Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

I PUNTI CHIAVE

GDPR e retail, cosa cambia nella vendita al dettaglio: linee guida per le aziende

Con l’applicazione del GDPR nel retail, la centralità del dato e la capacità di costruire un sistema di protezione sono diventati punti focali per essere competitivi nel settore. Ecco come sviluppare un modello di business in totale conformità al Regolamento UE

14 Nov 2018
M
Luca Morini

Giurista, Data Protection Officer, Responsabile Emilia Romagna di Casa del Consumatore


C’è un settore economico che, forse più di altri, sta vivendo una vera e propria rivoluzione dei propri assetti: il retail. Immobile, o quasi, per decenni, il sistema di vendita al dettaglio si sta completamente reinventando. Con l’applicazione del GDPR nel retail, infatti, la centralità del dato e la capacità di costruire un sistema di protezione e garanzie porteranno, ragionevolmente, ad una selezione naturale tra i competitors del settore.

GDPR, retail e Internet of things: nuovi scenari

La linea di demarcazione tra vendita online e offline, almeno per come siamo abituati ad immaginarla, è sempre più sfumata e tende a scomparire. I cambiamenti nel sistema di vendita al dettaglio con l’introduzione dell’IoT ovvero di oggetti connessi, sono talmente ampi da poter coinvolgere e stravolgere l’intera strategia e la quasi totalità processi aziendali.

Per chi ha difficoltà ad immaginare applicazioni pratiche, IoT significa ad esempio possibilità di tracciare con esattezza le consegne di beni da parte dei fornitori via GPS, automazione per la gestione del magazzino, ottimizzazione dell’inventario, ma anche monitoraggio del comportamento dei clienti nell’approcciarsi all’acquisto o nella valutazione del prodotto esposto, checkout automatizzati, sconti personalizzati gestiti tramite sensori nello smart shop e via dicendo.

Questi sono solo alcuni dei possibili esempi di applicazione. Non è difficile intuire come, in questo contesto, ogni strategia di marketing parta da una base comune, la conoscenza sempre più profonda del consumatore, l’interazione sempre più invasiva con i clienti, un aumento esponenziale del volume di dati e trattamenti, soprattutto automatizzati, che riguardano persone fisiche.

GDPR nel retail: la situazione in Italia

Il contesto nazionale, nel silenzio tombale del dibattito politico sul punto, appare poco reattivo, in ogni caso incapace di cogliere e sfruttare il cambiamento in atto.

Da un lato assistiamo all’incapacità, forse comprensibile, di cogliere il momento storico e le opportunità che si creano da parte delle piccole realtà commerciali territoriali, cui, meno comprensibilmente, si affianca un sistema di grande distribuzione altrettanto pigro, comunque lento, macchinoso e basato su strutture vecchie ed inadatte a rispondere all’attuale contesto commerciale globale ed alle nuove prospettive.

La bassa reattività della grande distribuzione è tanto più grave quanto più riguarda mercati ad alto potenziale come quelli di città come Milano e Roma.

Dall’altro lato assistiamo passivamente alle strategie di chi guida davvero questo cambiamento. Mentre uno dei più importanti attori della grande distribuzione italiana è finalmente alle prese con l’introduzione di spesa online e consegna a domicilio, colossi come Amazon ed Alibaba introducono sistemi di vendita affidati a droni in grado di rispondere ad un ordine online consegnando il prodotto in soli 30 minuti.

In altri settori, come recentemente paventato dal CEO di Nike, intendono rivoluzionare il proprio partenariato commerciale per dedicarsi allo sviluppo di un concetto di marketing collegato all’unicità dell’esperienza utente in fase d’acquisto. Oggi non interessa più “soltanto” vendere un prodotto: si punta sull’esperienza d’acquisto, sulla possibilità di collegare l’acquisto ad un ricordo positivo che verrà associato al marchio.

Neuromarketing e profilazione: implicazioni per la privacy

Uno dei fattori che sembra comune ad ogni possibile sviluppo di questa rivoluzione del settore è, come anticipato, la centralità del consumatore come entità individuale. Più se ne conoscono le abitudini, i pensieri, le reazioni, maggiore sarà la possibilità di influenzarne le scelte.

In questo contesto si sviluppa il cosiddetto neuromarketing, inteso come insieme di attività collegate allo studio delle attività cognitive inconsapevoli degli utenti finalizzate a convogliarne e dirigerne i processi commerciali. Un sistema legato ad un’offerta sempre più personalizzata e basata sulle reali intenzioni e caratteristiche del singolo individuo.

Non ci si limita più a conoscerne le intenzioni (di acquisto), ora si punta a conoscere il reale comportamento d’acquisto dell’utente. Tralasciando gli aspetti etici, fermo restando che è tutt’altro che scontato si tratti di un cambiamento esclusivamente negativo, si pone il problema di tutelare e porre dei limiti ben precisi a questa sempre maggiore invalidità, conoscenza ed acquisizione automatizzata di dati collegati alle persone.

Per cogliere a pieno questa necessità, occorre tener presente che non parliamo solo di profilazione di individui adulti all’interno di uno smart shop. Sono in atto a livello globale sistemi di profilazione in grado di cogliere, registrare e analizzare le variazioni comportamentali degli utenti, sulla base della mappatura delle onde cerebrali o dell’eye-tracking ad una data variazione del prezzo di un prodotto.

Dobbiamo allora comprendere dove finiscono i dati raccolti, come e per quanto tempo vengono conservati, da chi, con quali garanzie. I minori, peraltro, costituiscono per certi aspetti il target commerciale più appetibile per alcuni settori specifici.

La raccolta di dati e l’interazione con strumenti in grado di tracciare le nostre vite è e sarà sempre più veloce, frequente ed invasiva.

La centralità dei dati personali dei consumatori ed il loro controvalore economico sono in costante crescita. Crescita che porta con sé un costante aumento di attacchi e tentativi di acquisizione fraudolenta di dati. L’ultimo rilevamento del Rapporto Clusit sul numero di cyberattacchi gravi nei primi sei mesi del 2018 parla chiaro: solo in Italia parliamo di 730, con un incremento del 31% rispetto alla seconda metà del 2017.

Fiducia, trasparenza e garanzie: ottenere la compliance al GDPR

Chiunque voglia vivere in prima persona le sfide commerciali e professionali in atto, dovrà partire da un modello di business sviluppato ad hoc, o comunque completamente rivisto, in totale e costante conformità al GDPR. Abbiamo già assistito all’enorme sviluppo di realtà imprenditoriali poi letteralmente cancellate dal cosiddetto danno reputazionale dovuto ad un data breach, o alla scoperta di aver fatto un uso illecito o anche solo poco etico dei dati dei propri utenti.

In questo contesto ogni azienda attiva nel Retail dovrà tenere ben fermi i concetti di Privacy by Design e Privacy by Default, ripensando integralmente il processo di trattamento dei dati personali lungo tutto il tragitto che, dalla fase precedente all’acquisizione, porta alla sua cancellazione finale.

Alta attenzione anche alla limitazione della raccolta. I dati trattati devono essere solo e soltanto quelli realmente necessari rispetto alla finalità del trattamento.

Acquisizione di dati lecita dunque, ma anche trasparenza verso i clienti. Protezione dei loro dati e garanzie dei loro diritti, portabilità compresa.

I concetti di accountability e privacy by design e by default sono in questo contesto imprescindibili non soltanto perché imposti dalla normativa europea, ma per la sopravvivenza commerciale ed economica stessa dell’imprenditore.

È importante conoscere i propri processi aziendali

Il punto di partenza è la conoscenza dei propri processi aziendali: un’azienda attiva nel settore Retail tratta dati per assunzioni, marketing, vendite, assistenza clienti e soprattutto, ragionevolmente, per profilazione. Nel Web marketing è praticamente impossibile, anche perché sarebbe insensato, trovare un sito che non profili gli utenti in base al comportamento completo che accompagna la visita del sito: quanto tempo sta su una pagina, quanto interagisce con link e CTA, in quale fase del processo d’acquisto eventualmente si blocca o in quanto tempo e tramite quale percorso conclude l’acquisto di un prodotto.

I dati così acquisiti sono un bene da proteggere. E se nel Web marketing invasività e rischio possono essere facilmente arginati con rilevamenti anonimi, non altrettanto semplice appare la posizione dello smart shop.

GDPR nel Retail: l’importanza di proteggere i dati

Oltre alla profilazione in senso classico, è ora possibile si ponga il problema di trattare dati biometrici, ad esempio introducendo un sistema di checkout biometrico. Si tratta di un trattamento, in via generale, notoriamente vietato dall’art. 9 del GDPR. Ricordare dunque l’obbligo di informativa e di raccolta del consenso, non essendo ravvisabili, a parere di chi scrive, altri presupposti di liceità del trattamento ex art. 9, p.2.

Importante anche ricordare il divieto di diffusione e valutare l’impatto del D.lgs. 101/2018 sul punto, che impone il rispetto dell’art. 2-septies del novellato “Codice Privacy” per trattare dati biometrici, stabilendo l’obbligo di conformità alle misure di garanzia che verranno disposte dal Garante. Obbligatorio inoltre provvedere ad una DPIA ex art. 35 GDPR, intendendo il documento come dinamico, non statico ed immutabile. I rischi cambiano, le condizioni, i presupposti, i processi anche.

Non si può dimenticare che in gioco c’è l’intero rapporto fiduciario bidirezionale che la propria azienda ha con il consumatore da un lato e verso il sistema economico nel suo complesso dall’altro.

Ben saldi dunque anche i principi dell’art. 5 del GDPR:

  • i dati devono essere trattati in modo lecito, corretto, equo e trasparente;
  • i dati devono essere raccolti solo per scopi determinati ed espliciti. Molti, sul punto, individuano e determinano gli scopi ma dimenticano di renderli espliciti. Si tratta invece di un concetto da non sottovalutare. I trattamenti successivi sono permessi solo se c’è compatibilità con la finalità iniziale;
  • i dati devono essere adeguati, pertinenti e limitati a quanto necessario. Non dunque a quanto potenzialmente utile, ma a quanto necessario. Adeguatezza, pertinenza e limitazione;
  • i dati devono essere accurati e aggiornati. Esatti. Devono quindi essere agevolmente aggiornabili;
  • la conservazione dei dati dev’essere legata al fine. Raggiunto lo scopo del trattamento, i dati devono essere cancellati, con alcune residuali eccezioni;
  • necessario garantire sicurezza, integrità e riservatezza adeguate. Capitolo estremamente ampio che comporta tutte le misure di sicurezza che è possibile mettere in atto. Dalla semplice sensibilizzazione dei propri dipendenti rispetto all’uso ed alla complessità di una password ai sistemi di cifratura e pseudonimizzazione dei dati.

Le aziende sono ora responsabili delle proprie scelte ed hanno ampia discrezionalità operativa. Non si tratta solo e soltanto di essere in grado di dimostrare la conformità ai principi ed a tutta la normativa, sia contenuta nel GDPR sia nel novellato Codice Privacy italiano: si tratta di raggiungere un adeguato grado reale e sostanziale di protezione e garanzie. Il numero di documenti prodotti non ha rilevanza in questo contesto. La loro intestazione è un dato ancora meno rilevante.

La compliance parte dalla trasparenza interna dei processi, dalla loro mappatura, dalla conoscenza profonda del proprio ambiente aziendale, anche in relazione alle proprie capacità di spesa ed investimento. Si espande poi in una serie di scelte e di decisioni interne e di comunicazioni e garanzie riservate agli interessati.

Bene anche ricordare che, in merito ai requisiti di sicurezza, il GDPR impone valutazioni sullo “stato dell’arte” quindi sulle tecnologie disponibili e sui costi di attuazione, nonché in merito al trattamento, sulla sua natura, contesto, finalità ed oggetto.

La normativa, sul punto, presenta un richiamo espresso alla resilienza dei sistemi, intesa come capacità di un sistema di reggere e minimizzare gli effetti negativi di un incidente di sicurezza. Sul presupposto quindi che non si possa raggiungere un livello di sicurezza assoluto, occorre porre in debita considerazione strumenti e piani in grado di garantire ripristino e conservazione dei dati, identificazione delle vulnerabilità e dei comportamenti interni che possono aver contribuito al successo di un attacco informatico.

Altro aspetto critico, ancor più importante delle comunicazioni in sé stesse in caso di data breach è la minimizzazione degli effetti negativi. Il dato in stato di mera conservazione oltre ad essere cifrato è opportuno sia scomposto e conservato separatamente. Misure di sicurezza devono essere adeguatamente disposte in relazione ai backup, alle password, all’uso degli strumenti elettronici ed in generale a tutto ciò che può creare pregiudizio all’interessato.

In ultimo, non certo per importanza, occorre siano sempre garantiti i diritti degli interessati. Diritti che, in un contesto commerciale dove il consenso sembra l’unica base giuridica utilizzabile per permettere profilazione, trattamento di dati biometrici o relativi alla salute (ad esempio le allergie), dovranno comprendere anche una procedura per l’agevole esercizio del “nuovo” diritto alla portabilità.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5