Tempo di lettura stimato: 8'
Chi si occupa di GDPR – il DPO, il Consulente Privacy – spesso è visto come l’antagonista aziendale del Direttore Marketing, della web agency, di chi fa SEO, Social e quant’altro. Ma è davvero così?
Secondo me è così se il DPO in questione si comporta come Catone il Censore, come un Unto del Signore, che ti dice “Non si può fare, punto” e non ascolta (ne ho parlato di recente in un altro articolo sulla gestione di cookie e privacy dei siti web e delle App).
Secondo me il consulente ha il compito di accompagnare l’azienda e i fornitori di servizi di marketing chiedendo “Cosa vuoi fare? Quali sono i tuoi obiettivi?”.
Secondo me il consulente ha il compito di accompagnare l’azienda e i fornitori di servizi di marketing chiedendo “Cosa vuoi fare? Quali sono i tuoi obiettivi?”.
E da lì trovare il modo di arrivarci, senza violare le norme. Per farlo noi DPO dobbiamo conoscere il linguaggio del marketing e il linguaggio di chi fa siti e App.
Questa è la premessa.
Però è anche vero che spesso chi si occupa di marketing non conosce le norme europee e nazionali di riferimento e per questo prende anche delle cantonate. È il caso, per esempio, dell’uso del legittimo interesse come base giuridica per la raccolta dei cookies… Ne ho parlato in un live di Raise Academy con Anna Cataleta, Avvocato dalla consolidata esperienza in aree legali e regolamentari delle grandi imprese e in particolare rispetto agli ambi del contenzioso, del diritto commerciale, della concorrenza, delle transazioni nazionali e internazionali, della compliance e della protezione dati nel settore delle telecomunicazioni e media.
Qui trovi l’estratto, l’intervista completa è sulla Raise!
Marketing, profilazione, cookies e rapporti fra consulenti e aziende
Andrea Chiozzi: Qual è l'ultimo Direttore Marketing che hai fustigato e perché?
Avvocato Cataleta: Non posso che essere diretta, quando vedo davanti a me dei disastri e delle derive pericolosissime. Perché quando facciamo le cose e queste non vengono scoperte, siamo tutti bravi. Ma quando poi la falla emerge, sono tutti a puntare il dito. Quindi non ho paura di palesare le questioni che sono assolutamente in contrasto.
L'ultimo Direttore Marketing voleva porre come condizione di liceità per la raccolta dei cookies l'interesse legittimo…
Andrea Chiozzi: Grazie! Grazie per averlo detto, perché non se ne può più. Mi verrebbe da bazookare un po' di gente in giro...
Avvocato Cataleta: Questa cosa purtroppo l'ha verticalizzata e l'ha quasi portata in Consiglio d'Amministrazione, quasi volendomi far apparire come una rigorosa leguleia da biblioteca. Io sono tutt'altro che questo e mi sono opposta con tutte le mie forze a quella che trovo un'ignominia giuridica, soprattutto se si analizzano le norme, le direttive e il recepimento, nell'articolo 122 del nostro Codice Privacy.
È un tema delicato. Tutti invocano il GDPR, ma nessuno poi conosce le norme di settore e soprattutto il Titolo 10 del nostro Codice Privacy, articolo 129, 130… Tutte le norme italiane che disciplinano il marketing non sono conosciute a livello puntuale, anche rispetto a quelle che sono le fonti.
È vero anche che ci sono degli Stati nell’Unione Europea che, invece, hanno preso altre strade, in cui le direttive comunitarie vengono recepite diversamente. Quindi abbiamo la possibilità effettivamente che esistano delle differenze.
Ma per quanto riguarda i cookies e i tracciamenti, io il Direttore Marketing l'ho poi sbugiardato alla luce delle FAQ del Garante, delle ulteriori considerazioni giuridiche e giurisprudenziali che sono emerse anche dal punto di vista sanzionatorio. Diciamo che la brutta figura l'ha fatta lui.
Andrea Chiozzi: Ogni tanto è importante ricordarlo. Sembra quasi che chi si occupa di GDPR o di privacy sia l'antagonista aziendale: è il cattivo che non permette di fare le cose. In realtà, l'azienda può tranquillamente fare quello che ritiene opportuno. L'importante è che sia consapevole di quello che fa e che adotti le misure corrette per farlo. C'è questa idea che col legittimo interesse passa tutto il male e faccio quello che mi pare. L'ultima volta che ho palato di cookie e legittimo interesse con un Direttore Marketing, gli ho detto: "Guarda che il mio legittimo interesse, visto che hai una bella moglie, è di poterci provare. Tu saresti contento? A te va bene?” Perché il discorso non sta in piedi… È bello, allora lo uso per tutto. Non funziona così.
Ascolto e relazione: trovare la strada per raggiungere gli obiettivi di business, senza violare le norme
Andrea Chiozzi: Nella tua attività con chi fa marketing e le web agency… sono stati più i problemi da gestire o le soddisfazioni di portarli dalla tua, per arrivare a “Dimmi cosa vuoi fare e insieme capiamo come farlo, nella maniera corretta”?
Perché abbiamo una platea di DPO e di consulenti che spesso subiscono le ingerenze del Direttore Marketing, del CdA, dell'Amministratore delegato... e dicono "Noi per loro siamo sempre i Signor NO...". A livello statistico - non è una questione di bravura, perché è sempre il tuo interlocutore che determina quello che poi effettivamente riesci a fare - sono più i no che hai detto o stiamo riuscendo a far capire che in realtà sono opportunità?
Avvocato Cataleta: L'interlocutore medio di un'organizzazione privata è, di solito, una persona autoreferenziale. Non voglio generalizzare, ma generalmente vive in un mondo, vede solo quello e pensa che l'organizzazione che presiede sia destinataria delle sorti del mondo.
Quindi, avendo a che fare con persone che hanno di solito questi perimetri, è importante riuscire a entrare in relazione con loro, altrimenti si parte male. Io non ho avuto grandi no, perché ho sempre saputo, per averlo vissuto ahimè sulla mia pelle, che i confronti devono nascere ascoltando molto le esigenze.
Il contemperamento tra costi e benefici, oggi, non è più possibile
Avvocato Cataleta: Bisogna porsi dalla parte dell'ascoltatore e portare piano piano l'azienda alla consapevolezza di dover adottare delle scelte, che sono sicuramente anche in ottica di semplificazione e non di complicazione, le migliori possibili.
Perché oggi non è più possibile fare quel contemperamento fra l’assunzione del rischio multa e il ritorno di business, che una campagna di marketing potrebbe, in ipotesi, comportare. Molte volte, in passato, io ero chiamata dagli Amministratori Delegati a dire “Quanto ci costa, se veniamo sanzionati?” Si vedeva il bilancio, si faceva un budget, e si diceva - a meno che non fosse una violazione di legge sanzionata penalmente e qui stiamo parlando di sanzioni amministrative – se si poteva contemperare questo aspetto.
Oggi il tema è molto complesso. Innanzitutto, perché l'enforcement raggiunge il 4% del fatturato, ma soprattutto perché c'è il problema mediatico che prima non era troppo sentito. Oggi questi aspetti, soprattutto se una società è quotata e fa del proprio business la propria redditività - come tutte, ovviamente, ma il core business è importante - non è un aspetto risibile.
Detto questo, io credo che i no vadano recepiti come un'inconsapevolezza e quindi, a mio parere, prima di arrivare a quel famoso no, bisognerebbe cercare di condurre l'azienda ad una ragionevole presa di posizione.
Recentemente ho letto il libro di Luca Bolognini "L'arte della privacy" e lui fa un'autocritica nella quale io mi ritrovo molto: che cosa si fa quando un manager ti dice: "No, io non lo faccio e vado avanti per la mia strada"?
Noi dovremmo lasciare l'incarico.
Un avvocato bravo non lo deve fare. Un avvocato bravo deve seguire il proprio cliente, anche quando è colpevole, cercando di raddrizzare, senza scendere a compromessi che possano differire dall'impostazione corretta giuridica, ma cercando di attutire il colpo con accorgimenti procedurali e di buone pratiche che, secondo me, un avvocato di esperienza o che studia le norme può affrontare.
Quando l’azienda fa una domanda folle al consulente…
Andrea Chiozzi: Qual è la cosa più folle che ti hanno chiesto relativa al marketing?
Avvocato Cataleta: Me ne hanno chieste tantissime. Ne cito una recente. Oggi viviamo in una società in cui i servizi vengono fruiti anche attraverso delle App. Però questo strumento, che a volte fa capolino in aziende che sono strutturate ancora con una migrazione dall'analogico al digitale, ha un effetto devastante.
Perché, non conoscendo lo strumento - non tutti i capi del Digital delle aziende sono edotti di come si possa conformare lo strumento al business -, le società del gruppo volevano conferire tutti i dati raccolti in un unico database e condividerlo con soggetti terzi, titolari del trattamento dell'App e quindi, sostanzialmente, cedendo dei dati, senza alcuna condizione di liceità.
Un unico data base dove vi erano milioni di target.
Questo tema ha fatto un'escalation a livello internazionale, rispetto a questo gruppo che io assistevo, al quale ho dato tutta un'altra visione, ho scomposto l'App, ho scomposto i ruoli, ho dato un'organizzazione infragruppo con accordi intercompany completamente diversi.
Quindi partendo dal ruolo, perché, quando si hanno complessi flussi di dati che riguardano organizzazioni altrettanto complesse, occorre partire dall'organizzazione: chi fa cosa, come, disegnando i flussi con un flow chart.
In ottica by design, parlando di GDPR, queste cose vanno fatte ex ante, non a cose fatte.
… e quando il consulente riesce ad accompagnare l’azienda a raggiungere i suoi obiettivi, senza violare le norme
Andrea Chiozzi: Io vedo piano pianino un’attenzione maggiore. Dammi un esempio di dove sei riuscita ad accompagnare l’azienda.
Avvocato Cataleta: Durante un'ispezione dell'autorità Garante in un'azienda, si è stati molto sul CRM. Il CRM è un po' il cuore di un'organizzazione che fa e-commerce, retail. Quindi, se questo CRM non è a posto, non è possibile rendere puntualmente le risposte coerenti con le domande fatte dall'autorità. Perché noi sappiamo che l'autorità, quando viene in casa nostra, ci chiede una serie di processi, addirittura simula un acquisto e poi fa una user experience.
Mi sono trovata in una dialettica molto convulsa con un Direttore Marketing, perché sosteneva una certa base giuridica per la newsletter, oppure una certa base giuridica per il marketing. Quindi io l'ho dovuto zittire, perché non era coerente con l'informativa che rendevano ai loro clienti (le informative devono essere coerenti con le interfacce).
Quindi, se io do un carrello per comprare le banane e prima di farlo ti chiedo di iscriverti a un sito e ti chiedo di darmi dei consensi, il minimo che io possa fare è rendere quei consensi coerenti con l'informativa che ti ho reso e con i consensi che ti ho chiesto.
Perché altrimenti sovrascrive. Si creano customer base segmentate. Il Direttore in questione era completamente avulso da questo mondo e poiché era Direttore Marketing, riteneva anche di sapere queste cose. E io l'ho fatto tacere perché avrebbe reso un cattivo servigio all'azienda. E poi sappiamo che durante un'ispezione non si può non dichiarare il vero, perché bisogna rendere delle dichiarazioni veridiche.
Andrea Chiozzi: Ogni tanto certa gente se lo scorda questo, che sei obbligato a dichiarare la verità. Male che vada stai zitto…
Avvocato Cataleta: Pensando di fare del bene alla società, fanno del male. Anche perché quel tipo di sanzione va alla parte, cioè al titolare…
Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.