Gestione degli asset, identificarli e valutarli per la compliance GDPR: la check-list
Gennaio 22, 2020Trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo
Febbraio 26, 2021Nelle campagne di Lead Generation, le chatbot rappresentano lo strumento più performante che le imprese hanno a disposizione per intercettare e convertire gli utenti interessati in potenziali clienti: il loro utilizzo richiede, però, particolari accortezze per la conformità al GDPR.
Le aziende hanno sempre più necessità di “attirare clienti” attraverso strumenti di Lead Generation: tra quelli più performanti che le imprese hanno a disposizione per intercettare e conseguentemente convertire gli utenti interessati in potenziali clienti, vi sono le chatbot, che sono implementate solitamente all’inizio del processo di acquisizione. Ma le chatbot sono sempre compliance GDPR?
Per rispondere a questa domanda è utile capire come funziona la lead generation, cosa sono i bot e in che modo viene effettuato il trattamento dei dati personali dei potenziali clienti.
La lead generation: definizione e obiettivi
La Lead Generation, a differenza dei tradizionali sistemi di marketing (l’acquisto di spazi pubblicitari in TV, radio e riviste, la partecipazione ad eventi e fiere di settore, il passaparola, le chiamate a freddo), è quell’insieme di tecniche che consentono ad un’azienda di generare dei “prospect”, attirando utenti realmente interessati.
Il lead è un “prospect” interessato al prodotto/servizio offerto da un’azienda, che è entrato in contatto lasciando i propri dati personali. Pertanto con una buona strategia di marketing incentrata sulla lead generation l’azienda può aumentare il proprio fatturato generando maggiori vendite e contatti.
Con la Lead Generation acquisire nuovi clienti vuol dire costruire giorno dopo giorno un rapporto di fiducia con i nuovi clienti, per far sì che questi scelgano e continuino a scegliere il prodotto o il servizio dell’azienda. Per ottenere i risultati sperati è necessario impiegare gli strumenti più idonei tra cui attività di posizionamento organico sui motori di ricerca SEO e SEM, Content Marketing, Social Media Marketing, Email Marketing e Chatbot diversificando le strategie per trasformare i lead in clienti fidelizzati.
Il vantaggio offerto dalla lead generation all’azienda è fare business su una lista profilata di utenti interessati che hanno un problema specifico da risolvere o un desiderio da soddisfare; attraverso una strategia mirata ed un percorso ben preciso di “funnel”, i contatti vengono condotti con strumenti e messaggi specifici in un percorso che si conclude con l’acquisto di un bene/servizio.
Una volta che la strategia ha portato traffico al sito e fornito visibilità al prodotto e/o servizio dell’azienda, non resta che iniziare a convertire i visitatori che vengono in contatto con l’attività in potenziali clienti.
Lasciando i propri dati personali i visitatori del sito sono pronti ad usufruire di attività di lead “nurturing”. In questa fase, è fondamentale attivare i tool per la marketing automation, generando un sistema automatizzato di mail sarà infatti possibile curare il rapporto con i contatti acquisiti.
Una campagna di lead generation consente di acquisire clienti al minor costo di acquisizione rispetto ai classici canali attraverso un lead magnet che attiri l’attenzione dei visitatori offrendogli un contenuto di valore come ad esempio un webinar, un e-book, un podcast.
Cos’è un bot e quali sono le tipologie
Un bot è un programma informatico che, eseguendo algoritmi e script, svolge compiti specifici e ripetitivi in modo indipendente ed automatico, e pertanto non dipende nell’espletamento delle sue funzioni dall’intervento o dal monitoraggio umano.
Un bot è costituito da tre componenti:
- dal workflow che è il codice eseguibile leggibile dal bot scritto dagli sviluppatori per definire le funzioni e i compiti del bot;
- da un database che contiene dati e informazioni essenziali che il programma può utilizzare per svolgere i suoi compiti. A seconda della complessità del bot il database può essere ampliato attivamente nel corso del ciclo di vita attraverso il processo di machine learning;
- dall’API (Application Programming Interface) l’interfaccia di programma attraverso la quale i programmatori possono accedere alle funzioni di altre applicazioni senza scriverle direttamente. Le API possono integrare comandi software esterni nel codice del bot e ampliare la sua funzionalità.
La progettazione dei bot può essere semplice, ma i bot moderni utilizzano anche codici complessi e l’Intelligenza Artificiale. Ormai la programmazione dei bot non richiede più l’investimento di ingenti risorse finanziarie e pertanto anche le aziende medio/piccole sono in grado di realizzare le proprie soluzioni in semi-autonomia, sfruttando personale di sviluppo e API reperibili on-line come ManyChat che è un software per creare bot su Facebook Messenger.
L’approccio classico al bot è la comunicazione che avviene di solito tramite le piattaforme e servizi basati su Internet, come la messaggistica istantanea (IM) o la Internet Relay Chat (IRC).
Le tipologie più comuni di bot
- Chat Bot: lo scopo principale delle chatbot è di simulare un comportamento umano e vengono impiegate per vari scopi come la guida in linea per rispondere alle FAQ degli utenti che accedono a un sito. Esistono due tipologie di chatbot: le chatbot sequenziali basate su regole e keyword e le chatbot di autoapprendimento basate sull’Intelligenza Artificiale (machine learning);
- Social Bot: bot per i servizi di comunicazione su programmi di messaggistica istantanea come Facebook Messanger, Twitter, WhatsApp, Telegram. Questi bot operano sui social media e assumono compiti automatizzati nelle aree di assistenza, FAQ, messaggistica diretta, commenti su post o like, condivisioni e attività di retweet e following;
- Web crawler: questi bot raccolgono e valutano informazioni dai siti web per espandere le funzionalità dei motori di ricerca e dei portali di confronto, registrare e indicizzare nuovi contenuti web, creare link e ottimizzare le query di ricerca;
- Bot di monitoraggio: sono bot per eseguire funzioni come la raccolta dei dati da applicazioni meteorologiche o sul traffico automobilistico oppure i dati di monitoraggio di un sito web;
- Bot di servizi: bot che eseguono servizi automatizzati come traduzioni, pubblicità personalizzate o ordini oppure che confrontano i prezzi nei negozi online e cercano le offerte più economiche;
- Bot di gioco: sono bot che hanno funzioni ludiche come giocare a scacchi;
- Botnet: bot per scopi illeciti come furti di dati, truffe e attacchi DDoS.
- per fornire supporto di Assistenza al cliente post-vendita;
- per attività di Corporate Knowledge;
- per attività di Assistant;
- per attività di Guida all’acquisto;
- per attività di Brand reputation;
- per attività di Supporto alle vendite;
- per attività di supporto ai dispositivi smart nella domotica che permettono di gestire la propria abitazione anche da remoto;
- per attività di recruiting per rispondere ai candidati in merito alle posizioni aperte e di gestione del personale, ad esempio per dare ai dipendenti informazioni sul loro contratto o sui permessi.
- sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
- sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;
- si basi sul consenso esplicito dell’interessato.
- Nome e Cognome
- ID Utente/e-mail
- Data e ora azione consenso
- Consenso (si/no)
- Indirizzo IP
- creare un’azione che cancelli immediatamente i dati dell’utente;
- reindirizzare l’utente ad un messaggio che non permetta di proseguire oltre con la conversazione.
- L’identità e i dati del Titolare del trattamento;
- Tipi di dati trattati;
- Finalità del trattamento cui sono destinati i dati personali;
- La base giuridica per eseguire i trattamenti sui dati personali;
- Categorie di destinatari dei dati personali;
- Conservazione e trasferimento di dati personali all’estero;
- Periodo di conservazione dei dati personali;
- Modalità di trattamento dei dati personali;
- Diritti e modalità di esercizio;
- Violazione dei dati (Data Breach) e notifica al Garante della Privacy e/o comunicazione della violazione all’interessato;
La chatbot: definizione e uso
La tipologia di bot che più si sta diffondendo sempre più per attività di web marketing è indubbiamente la chatbot. Grazie alle sue caratteristiche specifiche la chatbot si sta rivelando un’alleata fedele delle aziende che per sviluppare il loro business devono attuare strategie di lead generation.
Le chatbot sequenziali sono progettate secondo il principio della programmazione “If-then-else” basata su regole che eseguono comandi e compiti programmati. Questa tipologia di chatbot è ideale per automatizzare le strategie di Lead Generation, per la gestione dei reclami e dei feedback.
Le chatbot di autoapprendimento si basano sull’Intelligenza Artificiale e sono in grado nel loro ciclo di vita di evolversi, possono espandere il proprio database e imparare nuove funzioni e concetti.
La chatbot di AI, contenendo algoritmi di tecnologia Natural Language Processing (NLP), è in grado di capire quello che l’utente sta cercando di dire e comprenderne l’intenzione.
Essendo dotata di intelligenza artificiale, la chatbot AI individua gli errori di ortografia degli utenti e riesce a capire la vera domanda dell’utente anche se scritta con errori di ortografia.
A differenza delle chatbot sequenziali, le chatbot AI con il tempo riescono ad “auto-migliorarsi” in base alle richieste degli utenti.
L’utilizzo delle chatbot nelle attività di Lead generation
Le aziende utilizzano le chatbot soprattutto nell’attività di Lead generation al fine di profilare gli utenti e personalizzare i contenuti in questo particolare caso ogni interazione dell’utente è registrata, analizzata e tradotta in un’informazione utile per le interazioni successive.
Altre attività per le quali vengono adottate le chatbot dalle aziende sono:
Chatbot e GDPR: la profilazione dei clienti
Abbiamo visto quanto la “profilazione” sia dunque strategica per le aziende e grazie alla implementazione di “IA” e alla logica sequenziale, la chatbot sia lo strumento di profilazione più potente per lead generation.
Attraverso la chatbot le aziende costruiscono il loro database di utenti profilati e questi ultimi ricevono informazioni in cambio dei propri dati personali.
La chatbot, dunque, attiva quel processo che il GDPR chiama “processo automatizzato relativo alle persone fisiche, compresa la profilazione” e proprio per questo motivo risulta il tool più “rischioso” in ottica compliance.
Inoltre, le chatbot possono trattare importanti quantità e tipologie di dati personali non solo identificativi ma anche particolari come, ad esempio, dati biometrici (tono della voce ecc.) a prescindere dal compito per il quale sono state progettate. Per il titolare del trattamento dei dati personali, dunque, è fondamentale verificare l’adeguamento della chatbot ai principi del GDPR.
Chatbot e GDPR: i trattamenti automatizzati
A proposito dei “trattamenti automatizzati”, il paragrafo 1 dell’Art. 22 del GDPR sancisce che l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
Il paragrafo 1 dell’art. 22 non si applica nel caso in cui la decisione:
Nei casi alle lettere a) e c), il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.
Alla luce degli articoli 9 e 22 del GDPR sembra che nessuna applicazione di IA, di cui la chatbot fa sicuramente parte, che possa sfociare in decisioni automatizzate, possa essere pienamente conforme al GDPR senza prevedere un intervento umano almeno in seconda battuta, su richiesta dell’interessato.
Definire le finalità del trattamento
Una ulteriore criticità è rappresentata dalla difficoltà di definire a priori ed in modo certo tutte le finalità del trattamento: infatti, l’algoritmo IA nel corso della sua vita tramite le funzioni del machine learning, potrebbe iniziare spontaneamente a trattare dati per finalità ulteriori e diverse rispetto a quelle per quali è stato programmato in origine entrando così in conflitto sia con il principio generale di finalità del trattamento di dati personali sia con il principio di minimizzazione dei dati previsto dal GDPR.
Per rispettare i requisiti minimi di conformità al GDPR gli applicativi IA dovrebbero operare riducendo e limitando le caratteristiche e le capacità identificative dei dati applicando le tecniche di pseudonimizzazione e minimizzazione.
L’art. 25 del GDPR con i considerando 75 e 76, impone ai titolari del trattamento di configurare gli applicativi IA in modo da poterne mantenere il controllo. Secondo il principio di “privacy by design” la protezione dei dati dovrebbe essere implementata dal Titolare con un approccio basato sulla “valutazione del rischio” sin dalla fase di progettazione di qualsiasi processo tecnologico e/o servizio che presuppone un trattamento di dati personali.
Come ribadito dalla Convenzione di Strasburgo, vi è dunque la necessità di garantire ad ogni persona fisica, quali che siano la sua nazionalità o la sua residenza, il rispetto dei suoi diritti e delle sue libertà fondamentali, e in particolare del suo diritto alla vita privata, in relazione all’elaborazione automatica dei dati a carattere personale che la riguardano.
Come creare una chatbot sequenziale conforme al GDPR
Abbiamo visto come l’utilizzo di una chatbot o di un assistente virtuale comporti inevitabilmente un trattamento dei dati personali degli utenti.
Una “non conformità” potrebbe portare il titolare del trattamento ad incappare nelle sanzioni previste dal GDPR ed a un danno della brand reputation aziendale in caso di data breach.
Come si costruisce pertanto una chatbot sequenziale GDPR compliance?
Innanzitutto, dopo aver salutato l’utente gli si chiede di scrivere nome e cognome, alla sua prima interazione con il bot è necessario comporre un testo spiegando che è obbligatorio leggere l’informativa prima di avviare il servizio di chatbot.
A questo punto va aggiunto quindi un link o un pulsante che reindirizzi alla finestra della privacy policy del titolare del trattamento.
Nella finestra della privacy policy deve essere inserita una check box “Ho letto l’informativa privacy” e un pulsante con funzione di acquisizione del consenso “Acconsento e proseguo”. Sia la check box che il pulsante dovranno attivarsi quando l’utente termina lo “scroll” della finestra.
A consenso acquisito è necessario registrare i seguenti dati:
In caso di rifiuto, è obbligatorio:
La privacy policy per la chatbot
Come per l’informativa, è obbligatorio permettere in qualsiasi momento all’utente di cancellare la propria sottoscrizione.
Questa non prevede la cancellazione totale dei dati, ma solo l’intenzione di non voler più ricevere messaggi pubblicitari, a meno che l’utente non lo chieda espressamente appellandosi al “diritto all’oblio”.
La privacy policy dovrebbe contenere almeno i seguenti punti:
Queste sono le operazioni di base che permettono alla chatbot di essere conforme al GDPR.
Fonte: Claudio Solera e Paolo Rabaioli per cybersecurity360.it