Dati personali ed etica nel marketing
I dati personali e la questione etica sono due facce di una stessa medaglia, che preoccupa gli utenti e affligge i marketer. Intanto continuano le manovre tra USA e UE per arrivare a un compromesso valido.
La scorsa estate si è parlato molto di dati e di privacy degli utenti, come due facce inscindibili della stessa medaglia che introducono il tema pressante dei dati personali ed etica nel marketing che deriva dal modo e i fini per cui questi vengono gestiti.
Al di là della qualità intrinseca dei dati, che devono essere veritieri e corretti, si sta facendo strada nell’opinione comune che trattare i dati in modo consapevole deve passare anche e soprattutto dall’adozione di uno standard etico che rispetti la reale volontà di chi questi dati li possiede.
Facciamo un passo indietro: perché la questione è tornata a essere di così stringente attualità?
Google Analytics e GDPR
Si parla di privacy in ambito dati da dieci anni ormai, ma il 23 giugno scorso c’è stata una notizia che ha riaperto il dibattito in modo molto più serrato. Il Garante della Privacy italiano ha deliberato, con un provvedimento, la non conformità con il GDPR della configurazione di Google Analytics del sito di news Caffeina Magazine.
Questa decisione di fatto riprende quella degli altri garanti europei in materia di Privacy.
Per capire meglio di cosa stiamo parlando, occorre ricordare che dal 2020, con la sentenza Schrems II, i trasferimenti di dati dagli Stati membri dell’Unione Europea agli Stati Uniti d’America non sono più leciti.
Questo perché il quadro normativo sulla Privacy attualmente in vigore in Europa è molto più rigoroso rispetto a quello degli USA, cosa che rende impossibile un allineamento tra i due framework legislativi, in particolare su questo tema molto controverso.
Attraverso un President Act, l’Agenzia di Sicurezza Americana può accedere direttamente ai dati di cittadini non-americani, anche in assenza di un permesso da parte di un giudice.
Il problema è che i dati degli utenti di mezzo mondo risiedono per grossa parte su server americani, poiché quasi tutte le attuali Big Tech sono società statunitensi. La portata di questa sentenza è stata dunque globale ed epocale.
Nelle ultime settimane si è aggiunto un ultimo tassello alla già intricata vicenda, con l’ordine esecutivo firmato dal Presidente degli Stati Uniti.
Dopo la caduta del Privacy Shield – il patto governativo che regolava la privacy inter-country – l’executive order firmato nei giorni scorsi dal Presidente Americano Joe Biden dovrebbe di fatto iniziare a rendere concreto l’accordo politico raggiunto nella scorsa primavera tra Stati Uniti ed Europa in materia di trasferimento dei dati personali dal vecchio al nuovo continente.
Pur rivendicando la necessità da parte dell’Intelligence Americana di avere accesso a “informazioni tempestive, accurate e approfondite per curare gli interessi di sicurezza nazionale degli Stati Uniti e per proteggere i nostri cittadini e i cittadini dei nostri alleati e partner da ogni rischio”, gli Stati Uniti riconoscono il diritto di ogni persona di proteggere i propri “legittimi interessi alla privacy nella gestione delle loro informazioni personali, indipendentemente dalla loro nazionalità e ovunque risiedano”.
Ma quali sono le origini di questo disallineamento inter-country a livello privacy? Ripercorriamo le tappe dell’origine della vicenda.
Schrems, Facebook, Noyb e i provvedimenti dei Garanti
Nel 2010, Maximilian Schrems, cittadino austriaco laureato in giurisprudenza, sta frequentando un master presso l’Università di Santa Clara negli USA, durante il quale assiste a una lezione sul tema della Privacy tenuta da un giovane executive di Facebook, Ed Palmieri.
Maximilian si rende immediatamente conto delle enormi falle del Social a livello di gestione dei dati personali dei propri utenti: è questa la genesi di Schrems 0, la sentenza “unofficial” in cui l’accusa mossa a Facebook è quella di vari illeciti in tema privacy realizzati proprio sull’account social di Maximilian stesso. Da qui nasce la querelle dell’uso dei dati personali ed etica nel marketing
La questione è talmente spinosa che, nel 2012, Richard Allan, all’epoca il capo della policy europea di Facebook, propone a Shrems un posto di lavoro nel tentativo di arginare la polemica nascente, lavoro che Schrems rifiuterà.
Nel 2013, inizia Schrems I: la prima vera causa sul tema del trasferimento dei dati UE-USA, in cui si afferma la necessità di un divieto di esportazione di informazioni personali, processo che finora era stato regolato dall’accordo internazionale Safe Harbor.
Nel 2015, la Corte di Giustizia dell’Unione Europea invalida il Safe Harbor, avallando di fatto quanto delineato da Schrems I.
Sono questi gli anni dello scandalo Snowden, ex tecnico CIA che ha rivelato diversi documenti top-secret su programmi di intelligence, tra cui le intercettazioni telefoniche tra Stati Uniti e Unione europea riguardante i metadati delle comunicazioni, il PRISM, Tempora e programmi di sorveglianza Internet.
Nel frattempo si corre ai ripari con il Privacy Shield, che entra in vigore nel 2016 per colmare il vuoto normativo.
Questo nuovo patto governativo è di fatto un tampone nella regolazione della privacy inter-country, per evitare di bloccare l’economia e lo sviluppo tecnologico, ma lascia una questione essenziale problematicamente aperta: ai Servizi segreti americani viene infatti nuovamente garantita la facoltà di accesso illimitato ai dati.
Nel 2018, la privacy ritorna al centro del dibattito, con l’entrata in vigore in Europa del GDPR.
Nel 2020 cade il Privacy Shield, a seguito della causa Schrems II, che lo considera non compatibile con il GDPR dalla Corte di Giustizia dell’UE.
In questo scenario già complesso, NOYB – l’organizzazione no-profit europea fondata a Vienna, a opera anche di Schrems – presenta 101 reclami a 30 Garanti della Privacy, accusando Corporate e Big Tech di non rispettare la privacy degli utenti.
Ed eccoci al 2022, con le autorità che hanno iniziato a pronunciarsi sulla questione, confermando la linea di Schrems.
Dati personali ed etica nel marketing in Italia
Nella pratica, in Italia le aziende non conformi vengono notificate dal Garante della Privacy e devono adeguare i propri sistemi alla normativa entro un dato periodo di tempo.
Questo non significa che tutte le aziende devono adeguarsi agli standard di compliance entro 90 giorni (fake news erroneamente diffusa sull’onda del panico post provvedimento), ma solo quelle che sono state formalmente richiamate con questa precisa scadenza.
Rimane il fatto che tutte le altre società hanno comunque la necessità di prevenire il problema, utilizzando configurazioni e sistemi che siano in grado di garantire la privacy dei cittadini europei, perché la questione riguarda di fatto ogni tipo di piattaforma e property digitale, dalle app ai social, dai siti web agli strumenti di advertising.
Quali sono gli impatti sul Marketing e sull’Advertising
“Sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.”
Fonte: “Cosa intendiamo per dati personali” dal Garante
Con il suo provvedimento, il Garante bolla come illecito il trattamento dei dati personali da parte di Google Analytics, includendo anche l’indirizzo IP dell’utente come un dato personale, perché, combinato con altri dati, permette di riconoscere e tracciare l’utente, anche se i dati presi singolarmente non lo permetterebbero.
Ma quindi, se l’indirizzo IP non può essere esportato negli Stati Uniti, allora qualsiasi piattaforma che archivi e gestisca l’IP dell’utente, oggi, va considerata non compliant.
In questa logica, tutte le piattaforme di advertising con i tag/pixel non sono compliant, ed estremizzando si rischia di considerare tutto internet come “illegale”.
Con uno sforzo d’immaginazione rispetto a quanto sta avvenendo con l’uso dei dati personali ed etica nel marketing, si riesce già a intravedere l’impatto drammatico che questo provvedimento rischia di avere per le imprese, in tema di promozione e marketing.
Ma il fatto che non sarà più possibile fare advertising così come si è fatto finora, non vuol dire che non ci siano altre strade.
Dati personali e la questione etica nel marketing: perché sono collegate fra loro?
La pandemia e la crisi hanno portato a un’evoluzione naturale della società, dei costumi, del modo di “sentire” il mondo digitale in cui siamo immersi.
Da un lato, fenomeni come le “great resignation” fanno comprendere che le persone hanno sempre più consapevolezza del valore del proprio tempo su questa terra, da non dedicare per intero al lavoro.
Dall’altro, il focus sul tema della privacy e della gestione dei propri dati privati, sensibili, fa capire che la consapevolezza si è estesa alla propria vita online, che ormai è reale tanto quanto quella fisica, in un connubio davvero inseparabile.
Il minimo comune denominatore, quindi, è proprio la consapevolezza, una maggiore “autocoscienza” degli utenti.
Le imprese che sapranno cogliere la portata di questa enorme svolta e trasformarla in potenziale, puntando su altre fonti di informazioni – come i First Party Data – imparando a interpretarle e attivarle per scopi ben precisi, saranno quelle che più riusciranno a crescere in questa nuova era, dove l’etica diventa un valore sempre più imprescindibile per chi si occupa dei dati personali delle persone.
Ma, in concreto, come vanno utilizzati, quindi, questi dati di prima parte? La soluzione è puntare su una Data Strategy che parta dagli obiettivi di business: è sufficiente, ed efficiente, individuare al massimo due o tre business case, da realizzare attraverso l’utilizzo dei dati che si trovano in diversi dipartimenti.
In questo modo, la privacy non è più vista come un ostacolo ma come un punto di partenza per cogliere le nuove opportunità, modificando il modo di pensare e di agire dell’intera organizzazione, diventando privacy-first in tutti i processi aziendali, per migliorare il business.
Dati personali ed etica nel marketing