Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Lo strumento

Marketing e profilazione, il ruolo delle Data Management Platforms alla luce del GDPR

Le attività di marketing, indispensabili per un’azienda, hanno inevitabilmente conseguenze in materia di privacy. In questo contesto in cui si richiede la compliance al GDPR, sono un utile strumento aziendale le DMP – Data Management Platforms

12 Set 2019
A

Andrea Afferni

Avvocato


Uno strumento sempre più indispensabile per rendere efficiente un’attività di marketing e di comunicazione, pur presentando rilevanti questioni in materia di privacy, è rappresentato dalle cosiddette DMP o Data Management Platforms le quali, attraverso la raccolta, l’organizzazione e l’analisi di grandi quantità di dati, si stanno imponendo tra gli operatori del marketing e della comunicazione quali mezzi essenziali per l’ottimizzazione e la programmazione delle campagne pubblicitarie alla luce del GDPR.

L’impiego del marketing

Il marketing rappresenta uno strumento essenziale di sviluppo per il business di qualsiasi organizzazione, ossia quello strumento che permette di individuare e soddisfare i bisogni umani e sociali trasformandoli in un’opportunità di crescita e di generazione di ricchezza aziendale.

Un corretto ed efficace utilizzo di tale strumento consente infatti di creare profitto e sviluppo sia attraverso l’indirizzo della domanda verso nuovi prodotti e servizi sia ponendosi come incentivo all’innovazione.

Per queste ragioni avere una corretta strategia di marketing è fondamentale ed il suo successo non può prescindere da una pianificazione attenta e scrupolosa, la quale necessariamente deve tradursi in pratiche che si servono degli strumenti e delle tecnologie migliori e più avanzate.

Lo sviluppo di efficaci attività di marketing, soprattutto sul canale web, richiede inoltre, quale elemento ormai irrinunciabile, l’utilizzo e il trattamento di dati personali dei consumatori, senza i quali risulta oggi estremamente difficoltoso gestire un’efficace campagna pubblicitaria.

La raccolta di informazioni sui comportamenti, le abitudini e le preferenze dei consumatori, se elaborate in grandi quantità e in tempo reale, consente infatti di ottenere “nuove fonti di conoscenza” che permettono “alle aziende di trasformare un estraneo in un cliente fedele” o, per meglio dire, “fidelizzato”.

Le informazioni e i dati raccolti, se adeguatamente elaborati ed analizzati, offrono a chi fa business la possibilità di meglio comprendere e influenzare in modo efficiente il comportamento delle persone in relazione ai loro acquisti, consentendo così un miglior posizionamento dei prodotti sul mercato, ma anche di innovare la propria attività con investimenti mirati e di proporre servizi originali e attenti ai bisogni dei clienti, anche solo potenziali.

Cos’è e a cosa serve una Data Management Platform

Senza alcuna pretesa di entrare in aspetti eccessivamente tecnici, è possibile definire una DMP come quella piattaforma tecnologica unificata, nata per l’attività di Business Intelligence, oggi strategica per il digital marketing, che consente di ottimizzare la compravendita di spazi pubblicitari, soprattutto online, attraverso la creazione di precisi segmenti target di utenti e attraverso la misurazione della performance delle campagne erogate per canale e per singolo segmento.

Una DMP è quindi un software che raccoglie e centralizza molteplici serie di dati, proprietari, di seconde e di terze parti, li normalizza e li segmenta, creando profili di utenti attraverso l’individuazione di pattern e di ricorrenze nell’esperienza di navigazione dell’utente e attraverso l’unificazione con i dati raccolti sui diversi “punti di contatto” tra le aziende e i loro utenti.

Gli utenti vengono quindi tracciati in tempo reale e le informazioni così acquisite, opportunamente combinate tra loro, consentono di stilare un profilo e identificare i segmenti target attraverso informazioni quali, per esempio, le pagine visitate, le campagne viste e la posizione geografica in cui si trova l’utente.

Questi profili possono poi essere arricchiti attraverso l’inferenza di caratteristiche socio-demografiche, anche grazie al confronto con un campione di utenti registrati di cui si conoscono tali informazioni poiché già acquisite tramite sorgenti esterne integrate nella DMP.

Tale processo permette al fruitore di una DMP di agire sul segmento target così creato e di raggiungere i singoli segmenti sui diversi circuiti attraverso specifiche e personalizzate campagne di marketing.

L’utilizzo delle DMP

Il sistema utilizzato dalla DMP necessita pertanto di un’elevata quantità di dati e di informazioni al fine di un suo corretto funzionamento, poiché maggiore è la quantità – e la qualità – dei dati trattati, maggiore sarà il grado di dettaglio della segmentazione degli utenti e, di conseguenza, la precisione della tattica e della strategia utilizzata dall’operatore di marketing, consentendogli di massimizzare il valore delle proprie campagne attraverso un’attività in tempo reale di estrazione e di analisi di informazioni utili a tal fine.

Con un utilizzo attento e scientifico di tale strumento si ha inoltre la possibilità, non meno rilevante in termini economici, di sfruttare la DMP al fine di una c.d. data monetization, ossia al fine di estrarre valore dai dati-profilo degli utenti attraverso la creazione, con il patrimonio informativo raccolto, di dataset e pacchetti dati da offrire a partner o a società terze.

Viene così accentuata ancor più quella visione ormai consolidata del “dato” come un vero e proprio prodotto.

L’utilizzo dei dati è quindi la base di un proficuo funzionamento di una DMP e della sua capacità di produrre valore. I dati che la DMP acquisisce e utilizza possono essere di tre tipi:

  • dati di prima parte, ossia dati di proprietà cui si può liberamente accedere e che sono ricavati da fonti proprie;
  • dati di seconde parti, ovvero quei dati di proprietà di un partner, cui però si può accedere sulla base di un accordo;
  • dati di terze parti, ossia quei dati che vengono acquistati da terzi.

Le implicazioni per la privacy

Da quanto sin qui esposto appare chiaro che un approccio data-oriented al marketing comporta notevoli implicazioni in materia di privacy, ancor più a seguito della definitiva entrata in vigore del nuovo Regolamento Europeo sulla tutela dei dati personali, il GDPR.

L’attività di raccolta dati su una così ampia scala, svolta anche attraverso l’utilizzo di una DMP, pone infatti evidenti problematiche soprattutto con riferimento alla trasparenza con cui i dati degli utenti sono raccolti, conservati e, più in generale, trattati.

In primo luogo si pone il problema di una corretta e completa informativa per i soggetti interessati. In particolare, se si tratta di dati proprietari (o di prima parte) il titolare del trattamento di tali dati sarà tenuto a fornire all’interessato, preventivamente rispetto ad ogni operazione di raccolta, le notizie prescritte dalla normativa privacy in vigore.

Qualora invece il titolare non abbia avuto un precedente contatto con l’interessato per la raccolta dei dati (come avviene, per esempio, per i dati di terze parti), le informazioni prescritte per legge dovrebbero essere fornite all’atto del primo contatto.

In secondo luogo, l’attività di profilazione, che si pone come attività strutturale ed essenziale per il funzionamento di una DMP, prevede la necessità, come prescritto dal GDPR, dopo aver informato l’utente sulle finalità dei trattamenti, di raccoglierne il consenso.

La profilazione

Prima ancora di analizzare tali due aspetti, occorre però inquadrare con maggior precisione il concetto di profilazione, facendo per ciò riferimento a quanto previsto dal GDPR, il quale intende la profilazione come quella “forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica” (art. 4, n. 4, GDPR).

Citando una precisa ed utile definizione, per profilazione si intende una “tecnica di trattamento automatico mediante algoritmi di molteplici tipologie di dati personali relativi a quantità numericamente elevatissime di persone, per attribuire a ciascuna di queste ultime un profilo, ovvero una categoria predefinita e delineata attraverso parametri che il responsabile del trattamento considera necessari alla sua ricerca, al raggiungimento del suo scopo; il target è studiato nelle sue abitudini di consumo e negli stili di vita che ne rivelano attitudine e capacità di spesa, gusti per alcuni prodotti o servizi e disinteresse per altri, caratteristiche legate alla sua identità personale”.

La profilazione consiste quindi in una procedura che non si limita al mero tracciamento online, ma che mira a circoscrivere o prevedere, usando dati provenienti da varie fonti, le preferenze, i gusti, le abitudini o i comportamenti di una determinata persona al fine di prendere decisioni che la riguardano.

Per potersi parlare di profilazione non è sufficiente che venga effettuata una semplice classificazione basata su caratteristiche quali l’età, il sesso e l’altezza al fine di acquisire una panoramica aggregata e senza che vengano effettuate previsioni o tratte conclusioni in merito ad una persona specifica.

È invece necessario che vi sia un trattamento almeno in parte automatizzato, che detto trattamento riguardi dati personali e che la sua finalità sia valutativa, ovvero abbia l’obiettivo di valutare gli aspetti personali relativi ad una persona fisica.

Marketing e profilazione: cosa prevede il GDPR

La problematica principale dell’attività di profilazione così descritta consiste soprattutto nel fatto che detto processo risulta per lo più invisibile agli interessati ed è per tale ragione che il legislatore europeo ha previsto una serie di meccanismi a tutela dei dati personali da tenere ben presenti qualora si decida di far ricorso ad una DMP.

L’art. 5 del GDPR, in particolare, prevede che i dati raccolti, anche ai fini della profilazione, siano “limitati a quanto necessario rispetto alle finalità per le quali sono trattati” – c.d. minimizzazione dei dati -, che siano esatti e aggiornati e che siano conservati “per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.

Il Regolamento prevede poi che qualsiasi trattamento di profilazione sia lecito solo se necessario per la conclusione o l’esecuzione di un contratto o per il perseguimento di un interesse legittimo del titolare o, ancora, se basato sul consenso informato dell’interessato. L’ottenimento del consenso si pone quindi come una delle condizioni di liceità dell’attività di profilazione.

A quanto sopra si aggiunga che, comunque, all’interessato è riconosciuto il diritto di revoca del consenso (art. 7, GDPR) e la possibilità di esercitare il diritto di opposizione previsto dall’art. 21 del Regolamento, ossia il diritto di opporsi a qualsiasi trattamento dei dati personali che lo riguardano, compresa la profilazione, e di opporsi, in particolare, al trattamento per finalità di marketing diretto.

Marketing e profilazione: il consenso dell’interessato

Tra i diversi mezzi previsti dal GDPR a tutela dei dati personali degli utenti, il meccanismo del consenso si pone come preponderante e come prerequisito essenziale e non evitabile, da richiedersi ogniqualvolta si svolga attività di profilazione.

Sul punto, il Considerando 71 afferma che è possibile adottare decisioni sulla base di un’attività di profilazione “se l’interessato ha espresso il proprio consenso esplicito. In ogni caso, tale trattamento dovrebbe essere subordinato a garanzie adeguate, che dovrebbero comprendere la specifica informazione all’interessato e il diritto di ottenere l’intervento umano, di esprimere la propria opinione, di ottenere una spiegazione della decisione conseguita dopo tale valutazione e di contestare la decisione”.

Ribadendo l’importanza dell’ottenimento preventivo del consenso per lo svolgimento di un’attività di profilazione, il Garante ha sottolineato che: “affinché i trattamenti di dati effettuati per finalità di profilazione, anche realizzata con diverse modalità, soddisfino i requisiti di legge, sia necessario il consenso dell’interessato e tale consenso deve rispondere, ai fini della sua validità, ai requisiti di legge e pertanto deve essere libero, acquisito in via preventiva rispetto al trattamento medesimo, riferibile a trattamenti che perseguono finalità esplicite e determinate, informato e documentato per iscritto”.

Il problema del consenso non può quindi essere sottovalutato, soprattutto quando nell’ipotesi di acquisto di dati di terze parti non ci sono stati contatti diretti con gli interessati del trattamento, con evidenti difficoltà pratiche nel rispetto degli obblighi imposti dal GDPR.

Ma anche qualora dette difficoltà non dovessero presentarsi, si consenta di sollevare dubbi sul fatto che nella maggior parte dei casi il consenso rilasciato dagli utenti, soprattutto online, possa dirsi effettivamente libero e dato nella piena consapevolezza delle conseguenze che ne derivano.

Il problema del consenso si pone infine nell’ipotesi di utilizzo di una DMP che funge anche da data provider e che consente di acquistare audience esterne. In questi casi, infatti, è frequente che le DMP costruiscano profili utente che, successivamente, possono rivendere sfruttando i dati di tutti i clienti che usano il loro servizio.

Tale aspetto è di notevole importanza e richiede un’attenzione particolare da parte dell’azienda fruitrice della piattaforma sia in fase di redazione dell’informativa sia in fase di regolamentazione dei rapporti con il fornitore della DMP.

Marketing e profilazione: l’informativa

Un ulteriore aspetto fondamentale da tenere in considerazione nell’utilizzo di una DMP, strutturalmente connesso al sopra citato meccanismo del consenso, riguarda la necessità di fornire agli utenti una informativa “concisa”, “trasparente”, “intellegibile” e “facilmente accessibile” (art. 12, par. 1, GDPR), funzionale ad un corretto e libero esercizio del consenso.

Consenso che deve, per tale ragione, essere separato dall’informativa e, per la profilazione, separato dagli altri tipi di consenso espresso. L’interessato, infatti, deve poter non sottostare inconsapevolmente al trattamento dei dati mediante profilazione, così come confermato anche dallo stesso art. 22 GDPR.

Un’informativa che sia veramente trasparente deve altresì fornire informazioni chiare e corrette sul titolare del trattamento dei dati personali. Sul punto notevole importanza ricopre la verifica del ruolo del fornitore di DMP nel processo di trattamento dei dati personali e, in particolare, la verifica se detto fornitore agisce in qualità di co-titolare del trattamento ovvero quale responsabile del trattamento stesso.

Come noto, il titolare è quel soggetto che determina le finalità e i mezzi del trattamento di dati personali, mentre il responsabile è quel soggetto che tratta dati personali per conto del titolare del trattamento (cfr. art. 4, n. 7 e 8 GDPR), con evidenti differenze in tema di “potere” sull’utilizzo dei dati.

Dall’altro lato, però, la differenza tra le due figure è fondamentale anche perché il titolare del trattamento è quel soggetto che per primo sarà chiamato a rispondere dell’osservanza delle norme relative alla protezione dei dati e che, come chiarito dal Considerando 74 del GDPR, “dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche”.

Per quanto riguarda il responsabile del trattamento, invece, la locuzione “per conto del titolare” utilizzata dal sopra citato art. 4, n. 8, GDPR chiarisce come questo agisca su istruzione del titolare, il quale però deve a sua volta accertarsi che il soggetto nominato (rectius, da nominare) responsabile presenti “garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato”.

Un ultimo aspetto, infine, da tenere in considerazione in un’ottica generale di compliance al regolamento europeo GDPR: tra le ulteriori attività da porre in essere prima dell’adozione di una DMP si ritiene necessario che vengano coinvolti tutti i soggetti responsabili, tra cui, in primis, il Data Protection Officer della società fornitrice della DMP e che venga verificata nel complesso, preliminarmente all’acquisto, la compliance del fornitore stesso alla normativa privacy e l’impatto della piattaforma sulla protezione dei dati.

Conclusioni

In conclusione, attraverso l’elaborazione e l’analisi di enormi quantità di dati, le DMP rappresentano sempre più uno strumento utile per le aziende al fine di personalizzare i propri messaggi e i servizi offerti, ottimizzando le proprie campagne pubblicitarie e offrendo un contributo rilevante nella pianificazione strategica delle stesse.

L’efficacia dell’attività di marketing sarà tanto maggiore quanto più sarà stata efficace la segmentazione dei destinatari della campagna pubblicitaria e la profilazione del singolo destinatario.

Le problematiche poste dall’utilizzo delle DMP e connesse al rispetto della normativa privacy, soprattutto in tema di profilazione, richiedono da parte di chi svolge attività di business attraverso dette piattaforme di prestare un’attenzione particolare al rispetto della normativa vigente, anche al fine di sfruttare al massimo l’opportunità di creazione di valore offerta da tale strumento ed evitare i gravi rischi connessi alle pesanti sanzioni previste dal GDPR e il grave rischio legato ad un’immagine negativa presso il pubblico di una realtà aziendale non interessata a tutelare le informazioni dei propri clienti.

Ciò nella consapevolezza che, pur nell’elevato grado di competitività presente soprattutto nel web, il rispetto delle regole può diventare un ulteriore fattore di attrazione anche nei confronti di quei consumatori di regola meno “attenti” alla tutela dei propri dati.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5