Com’è possibile ottenere il consenso degli utenti a scopi di pubblicità online con modalità conformi alla legge, senza compromettere le vendite della tua azienda? Nel 2020, per chi gestisce le attività di marketing questa domanda è più importante che mai. Barbara Nietzer, Legal Director EMEA di Criteo e Florian Tannen, Partner presso Baker & McKenzie, spiegano dove stanno le sfide normative e quello che le aziende devono sapere. Alla fine di ottobre hanno discusso delle loro esperienze nel corso di un evento virtuale, il Digital Bash Law.
Ogni azienda che si serva di cookie sul proprio sito Web per targettizzare gli utenti con pubblicità online deve ottenere prima di tutto il loro consenso. La norma è stata confermata dalla Corte federale di giustizia tedesca (BGH), nell’estate di quest’anno. Ecco perché ora le aziende si stanno chiedendo quale aspetto deve avere un avviso banner e quali sono i requisiti da rispettare. Non è un argomento da trascurare. “È qualcosa che le aziende devono assolutamente affrontare”, afferma Florian Tannen. “Ma senza temere. Basta accettare la sfida e puntare a ottenere i migliori risultati per la propria azienda.”
Aziende sotto pressione
Per le aziende, il primo problema è rappresentato dal fatto “che l’utente deve esprimere il suo consenso esplicito all’uso dei cookie e che la parte che ottiene il consenso deve dimostrare che ciò è stato fatto in maniera chiara”, spiega Barbara Nietzer. Non sono solo le autorità a insistere sul rispetto delle norme, ma lo chiedono anche gli stessi utenti. L’iniziativa di monitoraggio del mercato di Nietzer ha rivelato che la maggior parte delle aziende segue questo approccio e ottiene il consenso degli utenti. “La situazione si presenta già buona, specialmente per quanto riguarda i retailer. Molti di loro stanno lavorando con piattaforme di gestione del consenso, allo scopo di essere in grado di agire conformemente con le leggi sulla tutela dei dati”. Tannen l’ha anche considerato come uno sviluppo positivo, dal momento che oggi ci sono pochissime aziende che seguono ancora il vecchio approccio. Ma quest’ultimo non è più sostenibile, oltre che “sconsigliato da un punto di vista legale”.
Maggiore certezza legale
Se un utente non accetta l’uso dei cookie, le opzioni per targettizzarlo con pubblicità online sono ridotte. Ottenerne il consenso è quindi interesse delle aziende. “Nella mia esperienza, vi sono rari casi in cui questa preoccupazione che gli utenti non diano il loro consenso sia giustificata. Qualunque azienda che ci rifletta e che cerchi diverse opzioni da provare alla fine troverà certamente una soluzione che funzioni per la stessa azienda e per gli utenti. Ciò avrà come risultato un tasso di accettazione ragionevolmente elevato e il livello di certezza legale altrettanto elevato”, afferma Tannen.
Sfide oltre i confini
Molte aziende che oggi gestiscono un commercio internazionale si trovano di fronte ad ampie sfide sulla protezione dei dati. “Il piano di creazione di regole europee standardizzate mediante il GDPR non è riuscito, dal momento che più di 50 punti sono stati affidati alle autorità locali, che interpretano le questioni in modo molto diverso”, si rammarica Tannen. Tuttavia, Barbara Nietzer ha anche notato che le autorità sono tra loro collegate. Infatti, afferma: “Sembra che le autorità nazionali per la protezione dei dati siano in comunicazione tra loro, con sovrapposizioni sempre maggiori. Le autorità hanno capito chiaramente che oggi viviamo in un mondo europeo”.
La Brexit, attualmente in corso, comporta sfide proprie, dal momento che il GDPR non sarà più formalmente valido nel Regno Unito. Tuttavia, secondo l’opinione di Tannen, i colleghi britannici si sono già preparati e hanno ampiamente trasposto i requisiti del GDPR nella legge nazionale. L’obiettivo era quello di supportare quanto più possibile la condivisione dei dati. Se i Paesi terzi vengono valutati dalla Commissione Europea e se questa giudica adeguata la loro legislazione sulla tutela dei dati, il loro trasferimento internazionale può continuare ad avvenire con modalità conformi alla loro tutela.
Il Privacy Shield non è più valido
All’inizio dell’anno, il Privacy Shield è stato invalidato da una sentenza della Corte di Giustizia dell’UE (la cosiddetta Schrems II). “Con questa decisione, abbiamo perso un vettore che ci consentiva di inviare dati personali a destinatari negli USA se erano iscritti al Privacy Shield”, spiega Tannen. Ora le aziende dovranno rispondere a nuovi requisiti per poter essere in grado di trasferire dati oltre confine. “Questo è essenziale e non può essere evitato.” “Quindi, attualmente, ci troviamo tutti in una sorta di modalità di pausa”, spiega Nietzer. “Viviamo nell’attesa. Le aziende aspettano dichiarazioni chiare dall’UE in merito a come funzionerà in futuro questa interazione.” L’annullamento del Privacy Shield non rappresenta un problema per Criteo, dal momento che l’azienda fa affidamento su clausole contrattuali standard. “Auspicheremmo comunque una guida chiara.”
L’approccio ai cookie wall
Nel mondo, gli atteggiamenti delle autorità preposte alla protezione dei dati sono molto diverse nei confronti dei cookie wall, che impediscono agli utenti l’accesso a un sito Web nel caso non accettino l’uso dei cookie. Mentre in Germania, le autorità li vedono in modo piuttosto negativo, in Francia, dove si trova la sede generale di Criteo, il loro uso è consentito in determinate circostanze, osserva Nietzer. “Ciò restituisce alle aziende parte della loro possibilità di agire e del loro potere decisionale.”
Il targeting e la tutela dei dati, oltre a essere pieni di insidie, generano anche delle sfide per le aziende per quanto riguarda gli aspetti legali. In generale, comunque, è valido ciò che segue: se si tratta di trattamento dei dati, il GDPR è valido indiscriminatamente per tutte le aziende, dalle piccole attività alle grandi società per azioni. La conformità con le leggi sulla protezione dei dati è obbligatoria e deve essere presa seriamente in considerazione da ogni azienda.
