GDPR lead generation

Published on marzo 26th, 2021 | by dirittodellinformatica.it

0

Lead Generation: come farlo rispettando il GDPR

Oggi più che mai riuscire a raggiungere i clienti è di importanza fondamentale per le aziende e un aiuto importante in questo senso lo danno le campagne marketing di lead generation. La personalizzazione e l’efficacia che riesce a raggiungere questo tipo di strategia è dovuta alla raccolta di dati.

Tuttavia, raccogliere dati significa dover essere compliance al GDPR e quindi mettere in pratica tutte quelle norme atte a proteggere la privacy dell’utente.

Cosa si intende per lead generation

La lead generation, letteralmente “la generazione di contatti”, è un insieme di attività di marketing volta all’individuazione di una lista di soggetti che dovrebbero essere interessati ad un determinato servizio e/o prodotto.

Nella pratica si tratta di mettere in atto una serie di azioni strategiche finalizzate all’acquisizione di clienti tramite e-mail, annunci, retargeting, blog, social media, landing page, promozioni e offerte dedicate.

La lead generation ha lo scopo quindi di creare un insieme di contatti affinché l’azienda possa coltivare la relazione con loro fino, eventualmente, a trasformarli in clienti.

Tuttavia, l’attività di acquisizione di “lead” selezionati deve essere coerente con la normativa sulla tutela dei dati personali (in primis, il Regolamento UE 679/2016, GDPR), in quanto la raccolta e l’utilizzo di dati per finalità di marketing si qualificano a tutti gli effetti come un trattamento di dati personali.

Lead Generation e GDPR: l’importanza del consenso

Cosa deve fare quindi un’azienda per generare lead rispettando il GDPR?
Il GDPR prevede una serie di adempimenti che ogni soggetto che svolge un’attività di trattamento dei dati personali deve rispettare. Primo fra tutti, il requisito del consenso che, in base all’art. 7 del GDPR, deve essere:

  • libero, ovvero espresso senza alcun tipo di costrizione;
  • specifico, cioè relativo ad una precisa finalità (es. marketing);
  • inequivocabile: le modalità con cui il consenso viene dato devono essere chiare e facilmente identificabili;
  • informato: l’interessato deve essere stato prima informato sulla tipologia dei dati trattati, sulle finalità e modalità del trattamento, e così via (ai sensi dell’art. 13 GDPR);
  • verificabile: chi lo raccoglie deve riuscire a dimostrare di aver proceduto correttamente ed effettivamente ad acquisire tale consenso;
  • revocabile in qualsiasi momento, gratuitamente e con facilità.

In particolare, in merito alla revocabilità, è necessario che l’azienda garantisca al cliente una serie di strumenti, tra i quali link di opt-out per esercitare il diritto di opposizione al trattamento, per chiedere di interrompere il servizio e l’eliminazione dei dati dopo un periodo di tempo prestabilito, in particolare, in caso di inattività del soggetto.

Lead Generation sui social

Gli strumenti tra i più usati per fare lead generation sono i social network.
La facilità di fruizione, la diffusione globale, la rete di connessione tra utenti, la comunicazione diretta sono tutte caratteristiche accattivanti per un’azienda che vuole far conoscere i propri prodotti.

Attraverso l’organizzazione di contest, la promozione di video e webinar gratuiti, l’utilizzo di campagne di social advertising è possibile raggiungere una platea vastissima, con il minimo sforzo ed un potenziale massimo risultato.

Ma anche in questo caso, non è tutto oro quel che luccica! Per non incorrere in sanzioni da parte del Garante sarà necessario adoperare tutte le misure previste dal GDPR e dalle altre normative di settore eventualmente rilevanti, oltre che rispettare le condizioni di utilizzo specifiche di ciascun social network.

È importante, infatti, tenere presente che non tutte le attività che vediamo quotidianamente sui social sono effettivamente lecite e che il rischio, se non si rispettano i termini d’uso della piattaforma, è quello di vedersi direttamente chiudere la propria pagina.

Esemplificativo in questo senso è lo svolgimento di contest online: sebbene i social siano ormai invasi da “giveaway” promozionali di ogni genere, queste manifestazioni sono spesso svolte in violazione sia delle regole sui concorsi previste da ciascun social network sia delle prescrizioni normative in materia (in particolare, DPR n. 430/2001). E questo mette gli organizzatori a rischio sia di chiusura della pagina e rimozione definitiva di tutti i suoi contenuti, sia di sanzioni inibitorie e pecuniarie da parte delle autorità competenti.

Lead Generation con la mail

Se grazie alla lead generation è possibile raccogliere contatti, grazie ai processi di lead nurturing vengono messe in moto attività finalizzate a creare e consolidare il rapporto con la potenziale clientela attraverso l’invio di comunicazioni altamente personalizzate.

L’invio di un’e-mail è l’esempio più calzante di questa tipologia di attività, che non è però esonerata dalla necessità di rispettare una serie di accorgimenti per effettuarla a norma.

In particolare, si ricorda che sarà necessario:

  • avere predisposto e messo a disposizione degli utenti un’informativa ai sensi degli articoli 13 e 14 del GDPR, in cui siano indicati tutti gli elementi riferiti al trattamento dei dati personali, tra cui anche le finalità di marketing;
  • avere prima ricevuto dagli interessati il consenso specifico per l’invio di tali comunicazioni;
  • utilizzare un contenuto accattivante, ma mai eccedente l’ambito del trattamento per cui si è ricevuto il consenso;
  • consentire sempre all’utente la possibilità di revocare il consenso, attraverso strumenti rapidi, semplici e gratuiti, ad esempio mettendo a disposizione nella comunicazione inviata un link per effettuare l’opt-out e opporsi al trattamento.

Lead Generation offline

Sebbene la lead generation nasca per il web, non è detto che non possa essere applicata anche al di fuori. I negozi possono, attraverso la diffusione di volantini, ad esempio, attrarre il cliente che, invece di accedere al sito web, vi si recherà fisicamente. Lo scopo resta lo stesso: entrare in contatto con il cliente.

Se poi al volantino aggiungessimo un link da cui estrarre un codice sconto, riusciremmo a far coincidere la lead generation online con la lead generation offline.

Un’altra modalità efficace per acquisire dati utili per finalità di lead generation è l’incontro diretto con la clientela, che avviene in diverse circostanze, quali: eventi, fiere, allestimenti di stand.

Una volta raccolti i dati, conservarli e aggiornarli su un database può essere la mossa più congeniale allo scopo prefissato: anche in questo caso, però, non bisogna tralasciare la normativa di riferimento. Anche se i dati di contatto sono stati forniti liberamente dall’interessato, le successive attività di marketing, come l’invio di comunicazioni promozionali, dovranno sempre e comunque fondarsi su un consenso preventivo, espresso e specifico da parte dell’interessato e non potranno ricavarsi implicitamente.

Creare un database o comprare contatti?

Una volta raccolti tutti i dati, questi possono essere inseriti in database che vengono poi riutilizzati per le future comunicazioni. Tuttavia, per fare lead generation rispettando il GDPR, è necessario predisporre una serie di accorgimenti relativi alla tutela dei dati dei singoli interessati.

L’azienda dovrà quindi, tra le altre cose:

  • predisporre una corretta informativa privacy,
  • acquisire il consenso per tutte le specifiche finalità del trattamento e, ancora,
  • conservare i dati per un periodo di tempo limitato, ossia fino alla fine del trattamento stabilito o del periodo concesso dalla normativa, oppure quando ne viene richiesta la rimozione.

Solitamente i database vengono creati con le campagne marketing, tuttavia ci sono aziende che vendono i contatti raccolti, permettendo ad altre aziende di ridurre i tempi di ricerca e individuazione dei contatti. In questi casi, però, bisogna stare molto attenti alla qualità dei dati, ma soprattutto all’affidabilità del fornitore e alla liceità dei trattamenti che vengono fatti di quei dati.

Al di là dei rischi più commerciali, derivanti da una limitata profilazione dei dati o da una maggiore probabilità di diventare “spam”, quello che deve realmente preoccupare sono i rischi giuridici di violazione della normativa in materia di protezione dei dati personali, con le relative e pesanti sanzioni pecuniarie irrogate dall’Autorità Garante.

Bisogna quindi valutare in concreto se vi è la possibilità di verificare, ad esempio, che il consenso dell’interessato sia stato acquisito validamente, che sia ancora valido e che riguardi l’utilizzo specifico che si intende fare dei dati.

Anche in questo caso la compliance al GDPR è infatti d’obbligo: i soggetti devono aver prestato il consenso per tutte le attività che vengono realizzate con i propri dati e nei tempi previsti dalla normativa.

Quindi, dall’altro lato, un’azienda che intende vendere i contatti dovrà informare l’utente che i suoi dati possono essere venduti a terzi, richiederne il consenso espresso e specifico, indicare le finalità per le quali i dati potranno essere utilizzati, permettere il corretto esercizio dei loro diritti e così via.

Comunicare a chi non ha dato il consenso: si può?

Possono verificarsi casi in cui il soggetto non ha dato il proprio consenso e riceve lo stesso delle comunicazioni promozionali da parte dell’azienda.
Il GDPR sul punto è chiaro. Secondo l’art. 6 del Regolamento, il trattamento dei dati è lecito solo se e nella misura in cui vi sono i seguenti presupposti:

  • l’interessato ha espresso il proprio consenso secondo le caratteristiche enunciate all’art. 7;
  • per l’esecuzione di un contratto;
  • se vige un obbligo legale;
  • se vi siano interessi vitali, pubblici o legittimi.

Un’eccezione al consenso quando si parla di comunicazioni con finalità di marketing si ha nel caso di soft-spam, disciplinato all’art. 130, co. 4, del Codice della Privacy (d.lgs. 196/2003).

Questa forma di comunicazione promozionale è lecita in quanto si fonda sulla considerazione che l’interessato può ragionevolmente aspettarsi di essere contattato da soggetti dai quali ha già acquistato dei prodotti o dei servizi. Citando la norma, infatti: “se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni”.
Le condizioni, pertanto, sono due:

  • che le comunicazioni commerciali avvengano tramite e-mail
  • che siano pertinenti con gli acquisti fatti in precedenza.

Conclusioni

Il confine tra ciò che è lecito e ciò che non lo è più, quando si parla di strategie di marketing, potrebbe sembrare molto labile.
Lo sa bene l’Autorità Garante della Privacy che di recente è intervenuta proprio per sanzionare un noto colosso della telefonia “per numerosi trattamenti illeciti di dati legati all’attività di marketing” condannandolo al pagamento della somma di € 27.802.946.

È chiaro che, per poter garantire la piena tutela dei dati dei singoli clienti, i titolari del trattamento e gli eventuali responsabili dovranno adeguarsi a tutte le misure previste dal legislatore europeo in materia di profilazione.

Cosa fare per evitare sanzioni così salate è già previsto dalla normativa e chiaramente indicato anche dai vari provvedimenti dell’Autorità Garante ed è, in realtà, meno gravoso di quello che spesso si pensa: è importante che le strategie di marketing ne facciano sempre più applicazione, proprio per essere sempre più competitive.

Vuoi fare campagne di acquisizione clienti in compliance con il GDPR? Contattaci all’indirizzo studio@fclex.it o al numero 051 23 57 33.

Redazione Diritto dell’informatica.

Tags: ,


About the Author



Back to Top ↑