Nella nuova economia globale, caratterizzata da un mercato altamente competitivo e in continua evoluzione, obiettivo primario dell’impresa è mantenere nel tempo i clienti a maggior valore e attirarne sempre più di nuovi: l’approccio customer-oriented e la customer satisfaction diventano dunque le leve per il successo.
Adottare una strategia customer-oriented vuol dire costruire relazioni durevoli con il cliente; rispondere in modo veloce ed efficace alle sue esigenze, talvolta anticipandole, permette di acquisirlo, mantenerlo e fidelizzarlo tramite anche offerte mirate.
La risposta, quindi, dell’azienda agli stimoli della domanda è la customer knowledge e la costruzione di un sistema di gestione del rapporto con la clientela che le consenta di catturarne i gusti, gli interessi, ovvero aspetti della personalità, e di offrirle prodotti e servizi personalizzati.
L’informazione diventa l’asset per la costruzione e il mantenimento dei rapporti con i clienti, acquisita tramite sistemi di Customer Relationship Management (CRM) che permettono di raccogliere, organizzare ed elaborare dati e informazioni, quantitativi e qualitativi, sul cliente. Le informazioni raccolte vengono trattate per finalità di profilazione, fidelizzazione e marketing diretto.
Il consenso al trattamento e la conservazione dei dati
Sin da questa fase l’azienda è tenuta a prestare particolare attenzione alle modalità del trattamento e alla sicurezza dei dati. Il d.lgs. 196/2003 detta chiare regole da seguire al fine di tutelare l’interessato e non ledere la sua privacy: per la raccolta dei dati personali devono essere messe a disposizione del soggetto interessato le corrette e complete informative sul trattamento dei dati e deve essere raccolto il consenso espresso documentato per iscritto ove necessario in base alle finalità perseguite.
In Italia, qualora il trattamento di dati personali sia necessario al solo fine di adempiere ad un contratto di cui è parte l’interessato o qualora i dati personali riguardino attività di fidelizzazione in senso stretto, non è necessario richiedere il consenso al trattamento dei dati. Il consenso, tuttavia, diventa indispensabile (un consenso per ogni finalità perseguita) per l’ulteriore trattamento dei dati per finalità di profilazione e/o marketing.
La normativa italiana impone che i dati personali vengano trattati per il solo tempo necessario alla realizzazione delle finalità per cui sono raccolti. In particolare, in tema di marketing e profilazione, il dettaglio puntuale dei singoli acquisti riferibili a persone individuabili può essere conservato per 12 mesi dalla registrazione in relazione ai dati raccolti per attività di profilazione e per 24 mesi dalla registrazione in relazione
a dati raccolti per finalità marketing diretto (cfr Provvedimento del Garante del 24 febbraio 2005). Oltre tali termini i dati devono essere cancellati automaticamente, ovvero resi anonimi.
Per le aziende, talvolta, queste tempistiche risultano piuttosto stringenti per poter svolgere attività di analisi sul cliente, formulare strategie e individuare azioni di marketing in particolare nei casi in cui la ripetitività media degli acquisti è molto bassa (una o due volte all’anno) così come il numero medio di righe in scontrino. Per questi motivi negli ultimi anni, in particolare nel settore luxury e fashion, diverse aziende hanno fatto istanza di allungamento dei tempi di conservazione dei dati al Garante Privacy (procedura normata dall’art. 17 del d.lgs 196/03) al fine di poter perseguire al meglio le finalità di profilazione e marketing.
Provvedimenti del Garante della Privacy su programmi di fidelizzazione
Il Garante, quindi, ha emanato provvedimenti su programmi di fidelizzazione e trattamento dei dati personali per finalità di “marketing diretto” e “profilazione” attraverso strumenti tradizionali e automatizzati di contatto. Il processo di richiesta all’Autorità e la compliance del sistema CRM in ambito privacy segue un iter caratterizzato da diversi step.
La prima fase consiste nell’individuare nel dettaglio le caratteristiche, i requisiti distintivi e il funzionamento del sistema CRM. Questo vuol dire conoscere il contesto in cui si opera o si intende operare con il sistema CRM, il titolare del trattamento dei dati, il ruolo che assumono le altre società (all’interno di un gruppo) che eventualmente contribuiscono ad alimentare il CRM, le fonti dei dati, le finalità di trattamento che si intendono perseguire, le leggi che si devono applicare (nazionali e internazionali), i tempi di mantenimento dei dati che si intendono ottenere.
La rilevazione delle caratteristiche del CRM è il punto di partenza su cui costruire l’assetto documentale da presentare al Garante, costituito dall’istanza di verifica preliminare per l’allungamento dei tempi di conservazione dei dati presenti sul sistema e da una serie di allegati, quali tutte le informative necessarie e la procedura ex art. 7 d.lgs. 196/2003.
In un contesto internazionale, per la stesura della opportuna documentazione da sottoporre all’Autorità Garante è necessario anche uno studio delle normative in materia di dati personali applicabili nei Paesi coinvolti per poter sottoporre all’Autorità un modello che risulti sostenibile anche a livello internazionale. Sulla base delle informazioni a sua disposizione fornite dall’azienda, quindi, il Garante Privacy valuta e decide se esistono i presupposti per accogliere la richiesta.
Per essere compliant, inoltre, l’azienda deve individuare i piani di dettaglio delle azioni da intraprendere per assicurare la compatibilità dei processi con le normative vigenti e, operativamente, predisporre le istruzioni rivolte all’utenza che userà i sistemi transnazionali e le procedure di erogazione dell’informativa e acquisizione dei consensi, nonché implementare e adottare tutte le misure di sicurezza a tutela dei dati personali trattati con strumenti elettronici o comunque automatizzati tramite il sistema CRM in conformità al provvedimento del Garante per la protezione dei dati personali in materia di amministratori di sistema.
Le richieste di allungamento dei tempi di conservazione dei dati personali da parte delle aziende al Garante Privacy diventano sempre più numerose e l’orientamento dell’Autorità sembra indirizzarsi in un’ottica di tutela del soggetto interessato da un lato e di salvaguardia degli interessi e del business delle aziende dall’altro, le quali hanno esigenze specifiche di instaurare una relazione con il cliente duratura in un’ottica di continua crescita.
In particolare, una nota azienda del settore luxury ha ottenuto 10 anni come tempo di mantenimento dei dati mentre alcune società del settore fashion hanno ottenuto 7 anni. Trattasi di risultati interessanti per chi in azienda si occupa di marketing e non vuole rischiare di subire sanzioni a seguito del mantenimento nel tempo di dati che dovrebbero essere cancellati o resi anonimi con potenziali sanzioni anche molto rilevanti anche in termini economici.
*Gabriele Faggioli è legale, Adjunct Professor MIP-Politecnico di Milano – Partner4Innovation
