Guida di MarTech al GDPR: il regolamento generale sulla protezione dei dati

Quando l'Unione Europea ha adottato il suo regolamento generale sulla protezione dei dati nel 2018, la legge è stata annunciata come un punto di svolta per la privacy che avrebbe inaugurato una nuova era del consenso sulla raccolta di dati online e avrebbe messo il diritto di proteggere le informazioni personali direttamente nelle mani degli individui.

Aveva anche lo scopo di standardizzare le leggi sulla privacy tra i paesi membri dell'UE. Il GDPR eliminerebbe la necessità per i singoli paesi di scrivere i propri regolamenti, oltre a richiedere a qualsiasi azienda, indipendentemente dall'ubicazione, che commercializza beni o servizi ai residenti nell'UE di rispettare la legge.

Ma cinque anni dopo, l'applicazione sfida la legge sullo spartiacque, con denunce presentate il giorno in cui il GDPR è entrato in vigore - sostenendo che Facebook, Instagram, WhatsApp e Google hanno costretto gli utenti a fornire informazioni personali senza il giusto consenso - che continuano a farsi strada attraverso il tribunale sistema.

Nel frattempo, la tecnologia continua a evolversi a un ritmo con cui il glaciale sistema legale semplicemente non riesce a tenere il passo (questo articolo sulla conformità al GDPR e sugli strumenti di intelligenza artificiale come ChatGPT aiuta a dipingere un quadro delle sfide future).

Questa disconnessione, insieme alle voci sull'applicazione lassista, in particolare nei paesi in cui hanno sede i grandi fornitori di tecnologia, sono solo un paio dei motivi per cui le autorità di regolamentazione dell'UE stanno ora cercando di mettere a punto il modo in cui viene amministrato il GDPR.

Questo pezzo esaminerà più da vicino questi cambiamenti procedurali, così come altre normative sulla privacy dei dati nella tramoggia, esaminerà alcune delle più grandi multe della legge fino ad oggi ed esaminerà ciò che i professionisti del marketing devono sapere mentre ci dirigiamo verso la seconda metà del 2023 .

Cambiamenti procedurali all'orizzonte

All'inizio di quest'anno, la Commissione europea ha annunciato che avrebbe cercato di semplificare il modo in cui le autorità di protezione dei dati in tutta l'UE collaborano per applicare il GDPR nei casi transfrontalieri. "Ciò sosterrà il buon funzionamento dei meccanismi di cooperazione e risoluzione delle controversie in materia di GDPR", ha osservato la Commissione. L'iniziativa, denominata Procedural Rules of Enforcement, mira ad affrontare una serie di problemi, dal modo in cui vengono gestiti i reclami GDPR alla durata dei procedimenti stessi. E quando non è possibile raggiungere il consenso, le norme di applicazione proposte "chiariranno" gli aspetti procedurali della risoluzione delle controversie.

I critici hanno affermato che le nuove regole di applicazione sono poco specifiche, ma con quasi 800 casi pendenti ai sensi del GDPR, la riforma procedurale è fondamentale. Come afferma il NOYB, o Centro europeo per i diritti digitali, un'organizzazione senza scopo di lucro con sede a Vienna, in Austria, il GDPR viene applicato solo in teoria, con le aziende tecnologiche che trovano modi per bloccare i procedimenti, appellarsi alle sentenze ed eludere le multe. ("NOYB" è l'abbreviazione di "non sono affari tuoi".)

L'influenza del GDPR negli Stati Uniti

Negli Stati Uniti, leggi sulla privacy dei dati nuove o modificate sono in vigore in Virginia, California, Colorado, Connecticut e Utah, con date di applicazione che vanno dal 1° gennaio di quest'anno (Virginia) al 31 dicembre (Utah), con California, Colorado e Connecticut in vigore dal 1° luglio (in California, il California Privacy Rights Act (CPRA) modifica il California Consumer Privacy Act (CCPA)).

Inoltre, altri nove stati hanno proposto leggi che sono ancora in sospeso, ma i professionisti del marketing dovrebbero anticipare l'eventuale promulgazione.

Queste leggi sono degne di nota nel contesto attuale perché, ad eccezione della California, tutte "adattano la terminologia" dal GDPR, ma divergono nel modo in cui vengono applicate, con procuratori distrettuali, procuratori generali e, nel caso della California, il California Agenzia per la protezione della privacy, tutti nel mix di applicazione.

Per i professionisti del marketing, la gestione dei cookie sarà di fondamentale importanza poiché i marchi/siti Web continuano a comprendere come i diritti dei consumatori relativi ai dati sensibili sono protetti dalle leggi statali.

A livello federale, c'è uno sforzo bipartisan per stabilire una nuova legge sulla privacy - chiamata American Data Privacy and Protection Act (ADPPA) - che creerebbe uno standard nazionale sui diritti individuali. E il 1° marzo la commissione per l'energia e il commercio della Camera ha tenuto un'audizione sulla proposta di legge.

Sebbene non si sia tenuto alcun voto, i gruppi per la privacy e altre parti interessate notano che il desiderio di una legislazione federale sulla privacy esiste e potrebbe alla fine portare all'azione.

Scavare più a fondo: solo l'11% delle aziende statunitensi rispetta pienamente CCPA legge sulla privacy

Il GDPR infligge multe salate

Tornando in Europa, a parte i problemi di applicazione del GDPR, alcuni reclami hanno portato a ingenti multe, imposte a società come Meta, Amazon e Google.

L'anno è iniziato con una multa di 413 milioni di dollari contro Meta per violazioni del GDPR da parte di Facebook e Instagram. Consegnato dalla Commissione irlandese per la protezione dei dati (DPC), che, per inciso, ha subito ampie critiche per il modo in cui gestisce i reclami GDPR, le azioni dell'agenzia hanno confermato una decisione del Comitato europeo per la protezione dei dati secondo cui la "necessità contrattuale" non è una ragione appropriata per pubblicare annunci comportamentali. (Gli annunci comportamentali si riferiscono a pubblicità online o messaggi di marketing che vengono consegnati ai consumatori in base alla loro cronologia delle ricerche).

Per anni, Meta ha raggruppato il suo accordo di consenso dell'utente nei termini contrattuali dei servizi delle sue app, che di fatto costringevano gli utenti ad accettare la raccolta dei dati se volevano utilizzare le piattaforme.

La multa di Meta all'inizio di gennaio è arrivata sulla scia di un 2022 molto costoso per l'azienda, che ha visto sanzioni inflitte per oltre $ 800 milioni. È stato anche detto che aveva tre mesi per mettere in atto misure per chiedere agli utenti il ​​permesso di pubblicare annunci comportamentali; alla fine di marzo, il Wall Street Journal ha riferito che Meta avrebbe consentito agli utenti in Europa di rinunciare agli annunci mirati. Ma la società non sta semplificando le cose, richiedendo agli utenti di inviare un modulo online indicando le loro obiezioni.

Insieme alle multe Meta, altre importanti sanzioni GDPR includono:

• $ 785 milioni contro Amazon, deciso nel luglio 2021 dall'autorità per i dati del Lussemburgo. Questa decisione - ad oggi la più grande sanzione ai sensi del GDPR e che si concentra su come l'azienda tratta i dati personali - è attualmente oggetto di ricorso.
• $ 237 milioni contro WhatsApp (il servizio di messaggistica di proprietà di Meta), deciso nel settembre 2021 dal DPC che ha segnato il culmine di un'indagine di tre anni su come l'app ha condiviso i dati degli utenti con Facebook.
• $ 52 milioni contro il gigante della ricerca Google, una prima sanzione GDPR (gennaio 2019) che è stata successivamente confermata in appello presso il tribunale francese. La Commissione nazionale per la protezione dei dati di quel paese ha stabilito che Google non era conforme alle linee guida sulla trasparenza dei dati del GDPR e che la società non ha chiarito a sufficienza il modo in cui i dati degli utenti sono stati raccolti e utilizzati per annunci mirati.

Cosa devono sapere i marketer

Due parole devono essere in cima alla lista di ogni marketer quando si tratta di GDPR: conformità e consenso. La conformità, ovviamente, si riferisce alla necessità per le aziende con qualsiasi tipo di presenza sul web che commercializzano ai clienti nell'UE di comprendere il regolamento, tenersi aggiornate sui cambiamenti non appena si verificano ed essere in grado di reagire rapidamente quando sorgono problemi.

Naturalmente, tangente a ciò è la necessità per i professionisti del marketing di comprendere i tipi di dati raccolti dalle loro aziende e, cosa più importante, come tali dati vengono elaborati, archiviati e che tipo di informazioni personali sensibili contengono. La conformità dipende anche dalla raccolta dei soli dati necessari.

Al primo posto per i professionisti del marketing dovrebbe esserci l'altra parola chiave: consenso. In generale, è più probabile che le aziende rimangano conformi al GDPR quando hanno ottenuto l'autorizzazione adeguata per raccogliere o utilizzare le informazioni personali degli utenti. Può sembrare ovvio, ma il GDPR ha una definizione specifica per il consenso, che è "qualsiasi indicazione libera, specifica, informata e inequivocabile" che il soggetto accetta di consentire ai siti Web di raccogliere ed elaborare i propri dati personali.

Non sorprende che i professionisti del marketing abbiano un ruolo importante da svolgere, non solo nella comprensione, ma anche nel consentire la conformità al GDPR e alle norme e ai regolamenti statunitensi che ha influenzato. Mentre il panorama normativo continua ad evolversi, altrettanto fa il desiderio dei consumatori di salvaguardare la propria privacy.

Nei cinque anni in cui è stato sui libri, il GDPR ha dimostrato se non altro che la protezione dei dati è una responsabilità aziendale. Le aziende che gestiscono i dati con cura e mostrano agli utenti che le loro preoccupazioni sulla privacy online sono valide avranno un vantaggio rispetto ai loro concorrenti meno prudenti.

Scava più a fondo: costruisci Fiducia , guadagna vendite