Home Blog La profilazione degl ...

La profilazione degli utenti secondo le nuove regole Privacy

3rdPlace

di Valerio Sabelli

La maggior parte delle organizzazioni che utilizzano le email come strumento primario di Marketing usano una qualche forma di profilazione dell’utente (profiling). Vari sono gli approcci che si possono seguire, ma il più utilizzato è senza dubbio quello psicografico: parliamo di identificare vari segmenti di mercato basandosi su informazioni “demografiche” come età, genere, posizione geografica, ma anche su interessi, opinioni e – in alcuni casi – l’estrazione sociale. Un diverso approccio è quello basato sulla tipologia del cliente, incentrato sul definire il motivo per cui viene effettuato un certo acquisto (lealtà verso un brand, ricerca di un’offerta speciale, necessità o semplice voglia di acquistare qualcosa di nuovo). Infine, si può identificare un segmento di utenti anche sulla base delle caratteristiche del compratore. Quest’ultimo può infatti fare scelte basate sulla convenienza (ad esempio, acquistando online per risparmiare tempo), sul senso di comunità nel leggere recensioni o opinioni su un certo brand, o sulla personalizzazione della user experience e del prodotto stesso per accogliere le sue esigenze.

Quale che sia l’approccio che riteniamo più adatto, l’importante è ingaggiare i target delle nostre campagne di marketing e comunicare in modo personalizzato, allo scopo di ottenere un maggiore ROI (Return on Investment).

Tuttavia, a partire dal maggio 2018 sono state rese effettive le norme europee relative alla GDPR (General Data Protection Regulation). Questa nuova legislazione inerente alla privacy è andata a coprire molte aree grigie del trattamento dei dati personali, portando inevitabilmente ad una serie di domande da parte di chi opera tutti i giorni proprio con quei dati: cosa è ancora permesso e cosa è stato vietato?

Cos’è il profiling secondo la GDPR?

La GDPR 2016/679 è una regolamentazione nel diritto dell’Unione Europa riguardo la protezione dei dati e la privacy in tutta l’Unione Europea (EU). La norma è stata definita nel 2016 ed è stata resa effettiva, come già detto, a partire da metà 2018.
Nello specifico, con profilazione utente intendiamo la costruzione di un “profilo” volto a categorizzare dei clienti o degli utilizzatori di un certo servizio. Sulla base di tale categorizzazione, quindi, si effettuano previsioni riguardo quelli che saranno i comportamenti e gli interessi dei nostri target. Queste previsioni saranno infine usate per scopi relativi al marketing (pubblicità personalizzate, aggiornamenti su offerte) o per strumenti di decision-making automatizzati.[/vc_column_text][vc_empty_space el_id=”02″][vc_column_text]

Quando è possibile il profiling?

Solitamente, i dati sono raccolti per motivi diversi dalla profilazione utenti (cookie dei siti web, ordini su negozi online o l’invio di newsletter). Di conseguenza, il processamento dei dati personali e la profilazione degli utenti è permessa solo quando esiste una base legale. Andando a definire il concetto stesso di profiling, la GDPR distingue tra quello usato per le decisioni automatiche e quello fine a se stesso.

Quando sono effettuate scelte automatiche sulla base della profilazione utente e queste scelte hanno conseguenze legali per le persone coinvolte (come l’approvazione o il diniego di un contratto di vendita o di un prestito), allora il profiling è permesso solo in alcune casistiche: se è necessario per portare a termine l’accordo (ad esempio un mutuo) o se la persona coinvolta ha fornito un consenso esplicito.

Inoltre, l’organizzazione che effettua la profilazione degli utenti deve organizzare un Privacy Impact Assessment (PIA) per poter tracciare quelli che sono i rischi per la privacy prima di poter iniziare una qualsiasi attività di profiling.
I rischi sono valutati analizzando i processi di detenzione, raccolta ed elaborazione dei dati, allo scopo di garantire una conformità con quanto dettato dalla norma. Ovviamente, questo processo ha anche lo scopo di trovare eventuali spunti di miglioramento in tutta la gestione dei dati.

Condizioni necessarie per il profiling>

Quando lo scopo del profiling è il marketing, quindi pubblicità o newsletter personalizzate, la profilazione può essere effettuata – ovviamente – se si riceve il permesso esplicito dell’utente finale. Lo svantaggio principale di questo approccio è che l’utente potrebbe rifiutare o ritirare successivamente il permesso. Tuttavia, da un punto di vista legale, non saranno necessarie ulteriori giustificazioni al profiling.
Un’altra casistica in cui è possibile la profilazione utente è quando viene presupposto un giustificato interesse. Si usa spesso questo approccio nel caso di marketing automatico tramite posta elettronica. Sebbene possa essere richiesto un permesso specifico per il solo invio delle email, non sarà necessario richiedere il consenso alla personalizzazione dei contenuti. Chiaramente, il limite in questo caso è che il profiling non deve avere effetti “negativi” sul target, ad esempio mostrando prezzi più alti del solito. Lo svantaggio in questo caso è che va costantemente confermato il fatto che l’interesse di marketing per l’utente sia molto maggiore rispetto ai dati personali di cui sta concedendo l’uso.

A prescindere dalle motivazioni per cui si effettua la profilazione dell’utente, devono valere sempre i seguenti principi:
– la persona coinvolta deve sempre essere informata (tramite un cosiddetto privacy statement). Questa informativa, ad esempio sotto forma di banner, deve rimandare ad una pagina contenente tutte le informazioni di base inerenti alla profilazione utenti
– la persona coinvolta deve poter avere sempre la possibilità di rifiutare o revocare il consenso e aver ben chiaro di avere questo diritto
– non è permesso di processare più dati personali di quelli necessari. Piuttosto, sarà necessaria una selezione dei dati immagazzinati nei nostri database per poter sfruttare il minor sottoinsieme possibile di informazioni necessarie allo scopo.

Come gestire i diritti degli utenti coinvolti?

Qualsiasi persona coinvolta in attività di profilazione utente per scopi di marketing deve seguire le regole dettate dalle nuove norme. Se attività o dati (come click, pagine visitate o indirizzi email) sono tracciate intrinsecamente dagli strumenti utilizzati, l’unica opzione è dare all’utente di effettuare un’operazione di unsubscribe.
A quel punto, sarà necessario rimuovere tutti i dati non anonimizzati o seguire un approccio che provvede ad anonimizzare e “cancellare” tracce dell’utente stesso.

In definitiva, fintanto che le attività di marketing rispetteranno i paletti imposti dalla GDPR, il trattamento dei dati personali continuerà ad essere una fonte fondamentale di informazioni per il targeting dei clienti.