Lo stato della privacy dei dati nel 2024
Pubblicato: 2023-09-11Il marketing era una professione relativamente semplice. Non facile, né semplice, ma c’era una certa chiarezza sui confini del ruolo. Ciò valeva soprattutto per le comunicazioni. Prima dell’avvento dell’online e del digitale, i nostri canali di comunicazione erano relativamente pochi. Negli ultimi decenni, e soprattutto negli ultimi cinque-dieci anni, si è verificata una rapida espansione delle opzioni a disposizione dei professionisti del marketing, soprattutto nel campo della privacy dei dati.
L'introduzione del Regolamento generale sulla protezione dei dati (GDPR) dell'UE il 25 maggio 2018 è stata per molti versi una risposta a questa espansione tecnologica. I legislatori europei hanno cercato di fornire una serie di principi che proteggano i dati dei cittadini. Da allora, il GDPR ha dato il via ad altre regioni del mondo affinché considerino il proprio approccio alla regolamentazione dei dati.
Essendo tra i maggiori utilizzatori di dati personali all'interno delle nostre aziende, spetta a noi esperti di marketing garantire di avere una solida conoscenza delle migliori pratiche in materia di protezione dei dati. In particolare, dobbiamo definire le basi giuste. In questo breve articolo identificherò alcune delle aree chiave di cui i leader del marketing e i loro team dovrebbero tenere conto in questo momento.
Suggerimento da professionista : ascolta la cover di Steven Roberts Data Protection 101 sul podcast DMI.
“La trasparenza è un principio chiave alla base del GDPR. Gli esperti di marketing che utilizzano strumenti di intelligenza artificiale che elaborano dati personali devono essere in grado di spiegare in termini chiari e semplici come vengono utilizzati questi dati. " Steven Roberts
Un ecosistema della privacy in rapida evoluzione
Il GDPR ha dato il via a una serie di leggi simili in tutto il mondo, con nuove leggi in paesi come Cina, Singapore e Sud Africa.
Il California Consumer Privacy Act (CCPA) è la più conosciuta tra una serie di leggi locali e statali negli Stati Uniti . Ciò ha contribuito a un ecosistema internazionale di privacy dei dati più complesso.
Nel Regno Unito , il governo britannico sta valutando una revisione del GDPR britannico con una nuova legge sui dati attualmente in fase di sviluppo (a partire da settembre 2023). Le imprese che commerciano con il Regno Unito dovranno monitorare da vicino questo sviluppo, in particolare se influisce sulla decisione di adeguatezza tra UE e Regno Unito*.
In Europa , una serie di leggi comunitarie adiacenti sono in procinto di essere introdotte. Ciò comprende:
- La legge sui mercati digitali
- La legge sui servizi digitali
- Un regolamento sull’IA. Quest’ultima è particolarmente urgente in un momento di rapida espansione della gamma e dell’utilizzo di tecnologie AI come ChatGPT.
Sono inoltre in corso discussioni per rivedere l’attuale direttiva e-Privacy, che è ampiamente considerata non più adatta allo scopo. Tutta questa legislazione può avere un impatto sulle attività di trattamento dei dati degli operatori di marketing che operano all’interno dell’Unione Europea.
La protezione dei dati deve essere inclusa fin dall’inizio
Secondo Chiefmartech.com, esistono più di 11.000 piattaforme tecnologiche di marketing; una cifra che cresce di anno in anno. Molte di queste tecnologie utilizzano i dati personali per raggiungere e indirizzare in modo più efficace vari segmenti di pubblico di consumatori.
Gli operatori di marketing che contemplano una nuova piattaforma, o addirittura qualsiasi nuova strategia che coinvolga l’uso di dati personali, dovrebbero garantire che la privacy dei dati sia presa in considerazione fin dall’inizio. Il principio GDPR della protezione dei dati fin dalla progettazione e per impostazione predefinita è fondamentale in questo caso. Uno dei modi migliori per rispettare questo principio è intraprendere la cosiddetta valutazione dell’impatto sulla protezione dei dati (DPIA).
Ciò comporta un processo in due fasi. Innanzitutto, viene intrapresa una pre-DPIA, in base alla quale vengono poste una serie di domande di alto livello per valutare se il progetto ha il potenziale di comportare rischi significativi per la privacy. Se tali rischi vengono identificati, è necessario completare una DPIA completa. A questo punto ha luogo l'analisi dettagliata del progetto, inclusa la consultazione con le principali parti interessate. Un simile approccio consente una ricalibrazione di un progetto se i rischi per la privacy sono troppo elevati, o l’adozione di azioni mitiganti per ridurre il livello di rischio.
Esempi per gli esperti di marketing potrebbero includere l'introduzione di una nuova strategia di dati proprietari o l'introduzione di una piattaforma CRM. È generalmente considerata una buona pratica che qualsiasi nuovo strumento di marketing che possa utilizzare dati personali sia sottoposto a una DPIA.
IA e privacy dei dati
Le piattaforme di intelligenza artificiale (AI) stanno diventando sempre più popolari tra i professionisti del marketing, alimentando attività come i chatbot automatizzati sui siti Web. L'introduzione di ChatGPT e di altri modelli linguistici di grandi dimensioni (LLM) offre agli esperti di marketing un potenziale significativo per aumentare la propria produttività. Ad esempio, generare blog e articoli come parte di una strategia di content marketing.
Gli esperti di marketing che prendono in considerazione tale tecnologia devono essere consapevoli dei rischi legati alla protezione dei dati. La trasparenza è un principio fondamentale alla base del GDPR. Gli esperti di marketing che utilizzano strumenti di intelligenza artificiale che elaborano dati personali devono essere in grado di spiegare in termini chiari e semplici come vengono utilizzati questi dati. Si tratta di una sfida considerevole poiché spesso non è facile identificare esattamente come i dati vengono elaborati dalla tecnologia AI.
Inoltre, l’articolo 22 del GDPR conferisce alle persone il diritto di opporsi alle decisioni automatizzate che potrebbero avere effetti giuridici. Ad esempio «il rifiuto automatico di una richiesta di credito online o pratiche di e-recruiting senza alcun intervento umano». In questi casi, hanno il diritto di ottenere l’intervento umano come parte del processo decisionale.
Evidenziando le potenziali preoccupazioni sulla protezione dei dati derivanti dall'uso dell'intelligenza artificiale, Google è stata costretta a ritardare l'introduzione di un nuovo chatbot basato sull'intelligenza artificiale, Bard, a seguito di un intervento da parte della Commissione irlandese per la protezione dei dati (DPC). La Commissione ha affermato che il colosso della tecnologia doveva fornire ulteriori informazioni su come sarebbe stato protetto il diritto alla privacy dei cittadini dell'UE. Successivamente Google ha lanciato Bard nell'UE, a seguito di ciò che il DPC ha descritto come "una serie di cambiamenti, in particolare una maggiore trasparenza e modifiche ai controlli per gli utenti".
“La conformità dei dati è un viaggio continuo. La priorità iniziale è ottenere le basi giuste. " Steven Roberts
Aumento delle multe e sensibilizzazione dei consumatori
Come esperti di marketing, siamo la voce del consumatore, responsabili della protezione del marchio e della reputazione delle nostre aziende. I consumatori sono più consapevoli dei loro diritti in materia di protezione dei dati. Gran parte di ciò è dovuto alla pubblicità che ha circondato grandi multe.
Secondo lo studio legale DLA Piper, le autorità di vigilanza dell'UE hanno emesso multe per 1,6 miliardi di euro nei 12 mesi a partire dal 28 gennaio 2022. Questa tendenza è continuata nel 2023, in particolare con l'emissione di una multa di 1,2 miliardi di euro da parte del DPC irlandese contro Meta per il trasferimento di utenti UE ' dati personali negli Stati Uniti senza disporre di adeguati meccanismi di protezione dei dati.
Nell'aprile 2023, l'Information Commissioner's Office (ICO) del Regno Unito ha emesso una multa di 12,7 milioni di sterline a TikTok per violazioni relative all'uso improprio dei dati dei bambini.
Nel frattempo negli Stati Uniti, la privacy dei dati ha visto più prese di posizione politiche, con tentativi di vietare TikTok a livello statale, come nel Montana, e una nuova leadership notevolmente più dura alla FTC che ha fatto causa ad Amazon per aver iscritto i clienti a Prime senza consenso. In Irlanda, il personale delle agenzie governative e statali è tenuto a rimuovere l'app TikTok dai dispositivi ufficiali; mentre sono state introdotte restrizioni anche in giurisdizioni come il Regno Unito e i Paesi Bassi.
Vale la pena notare che mentre l’AdTech e la pubblicità comportamentale erano priorità di applicazione per il DPC e altre autorità di vigilanza, sono state imposte sanzioni contro le imprese in molti settori dell’economia; anche se non ai livelli allettanti che abbiamo visto con le aziende tecnologiche.
Trasferimento di dati internazionali
I trasferimenti internazionali di dati hanno causato notevoli grattacapi alle aziende che cercano di trasferire dati personali al di fuori dell’Unione Europea. È un aspetto della privacy dei dati che ha visto cambiamenti sostanziali negli ultimi anni. Nel luglio 2020, la Corte di giustizia europea ha stabilito che l’accordo esistente sullo scudo per la privacy per i trasferimenti di dati tra l’UE e gli Stati Uniti non è valido. Da quella decisione, nota come Schrems II , entrambe le giurisdizioni hanno cercato un meccanismo alternativo conforme al GDPR.
Un nuovo quadro normativo sulla privacy dei dati è stato approvato dall’Unione Europea all’inizio di luglio. Sebbene sia positivo, resta da vedere se questo sarà soggetto a sfide simili da parte dei difensori della privacy come nel caso dei suoi due predecessori. Nel frattempo, le aziende hanno dovuto trovare approcci alternativi, come l’uso di clausole contrattuali standard (note come SCC)***.
Per le aziende che commerciano con il Regno Unito, il governo britannico ha indicato l’intenzione di semplificare alcuni aspetti del GDPR del Regno Unito con l’ambizione di rendere le norme attuali meno gravose per le imprese****.
Come rimanere informati sulla privacy dei dati
Molti professionisti del marketing faticano a tenere il passo con questo ritmo di cambiamento, in particolare quelli delle PMI che potrebbero non avere accesso alle stesse risorse dei team delle grandi aziende multinazionali.
Vale la pena ricordare a noi stessi che la conformità dei dati è un viaggio continuo. La priorità iniziale è ottenere le basi giuste. Tenendo questo in mente, una serie di aspetti sono cruciali come parte di qualsiasi cultura efficace della privacy dei dati all’interno di un’azienda:
1. La formazione è vitale
La formazione deve essere regolare e continua, sia per il personale nuovo che per quello esistente. Ciò è particolarmente importante considerati i livelli di abbandono a cui stiamo assistendo attualmente in molti ruoli di marketing, insieme al ritmo di sviluppo nell’area della conformità in generale. Alcuni esperti stimano che il 90% di tutte le violazioni dei dati siano il risultato di un errore umano. La formazione è essenziale per contrastare questo rischio.
2. Conoscere le 6 basi giuridiche e i 7 principi fondamentali del GDPR
Molte delle violazioni a cui abbiamo assistito negli ultimi cinque anni avrebbero potuto essere ridotte o eliminate se le aziende avessero considerato le seguenti domande;
- In primo luogo, esiste una base giuridica chiara su cui trattare questi dati personali?
- In secondo luogo, il trattamento è conforme ai principi del GDPR?
3. Imposta il tono dall'alto
Tutte le aziende prendono la guida dei dirigenti senior. Il consiglio di amministrazione e il team esecutivo devono sostenere e sostenere apertamente, attraverso parole e azioni, una forte cultura della privacy dei dati in tutta l’organizzazione.
4. Mettere in atto registrazioni e processi dettagliati
La responsabilità è uno dei principi generali del GDPR. L’articolo 30 del Regolamento richiede un’accurata tenuta dei registri come parte di un’efficace cultura della privacy. Le aziende ottengono inoltre notevoli vantaggi in termini di produttività ed efficienza disponendo in anticipo di processi chiari per aspetti quali le richieste di accesso dei soggetti e la segnalazione delle violazioni dei dati.
5. Comprendere i requisiti di conformità più elevati per i dati relativi ai bambini e alle categorie speciali
Gli esperti di marketing devono essere consapevoli degli ulteriori requisiti di conformità quando si tratta dei dati dei minori e anche di una serie di dati di categorie speciali identificate dal GDPR.
Conclusione
La protezione dei dati si è evoluta rapidamente negli ultimi anni. L’introduzione del GDPR nel 2018 ha generato una maggiore consapevolezza dei consumatori e sanzioni più severe per le imprese non conformi. È stato anche il catalizzatore di un’ondata di leggi simili a livello internazionale in paesi come Cina, Singapore e Sud Africa. Questo ritmo di cambiamento, e la maggiore complessità che ne deriva, significa che è fondamentale per gli esperti di marketing e le loro aziende stabilire un’efficace cultura della protezione dei dati.
Le nuove tecnologie ad alta intensità di dati come l’intelligenza artificiale non fanno altro che rafforzare questo requisito. Concentrandosi sulle nozioni di base corrette, con una formazione regolare sugli aspetti fondamentali del regolamento, processi chiari, tenuta dei registri e supporto dai vertici dell'organizzazione, gli esperti di marketing e i loro team sono nella posizione migliore per garantire che rimangano conformi.
Appunti
* La decisione di adeguatezza dell’UE, concordata nel 2021, afferma essenzialmente che il Regno Unito gestisce un ambiente di protezione dei dati simile a quello dell’UE. La decisione sarà riesaminata dopo quattro anni e potrebbe essere messa a repentaglio se si ritenesse che il Regno Unito si fosse discostato dal livello di protezione dei dati attualmente in vigore.
**Considerando 71, GDPR
*** Se incorporate in un contratto, le SCC possono garantire la conformità agli obblighi di trasferimento dei dati GDPR.
**** Il disegno di legge sulla protezione dei dati e l'informazione digitale (n. 2).