SlideShare a Scribd company logo
1 of 39
BOLOGNA-7giugno2019
GDPR
NEL L A PRATICA MA RK ETING.
ESERCITA ZIONI PRIVA CY
Donatella Ardemagni - Angelo Modica
QUANTO NE SAI?
FAI IL NOSTRO QUIZ E
RICEVI BONUS
FORMAZIONE
INBREVE
1 anno fa sembrava la
fine dei giochi
Ora sappiamo che si
tratta di
• Pianificare con cura
• Organizzare risorse e
strumenti
• Esercizio su casi reali
DONATELLA ARDEMAGNI
Content Marketing & Marketing
Automation Advisor.
ANGELO MODICA
Privacy Specialist
Consulente e Formatore
PRESENTIA MOCI
• Definizione del singolo trattamento
• Comprensione del livello di impatto
sugli interessati
• Valutazione del rischio e probabilità
di accadimento di una minaccia
• Calcolo del rischio generale sul
trattamento
CAL COL O DEL RISCHIO
4 f as i i m p o r t an t i
Regolamento (UE) 2016/679
Articolo 6, comma 1, lettera f)
Il trattamento è necessario per il perseguimento del legittimo
interesse del titolare del trattamento o di terzi, a condizione che non
prevalgano gli interessi o i diritti e le libertà fondamentali
dell'interessato che richiedono la protezione dei dati personali, in
particolare se l'interessato è un minore.
Il Legittimo Interesse
Regolamento (UE) 2016/679 - Considerando 47
I legittimi interessi di un titolare del trattamento, compresi quelli di un
titolare del trattamento a cui i dati personali possono essere
comunicati, o di terzi possono costituire una base giuridica del
trattamento, a condizione che non prevalgano gli interessi o i diritti e
le libertà fondamentali dell'interessato, tenuto conto delle
ragionevoli aspettative nutrite dall'interessato in base alla sua
relazione con il titolare del trattamento.…
… Può essere considerato legittimo interesse trattare dati
personali per finalità di marketing diretto.
Il Legittimo Interesse
Regolamento (UE) 2016/679 - Articolo 95
Il regolamento non impone obblighi supplementari alle
persone fisiche o giuridiche in relazione al trattamento nel
quadro della fornitura di servizi di comunicazione elettronica
accessibili al pubblico su reti pubbliche di comunicazione
nell'Unione, per quanto riguarda le materie per le quali sono
soggette a obblighi specifici aventi lo stesso obiettivo fissati
dalla direttiva 2002/58/CE.
Il Legittimo Interesse
Bruxelles, 10 gennaio 2017
Commissione europea - Comunicato stampa
La Commissione propone norme per tutte le comunicazioni
elettroniche che garantiscono un elevato livello di tutela della vita
privata e aggiorna le norme sulla protezione dei dati per le istituzioni
dell'UE.
Il Legittimo Interesse
D.L. 2003/196 Articolo 130 - Comunicazioni indesiderate
L'uso di sistemi automatizzati di chiamata o di comunicazione di chiamata
senza l'intervento di un operatore per l'invio di materiale pubblicitario o di
vendita diretta o per il compimento di ricerche di mercato o di comunicazione
commerciale è consentito con il consenso del contraente o utente.
Quanto sopra citato si applica anche alle comunicazioni elettroniche, effettuate
per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo
Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro
tipo.
Comunicazioni per le finalità sopra indicate, mediante l’impiego del telefono e
della posta cartacea per l’invio di materiale pubblicitario o di vendita diretta o
per il compimento di ricerche di mercato o di comunicazione commerciale è
consentito nei confronti di chi non abbia esercitato il diritto di opposizione
(registro delle opposizioni).
Il Legittimo Interesse
D.L. 2003/196 Articolo 130 - Comunicazioni indesiderate
Se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o
servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto
della vendita di un prodotto o di un servizio, può non richiedere il consenso
dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della
vendita e l'interessato, adeguatamente informato, non rifiuti tale uso,
inizialmente o in occasione di successive comunicazioni. L'interessato, al
momento della raccolta e in occasione dell'invio di ogni comunicazione
effettuata per le finalità di cui al presente comma, è informato della possibilità
di opporsi in ogni momento al trattamento, in maniera agevole e
gratuitamente.
Il Legittimo Interesse
LEGGE di BILANCIO 2018 - Articolo 1 comma 1022
Il titolare di dati personali, individuato ai sensi dell'articolo 4,
numero 7), del regolamento GDPR, ove effettui un trattamento
fondato sull’interesse legittimo che prevede l'uso di nuove
tecnologie o di strumenti automatizzati, deve darne
tempestiva comunicazione al Garante per la protezione dei
dati personali.
Il Legittimo Interesse
INFORMATIVA
• Importanza
• Reperibilità
• Es ercizio dei Diritti
• Linguaggio s emplice e
comprens ibile per
l’interes s ato
PROFILAZIONE
B UYER PERSONAS
INDIVIDUAL B EHAVIOUR
• DECISIONI AUTOMATIZZATE
• PREVISIONI E DISCRIMINAZIONE
• LIMITAZIONE DELLE OPPORTUNITA’
Diritti dell’interessatoTRASPARENZA
Regolamento (UE) 2016/679 - Articolo 12
Il titolare del trattamento adotta misure appropriate
per fornire all’interessato tutte le informazioni e le
comunicazioni relative al trattamento in forma
concisa, trasparente, intelligibile e facilmente
accessibile, con un linguaggio semplice e chiaro, in
particolare nel caso di informazioni destinate
specificamente ai minori. Se richiesto
dall’interessato, le informazioni possono essere
fornite oralmente, purché sia comprovata con altri
mezzi l’identità dell’interessato.
Diritti dell’interessatoINFORMAZIONI
Regolamento (UE) 2016/679 - Articolo 13 (presso l’interessato)
1. Informazioni all’interessato:
a) l’identità e i dati di contatto del titolare del trattamento e, ove
applicabile, del suo rappresentante;
b) i dati di contatto del responsabile della protezione dei dati, ove
applicabile;
c) le finalità del trattamento cui sono destinati i dati personali
nonché la base giuridica del trattamento;
d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f
), i legittimi interessi perseguiti dal titolare del trattamento o da
terzi;
e) gli eventuali destinatari o le eventuali categorie di destinatari
dei dati personali
Diritti dell’interessatoINFORMAZIONI
Regolamento (UE) 2016/679 - Articolo 13 (presso l’interessato)
f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati
personali a un paese terzo o a un’organizzazione internazionale e
l’esistenza o l’assenza di una decisione di adeguatezza della Commissione
o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49,
secondo comma, il riferimento alle garanzie appropriate o opportune e i
mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi
disponibili.
2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati
personali sono ottenuti, il titolare del trattamento fornisce all’interessato le
seguenti ulteriori informazioni necessarie per garantire un trattamento
corretto e trasparente:
a) il periodo di conservazione dei dati personali oppure, se non è possibile,
i criteri utilizzati per determinare tale periodo;
Diritti dell’interessatoINFORMAZIONI
Regolamento (UE) 2016/679 - Articolo 13 (presso l’interessato)
b) l’esistenza del diritto dell’interessato di chiedere al titolare del
trattamento l’accesso ai dati personali e la rettifica o la cancellazione
degli stessi o la limitazione del trattamento che lo riguardano o di
opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
c) qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a),
oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di
revocare il consenso in qualsiasi momento senza pregiudicare la liceità
del trattamento basata sul consenso prestato prima della revoca;
d) il diritto di proporre reclamo a un’autorità di controllo;
e) se la comunicazione di dati personali è un obbligo legale o contrattuale
oppure un requisito necessario per la conclusione di un contratto, e se
l’interessato ha l’obbligo di fornire i dati personali nonché le possibili
conseguenze della mancata comunicazione di tali dati;
Diritti dell’interessatoINFORMAZIONI
Regolamento (UE) 2016/679 - Articolo 13 (presso l’interessato)
f) l’esistenza di un processo decisionale automatizzato, compresa la
profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi,
informazioni significative sulla logica utilizzata, nonché l’importanza e le
conseguenze previste di tale trattamento per l’interessato.
3. Qualora il titolare del trattamento intenda trattare ulteriormente i dati
personali per una finalità diversa da quella per cui essi sono stati raccolti,
prima di tale ulteriore trattamento fornisce all’interessato informazioni in
merito a tale diversa finalità e ogni ulteriore informazione pertinente.
4. I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l’interessato
dispone già delle informazioni.
Diritti dell’interessatoINFORMAZIONI
Regolamento (UE) 2016/679 - Articolo 14 (non presso l’interessato)
1. Informazioni all’interessato:
d) le categorie di dati personali in questione;
2. Ulteriori informazioni all’interessato:
f) la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati
provengano da fonti accessibili al pubblico;
3. Il titolare del trattamento fornisce le informazioni di cui ai paragrafi 1 e 2:
a) entro un termine ragionevole dall’ottenimento dei dati personali, ma al più tardi
entro un mese, in considerazione delle specifiche circostanze in cui i dati personali
sono trattati;
b) nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato, al
più tardi al momento della prima comunicazione all’interessato;
c) nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima
comunicazione dei dati personali.
Diritti dell’interessatoINFORMAZIONI
Regolamento (UE) 2016/679 - Articolo 14 (non presso l’interessato)
4. Qualora il titolare del trattamento intenda trattare ulteriormente i
dati personali per una finalità diversa da quella per cui essi sono
stati ottenuti, prima di tale ulteriore trattamento fornisce
all'interessato informazioni in merito a tale diversa finalità e ogni
informazione pertinente di cui al paragrafo 2.
Diritti dell’interessatoINFORMAZIONI
Regolamento (UE) 2016/679 - Articolo 14 (non presso l’interessato)
5. I paragrafi da 1 a 4 non si applicano se e nella misura in cui:
a) l’interessato dispone già delle informazioni;
b) comunicare tali informazioni risulta impossibile o implicherebbe uno
sforzo sproporzionato; in particolare per il trattamento a fini di
archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini
statistici, fatte salve le condizioni e le garanzie di cui all’articolo 89,
paragrafo 1, o nella misura in cui l’obbligo di cui al paragrafo 1 del
presente articolo rischi di rendere impossibile o di pregiudicare
gravemente il conseguimento delle finalità di tale trattamento. In tali
casi, il titolare del trattamento adotta misure appropriate per tutelare i
diritti, le libertà e i legittimi interessi dell’interessato, anche rendendo
pubbliche le informazioni;
Diritti dell’interessatoINFORMAZIONI
Regolamento (UE) 2016/679 - Articolo 14 (non presso l’interessato)
c) l’ottenimento o la comunicazione sono espressamente previsti
dal diritto dell’Unione o dello Stato membro cui è soggetto il
titolare del trattamento e che prevede misure appropriate per
tutelare gli interessi legittimi dell’interessato;
d) qualora i dati personali debbano rimanere riservati
conformemente a un obbligo di segreto professionale
disciplinato dal diritto dell’Unione o degli Stati membri,
compreso un obbligo di segretezza previsto per legge.
• Il consenso deve avere delle
specifiche cartteristiche:
• Scritto o provabile
• Successivo ad una
Informazione
• Granulare, cioè specifico
per diverse finalita e
modalità di trattamento
• Ospitato su un Sistema
dedicato all’Opt-In Page
RACCOLTA DEL
CONSENSO
TRACCIAMENTO
DEI DATI E MISURABILITA’ DEI
RISULTATI
IL MARKETING DIGITALE E’
Cookie
Analytics Google, Facebook, ecc…
E-mail Marketing
TRACCIAMENTO
DEI DATI E MISURABILITA’ DEI
RISULTATI
Tracciamento Risultati
Distinzione in base all'utilizzo (o finalità)
• Cookie tecnici: servono per la navigazione e per facilitare l'accesso e la fruizione del sito da parte
dell'utente.
• Cookie statistici o “analytics”: vengono utilizzati a fini di ottimizzazione del sito, direttamente dal
titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli
utenti e su come questi visitano il sito.
• Cookie per la memorizzazione delle preferenze: sono cookie utili a favorire l'utilizzo corretto del
sito da parte dell'utente.
• Cookie pubblicitari: questi cookie hanno lo scopo di fornire spazi pubblicitari.
• Cookie di social network: si tratta dei cookie che consentono di condividere anche con altri utenti i
contenuti del sito che si sta visitando. Sono i cookie tipicamente utilizzati per attivare le funzioni
“Mi piace” o “Segui” dei Social Network quali Facebook e Twitter, solo per citarne alcuni.
Tracciamento Risultati
 Nel caso di un sito con la presenza di soli cookie tecnici/funzionali (carrello della spesa,
selezione lingua, preferenze) e/o di cookie di statistica di prima parte (es. Piwik e simili) non è
necessario avere un cookie banner, il blocco preventivo dei cookie prima del consenso e il
salvataggio dei consensi (Prova).
 In questo caso rientrano anche i cookie di statistica di terza parte come Google Analytics con
IP anonimizzato in modo tale che non possa essere ricostruito l’indirizzo IP con tecniche di
“reverse engineering”.
Tracciamento Risultati
Nel caso di presenza di altri tipi di cookie, e quindi quelli pubblicitari (Google Adsense, DoubleClick,
retargeting, ecc) e tutti gli altri di terze parti (Social Network, YouTube, ecc) oltre al cookie banner il
GDPR richiede:
• il consenso esplicito (opt-in) e quindi non più implicito come ad esempio "scrollare" la pagina;
• il blocco preventivo dei cookie prima del consenso;
• la registrazione dei log del consenso da fornire come “Prova”;
• la descrizione per ogni cookie che comprende chi riceve i dati, per quale scopo e la data di
scadenza;
• la possibilità di revocare il consenso in modo semplice anche in un secondo momento.
Caso 1 - Limiti e strumenti per la profilazione
Regolamento (UE) 2016/679 - Articolo 4 - (Definizioni)
«profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di
tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare
per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la
salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli
spostamenti di detta persona fisica.
«consenso dell'interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e
inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante
dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di
trattamento.
Limiti e s trumenti per la profilazione
CASO 1
• CRM
• Marketing Automation
• Informazioni provenienti dai social
• Insight e Analytics
• Analisi del sentiment e dell’engagement
PRATICHE MA RK ETING
Caso 2 - I dati dei Clienti per il Marketing
Principi
 «liceità, correttezza e trasparenza»
 «limitazione della finalità»
 «minimizzazione dei dati»
 «esattezza»
 «limitazione della conservazione»
 «integrità e riservatezza»
 «responsabilizzazione»
I dati dei Clienti per il Marketing
CASO 2
• Centralità del Cliente
• Usare i dati per migliorare la customer
experience
PRATICHE MA RK ETING
Caso 3 i vecchi prospect senza consenso
Compliance GDPR …
Non esistono “disposizioni” che consentono l’utilizzo di vecchi prospect senza consenso.
Ogni contatto rappresenta una “violazione”.
Valutazione del Rischio
Che cosa propongo?
Che probabilità ci sono che il potenziale cliente sia interessato a ricevere la nostra chiamata o una
mail?
Che probabilità ci sono che il potenziale cliente ricevendo la nostra chiamata o una mail ci
denunci?
…
Un’alternativa potrebbe essere il contatto tramite centralino o mail generale e successivamente
inviare informative ed ottenere consensi
Cas o 3
i p r o s p ec t s en za c o n s en s o
• Differenze tra prospect e suspect
• Calcolo del rischio
• Campagne multipiattaforma per la raccolta del
consenso
PRATICHE MA RK ETING
 L’agente per i dati in suo possesso è da considerare Titolare del Trattamento e come tale deve
rispettare il GDPR (compliance).
 L’agente che opera su dati di terzi è da considerare Responsabile Esterno del Trattamento e
come tale operare solo su precise indicazioni del Titolare del Trattamento.
Caso 4 - Condivisione dei Dati con Agenti, Reseller,
Partner commerciali e Agenzie esterne
60.000VIOLAZIONI IN EUROPA
TRA IL 25 MAGGIO 2018
E FEBBRAIO 2019
SOLO DATA BREACH
DIDYOUKNOW
NEWSLETTER N. 453 del 30 maggio 2019
Il Garante privacy ha comminato una sanzione di oltre 2 milioni di euro ad una società che aveva
svolto, tramite un call center albanese, attività di telemarketing e teleselling per conto di una
azienda del settore energetico, in violazione della normativa sulla protezione dei dati personali in
vigore prima del Regolamento europeo.
La Guardia di finanza, Nucleo speciale privacy, a seguito di un’ispezione, aveva accertato che la società,
oltre a non aver reso alcuna informativa alle persone contattate, non aveva richiesto come
previsto il consenso al trattamento dei dati personali per finalità di marketing. Consenso che la
società, peraltro, avrebbe dovuto annotare per iscritto. Tali adempimenti spettavano infatti alla
società che operava in qualità di autonomo titolare del trattamento, non essendo mai stata
designata responsabile.
La società, sulla base di presunti accordi con l’agente di vendita del gestore di energia, aveva incaricato il
call center albanese di contattare telefonicamente potenziali clienti utilizzando numerazioni
telefoniche raccolte dal call center stesso, senza che la lista dei contatti fosse stata fornita o
validata dalle tre aziende coinvolte nella campagna promozionale (la società multata, l’agente di
vendita del gestore e il gestore stesso). Dopo il primo contatto da parte del call center, le persone
che avevano manifestato la volontà di sottoscrivere un contratto venivano richiamate dalla società.
La sanzione, definita cumulando ogni violazione contestata per singolo interessato, tiene conto anche
della gravità della condotta della società che ha evidenziato un marcato disinteresse per la
normativa in materia di protezione dei dati e una netta sottovalutazione delle gravi implicazioni
che possono derivare dall’utilizzo di forme di acquisizione della clientela improntate all’informalità
e alla unilaterale semplificazione degli adempimenti prescritti.
Garante privacy sanziona società: 2 milioni di euro per
telemarketing indesiderato
LIBRI E CORSI
GRAZIE!!!!
Donatella Ardemagni – donatella.ardemagni@39marketing.it
Angelo Modica – amodica@iter.it
www.iter.it/corsi
Milano, Bologna, Torino

More Related Content

What's hot

Tutela dei dati personali sanità aprile_2010
Tutela dei dati personali sanità aprile_2010Tutela dei dati personali sanità aprile_2010
Tutela dei dati personali sanità aprile_2010
Pasquale Lopriore
 
Trattamento dati personali black box sp
Trattamento dati personali black box spTrattamento dati personali black box sp
Trattamento dati personali black box sp
Fabio Bolo
 
Introduzione alla privacy giuridica
Introduzione alla privacy giuridicaIntroduzione alla privacy giuridica
Introduzione alla privacy giuridica
Council of Europe
 
Privacy e lavoro
Privacy e lavoroPrivacy e lavoro
Privacy e lavoro
AmmLibera AL
 

What's hot (18)

Tutela dei dati personali sanità aprile_2010
Tutela dei dati personali sanità aprile_2010Tutela dei dati personali sanità aprile_2010
Tutela dei dati personali sanità aprile_2010
 
Le novità del GDPR e la figura del DPO
Le novità del GDPR e la figura del DPOLe novità del GDPR e la figura del DPO
Le novità del GDPR e la figura del DPO
 
Privacy ed email marketing B2B
Privacy ed email marketing B2BPrivacy ed email marketing B2B
Privacy ed email marketing B2B
 
Privacy parte1
Privacy parte1Privacy parte1
Privacy parte1
 
GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018
 
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
 
Privacy e telemarketing
Privacy e telemarketing Privacy e telemarketing
Privacy e telemarketing
 
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
 
GDPR, informativa e appalti - 3 giugno 2018
GDPR, informativa e appalti - 3 giugno 2018GDPR, informativa e appalti - 3 giugno 2018
GDPR, informativa e appalti - 3 giugno 2018
 
Trattamento dati personali black box sp
Trattamento dati personali black box spTrattamento dati personali black box sp
Trattamento dati personali black box sp
 
Introduzione alla privacy giuridica
Introduzione alla privacy giuridicaIntroduzione alla privacy giuridica
Introduzione alla privacy giuridica
 
il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018
 
Privacy e lavoro
Privacy e lavoroPrivacy e lavoro
Privacy e lavoro
 
Responsabilità e danno nel Regolamento Privacy Europeo
Responsabilità e danno nel Regolamento Privacy EuropeoResponsabilità e danno nel Regolamento Privacy Europeo
Responsabilità e danno nel Regolamento Privacy Europeo
 
Gdpr linee guida
Gdpr linee guidaGdpr linee guida
Gdpr linee guida
 
Carlo Rossi Chauvenet - SMAU Padova 2017
Carlo Rossi Chauvenet - SMAU Padova 2017 Carlo Rossi Chauvenet - SMAU Padova 2017
Carlo Rossi Chauvenet - SMAU Padova 2017
 
Open data-day-bologna-2013
Open data-day-bologna-2013Open data-day-bologna-2013
Open data-day-bologna-2013
 
LA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDALA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDA
 

Similar to Marketing e GDPR: Esercitazioni. Workshop a SMAU Bologna 2019

Nuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellaNuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stella
gmrinaldi
 

Similar to Marketing e GDPR: Esercitazioni. Workshop a SMAU Bologna 2019 (20)

Nuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellaNuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stella
 
Privacy GDPR
Privacy GDPRPrivacy GDPR
Privacy GDPR
 
Informativa simpatizzanti PATT
Informativa simpatizzanti PATTInformativa simpatizzanti PATT
Informativa simpatizzanti PATT
 
Smau Napoli 2014 Aicel
Smau Napoli 2014 AicelSmau Napoli 2014 Aicel
Smau Napoli 2014 Aicel
 
GDPR e strategia di marketing
GDPR e strategia di marketingGDPR e strategia di marketing
GDPR e strategia di marketing
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
 
Smau seminario data breach prima parte
Smau seminario data breach prima parte Smau seminario data breach prima parte
Smau seminario data breach prima parte
 
Smau data breach v1
Smau data breach v1Smau data breach v1
Smau data breach v1
 
Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2
 
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
 
COME ADEGUARSI AL GDPR?
COME ADEGUARSI AL GDPR?COME ADEGUARSI AL GDPR?
COME ADEGUARSI AL GDPR?
 
Il commercio elettronico nella società dell'informazione - Avv. Sarah Ungaro
Il commercio elettronico nella società dell'informazione - Avv. Sarah UngaroIl commercio elettronico nella società dell'informazione - Avv. Sarah Ungaro
Il commercio elettronico nella società dell'informazione - Avv. Sarah Ungaro
 
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
 
GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018
 
Guida al nuovo regolamento europeo in materia di protezione dati
Guida al nuovo regolamento europeo in materia di protezione datiGuida al nuovo regolamento europeo in materia di protezione dati
Guida al nuovo regolamento europeo in materia di protezione dati
 
wp2privacy slides Gdpr
wp2privacy slides Gdprwp2privacy slides Gdpr
wp2privacy slides Gdpr
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo Troiano
 
La gestione dei dati e la privacy legati ai problemi di natura giuridica
La gestione dei dati e la privacy legati ai problemi di natura giuridicaLa gestione dei dati e la privacy legati ai problemi di natura giuridica
La gestione dei dati e la privacy legati ai problemi di natura giuridica
 
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
 
La Privacy per gli studi legali
La Privacy per gli studi legaliLa Privacy per gli studi legali
La Privacy per gli studi legali
 

Marketing e GDPR: Esercitazioni. Workshop a SMAU Bologna 2019

  • 1. BOLOGNA-7giugno2019 GDPR NEL L A PRATICA MA RK ETING. ESERCITA ZIONI PRIVA CY Donatella Ardemagni - Angelo Modica QUANTO NE SAI? FAI IL NOSTRO QUIZ E RICEVI BONUS FORMAZIONE
  • 2. INBREVE 1 anno fa sembrava la fine dei giochi Ora sappiamo che si tratta di • Pianificare con cura • Organizzare risorse e strumenti • Esercizio su casi reali
  • 3. DONATELLA ARDEMAGNI Content Marketing & Marketing Automation Advisor. ANGELO MODICA Privacy Specialist Consulente e Formatore PRESENTIA MOCI
  • 4. • Definizione del singolo trattamento • Comprensione del livello di impatto sugli interessati • Valutazione del rischio e probabilità di accadimento di una minaccia • Calcolo del rischio generale sul trattamento CAL COL O DEL RISCHIO 4 f as i i m p o r t an t i
  • 5. Regolamento (UE) 2016/679 Articolo 6, comma 1, lettera f) Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore. Il Legittimo Interesse
  • 6. Regolamento (UE) 2016/679 - Considerando 47 I legittimi interessi di un titolare del trattamento, compresi quelli di un titolare del trattamento a cui i dati personali possono essere comunicati, o di terzi possono costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato, tenuto conto delle ragionevoli aspettative nutrite dall'interessato in base alla sua relazione con il titolare del trattamento.… … Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto. Il Legittimo Interesse
  • 7. Regolamento (UE) 2016/679 - Articolo 95 Il regolamento non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell'Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE. Il Legittimo Interesse
  • 8. Bruxelles, 10 gennaio 2017 Commissione europea - Comunicato stampa La Commissione propone norme per tutte le comunicazioni elettroniche che garantiscono un elevato livello di tutela della vita privata e aggiorna le norme sulla protezione dei dati per le istituzioni dell'UE. Il Legittimo Interesse
  • 9. D.L. 2003/196 Articolo 130 - Comunicazioni indesiderate L'uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente. Quanto sopra citato si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo. Comunicazioni per le finalità sopra indicate, mediante l’impiego del telefono e della posta cartacea per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito nei confronti di chi non abbia esercitato il diritto di opposizione (registro delle opposizioni). Il Legittimo Interesse
  • 10. D.L. 2003/196 Articolo 130 - Comunicazioni indesiderate Se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente. Il Legittimo Interesse
  • 11. LEGGE di BILANCIO 2018 - Articolo 1 comma 1022 Il titolare di dati personali, individuato ai sensi dell'articolo 4, numero 7), del regolamento GDPR, ove effettui un trattamento fondato sull’interesse legittimo che prevede l'uso di nuove tecnologie o di strumenti automatizzati, deve darne tempestiva comunicazione al Garante per la protezione dei dati personali. Il Legittimo Interesse
  • 12. INFORMATIVA • Importanza • Reperibilità • Es ercizio dei Diritti • Linguaggio s emplice e comprens ibile per l’interes s ato
  • 13. PROFILAZIONE B UYER PERSONAS INDIVIDUAL B EHAVIOUR • DECISIONI AUTOMATIZZATE • PREVISIONI E DISCRIMINAZIONE • LIMITAZIONE DELLE OPPORTUNITA’
  • 14. Diritti dell’interessatoTRASPARENZA Regolamento (UE) 2016/679 - Articolo 12 Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni e le comunicazioni relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato.
  • 15. Diritti dell’interessatoINFORMAZIONI Regolamento (UE) 2016/679 - Articolo 13 (presso l’interessato) 1. Informazioni all’interessato: a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante; b) i dati di contatto del responsabile della protezione dei dati, ove applicabile; c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento; d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f ), i legittimi interessi perseguiti dal titolare del trattamento o da terzi; e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali
  • 16. Diritti dell’interessatoINFORMAZIONI Regolamento (UE) 2016/679 - Articolo 13 (presso l’interessato) f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili. 2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente: a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  • 17. Diritti dell’interessatoINFORMAZIONI Regolamento (UE) 2016/679 - Articolo 13 (presso l’interessato) b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati; c) qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca; d) il diritto di proporre reclamo a un’autorità di controllo; e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
  • 18. Diritti dell’interessatoINFORMAZIONI Regolamento (UE) 2016/679 - Articolo 13 (presso l’interessato) f) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato. 3. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente. 4. I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l’interessato dispone già delle informazioni.
  • 19. Diritti dell’interessatoINFORMAZIONI Regolamento (UE) 2016/679 - Articolo 14 (non presso l’interessato) 1. Informazioni all’interessato: d) le categorie di dati personali in questione; 2. Ulteriori informazioni all’interessato: f) la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico; 3. Il titolare del trattamento fornisce le informazioni di cui ai paragrafi 1 e 2: a) entro un termine ragionevole dall’ottenimento dei dati personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati; b) nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato, al più tardi al momento della prima comunicazione all’interessato; c) nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali.
  • 20. Diritti dell’interessatoINFORMAZIONI Regolamento (UE) 2016/679 - Articolo 14 (non presso l’interessato) 4. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati ottenuti, prima di tale ulteriore trattamento fornisce all'interessato informazioni in merito a tale diversa finalità e ogni informazione pertinente di cui al paragrafo 2.
  • 21. Diritti dell’interessatoINFORMAZIONI Regolamento (UE) 2016/679 - Articolo 14 (non presso l’interessato) 5. I paragrafi da 1 a 4 non si applicano se e nella misura in cui: a) l’interessato dispone già delle informazioni; b) comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatte salve le condizioni e le garanzie di cui all’articolo 89, paragrafo 1, o nella misura in cui l’obbligo di cui al paragrafo 1 del presente articolo rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, anche rendendo pubbliche le informazioni;
  • 22. Diritti dell’interessatoINFORMAZIONI Regolamento (UE) 2016/679 - Articolo 14 (non presso l’interessato) c) l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento e che prevede misure appropriate per tutelare gli interessi legittimi dell’interessato; d) qualora i dati personali debbano rimanere riservati conformemente a un obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri, compreso un obbligo di segretezza previsto per legge.
  • 23. • Il consenso deve avere delle specifiche cartteristiche: • Scritto o provabile • Successivo ad una Informazione • Granulare, cioè specifico per diverse finalita e modalità di trattamento • Ospitato su un Sistema dedicato all’Opt-In Page RACCOLTA DEL CONSENSO
  • 24. TRACCIAMENTO DEI DATI E MISURABILITA’ DEI RISULTATI IL MARKETING DIGITALE E’
  • 25. Cookie Analytics Google, Facebook, ecc… E-mail Marketing TRACCIAMENTO DEI DATI E MISURABILITA’ DEI RISULTATI
  • 26. Tracciamento Risultati Distinzione in base all'utilizzo (o finalità) • Cookie tecnici: servono per la navigazione e per facilitare l'accesso e la fruizione del sito da parte dell'utente. • Cookie statistici o “analytics”: vengono utilizzati a fini di ottimizzazione del sito, direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito. • Cookie per la memorizzazione delle preferenze: sono cookie utili a favorire l'utilizzo corretto del sito da parte dell'utente. • Cookie pubblicitari: questi cookie hanno lo scopo di fornire spazi pubblicitari. • Cookie di social network: si tratta dei cookie che consentono di condividere anche con altri utenti i contenuti del sito che si sta visitando. Sono i cookie tipicamente utilizzati per attivare le funzioni “Mi piace” o “Segui” dei Social Network quali Facebook e Twitter, solo per citarne alcuni.
  • 27. Tracciamento Risultati  Nel caso di un sito con la presenza di soli cookie tecnici/funzionali (carrello della spesa, selezione lingua, preferenze) e/o di cookie di statistica di prima parte (es. Piwik e simili) non è necessario avere un cookie banner, il blocco preventivo dei cookie prima del consenso e il salvataggio dei consensi (Prova).  In questo caso rientrano anche i cookie di statistica di terza parte come Google Analytics con IP anonimizzato in modo tale che non possa essere ricostruito l’indirizzo IP con tecniche di “reverse engineering”.
  • 28. Tracciamento Risultati Nel caso di presenza di altri tipi di cookie, e quindi quelli pubblicitari (Google Adsense, DoubleClick, retargeting, ecc) e tutti gli altri di terze parti (Social Network, YouTube, ecc) oltre al cookie banner il GDPR richiede: • il consenso esplicito (opt-in) e quindi non più implicito come ad esempio "scrollare" la pagina; • il blocco preventivo dei cookie prima del consenso; • la registrazione dei log del consenso da fornire come “Prova”; • la descrizione per ogni cookie che comprende chi riceve i dati, per quale scopo e la data di scadenza; • la possibilità di revocare il consenso in modo semplice anche in un secondo momento.
  • 29. Caso 1 - Limiti e strumenti per la profilazione Regolamento (UE) 2016/679 - Articolo 4 - (Definizioni) «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica. «consenso dell'interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.
  • 30. Limiti e s trumenti per la profilazione CASO 1 • CRM • Marketing Automation • Informazioni provenienti dai social • Insight e Analytics • Analisi del sentiment e dell’engagement PRATICHE MA RK ETING
  • 31. Caso 2 - I dati dei Clienti per il Marketing Principi  «liceità, correttezza e trasparenza»  «limitazione della finalità»  «minimizzazione dei dati»  «esattezza»  «limitazione della conservazione»  «integrità e riservatezza»  «responsabilizzazione»
  • 32. I dati dei Clienti per il Marketing CASO 2 • Centralità del Cliente • Usare i dati per migliorare la customer experience PRATICHE MA RK ETING
  • 33. Caso 3 i vecchi prospect senza consenso Compliance GDPR … Non esistono “disposizioni” che consentono l’utilizzo di vecchi prospect senza consenso. Ogni contatto rappresenta una “violazione”. Valutazione del Rischio Che cosa propongo? Che probabilità ci sono che il potenziale cliente sia interessato a ricevere la nostra chiamata o una mail? Che probabilità ci sono che il potenziale cliente ricevendo la nostra chiamata o una mail ci denunci? … Un’alternativa potrebbe essere il contatto tramite centralino o mail generale e successivamente inviare informative ed ottenere consensi
  • 34. Cas o 3 i p r o s p ec t s en za c o n s en s o • Differenze tra prospect e suspect • Calcolo del rischio • Campagne multipiattaforma per la raccolta del consenso PRATICHE MA RK ETING
  • 35.  L’agente per i dati in suo possesso è da considerare Titolare del Trattamento e come tale deve rispettare il GDPR (compliance).  L’agente che opera su dati di terzi è da considerare Responsabile Esterno del Trattamento e come tale operare solo su precise indicazioni del Titolare del Trattamento. Caso 4 - Condivisione dei Dati con Agenti, Reseller, Partner commerciali e Agenzie esterne
  • 36. 60.000VIOLAZIONI IN EUROPA TRA IL 25 MAGGIO 2018 E FEBBRAIO 2019 SOLO DATA BREACH DIDYOUKNOW
  • 37. NEWSLETTER N. 453 del 30 maggio 2019 Il Garante privacy ha comminato una sanzione di oltre 2 milioni di euro ad una società che aveva svolto, tramite un call center albanese, attività di telemarketing e teleselling per conto di una azienda del settore energetico, in violazione della normativa sulla protezione dei dati personali in vigore prima del Regolamento europeo. La Guardia di finanza, Nucleo speciale privacy, a seguito di un’ispezione, aveva accertato che la società, oltre a non aver reso alcuna informativa alle persone contattate, non aveva richiesto come previsto il consenso al trattamento dei dati personali per finalità di marketing. Consenso che la società, peraltro, avrebbe dovuto annotare per iscritto. Tali adempimenti spettavano infatti alla società che operava in qualità di autonomo titolare del trattamento, non essendo mai stata designata responsabile. La società, sulla base di presunti accordi con l’agente di vendita del gestore di energia, aveva incaricato il call center albanese di contattare telefonicamente potenziali clienti utilizzando numerazioni telefoniche raccolte dal call center stesso, senza che la lista dei contatti fosse stata fornita o validata dalle tre aziende coinvolte nella campagna promozionale (la società multata, l’agente di vendita del gestore e il gestore stesso). Dopo il primo contatto da parte del call center, le persone che avevano manifestato la volontà di sottoscrivere un contratto venivano richiamate dalla società. La sanzione, definita cumulando ogni violazione contestata per singolo interessato, tiene conto anche della gravità della condotta della società che ha evidenziato un marcato disinteresse per la normativa in materia di protezione dei dati e una netta sottovalutazione delle gravi implicazioni che possono derivare dall’utilizzo di forme di acquisizione della clientela improntate all’informalità e alla unilaterale semplificazione degli adempimenti prescritti. Garante privacy sanziona società: 2 milioni di euro per telemarketing indesiderato
  • 39. GRAZIE!!!! Donatella Ardemagni – donatella.ardemagni@39marketing.it Angelo Modica – amodica@iter.it www.iter.it/corsi Milano, Bologna, Torino