15 Maggio 2016

Marketing a prova di privacy nel social

Marketing social ? tradizionale

Creare un prodotto di marketing che rispetti le esigenze di protezione dei dati personali significa proporsi una sfida non da poco. Se a ciò si aggiungono le moderne necessità di un ambiente social, tale quadro rischia di complicarsi per chi non comprenda a fondo le diversa natura del marketing tradizionale rispetto al nuovo marketing non convenzionale.
Alla classica definizione di marketing, incentrata sul paradigma delle 4P (Product, Price, Place, Promotion),[1] si aggiunge l’ulteriore variabile del cliente, passando da una logica di marketing Product-oriented ad una Customer-oriented.
L’ambiente di rapida evoluzione e fulminea condivisione dei social network, non ammette, ad oggi, una implementazione della protezione dei dati personali come pensiero secondario rispetto al prodotto di marketing. Il rispetto della normativa deve accompagnare il design stesso, come sostenuto da anni dall’approccio di Privacy by Design.[2]

Tra i punti più interessanti di tale modello si rilevano:

2. Privacy as the Default Setting
6. Visibility and Transparency – Keep it Open
7. Respect for User Privacy – Keep it User-Centric
Il primo di questi punti si rende necessario per le caratteristiche proprie dell’utenza social. Formata da qualunque tipo di classe sociale ed educazione, è solitamente meno interessata alla lettura di complicate informative, e la prestazione del consenso non è che un breve tramite per accedere velocemente al servizio richiesto. Prevedere l’opt-in per tutti quei trattamenti che rischiano di incidere sui dati personali degli utenti resta in questi casi la soluzione più indicata per tutelarli, come di frequente sostenuto anche dal Gruppo di Lavoro Art.29.[3]

Gli ultimi due punti riguardano invece la prospettiva che un social marketing a prova privacy deve mantenere nei confronti dell’utente. Daina Middleton, Head of Global Business Marketing per Twitter ha spiegato, in occasione del Festival of Global Media 2015, che “Instaurare una relazione con gli utenti oggi significa piantare un seme, creare un ecosistema del quale anche i tuoi utenti vogliano fare parte. […]. E dobbiamo smettere anche di chiamarli consumatori. Il termine giusto è partecipanti”.[4]
Questa idea di collaborazione tra titolari ed interessati dal trattamento dei dati personali è inoltre presente nel Codice in materia di protezione dei dati personali, ex art.140, nella previsione di un codice di deontologia e buona condotta per il trattamento ai fini di marketing.[5]

Social Media Marketing e Privacy

Le sfide che il Social Media Marketing si trova ad affrontare versano su due lati della materia della protezione dei dati personali. Una dicotomia che si affianca alla suddivisione del marketing in analitico ed operativo.
Il marketing analitico, proponendosi di analizzare con metodi quantitativi il mercato per conoscere desideri e comportamenti del cliente, pone problematiche di profiling di quest’ultimo.
D’altra parte, il marketing operativo, che ha il compito di realizzare concretamente le strategie definite nelle fasi precedenti, ha storicamente posto problemi riguardo l’invio di materiale pubblicitario indesiderato (spam).
È da notare come questi due ambiti, tradizionalmente posti su un livello di pari importanza, trovano il loro rapporto modificato in un ambiente social.
Il rapporto tra imprese e consumatori non si basa più su pubblicità passivamente assorbita, ma che dia piuttosto uno spunto al potenziale cliente per porsi lui stesso al centro del discorso. È il cliente a farsi strumento dell’Electronic Word of Mouth (EWoM), e di Consumer’s Online Brand Related Activities (COBRA). Prevede infatti il garante nel Vademecum Viva i consigli, abbasso lo spam: “Non è necessario il consenso per scambiare offerte promozionali, a titolo personale, tra amici e conoscenti”.[6]

Questo modo di fare marketing si rivela quindi, da un lato più efficace (vista la fiducia del cliente in amici e conoscenti, e l’alto grado di penetrazione che tali messaggi possono raggiungere), dall’altro lato più rispettoso della privacy. Si può ricordare a tal proposito la campagna 2010 di Burger King “Whopper Sacrifice”: termina 10 amicizie Facebook per ottenere un hamburger.
La campagna portò alla cancellazione di 45000 amici in meno di una settimana.

A questo tipo di “marketing virale” il Garante aveva già fatto riferimento nel 2003, nelle sue “Linee guida in materia di attività promozionale e contrasto allo spam”.[7]
Veniva innanzitutto premesso come i messaggi promozionali inviati agli utenti dei social network, in privato come pubblicamente sulla loro bacheca virtuale, siano sottoposti alla disciplina del Codice della Privacy, e, in particolare, agli artt. 3, 11, 13, 23 e 130.

Il Garante individua, a tal merito, due specifiche ipotesi:

  1. L’utente riceva, in privato, in bacheca o nel suo indirizzo di posta e-mail collegato al suo profilo social, un determinato messaggio promozionale relativo a uno specifico prodotto o servizio da un’impresa che abbia tratto i dati personali del destinatario dal profilo del social network al quale egli è iscritto.
  2. L’utente sia diventato “fan” della pagina di una determinata impresa o società oppure si sia iscritto a un “gruppo” di follower di un determinato marchio, personaggio, prodotto o servizio (decidendo così di “seguirne” le relative vicende, novità o commenti) e successivamente riceva messaggi pubblicitari concernenti i suddetti elementi.

Nella prima ipotesi, il trattamento sarà da considerarsi illecito, a meno che il mittente non dimostri di aver acquisito dall’interessato un consenso preventivo, specifico, libero e documentato ai sensi dell’art. 130, commi 1 e 2, del Codice.

Nella seconda, l’invio di materiale promozionale effettuato dall’impresa a cui fa riferimento la relativa pagina, può considerarsi lecito se “dal contesto o dalle modalità di funzionamento del social network, anche sulla base delle informazioni fornite, può evincersi in modo inequivocabile che l’interessato abbia in tal modo voluto manifestare anche la volontà di fornire il proprio consenso alla ricezione di messaggi promozionali da parte di quella determinata impresa”. All’interessato dovrà essere comunque garantita una facoltà di opt-out.
La stessa possibilità di opt-out è data in caso di soft-spam, ossia l’invio a clienti di ulteriori messaggi promozionali, via posta elettronica, su beni o servizi analoghi a quelli già acquistati.

Marketing e profiling

Se il marketing diretto da impresa a consumatore è un concetto sempre meno rilevante in ambito social, il profiling (tra le principali attività del marketing analitico), ha acquistato nuova linfa vitale.
Quando si ha intenzione di lasciare che siano gli utenti a diffondere il proprio messaggio è necessario che questi ultimi siano ben conosciuti. Si possono trovare argomenti a favore di un “marketing mirato”, che personalizzi il proprio messaggio a seconda dell’utente con cui si rapporta, ma non bisogna soprassedere sui suoi pericoli.
Per esempio, nel 2012, una teenager americana profilata dalla catena di supermercati Target, ricevette a casa un opuscolo di congratulazioni per il nuovo figlio. Gli algoritmi di Target avevano considerato i suoi acquisti nei mesi precedenti come predittivi di un’alta probabilità di gestazione, ma avevano mancato di considerare come il padre della ragazza, con cui essa viveva, non fosse a conoscenza della situazione.[8]
La disciplina del profiling degli utenti è stata recentemente armonizzata e chiarita dal Garante nelle linee guida del 06 Maggio 2015: “Profilazione on line: regole chiare e più tutele per la privacy degli utenti”.[9]
Innanzitutto il profiling viene indicato come “la definizione di “profili” di utenti (sulla base di caratteristiche, comportamenti, scelte, abitudini) allo scopo di fornire servizi o promozioni personalizzate”, e che la disciplina dovrà essere adottata da “tutti i soggetti stabiliti su territorio nazionale che forniscono servizi on line”.
Parte centrale della tutela è affidata al consenso dell’utente, che sarà necessario “per qualunque attività di profiling diversa da quelle necessarie per la fornitura del servizio”. Tale consenso sarà richiesto anche da parte di utenti non autenticati, che sarebbero altrimenti comunque tracciabili attraverso cookie e loro IP.
Punto essenziale per chi voglia procedere a profilazione, è inoltre, ex art.13 del Codice in materia di protezione dei dati personali, la previsione di un’informativa. Il garante raccomanda, in questo caso, che sia strutturata su più livelli: un primo livello, immediatamente accessibile con un solo click dalla pagina visitata, con tutte le informazioni di maggiore importanza (ad esempio l’indicazione dei trattamenti e dei dati oggetto di trattamento); un secondo livello, accessibile dal primo, con ulteriori dettagli sui servizi offerti. Ciò in maniera non dissimile da quanto previsto in tema di cookie.
Profilazione e cookie si muovono spesso di pari passo, essendo questi ultimi uno strumento tecnico necessario per tenere traccia di abitudini e comportamenti dell’utente.

Il marketing mirato si suddivide infatti in:

–          Contextual marketing, legato ai contenuti visualizzati dall’utente

–          Segmented marketing, mirato ad utenti facenti parte di un determinato gruppo

–          Behavioural marketing, personalizzato per il comportamento specifico del singolo utente

Se il primo tipo di marketing non ha bisogno di complessi elementi tecnici, gli ultimi due devono poter ricollegare il messaggio promozionale ad ogni dato utente, in relazione alla sua appartenenza ad un segmento di mercato ovvero alle sue specifiche preferenze.
Questo avviene attraverso cookie e scambio dei relativi dati tra social network e web in senso ampio.
Ha previsto il Garante, nelle linee guida in materia di attività promozionale e contrasto allo spam, come due categorie di soggetti siano coinvolte in tale scambio:

–          Chi raccoglie i dati degli utenti, per comunicarli ad altri soggetti per finalità promozionali, può acquisire un unico consenso valido per tutti i soggetti terzi indicati singolarmente o per categorie (economiche o merceologiche) nell’apposita informativa fornita all’interessato. Se l’informativa fornita è completa, non è necessario che le società che hanno acquisito i dati rilascino un’ulteriore informativa prima del loro utilizzo.

–          Chi riceve i dati degli utenti, deve prestare attenzione anche quando acquisisce liste di dati personali da altri soggetti e non direttamente dai potenziali clienti: prima di utilizzarli è infatti necessario verificare (magari con controlli a campione) se gli interessati abbiano dato il proprio consenso al tipo di trattamento dati che si vuole svolgere. L’azienda deve poi ricordarsi di fornire l’informativa a queste persone già al momento della registrazione o del primo utilizzo dei loro dati.

Questo tipo di informative sono state prese in considerazione dal Garante nella disciplina dei cookie profilanti di terze parti nel provvedimento dell’8 maggio 2014 “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”.[10]
Fa quindi piacere rilevare come il Garante si sia recentemente mosso sui molti fronti di invio di messaggi promozionali, profilazione e cookies, in modo da rendere il social marketing a prova di privacy.
Nel 2010 Mark Zuckerberg dichiarava “l’era della privacy è finita”.[11] Oggi, nel 2015, sembra che la protezione dei dati personali sia su una lunga ma buona strada.

 

[1] McCarthy, Jerome E. (1964). Basic Marketing. A Managerial Approach. Homewood, IL: Irwin.

[2]La Privacy by Design anticipa la visione che il futuro della privacy non può essere assicurato unicamente dal processo di conformità con il sistema normativo; piuttosto, la garanzia della privacy deve costituire idealmente un modo di operare di default di un’organizzazione.

[3] WP 163 – Opinion 5/2009 on online social networking – Art.29 Working Party

[4] Wired, 15/05/15, visitato il 28/06/15 – http://www.wired.it/ internet/social-network/2015/05/15/marketing-social-network/

[5] Vedere al riguardo anche Article 29 Working Party, WP 174 “Opinion 4/2010 on the European code of conduct of FEDMA for the use of personal data in direct

[6]Garante per la protezione dei dati personali, Doc. web 3867789, 20/04/15 – “Viva i consigli, abbasso lo spam

[7]Garante per la protezione dei dati personali, Doc. web 2542348, 04/06/13 – “Linee guida in materia di attività promozionale e contrasto allo spam

[8] Forbes, 16/02/12, “How Target Figured Out A Teen Girl Was Pregnant Before Her Father Did” – http://www.forbes.com/

sites/kashmirhill/2012/02/16/how-target-figured-out-a-teen-girl-was-pregnant-before-her-father-did/, visitato il 28/06/2015

[9] Garante per la protezione dei dati personali, Doc. web 3921331, 06/05/15 – “Profilazione on line: regole chiare e più tutele per la privacy degli utenti

[10] Garante per la protezione dei dati personali, Doc. web 3118884, 8 Maggio 2014, “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie

[11] Schneier 2010