Nel far west dei consensi, nella giungla dei campi da compilare, nella montagna di dati personali affidati a ogni genere di piattaforma, è capitato sicuramente ad ognuno di noi di sentirsi impotente nei confronti di chi, a fronte di un accesso, di un download, o addirittura della visualizzazione di una pagina ti chiede anche il numero di scarpe.
Le domande sono sempre le stesse:
- “Ma che se ne fanno di questi dati?”
- “A chi gireranno i miei dati personali?”
- “Perché adesso dovrei riempire tutti questi campi?”
Molto spesso le risposte a queste domande esistono, ma quasi sempre la tendenza è di evitare di darle. Questo principalmente per un paio di motivi. Il primo è che siamo sempre stati convinti che l’utente si dovesse adeguare al nostro modo di comunicare, e non noi al suo. Il secondo e più importante motivo è che inconsciamente si è sempre pensato che l’utente medio, essendo poco colto tecnologicamente, potesse essere “maltrattato”, perché tanto non lo avrebbe neanche percepito.
Oggi le cose sono un po’ diverse: l’utente medio è più preparato, più attento, più avvezzo all’uso della tecnologia, grazie anche alla grande diffusione degli smartphone.
Chi si trova di fronte ad un form, nella maggior parte dei casi, prova un vero e proprio senso di disagio se non capisce il valore di quei dati che gli vengono richiesti. Questo perché ha già sperimentato sincronizzazioni, social login, autocompletamenti, input contestuali e tante altre forme di interazione “user-friendly”, quindi quando si trova di fronte ad una richiesta di dato personale che non ha nulla a che vedere con il suo obiettivo, mette in discussione la fiducia che ha per quella piattaforma.
È questione di fiducia
Fiducia sì, è su questo che vorrei concentrarmi in questo post, sulla nostra capacità come progettisti di un servizio, di infondere fiducia partendo proprio da quell’ambito così ostico, così trascurato, così abusato, che è il trattamento dei dati personali.
In realtà chi si occupa di progettazione si trova spesso a dover fare il ruolo di mediatore tra quelle che sono le esigenze di business, del marketing e dell’utente. Questo perché apparentemente le esigenze sembrano diverse e, nella visione di ogni stakeholder, la priorità andrebbe data proprio alla sua esigenza.
Quello che spesso non è chiaro però è che nella realtà le esigenze convergono tutte in un unico punto, il punto in cui ognuno riconosce le esigenze dell’altro visto che, senza anche solo una di queste esigenze, tutto il progetto è destinato a fallire.
E in questo il GDPR ci viene in aiuto.
Non voglio dilungarmi troppo su cosa sia e quali principi contenga il GDPR, però in questa sede credo valga la pena dare un accenno di cosa si aspetta da noi l’Unione Europea in tema di privacy.
Potremmo dividere la direttiva europea in 2 parti:
- i consensi,
- la gestione dei propri dati.
In cosa ci aiuta il GDPR?
In tema di consensi il GDPR invita a descrivere contestualmente alla richiesta, cosa succede ai miei dati quando vengono salvati e quali sono le motivazioni per cui mi vengono richiesti. È previsto che l’utente faccia una azione attiva per lasciare il suo consenso (ad esempio cliccando un flag o un pulsante in cui viene specificato che proseguendo si accettano le condizioni) e che il microcopy (cioè il contenuto dei brevi paragrafi esplicativi) sia scritto con un linguaggio accessibile per il nostro utente.
In tema di gestione dei dati, l’utente deve poter modificare i consensi e i dati, e viene esplicitato il diritto all’oblio, cioè il diritto alla cancellazione totale dei dati.
Il GDPR fa qualcosa di epocale: mette nero su bianco, attraverso una normativa che rende tutto ciò obbligatorio ai sensi di legge, quei principi su cui i progettisti più attenti fanno tanta attenzione da anni, cercando di stabilire un rapporto di trasparenza con il proprio utente e conquistando in questo modo la sua fiducia.
Ora proviamo ad applicare questi principi, usando alcuni esempi.
Elevato livello di dettaglio
In quei casi in cui il nostro utente deve fare una scelta importante che lo fa riflettere sulla decisione da prendere, possiamo rendergli quel momento meno tragico ricordandogli che potrà modificare la sua scelta in qualsiasi momento.
Offrire al nostro utente un elevato dettaglio nei consensi ci permette di dimostrare la nostra trasparenza e di ricevere più consensi consapevoli, consensi che se fossero stati incorporati in un unica preferenza non sarebbero mai stati dati.
Uno dei casi più comuni, in cui tutti ci saremo imbattuti è quello del form con campi che sembrano inutili rispetto all’azione che stiamo facendo. E di solito è così, non sono utili rispetto al percorso che l’utente sta compiendo in quel momento.
Questo non significa che siano del tutto inutili, anzi potrebbero essere dati essenziali per il business o per l’applicazione, ma si fa l’errore di non motivare la richiesta di quel dato e di non richiederlo quando è effettivamente necessario.
Architettura e tone of voice della richiesta
Il GDPR mette l’accento anche sull’architettura e il tono di voce della policy. Quello che la normativa vuole evitare è che si continui a descrivere la propria politica in materia di privacy usando un linguaggio ai più sconosciuto e senza gerarchia dei contenuti.
Quindi dobbiamo pensare la nostra policy come se fosse un articolo del nostro blog o la landing page di un nuovo prodotto: iconografia, microcopy, tono di voce, strutturazione dei contenuti testuali, ecc.
Consenso esplicito e motivato
Un’altra pratica che il GDPR bandisce è quella dei campi pre-selezionati. Dobbiamo solo invitare il nostro utente ad acconsentire alle nostre proposte fornendogli un motivo per farlo.
Un tema importante poi è quello dei testi “ingannevoli”. L’uso delle negazioni o addirittura delle doppie negazioni produce per lo più frustrazione sul nostro utente che, oltre a poter fraintendere ciò che c’è scritto, si sente preso in giro.
In certi casi una funzionalità avanzata di profilazione che genera grande beneficio per l’utente può essere invece percepita come un’invasione della sua privacy. Questo perché non sono stati esplicitati il motivo e i vantaggi che può ricevere in cambio del suo tracciamento.
Procedere con questo metodo permette di mettere l’utente al centro della nostra progettazione ed è lampante come lo stesso utente ne tragga beneficio in termini di controllo, tranquillità e comprensione di ciò che sta succedendo “sotto il cofano”.
Quello dell’utente però non è l’unico tema che ha a che fare con i benefici della GDPR. Se ben progettata, la privacy by design porta vantaggi anche al nostro business.
I vantaggi del GDPR per il business
Il primo dei vantaggi per il nostro business è ancora una volta legato strettamente alla fiducia. Un utente che sperimenta un senso di fiducia verso la piattaforma sarà molto probabilmente un utente di ritorno, garantendo una retention che potrà essere stimolata attraverso nuovi percorsi basati sempre sulla fiducia.
Il secondo vantaggio, altrettanto importante, è quello della qualità dei dati. Nel momento in cui chiediamo all’utente di fare uno sforzo per inserire informazioni e in cambio gli offriamo dei vantaggi in termini di usabilità, sicurezza o evoluzione del proprio rapporto con la piattaforma, quell’utente sarà consapevole che potrà beneficiare di quei vantaggi solo “donando” informazioni vere. Sarà una sua scelta consapevole, perché avrà percepito il valore di scambio tra il “dato” e il “ricevuto”.
Storage di dati GDPR-compliant
C’è un ultimo punto non trascurabile in tema di privacy di cui ancora non abbiamo fatto cenno, è quello della tecnologia. Già, perché tutti i ragionamenti fatti finora si basano su strategie di sviluppo non sempre facilissime da implementare e con conseguenze non da poco sull’andamento del progetto.
Non c’è molto però che possiamo fare visto che la normativa ci obbliga ad adottare alcune tecniche di archiviazione che necessitano di un certo impegno da parte di chi si occupa di sviluppo.
Quindi l’unica cosa che possiamo fare è, ancora una volta, convertire il costo di questa operazione, in fiducia.
Come le partnership con le piattaforme di credito negli e-commerce o i certificati di attendibilità di applicazioni che richiedono un alto grado di sicurezza, uno storage di dati GDPR-compliant è un vanto per il nostro business e una rassicurazione per il nostro utente. Va quindi comunicato in modo chiaro ed evidente.
Difendere la privacy generando fiducia
Ora arrivati a questo punto potremmo chiederci: “ma davvero è così importante il tema della privacy per generare fiducia sul nostro utente?”. La risposta è in ognuno di noi, noi che ci arrabbiamo quando l’operatore telefonico ci “inserisce” costi non previsti, noi che dopo esserci iscritti ad una nuova app veniamo sommersi dallo spam, noi che ormai ci sentiamo controllati come nel Grande Fratello di Orwell, noi che saremo sempre più immersi in un mondo in cui la privacy va difesa.
Quindi ripeto la domanda: “ma davvero è così importante il tema della privacy per generare fiducia sul nostro utente?”.
Secondo me, Sì.