Legal Marketing e Privacy: nuove sfide per i professionisti

Sommario

  1. Premesse
  2. Management by Process e Privacy by Design e Privacy by default (art.25 comma 1 e 2 del Regolamento UE n. 2016/679)
  3. Le 7 cose da tenere presenti per professionisti/studi legali che iniziano il percorso marketing;
  4. Nuove frontiere del Legal Marketing

1.        Premessa

Organizzazione, Processi, Analisi, Tecnologie: parole chiave condivise sia in ambito Privacy sia nel settore del Marketing.

Privacy come un’ulteriore opportunità per il Marketing di migliorare la pianificazione dei processi organizzativi e al tempo stesso come strumento per ridefinire la Vision dello studio verso i propri clienti. Ma non solo: anche come valore da utilizzare per distinguersi dalla concorrenza.

2.        Management by Process e Privacy by Design e Privacy by default (art. 25 comma 1 e comma 2 del Regolamento UE n. 2016/679)

Con il termine Management by process si intende far riferimento alla gestione dei processi ovvero individuare in modo preciso e puntuale quali siano i processi su cui si fonda lo studio (una sorte di vera e propria mappatura), analizzando anche le interazioni intercorrenti tra loro con il fine di creare un modello sistemico di gestione dei processi nel contesto dello studio. Pianificazione volta quindi ad una governace dei processi da parte del Titolare.

Basta rileggere il paragrafo precedente in un’ottica Privacy e il gioco è fatto.

L’integrazione, tra quanto già definito dal Marketing e le regole previste dal Regolamento UE n. 2016/679, non sfugge a chi giornalmente si occupa di Privacy per i propri clienti: la mappatura di ogni singolo processo organizzativo, l’individuazione dei

ruoli e dei compiti delle persone interne dello studio, delle tecnologie utilizzate sono la base comune (indipendentemente dalla grandezza dello studio legale) della compliance privacy.

Il Regolamento UE n. 2016/679 introduce queste due nuove modalità di “gestione” da parte del Titolare del Trattamento della protezione delle persone e dei loro dati, nell’ottica della cd. Principio di Accountability (Art. 24 del Regolamento UE n. 2016/679) ovvero di Responsabilizzazione nelle scelte organizzative e tecnologiche.

L’Art. 25 “Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita” al comma 1 recita:

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, [..]volte ad attuare in modo efficace i principi di protezione dei dati, [..] e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

Ecco la Privacy by design, ovvero pianificazione dei processi e delle attività prima della realizzazione: progettazione che può riguardare l’apertura di un nuovo studio legale (o di una nuova sede di uno studio già esistente) o l’attivazione di uno o più strumenti marketing (ad es. sito internet).

Progettazione che ad esempio, nel primo caso, può riguardare non solo una mappatura dei processi e delle tecnologie, ma anche diversi settori fra i quali anche la pianificazione dei locali e dell’arredamento degli stessi che dovranno rispecchiare quell’ulteriore sensibilità verso i clienti che gli studi dovranno acquisire.

Nel caso in cui invece occorra adeguare quanto già esistente occorrerà far riferimento alla Privacy by default, che ritroviamo al secondo comma dell’art. 25:

Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. […] In particolare, dette misure

garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.

In questo caso invece si ha una tutela della protezione del dato che deve diventare

l’impostazione predefinita.

Ulteriori indicazioni per poter meglio comprendere questo nuovo sistema di gestione delle scelte del Titolare in base ai processi organizzativi li ritroviamo:

  • Al Considerando n. 74: È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. [..];
  • Al Considerando n. 78: [..] Al fine di poter dimostrare la conformità con il presente regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita. Tali misure potrebbero consistere, tra l’altro, nel ridurre al minimo il trattamento dei dati personali, [..], offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all’interessato di controllare il trattamento dei dati e consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza. In fase di sviluppo progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell’arte, a far si ̀ che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati[..];

3.   Le 7 cose da tenere presenti per professionisti/studi legali che iniziano il percorso marketing;

Dopo questa riflessione sulle interconnessioni tra Legal Marketing e Privacy, vediamo quali sono le 10 cose da tenere presenti per chi vuole rivedere la propria attività quotidiana alla luce di quanto detto fino ad ora:

  1. Non basta un Social per fare marketing: prima di utilizzare i Social ed in generale le risorse messe a disposizione dal Web occorre pianificare tempi e modi per farlo al meglio. Non improvvisare e non lasciarsi trasportare dall’entusiasmo del momento: occorre prima definire l’oggetto del “messaggio” da comunicare prima di comunicarlo;
    1. Fare un’analisi della propria attività sincera: molto spesso sia quando si sta effettuando per la prima volta l’analisi SWOT (Strong, Weakness, Oppotunity, Threat), punto di partenza del piano marketing in quanto evidenzia i punti di forza, di debolezza, minacce e opportunità, sia quando si stanno mappando le singole attività per vedere dove e come possono esserci problemi in ambito Privacy, il professionista/studio legale non risponde sinceramente alle domande di entrambe le check list e le motivazioni possono essere due: o non si è mai soffermato a fare il punto sulla propria quotidiana o sapendo di sbagliare risponde come vorrebbe che sia e non come è realmente. Nel primo caso se non si conosce l’effettiva risposta occorre fermarsi nell’analisi generale ed approfondire il processo che non si conosce fino a che non si arriva a mapparne tutti i passaggi. Nel secondo caso invece rischiamo di alterare l’analisi e i risultati e nell’ambito Privacy, rischiamo di rendere inutili le misure prese lasciando “scoperto” un eventuale processo che sappiamo essere sbagliato ma che per ragioni di budget o di non reale volontà di cambiamento, non risolviamo;
    1. Strategie prima e poi marketing: pianificare, pianificare e pianificare. Una volta “scorporata” la nostra quotidiana attività lavorativa, e nel caso dello studio legale, mappato chi fa cosa, dove e quando e come, definiti gli obiettivi si parte con il piano marketing. Nell’ambito Privacy questa mappatura ci servirà per poter compilare l’Informativa e il Registro dei Trattamenti, adempimenti comuni a tutti i professionisti/studi legali
    1. Ricordarsi di essere nell’ambito del Legal Marketing: in questo specifico settore occorre tenere presente anche i limiti e le opportunità che ci offre il Nuovo

Codice Deontologico forense così come modificato con delibera del Consiglio nazionale forense del 22 gennaio 2016, pubblicata nella Gazzetta Ufficiale, Serie Generale 3 maggio 2016, n. 102, all’esito delle procedure di consultazione di cui all’art. 35, comma 1, lett. d) della legge 31 dicembre 2012, n. 247, avviate ai sensi della delibera del Consiglio nazionale forense del 22 gennaio 2016: all’ art. 35 “Dovere di corretta informazioneè stata prevista per l’Avvocato la possibilità di dare informazione sulla propria attività professionale, quali che siano i mezzi utilizzati per rendere le stesse rispettando allo stesso tempo i doveri di verità, correttezza, trasparenza, segretezza e riservatezza, facendo in ogni caso riferimento alla natura e ai limiti dell’obbligazione professionale.

Nello stesso Articolo 35 dal comma 2 al comma 8 vengono date delle indicazioni precise relativamente a cosa e come deve essere data tale informazione; infine al comma 9 è previsto che “le forme e le modalità delle informazioni devono comunque rispettare i principi di dignità e decoro della professione”. Limite insuperabile posto per qualsiasi strategia di marketing in questo specifico settore, viene indicato all’art. 37 sempre del Nuovo Codice Deontologico “Divieto di accaparramento della clientela” che comporta l’applicazione della sanzione disciplinare della censura;

  • Scelta degli strumenti in base alle proprie competenze, al proprio tempo ed alla propria attività: a questo punto in base alla mappatura dei processi, al tempo che vogliamo dedicare a questo cambiamento e alla …, occorrerà scegliere come veicolare il nostro “messaggio”: sito internet, Social Network, Newsletter informative, Articoli su Riviste specializzate ecc.. .

Ricordarsi sempre che soprattutto per quanto riguarda gli strumenti informatici (sito, newsletter ecc..) occorre sempre tenere presente anche le regole imposte al Titolare in ambito Privacy: l’art, 28 del Reg. UE ad esempio al primo comma recita “qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”, il Considerando n. 81 (Reg. UE) specifica le garanzie sufficienti “ [..]in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto

misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, anche per la sicurezza del trattamento”. Quest’ultima inoltre viene approfondita anche all’art. 32 (Reg. UE) nel quale al primo comma recita “l titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischiospecificando poi al comma 2 che “ Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.”

  • Privacy opportunità e non come limite al Marketing: quotidianamente la Privacy viene vissuta come un ulteriore limite ed irrigidimento delle procedure: in realtà è un’opportunità che fa sì di poter effettivamente instaurare un colloquio tra Titolare ed Interessato attraverso ad esempio l’Informativa (prevista dagli artt. 13 e 14 del Reg. UE n. 2016/679) ed il Registro dei Trattamenti (previsto dall’ex art. 30 sempre del Reg. UE) che sono al tempo stesso atti “finali” di un processo di adeguamento e atti in continuo aggiornamento da parte del Titolare in caso di ulteriori cambiamenti significativi della propria attività;
    • Non avere fretta: i risultati delle azioni pianificate non si vedranno subito, ma si vedranno nel momento in cui anche il Titolare non eseguirà solo quanto pianificato ma vivrà tale cambiamento con i clienti, quelli attuali e quelli potenziali.

4.   Nuove frontiere del Legal Marketing

A conclusione di questa breve panoramica sulle nuove sfide del Legal Marketing, occorre aggiungere che vi è stata un’ulteriore recente rivoluzione sempre in questo settore: focus di tutte le attività sarebbe secondo Philip Kotler, non più (solo) il guadagno ma il cliente, i suoi bisogni e le sue emozioni: sintesi di questo è nella formula H2H, ovvero human to human.

Quindi come nel Regolamento Europeo, a differenza del passato, viene posto al centro di tutto l’interessato ed i trattamenti sui suoi dati, ben possiamo comprendere le evoluzioni e gli sviluppi che ci potranno essere nei prossimi anni.

Maribel Maini