⚖️ Strategia di lead generation a norma di GDPR

Se prima del web si raccoglievano contatti utilizzando tessere fedeltà e moduli che si facevano compilare nei vari eventi, con lo sviluppo della comunicazione digitale si sono spalancate le porte a numerosi nuovi strumenti di marketing. La lead generation è uno di questi. L’acquisizione di contatti non è fine a se stessa, ma è volta a trasformare il lead in cliente:

prospect (fase di awareness) → acquisizione lead (fase di consapevolezza dell’esistenza del brand) → cliente (fase di conversione)

Nel tempo si sono sviluppati vari metodi di acquisizione contatti, e si è ben presto capito il valore che possono avere contatti ben profilati, al punto che la raccolta lead è diventata un vero e proprio business per la rivendita di liste di contatti. 

Lead generation e profilazione sono gli strumenti che hanno rivoluzionato il marketing, permettendo di far arrivare il messaggio giusto alle persone giuste. 

Finché il GDPR ha posto un freno sia alle modalità di raccolta contatti, sia alla profilazione dei contatti stessi. 

Infatti tanto l’indirizzo e-mail quanto i dati di profilazione sono dati personali. 

Cos’è la lead generation

Il termine inglese lead inserito nel contesto del marketing assume una connotazione diversa rispetto alla traduzione letterale dall’inglese all’italiano. Il lead nel linguaggio del marketing è un soggetto che ha dimostrato interesse verso il nostro brand, ma non è ancora diventato cliente. 

Quindi le campagne di generazione lead (pay per lead) si dividono in due fasi:

• nella prima si intercettano utenti che non ci conoscono ma che potrebbero rientrare nel nostro target di pubblico
• nella seconda fase si raccolgono i dati

Da questo momento partono poi le campagne volte a trasformare il lead in cliente, rivolgendogli comunicazioni sempre più personalizzate. Ma per fare questo tipo di comunicazioni che sono vere e proprie campagne di direct marketing, bisogna avere il consenso da parte dell’interessato. Un consenso che, dall’entrata in vigore del GDPR, deve essere particolarmente qualificato. 

Il 25 maggio 2018, data da cui si applica il GDPR in Italia, senza più possibilità di deroga, è una data spartiacque: da quel momento in poi la quasi totalità delle liste mail acquisite prima non sono più utilizzabili a fini marketing. 

Esempio: prima del 2018 mandavi la newsletter a clienti, prospect, persone che avevano solo chiesto il preventivo, liste di contatti acquistati? 

Beh, nel 90% dei casi dopo il maggio del 2018 quei contatti tanto preziosi sono diventati carta straccia, perché agli interessati al trattamento non è stato chiesto il consenso al marketing, così come previsto dal GDPR. Oppure le liste che hai comprato non sono a norma perché quei soggetti non hanno dato il consenso al marketing di soggetti terzi. 

Fra il 2018 e il 2019 il nostro studio legale specializzato in GDPR, ha fatto decine di consulenze in cui le aziende chiedevano l’analisi legale delle liste mail e purtroppo abbiamo dovuto dare molte cattive notizie. 

Lead generation GDPR: il consenso qualificato

Uno degli aspetti più innovativi del Regolamento Europeo è rappresentato dai requisiti del consenso, presupposto per poter trattare i dati personali dell’interessato. 

Per inviare campagne promozionali ad un utente è necessario che l’utente abbia dato il consenso all’utilizzo dei suoi dati a fini marketing. 

Il consenso per essere valido deve essere:

• specifico: se i dati personali vengono trattati per più finalità, va richiesto un consenso per ciascuna di esse
• libero: non condizionato
• esplicito. Questo requisito si esprime nel divieto di preflaggare l’accettazione
• revocabile in ogni momento. Quindi in ogni comunicazione che si invia al lead si deve dargli la possibilità di accedere con facilità alla pagina di disiscrizione
• Dimostrabile da parte del titolare del trattamento. Ecco perché è tenuto a conservare sia il consenso stesso sia la data e l’ora in cui è stato acquisito.

Quindi una volta che si è acquisito il lead, per poter proseguire nelle campagne di nurturing, è necessario avere il consenso qualificato. 

Lead generation con chatbot conformi al GDPR

Ci sono vari strumenti che permettono di mettere in atto campagne di lead generation, uno di questi è l’uso di chatbot il cui impiego ai fini di acquisire lead è all’inizio del funnel, cioè nel primo contatto con il prospect. 

In questo caso il prospect lascia i dati direttamente nella chat con il bot, che, per questa ragione, deve essere a norma di GDPR. 

Per l’utente il chatbot è un servizio di messaggistica istantanea, ma in realtà il bot nel back-end è una struttura molto complessa, fatta di molte componenti e che si avvale dell’utilizzo dell’Intelligenza Artificiale (AI). L’utilizzo di questo strumento si è fatto sempre più frequente. La sua efficacia è data dal fatto che, grazie alla capacità di simulare il comportamento umano, è in grado di sostituire il customer care, servizio che oggi fa la differenza. Insomma, il chatbot è un vero e proprio assistente virtuale grazie al machine learning. 

A livello di lead generation il chatbot viene programmato affinché indirizzi la conversazione verso l’acquisizione di dati che profilano l’utente: dati anagrafici, gusti, esigenze, problemi, legati al servizio che il brand propone. Le conversazioni vengono quindi registrate e, una volta terminata la conversazione con il bot (che può essere utilizzato anche in fasi successive), inizia la fase di nurturing, attraverso campagne di direct marketing mirate a trasformare il lead in cliente attraverso una comunicazione personalizzata sulle sue esigenze.

Quindi nella fase di chat, affinché l’acquisizione del lead sia a norma di legge, bisogna:

• avere il consenso dell’interessato al trattamento (il prospect) a fini di marketing
• avere il consenso dell’interessato al trattamento a fini di profilazione
• conservare il consenso a fini probatori

Il consenso deve ovviamente avere tutte le caratteristiche viste sopra. 

Struttura del chatbot conforme al GDPR

Appena l’utente apre la chat, una volta che viene “salutato” dal bot, deve comparire il messaggio che indirizza l’interessato al trattamento verso la pagina esterna della privacy policy, attraverso apposito link. 

La privacy policy deve essere strutturata affinché solo al termine dello scroll dell’intero testo, compaia la dicitura da flaggare “ho letto l’informativa privacy” e il pulsante, anch’esso da attivare, per il rilascio del consenso. 

Nel caso di rifiuto da parte dell’interessato al trattamento, il bot deve essere impostato in modo da cancellare i dati acquisiti, di solito nome e cognome che vengono rilasciati appena si apre la chat, e l’utente essere reindirizzato alla chat stessa in cui comparirà il messaggio di chiusura della conversazione. 

Se il consenso viene acquisito si dovranno registrare e conservare i dati riferiti all’interessato:

• Nome e cognome
• ID identificativo oppure indirizzo e-mail
• Indirizzo IP
• Consenso con data e ora di acquisizione

È bene ricordare che in questo caso, dove si utilizza l’AI e si trattano dati spesso particolari come quelli legati alla profilazione, è necessario che l’informativa privacy sia ben chiara circa le finalità del trattamento. 

Lead generation con lead magnet conformi al GDPR

Cos’è un lead magnet? 

Il lead magnet è una risorsa gratuita che viene rilasciata in cambio dei dati personali. 

Può essere una guida, un e-book, che devono essere scelti in maniera strategica dal brand affinché possano interessare solo utenti in target con i servizi offerti.

Ad esempio un e-commerce che vende fiori di Bach può invitare a scaricare l’e-book che insegna come si utilizzano questi fiori. 

Il fatto che si faccia un regalo in cambio del rilascio dei dati non legittima la non richiesta del consenso. 

Anzi il requisiti per inviare comunicazioni di marketing è lo stesso: l’acquisizione del consenso qualificato. Ed è bene specificare che l’interessato al trattamento può chiedere la cancellazione dei dati, anche se ha scaricato la risorsa. 

La casella del consenso non può essere preflaggata, ma si può impostare il sistema affinché nella landing page di riferimento, se il consenso non viene flaggato, il bottone che permette il download della risorsa non si attiva. Quindi il consenso rimane libero, ma senza di esso non si avrà la risorsa gratuita.

Landing page e GDPR

Per quanto riguarda la landing page dedicata all’acquisizione del consenso, le regole da seguire saranno le stesse previste per l‘e-mail marketing:

• nel form contatti deve essere previsto il consenso granulare, quindi una richiesta di consenso per ciascuna finalità di trattamento;
• necessità di prevedere il doppio opt-in che permette di conservare il consenso: quindi ci sarà una prima e-mail che rinvierà ad una seconda landing che conferma l’iscrizione e da cui si scaricherà il lead magnet.

Acquisto di liste di lead: le accortezze

Un’azienda può decidere di attuare una campagna di lead generation, ma può anche decidere di acquistare lead, o, ancora, può decidere di vendere la lista di lead che ha generato. 

In ogni caso, quando c’è un passaggio di lead a soggetti terzi è necessario rispettare ulteriori requisiti previsti dal GDPR. 

Infatti non basta acquisire un unico consenso per tutte le finalità del trattamento, ma, come abbiamo visto, il consenso deve essere “granulare”. Quindi se si ha intenzione di acquistare o vendere lead, gli interessati al trattamento devono aver dato il consenso specifico a ricevere comunicazioni commerciali da parte di soggetti terzi. 

Va da se che per quanto i contatti acquistati possano essere in linea con le proprie buyer personas, sono comunque utenti che ricevono molte comunicazioni commerciali e il rischio che le nostre diventino spam è molto alto. 

Conclusione strategia di lead generation a norma

La lead genaration è uno degli strumenti di marketing che il web ci ha messo a disposizione. E con la progressiva eliminazione dei cookie di tracciamento dai siti web sarà sempre più preziosa. Noi ci siamo focalizzati sugli strumenti che il web ci mette a disposizione, ma non dimentichiamo che la lead generation si può e si deve fare anche offline. Sempre, ovviamente, nel rispetto del GDPR. 

Essendo la lead generation uno strumento così prezioso vale la pena fare un’analisi legale della strategia di funnel di vendita che la tua azienda ha pianificato, al fine di verificare se contiene criticità legali.

Le numerose sanzioni emesse dal Garante della privacy inerenti all’utilizzo non a norma delle liste di contatti anche da parte di grandi aziende, dimostra che la normativa ancora non è così chiara. 

Oltre a quello che abbiamo visto, infatti, entrano in gioco anche le pratiche commerciali scorrette. Noi faremo ovviamente un’analisi a 360 gradi del tuo funnel di marketing perché un business non legale non è un business. 

Brunella Martino

Avvocato specializzato in privacy e proprietà intellettuale con 15 anni di esperienza, DPO, arbitro in materia societaria, autrice Flaccovio Editore, formatrice aziendale, socia FederPrivacy, segretario dell'Aiga sezione Lucca e componente Aiga nazionale Dipartimento Diritto delle nuove tecnologie

Altri articoli in gdpr che potrebbero interessarti

Visualizza tutti gli articoli

⚖️ GDPR per siti web: cosa fare in pratica

21 Aprile 2020

Per GDPR per siti web si intendono tutti quegli adempimenti a cui è tenuto chi tratta dati personali attraverso il sito internet di cui è titolare.

Leggi altro

⚖️ Data retention, conservazione dati a norma di legge

5 Maggio 2022

Il GDPR non dice chiaramente per quanto tempo possono essere conservati i dati. Ma stabilisce il principio di limitazione del trattamento.
La data retention è stata presa alla leggera da molti titolari del trattamento e sono già state emesse sanzioni.

Leggi altro

⚖️ L’Autorità Garante Privacy contro TikTok: no alla pubblicità personalizzata senza il consenso dell’utente

22 Settembre 2022

Con l’intenzione di obiettare alla modifica della privacy policy da pate di Tik Tok il Garante per la protezione dei dati personali stabilisce l’illiceità della condotta del social network con un provvedimento d’urgenza

Leggi altro