanno contattato tramite il tuo modulo di contatto con la loro e-mail non è legale. È necessario utilizzare le caselle di consenso sotto il modulo di contatto che richiedono esplicitamente il permesso del visitatore per farlo.

Inoltre, il GDPR non funziona isolatamente. E quindi le tue campagne di marketing via e-mail (o SMS) devono essere conformi alle normative legali pertinenti, come offrire agli utenti un link di annullamento dell'iscrizione e altro ancora.

Detto questo, se hai ottenuto il consenso per tali comunicazioni da un abbonato, puoi personalizzare l'esperienza del tuo sito Web per tale abbonato in base alla sua interazione con le tue e-mail o SMS di marketing. Ciò dovrebbe essere ragionevolmente coperto dalla disposizione sugli interessi legittimi.

Ad esempio, un'agenzia di viaggi può utilizzare la cronologia delle comunicazioni con i suoi abbonati per mostrare loro pagine personalizzate. Ad esempio, a un abbonato che ha mostrato interesse (diciamo cliccando su un link) per i viaggi di lusso potrebbe essere mostrata una pagina che promuove un pacchetto soggiorno in un hotel di lusso. In alternativa, a un viaggiatore in economia potrebbero essere mostrate alcune offerte selezionate su hotel economici.

4. Trattamento dei dati comportamentali tramite cookie, web beacon, ecc.

L'elaborazione dei dati comportamentali è molto simile all'elaborazione dei dati di analisi dei siti Web. Proprio come i dati di analisi dei siti Web, anche i dati personali utilizzati per alimentare le campagne basate su approfondimenti comportamentali sono resi anonimi. E il GDPR è abbastanza flessibile con il trattamento di dati anonimi.

Le informazioni sull'interazione dei visitatori con un sito Web (ad esempio le pagine visualizzate e i dati sui clic) possono essere utilizzate per fornire esperienze del sito Web contestualmente ricche.

Ad esempio, un'azienda di software a livello aziendale può tenere traccia dei dati comportamentali dei suoi visitatori e offrire loro esperienze più personalizzate nelle loro visite successive. Ad esempio, un visitatore che sembra esplorare una determinata soluzione potrebbe visualizzare la pagina di prova della stessa soluzione o il modulo di registrazione alla successiva visita al sito Web.

5. Trattamento dei dati del profilo

Proprio come l'analisi dei siti Web e l'elaborazione dei dati comportamentali, un'azienda può utilizzare la base dei legittimi interessi per utilizzare dati personali anonimi per la creazione di profili utente (profilazione).

Ad esempio, un sito Web di confronto di gadget potrebbe utilizzare i dati personali anonimi dei suoi utenti per identificare i tipi di pubblico chiave. Può quindi offrire offerte personalizzate e campagne promozionali a ciascuno (ad esempio suggerendo cellulari di fascia alta al suo segmento di pubblico di fascia alta e mostrando sconti sui cellulari economici al suo segmento economico).

Il documento sulla guida all'utilizzo dei Legittimi Interessi non solo suggerisce una tale base come base legale per il trattamento dei dati personali nell'ambito dei Legittimi Interessi, ma supporta anche la profilazione di tale utente utilizzando i dati dei social media. Il documento afferma che un'azienda può utilizzare:

… [Un] algoritmo fornito dal fornitore di social media per indirizzare meglio la sua pubblicità a "sosia", cioè altri individui che hanno caratteristiche simili ai clienti di quell'azienda. L'azienda carica i dati personali minimi richiesti sui propri clienti per consentire il targeting dei social media, ma esclude coloro che si sono opposti al marketing. La profilazione viene condotta all'interno della piattaforma di social media per consentire il targeting, tuttavia è puramente per scopi di marketing e l'azienda ha valutato che non comporta alcun effetto legale o similmente significativo su tali individui.

6. Trattamento dei dati di terze parti e di terze parti

Oltre ai dati proprietari (ovvero i dati che un'azienda raccoglie autonomamente, ad esempio i dati del proprio account Google Analytics), alcune aziende utilizzano anche dati di seconda e terza parte.

Questi dati, provenienti da partner e scambi di dati, offrono agli esperti di marketing potenti approfondimenti sulla psicografia, sulla tecnologia e sui dati demografici del loro pubblico. Di solito viene utilizzato per creare profili clienti dettagliati. Che, a loro volta, vengono utilizzati per creare contenuti e messaggi più pertinenti e per consegnarli ai segmenti chiave del pubblico generale.

Ad esempio, un'azienda B2B può utilizzare tali dati per identificare i segmenti chiave del suo pubblico e indirizzare ogni segmento con consigli sui contenuti personalizzati.

Se è necessario utilizzare tali dati di origine, assicurarsi di collaborare solo con i fornitori di dati e gli scambi che seguono pratiche di raccolta ed elaborazione dei dati eque e lecite.

7. Elaborazione dati storici acquisti

Un negozio di eCommerce potrebbe offrire consigli personalizzati sui prodotti ai suoi visitatori in base alla loro cronologia delle transazioni.

DPN (Data Protection Network, un organismo con sede nel Regno Unito che offre consulenza di esperti in materia di protezione dei dati e privacy) offre molte indicazioni sull'uso degli interessi legittimi. Suggerisce che l'uso da parte di un negozio online della cronologia degli acquisti di un utente per formulare consigli personalizzati sui prodotti può essere una buona base per una base giuridica del trattamento dei dati personali:

Un rivenditore con un'ampia gamma di prodotti conduce un'elaborazione automatizzata basata sulla cronologia delle transazioni di un cliente, allo scopo di prevedere quali altri prodotti e servizi potrebbero essere interessati.

8. Elaborazione dei dati storici dell'account

L'elaborazione dei dati dell'account può essere considerata l'equivalente dell'elaborazione dei dati della cronologia degli acquisti, ma per una configurazione B2B.

Un'azienda B2B può utilizzare i dati della cronologia dell'account dei propri utenti per offrire esperienze di contenuto contestuale più ricche. Ad esempio, un'azienda B2B può utilizzare i dati dei propri clienti per offrire loro offerte di upgrade o cross-sell più pertinenti e migliori.

9. Trattamento dei dati sui cookie

Esistono molti modi in cui i dati dei cookie possono aiutare a offrire esperienze personalizzate sul sito Web che sono sia non intrusive che pertinenti. La maggior parte dei tipi di cookie che possono fornire esperienze efficaci non richiedono nemmeno il consenso esplicito dell'utente poiché le istruzioni per l'utilizzo e la disattivazione possono essere spiegate nelle pagine sulla privacy di un sito Web.

Ad esempio, un sito Web aziendale può utilizzare i dati dei cookie per determinare quale contenuto fornire a un potenziale cliente per spostarlo ulteriormente nella canalizzazione di vendita. Esistono infiniti modi in cui i dati dei cookie possono essere utilizzati anche in modi rispettosi della privacy. Infatti, tutti i dati degli esempi sopra riportati sono per lo più raccolti e archiviati in alcune forme di cookie.

Per ulteriori esempi sul trattamento dei dati ai sensi della clausola sui legittimi interessi, consulta la Guida all'uso dei legittimi interessi ai sensi del regolamento generale sulla protezione dei dati dell'UE.

Concludendo...

La scelta di una delle due opzioni - Interessi legittimi o Consenso - per i tuoi scopi di marketing richiede una considerazione caso per caso. Sebbene gli interessi legittimi possano essere (e siano) i motivi legali più comuni per il trattamento dei dati personali per la maggior parte dei professionisti del marketing, devono essere utilizzati con cautela.

Inoltre, mentre la disposizione sui legittimi interessi può coprire molte tattiche di personalizzazione del sito Web, è comunque necessario eseguire la valutazione dei legittimi interessi e chiedere aiuto a un professionista legale della privacy online per essere doppiamente sicuri prima di ricorrere ad essa.

In Convert Experiences, consentiamo agli esperti di marketing come te di offrire ai tuoi utenti esperienze di siti Web personalizzate sicure e rispettose del GDPR. Abbiamo anche condotto un'accurata LIA di tutti i dati che utilizziamo ai sensi della disposizione sui legittimi interessi per alimentare tali personalizzazioni. Controllalo qui. E se stai cercando di offrire personalizzazioni di siti Web che offrano privacy per progettazione e privacy per impostazione predefinita, dai un'occhiata a Converti esperienze.