GDPR, i compiti del CMO

Che cos'è un Brand Voice ?

Il 25 maggio 2018 il Regolamento Generale sulla protezione dei dati diventa a tutti gli effetti applicabile. Fabrizio Albergati, Chief Marketing Officer, per Teorema spiega punto a punto come il GDPR impatta sul ruolo del CMO e come sia possibile viverlo come opportunità di cambiamento

Con l’entrata in vigore del Gdpr, e la sua piena applicazione a partire dal 25 Maggio 2018, non sono pochi i cambiamenti che attendono le nostre aziende. Non c’è figura, processo aziendale, relazione interna, con i partner e con i clienti su cui il GDPR non produrrà effetti importanti. Bisogna farsi trovare pronti, e soprattutto sapere bene cosa fare.
Per aiutare le aziende in questo compito abbiamo cercato di interpretare il GDPR dal punto di vista del Chief Marketing Officer.

Il Gdpr – che trova nel decalogo tutti gli elementi per essere compreso  – può avere diverse angolazioni di lettura. A seconda che venga valutato da un Ceo, da un Cmo e da un Cto.

E allora abbiamo chiesto di farci da guida a Fabrizio Albergati, Chief Marketing Officer, per Teorema. Fabrizio, classe 1961 ha iniziato il suo percorso professionale negli anni dell’Italia di Bearzot Campione del mondo. Era il 1982, parlare di IT in Italia era davvero da pionieri. Fabrizio già con Italware ha studiato le problematiche legate alla distribuzione del software, in Microsoft dal 1987 ha avuto la responsabilità di gestire i rapporti con la rete dei rivenditori e poi ha assunto via via reponsabilità crescenti, tra cui proprio quelle legate alle attività di marketing anche nel mercato enterprise. Oggi è Chief Marketing Officer di Teorema e forse anche tra i pochi ad averle viste davvero… tutte! E ora ci spiega punto a punto come deve prepararsi al GDPR un bravo CMO.

IMG_1947
Fabrizio Albergati, Chief Marketing Manager di Teorema

Prima di tutto, cos’è il GDPR per un CMO?
Il GDPR per noi CMO prima di tutto è una normativa, anzi meglio, un vero e proprio regolamento che come tale ha impatto anche su tutte le attività di marketing, perché riguarda qualsiasi ‘momento’ e rapporto in cui è prevista la raccolta, il trattenimento, la gestione e il controllo sui dati. Significa che il CMO non solo conosce in che modo vengono raccolti i dati, dove vengono conservati, con chi vengono condivisi, chi può accedere a quali informazioni e perché, ma in un certo senso lavora a stretto contatto con i colleghi dell’area IT e i responsabili dei vari trattamenti, affinché in ogni momento si possa intervenire sul dato e soddisfare le richieste di tutti gli attori del regolamento. Certo deve avere i giusti strumenti per poterlo fare, di collaboration e infrastrutturali. Procedure consolidate e condivise

Quali sono i principali diritti degli individui?

Domanda interessante. Si pensa spesso ad assolvere dei regolamenti e meno agli interessi di quelli che forse sono proprio i nostri primi referenti e cioè le persone e i clienti. Invece una delle prime richieste del GDPR è proprio quella di prevedere in ogni processo la Privacy By Default, e non è poco. E dall’altra parte della barricata (in azienda) significa gestire in modo attento chi può entrare in contatti di quali informazioni, in modo sicuro.

Sì, perché con il GDPR vengono rafforzati i diritti degli individui e la protezione dei dati. Vuol dire per i clienti poter accedere più facilmente agli stessi, essere informati su come i propri dati vengono processati e gestiti, e come trasferirli tra diversi fornitori in formato aperto. Oppure poter richiedere facilmente la loro cancellazione. Si pensi a tutto quello che facciamo nell’arco della giornata, quando lavoriamo in azienda, ai contatti con i clienti, con i partner che a loro volta trattano i dati dei clienti… Ecco, dobbiamo essere pronti a usare le tecnologie e i software migliori e più aggiornati, in sicurezza, ma sempre nell’ottica di tutelare le informazioni che vuol dire alla fine tutelare i clienti.

… Anche perché c’è chi vigilia e farà rispettare i regolamenti

Sì, ma prima ancora che rimanere ‘bloccati’ dall’idea della sanzione – fino a 20 milioni di euro o il 4 percento del fatturato mondiale dell’azienda – bisogna pensare al GDPR come a un’occasione per fare bene. Pensiamo che osservare lo spirito del GDPR, la Privacy by Design, possa rappresentare anche un’occasione, mi spingo oltre, un’occasione di business e mi spiego. Il fatto di adeguare metodi di raccolta dei dati, processi, la stessa gestione, e di prevedere un flusso comunicativo costante con tutti gli attori e di potere documentare questo flusso, può sembrare una pastoia, e invece nel tempo automatizzerà processi che sono rimasti lasciati al caso, alla fine incidendo anche sui costi, e non può essere più così. Certo bisogna essere attrezzati bene, perché una volta che accade l’emergenza non si improvvisano le notifiche entro 48-72 ore all’Autorità Nazionale di Vigilanza (Garante Privacy in Italia) e relative alle violazioni di dati che le persone hanno subìto e ora hanno diritto di conoscere. Da qui l’esigenza di un inventario delle informative in essere.

Arriviamo al punto. Come muoversi?

Il marketing è decisamente coinvolto in tutti i processi di gestione delle attività di auditing, ma non solo. Non si potrà accontentare più delle vecchie formule di consenso sul trattamento dei dati, per chiudere il capitolo. Dovrà disporre e documentare un consenso valido, esplicito, revocabile (vi ricordate i diritti di cui abbiamo appena parlato?), ma soprattutto la salvaguardia e la protezione dei dati devono essere integrati sia nei prodotti, sia nei servizi. Quindi anche nei software, proprio come nei dispositivi, anche quelli mobile. Si pensi alla gestione dei dati con la posta elettronica, con i sistemi di messaggistica, sui device in mobilità, come nei data center. Bisogna indubbiamente avere un partner non solo che conosca la materia, ma che conosca anche le soluzioni che rendono possibile, con il minore sforzo possibile lavorare bene. Anche quando si comunica con i colleghi, come con i clienti e anche quando lo si deve fare se le cose non sono andate come dovevano.

Quindi quanti e quali sono i dati cui prestare attenzione?

Il CMO deve governare e identificare quali sono i dati sensibili che vengono ‘catturati’, conservati ed eventualmente condivisi e come questo accade. Deve stabilire con i CSO le policy, come collegare i processi, verificare la coerenza delle attribuzioni delle responsabilità a seconda delle persone che rispondono alla sua figura.
I dati anagrafici, demografici, i canali di comunicazione (posta, email, telefono, chat, chat bot), gli identificativi nazionali (C.I. Passaporto, tessere), i dati legati ai conti finanziari, i riferimenti social, le stesse informazioni sanitarie eventualmente, ecco questi sono tutti ambiti che devono richiamare l’attenzione. Ogni volta che si incontrano queste informazioni si dovrebbe ripercorrere tutto il processo sul dato e i passaggi che il dato ha fatto per poterne rendere conto.

In concreto cosa significa?

Mi verrebbe semplicemente da rimandare al nostro decalogo e alle risorse che Teorema mette a disposizione, più in concreto posso dire che è necessario fare un inventario delle fonti informative, verificarne l’adeguatezza, con le nuove regole. Introdurre la fonte del dato e il tempo in cui viene conservato potrebbe sconvolgere alcune procedure in essere che devono essere cambiate. Torniamo all’idea di Privacy By Design. Per esperienza già avuta con i nostri clienti posso dire che effettuare correttamente un processo di Privacy Impact Assessment non è alla portata di tutte le realtà, ma ci sono le persone competenti che possono aiutare a farlo.
Un database importante porta con sé alcune criticità, soprattutto quando l’accesso avviene in modalità eterogenee. Non solo, il DB sappiamo come rappresenti il vero patrimonio dell’azienda, spesso l’unico: ecco che è responsabilità proprio del CMO adottare le cautele organizzative per evitare impatti grafi sulla stabilità dei DB aziendali.
E, ancora più importante, mi sembra porre l’accento sulla verifica del rispetto dei requisiti da parte dei fornitori che con la vostra azienda gestiscono i dati. Si lavora di squadra, ma alla fine c’è sempre un responsabile, anzi, non uno solo. Anche le autorità sanno benissimo che non è possibile garantire la sicurezza by default, ma un conto è constatare una violazione (e farlo alla svelta) un conto poi è avere attivi, pronti e reattivi i piani di comunicazione sulle violazioni. Un buon CMO lo sa: come si reagisce a un furto di dati ha impatti enormi sul marketing. Può rivelarsi anche un’occasione per legare ancora di più a sé i propri clienti o perderli definitivamente.

Hai parlato di responsabilità…

Sì, il CMO lavora a stretto contatto con il Data Protection Officer. Da lui riceve le informazioni circa gli obblighi derivanti dai dati trattati, in cambio il CMO collabora con al monitoraggio degli accessi illeciti dei dati e alla loro comunicazione. Solo il CMO può conoscere alcune delle procedure del suo ambito di azione, e se al DPO spetta di monitorare l’adeguatezza e l’applicazione del Data Protection Impact Assessment – la valutazione di’impatto – è vero anche che proprio la capacità di un CMO di organizzare e declinare i processi permetterà la riuscita del piano. Anche del piano comunicativo sia verso i clienti, sia verso le autorità.