GDPR nelle RICERCHE DI MERCATO

Il Parlamento europeo mira a proteggere i dati personali dei suoi cittadini in tutti i 28 Stati membri dell’UE attraverso il Regolamento Generale sulla protezione dei Dati Personali meglio conosciuto come GDPR. Tale regolamento è ufficialmente entrato in vigore il 25 maggio 2018 ed è stato completamente recepito dall’Italia attraverso la sua conversione in legge del 19 settembre 2018. (Cfr. articolo  DECRETO GDPR su questo blog)

Si applica a tutte le organizzazioni che gestiscono i dati dei cittadini dell’UE, comprese quindi le società che effettuano  Ricerche di Mercato.

In questo articolo cerchiamo di mettere a fuoco i punti salienti che una Società, che effettua Ricerche di Mercato, debba tenere in considerazione nel trattare i Dati Personali con cui viene in contatto durante lo svolgimento delle proprie attività.

1 Principi fondamentali della protezione dei Dati

Non tutte le Ricerche sono soggette allo stesso tipo di conformità al nuovo Regolamento GDPR: dipende sia dalla tipologia di target della ricerca, sia dalla natura dei dati trattati

Prima di definire quindi complicati processi per ottenere la conformità al Regolamento Europeo , è utile circoscrivere l’ambito settoriale all’interno del quale la società di marketing opera e le tipologie di dati che saranno utilizzate per ottenere i risultati desiderati. Per chi è certificato ISO9001: 2015 può confrontare quanto riportato nell’articolo GDPR ISO9001 2015 NEI SERVIZI :ANALISI DEL CONTESTO  all’interno di questo blog

Comunque il nuovo Regolamento Europeo in particolare:

1. stabilisce norme relative al trattamento dei Dati Personali delle persone fisiche (non quindi quelli di aziende, enti o organizzazioni in genere ) ed alla libera circolazione di tali dati.
2. si basa sul Principio del PRIVACY BY DEFAULT per cui in ogni attività svolta dalla azienda dovrebbe essere sempre in rilievo il concetto di protezione dei dati Personali
3. si basa sul Principio del PRIVACY BY DESIGN per cui la protezione dei dati Personali deve essere il frutto di un’accurata progettazione delle attività che permettono tale protezione
4. rappresenta un vero e proprio Sistema di Gestione di tutte le informazioni che trattano Dati Personali  con una forte responsabilizzazione dell’ Organizzazione (principio di accountability) che ha in gestione tali dati

2. Cosa si intende per target di ricerca

I riferimenti delle persone che sono oggetto di un’intervista possono provenire da diverse fonti. Ad esempio:

1. da un proprio data base interno, generico o tematico raccolto dall’organizzazione nel tempo
2. da un data base fornito dal cliente per il quale viene effettuata la ricerca
3. da un data base fornito da una società esterna specializzata per la raccolta dei riferimenti
4. da un data base di una società esterna a cui si commissionano le interviste
5. Alcune interviste possono essere su soggetti anonimi (es. quelle face to face fatte davanti a Centri Commerciali)

Per tutte queste tipologie (a parte quella relativa alla raccolta anonima) è necessario applicare, in varia misura e con modalità diverse, quanto previsto dal GDPR.

3. Quali dati devono essere trattati in conformità al GDPR

Tutti quelli che possono portare all’identificazione dell’intervistato nella misura in cui tale identificazione possa portare nocumento al titolare dello specifico profilo.

Quindi ovviamente:

1. se la ricerca è rivolta ad organizzazioni, l‘intervista fatta ai titolari o ai responsabili funzionali di tale organizzazione non necessità di alcun trattamento specifico sulla base del GDPR.
2. Se invece, come nella maggior parte dei casi, vengono coinvolte persone fisiche (i cosiddetti retail), allora il trattamento dovrà seguire quanto disposto dal nuovo Regolamento Europeo

4. Processo di gestione dei dati personali

Le attività che rientrano nella Gestione  dei Dati Personali sono molteplici. Le modalità di applicazione devono essere determinate dall’Organizzazione che effettua le ricerche di mercato  sulla base del principio di Accountability e possono essere riassunte nella seguente sequenza di azioni:

1.  Analizzare ogni tipologia di ricerca di mercato. indagini di tipo sanitario (che comportano dati sensibili ora detti particolari) ovviamente sono più delicate, dal punto di vista della Privacy, rispetto ad una indagine per scoprire le tendenze sugli acquisti di automobili
2. Stabilire le categorie interessate al trattamento. e cioè le tipologie di Persone Fisiche che saranno oggetto delle ricerche
3. Indicare la Natura dei dati trattati . quindi se saranno raccolti dati che rientrano fra quelli particolari, oppure comuni oppure anonimi
4. Individuare i Destinatari . e cioè le Persone Fisiche, le Funzioni aziendali o le Organizzazioni interne o esterne all’azienda, a cui i Dati Personali sono comunicati e che sono quindi, a vario titolo,  coinvolte nel trattamento dei Dati Personali individuati
5. Finalità Trattamento   lo scopo per cui i vari trattamenti di Dati Personali sono effettuati all’interno dei Processi aziendali
6. Base Giuridica : rappresenta il fondamento legislativo, contrattuale o di interesse vitale della persona interessata, per il quale vene effettuato il trattamento individuato. Nella fattispecie può essere una commessa cliente o una commessa interna di ricerca debitamente autorizzata
7. Modalità di Raccolta del Consenso :  viene indicata la metodologia con la quale vengono raccolte le manifestazioni di assenso, da parte degli interessati, al trattamento dei Dati Personali che li riguardano
8. Informativa : indica i contenuti della comunicazione e la modalità con cui tale comunicazione viene trasmessa agli interessati per informarli del trattamento dei loro Dati Personali
9. Trattamenti Effettuati: vengono riportati i trattamenti che vengono effettuati sui Dati Personali individuati all’interno di uno specifico processo aziendale
10. Rischi Individuati e Possibili Impatti: sono indicati, per tutti i trattamenti eseguiti sui Dati Personali, i possibili rischi che riguardano la Privacy, le possibili conseguenze ed il grado di probabilità accertata
11. Misure di Sicurezza: vengono indicate per ogni processo aziendale e per ogni categoria di Dati Personali trattati, le misure Organizzative e Tecniche adottate per garantire  la Disponibilità, l’Autenticità, l’Integrità e la Riservatezza dei dati trattati
12. Violazioni e Azioni Conseguenti : indicano le attività che l’azienda mette in opera per gestire le possibili violazioni (Data Breaches) durante il trattamento dei Dati Personali 
13. Periodo di Conservazione delle Informazioni:  Viene riportato, per ogni Processo aziendale il periodo massimo di conservazione dei Dati Personali trattati dopo il quale gli stessi vengono cancellati o distrutti.

5. Consenso

La tipologia del consenso, che una società di ricerca di mercato deve esigere per poter effettuare il trattamento dei Dati Personali, dipende sostanzialmente da due fattori:

1. L’origine dei dati
2. La metodologia di intervista adottata

Per quanto riguarda i riferimenti contenuti in elenchi interni la Società, prima della ricerca deve verificare che tutti i riferimenti siano muniti di consenso (anche se antecedenti all’entrata in vigore del nuovo Regolamento). Il GDPR comunque chiede che tali elenchi siano costantemente ed opportunamente aggiornati verificando sistematicamente la correttezza delle informazioni contenute

Per gli elenchi ottenuti dall’esterno sia se acquisiti dal cliente, ma soprattutto se ottenuti come fornitura da organizzazioni o da professionisti esterni, è necessario stabilire contrattualmente chi ha l’onere di ottenere il consenso.

Bisogna ricordare che nella maggior parte dei casi la responsabilità di eventuali violazioni (data Breaches) è della Società che gestisce la commessa di ricerca: Per questo è molto importante selezionare accuratamente i fornitori esterni con criteri che mettano in luce la conformità della loro Politica della Privacy al GDPR.

Per quanto riguarda le Metodologia delle interviste ovviamente il consenso varia ed è collegato a come viene sottoposta l’informativa sulla Privacy. In particolare per qualsiasi tipo di ricerca informare  sempre i partecipanti delle politiche aziendali sulla privacy e dove possono eventualmente essere lette.

Teniamo comunque presente alcuni fattori :

1. I report di ricerca, realizzati durante le interviste, dovrebbero contenere  il più possibile dati anonimi considerando la possibilità di usare acronimi o pseudonimi.
2. omettere qualsiasi dato personale presente nelle registrazioni di una sessione di ricerca (video / audio) a meno che non sia fondamentale per la ricerca. Soprattutto non pubblicizzare o commercializzare i video di ricerca che devono solo essere utilizzati per la gestione del progetto .
3.  quando si conducono sondaggi online evitare di catturare i dati degli utenti non chiedendo mai ai partecipanti il loro nome e genere ed evitando di individuare il loro IP
4. Nel caso di una intervista face to face è necessario sottoporre ai partecipanti un “form” che deve essere completato con una  firma come prova del consenso.
5.  Nel caso venga offerto un incentivo ai partecipanti di una intervista con metodologia ad esempio Focus Group o Face to Face, è generalmente richiesta una conferma che tali incentivi sono stati accettati. Anche questa operazione  potrebbe richiedere un nome, un indirizzo e una firma su un documento da allegare a quello di consenso e con le stesse modalità di trattamento.