Hai una lista email per marketing Potresti non poterla più usare secondo GDPR

Se vuoi approfondire l’argomento dell’adeguamento dei tuoi siti al Gdpr, ho scritto uno specifico articolo dal titolo “Come adeguare il tuo sito web al Gdpr“.

In questo articolo cercherò di approfondire un’argomento divenuto spinoso, che molti sottovalutano o addirittura ignorano.

L’uso delle liste email ai fini di marketing, cercando di rispondere a queste domande:

  • Posso usare la lista email acquisita nel tempo o dei miei contatti social per inviare newsletters?
  • Come faccio a ottenere il consenso ad usare una lista di email di clienti?
  • Ho una lista molto vecchia di email, posso continuare ad usarla?
  • Ho acquisito una lista da terzi, come debbo comportarmi?

Quanti dubbi sorgono alla luce della compliance GDPR! Ma cerchiamo di fare chiarezza. 

La newsletter è un mezzo conveniente per costruire e consolidare le relazioni con i propri clienti, ma vi è l’obbligo legale di dotarsi di una privacy policy completa dal momento in cui si inizia a raccogliere dati personali dei cyber-utenti e di rispettare le normative vigenti dopo aver ottenuto il consenso.

Chiedere sempre il consenso

Le strategie di list building sono dispendiose, non semplici da progettare e da mettere in campo: la newsletter è un canale del direct marketing che funziona più di altri perché si basa sul permesso esplicito dei cyber-utenti a ricevere comunicazioni.

Per questo motivo è buona norma implementare una strategia di list-building che segua le good practices e le normative vigenti in fase di creazione e durante la gestione dei contatti, onde evitare che la lista creata sia inutilizzabile e si siano investiti soldi inutilmente.

Il rischio, non ottemperando, è quello di vedersi commissionata una sanzione amministrativa cospicua, il blocco dell’attività qualora vengano rilevate delle difformità nel trattamento dei dati o addirittura denunce penali, qualora tu sia il titolare del trattamento dati ed hai utilizzato dati, senza il consenso o non hai adeguato al Gdpr la tua azienda.

Se precedentemente era possibile inserire nella propria lista il contatto con estrema semplicità, magari a fronte di una semplice compilazione di un form online, oggi dobbiamo porre attenzione sulle finalità della raccolta del dato, esporre le informative e mettere in condizione l’utente che si iscriverà di poter scegliere in modo esplicito se prestare il proprio consenso in modo totale, o darci un consenso parziale sulle finalità esposte oppure negarci il consenso.

E per questo possiamo utilizzare, secondo le finalità il metodo dell’opt-in singolo, ovvero l’iscrizione con singola approvazione o il double opt-in che prevede una doppia approvazione per l’iscrizione. Una prima sul form di richiesta e solitamente, una seconda confermando un link che si riceve via email. 

Con la modifica alla General Data Protection Regulation (GDPR), non sono più ritenute valide le forme di accettazione “silenziose”, ovvero senza il consenso esplicito da parte dell’utente alla finalità proposta.

Diverse aziende che intendono promuovere un prodotto o un servizio tramite un servizio di newsletter, hanno acquistato database di indirizzi email.

In tal caso, tali indirizzi email, se non sono stati raccolti per il trattamento dati di terze parti, non potranno essere utilizzati.

Qualora invece abbiamo il consenso per il trattamento dati di terze parti, con l’entrata in vigore del Gdpr si è ugualmente obbligati a richiedere un nuovo consenso ai singoli appartenenti alla lista acquistata, prima di inviar loro proposte pubblicitarie.

Cta Gdpr

GDPR e requisiti di legge: le premesse

Nel caso in cui si trattino dati personali si è tenuti a richiedere un esplicito consenso all’utente ed ad informarlo, tramite una privacy policy delle attività di trattamento effettuate e dei suoi diritti, sanciti dal Gdpr.

Il Gdpr obbliga, a tracciare i trattamenti ricevuti, dovendo, in caso di richiesta, dimostrare il momento in cui l’utente si sia iscritto e dando la possibilità, sempre, di disiscrizione.

Per questo è necessaria la raccolta dei consenso degli utente e/o la predisposizione di un metodo attraverso il quale ogni utente possa facilmente revocare il consenso.

Si tratta di un aspetto ancora più importante, se si utilizza una lista di email acquistata.

La normativa richiede che la privacy policy informi gli utenti sulle attività di trattamento dati effettuate con un linguaggio semplice e assolutamente trasparente e che i consensi siano sempre espliciti.

La tua privacy policy deve includere almeno questi dettagli:

  • ai dati trattati;
  • alle finalità del trattamento;
  • alle modalità del trattamento;
  • alle modalità di gestione delle richieste degli utenti in merito all’esercizio dei loro diritti;
  • ai diritti degli utenti in relazione ai loro dati;
  • ai servizi di terze parti utilizzati;
  • alle misure di sicurezza adottate;
  • agli effettivi strumenti di comunicazione utilizzati (email, etc.).

Ricordo a tale proposito che anche i servizi di terza parte devono rispettare la normativa vigente: è obbligatorio che tutti i partner e i clienti rispettino gli standard normativi.

Il GDPR impone l’applicazione di una catena di responsabilità. Ovvero, se raccolgo dati, e questi vengono utilizzati su piattaforme di altre aziende (es: ActiveCampaign, Kajabi, Clickfunnel ecc.), dobbiamo essere certi, che tali piattaforme di terze parti siano totalmente conformi al GDPR.

Diversamente saremmo responsabili, direttamente, in qualità di titolari del trattamento, di aver trattato dati con strumenti che non siano compliance alla Gdpr.

Per questo, le piattaforme di gestione delle newsletter hanno reso obbligatorio per gli utilizzatori dei loro servizi dotarsi di una privacy policy completa e loro stesse si stanno certificando affinchè siano totalmente compliance alla normativa.

Fai però estrema attenzione! Non fidarti totalmente delle piattaforme di terze parti e di quanto loro dichiarino in termini di GDPR.

Ti consiglio di verificare sempre, se siano compliance, ne rispondi tu in caso contrario!

Potrebbe accadere, ho potuto verificare diversi casi, che una determinata piattaforma dichiari di essere compliance, e magari tale società ha sede in un paese extra europeo.

Ricordati che in tal caso, tale società non ha l’obbligo di ottemperare a quanto previsto dal decreto attuativo italiano per il Gdpr (D.Lgs 101/2018 in ottemperanza Reg.to 679/2016) , ma ottempererà esclusivamente per quanto di sua competenza.

In tal caso potresti trovarti in difficoltà poichè i dati che inserirai in quella piattaforma potrebbero non essere trattati in conformità e secondo quanto previsto dal Garante Italiano.

La normativa prevede che la catena di responsabilità sia chiara e verificabile e che sia visibile nella tua privacy policy, la quale deve essere facilmente accessibile in tutto il sito web: è consigliabile che venga resa disponibile inserendo un link sia in calce al form di iscrizione che nella newsletter stessa e nel footer del tuo sito web

Email Marketing Diretto (DEM) e Privacy: come inviare le mail promozionali? 

Il direct marketing è uno strumento attraverso il quale le aziende e i Liberi Professionisti promuovono la propria attività. 

La comunicazione avviene “in modo diretto” e ogni azienda può raggiungere un gruppo definito di potenziali clienti, ma in ogni caso, l’attività di email marketing è soggetta alle regole sulla GDPR per la tutela della privacy.

Le principali attività di marketing diretto sono ascrivibili principalmente alle seguenti:

  • cold email (per promuoversi a potenziali nuovi clienti)
  • soft spam (per contattare soggetti che sono già clienti acquisiti)
  • spam, non consentita! (inviare email ad utenti senza il consenso esplicito)

Quali sono le regole per fare marketing diretto e assolvere alla compliance GDPR? Anche se la normativa ci dà indicazioni precise da ottemperare, nella pratica è consigliabile essere più stringenti dello stesso standard normativo, per lavorare in modo sicuro.

DEM: attività di soft spam

L’attività di soft spam consiste nell’inoltro di email promozionali a soggetti già fidelizzati.

Il trattamento dei dati può avvenire sia richiedendo il consenso del cliente interessato o anche senza richiedere il consenso dell’utente purché vengano rispettate le seguenti condizioni:

  • il cliente deve essere maggiorenne
  • l’email riguarda prodotti e/o servizi del titolare 
  • il cliente deve avere la possibilità di opporsi al trattamento in modo semplice e gratuito (“opt-out“)
  • non vengono utilizzati sistemi automatizzati per l’attività di email marketing
  • il trattamento viene giustificato da un interesse legittimo del titolare
  • deve essere fornita al cliente la privacy policy per comunicare tutti i dettagli sul trattamento dei dati.

DEM e Cold Email 

Le cold email sono email promozionali inviate a potenziali clienti, si tratta di “email a freddo”, che il destinatario riceve nella casella di posta.

Le Cold Email possono essere inviate solo con il preventivo consenso dell’interessato.

Eccezione alla regola sono le email nell’ambito della comunicazione B2B: in questo caso è possibile inviare le email senza il consenso preventivo se e solo se tali email sono aziendali e non nominative.

Ad esempio è possibile inviare un’email ad amministrazione@azienda.it ma non a mario.rossi@azienda.it ed ancora, si ad un invio a fornitori@azienda.it e non a paola.bianchi@azienda.it, infine è vietato l’invio, senza consenso anche qualora l’email fosse info@mariorossi.it, poichè il nome della persona è contenuto nel dominio.

Andiamo oltre e parliamo di periodo di conservazione dei dati.

Cta Gdpr

GDPR e periodo di conservazione dati

Tra le novità introdotte dal GDPR c’è l’obbligo di cancellazione dei dati personali quando il trattamento è terminato e quello di dichiarare il tempo di conservazione dei dati agli interessati nell’informativa. 

Il principio di limitazione della conservazione, secondo il quale:

“I dati sono […] conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati […]”

era già dettato dal Codice Privacy D.lgs 196 del 2003.

Per intervento del GDPR vi è l’obbligo di dichiarare il tempo di conservazione dei dati personali agli interessati direttamente nell’informativa e, quindi, già al momento della raccolta dei dati.

In buona sostanza, il Regolamento Generale sulla Protezione dei Dati, ufficialmente regolamento n. 2016/679, elimina qualsiasi discrezionalità imponendo al titolare di indicare agli interessati

«il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo» (cfr. art.< 13, paragrafo 2, lettera a. del GDPR; nello stesso senso, art. 14, paragrafo 2, lettera a. del GDPR).

«il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo» (art. 13, paragrafo 2, lettera a. del GDPR; nello stesso senso, art. 14, paragrafo 2, lettera a. del GDPR).

Per qualsiasi trattamento deve dunque essere indicato il periodo di conservazione dei dati, oppure i criteri utilizzati per determinare tale periodo.

E nel marketing? come ci comportiamo?

Come facciamo a sapere quale sia il periodo minimo in cui un lead (un contatto) possa diventare un cliente acquisito?

Concordate con me che il parametro di conversione possa essere soggettivo e che dipenda da settore in settore?

Facciamo un esempio. Convertire in cliente un lead nel settore del beauty necessita di un tempo molto più breve, rispetto che convertire un lead in cliente nel settore delle automobili. Sei d’accordo?

E quindi come ci comportiamo? Il Garante avrà sciolto questo nodo, oppure siamo costretti a cancellare le nostre liste? te lo spiego qui di seguito.

Le liste email per marketing hanno una scadenza?

Ebbene sì, i dati hanno una scadenza e coincide con il periodo di tempo necessario al perseguimento della finalità per la quale sono stati raccolti e trattati.

Ma anche le comunicazioni commerciali hanno una scadenza: sono efficaci finché il destinatario è interessato a quel prodotto, a quel servizio e a quel determinato marchio. 

Una volta che viene meno l’interesse, lo strumento promozionale rischia di diventare “invasivo” e non attrae più l’interesse della clientela o addirittura non consentito.

Quindi, quando un dato termina la sua finalità deve essere cancellato.

Il Garante ha definito i tempi di conservazione per quanto concerne le fidelity card ovvero:

  • 12 mesi dalla registrazione, per i trattamenti per finalità di profilazione
  • 24 mesi dalla registrazione, per i trattamenti per finalità di marketing. 

Verrebbe dunque da dire che il Garante abbia voluto definire dei tempi certi di cancellazione dei dati. No, non è così!

In alcuni casi, le aziende che necessitano di un tempo più lungo, interpellando il Garante sulla Privacy, hanno ottenuto che il loro tempo di conservazione dei dati per finalità di profilazione e marketing fosse esteso.

Qui il caso del noto marchio Diesel a cui il Garante ha concesso un tempo di conservazione dei dati per profilazione e marketing di 7 anni.

Dobbiamo dunque interpellare il Garante per chiedere un prolungamento dei tempi di conservazione in caso di profilazione o di marketing?
Neanche! infatti, il decreto attuativo al GDPR D.Lgs 101/2018 ha modificato questo uso.

Precedentemente quando c’era necessità di allungare i tempi di conservazione, bastava presentare un’istanza di verifica preliminare (art. 17 del Codice Privacy, abrogato dal D.Lgs. 101/2018), oggi con il GDPR e il D.Lgs. 101/2018, l’istanza di verifica preliminare non è più prevista. 

Ma, attenzione! Il venir meno della verifica preliminare non ha semplificato la vita al titolare del trattamento, il quale deve anche capire se il trattamento richieda una valutazione d’impatto e definire il tempo di conservazione dei dati. 

Possiamo dunque affermare, fintanto non ci sarà maggiore chiarezza, che a seconda della finalità del trattamento, i tempi di conservazione dei dati possono essere fissati per Legge oppure rimessi alla verifica ed alla scelta del titolare del trattamento che però si assume l’obbligo di giustificare tali tempi secondo i principi di “accountability” e di “privacy by design”.

Affrontiamo alcuni esempi.

Qualora tu debba trattare i dati per poter eseguire gli obblighi contrattuali o per adempier obblighi fiscali o legali, i tempi di conservazione dei dati sono facilmente determinabili, anche solo facendo riferimento alle FAQ che il Garante Privacy ha pubblicato in data 8 Ottobre del 2018.

Se invece tu voglia trattare i dati ai fini di profilazione e marketing, come sopra descritto, avrai, qualora tu fossi il Titolare del Trattamento, l’obbligo di determinare, in modo equo e secondo i principi di limitazione del trattamento, dei tempi di conservazione dei dati che dovranno conciliarsi con il principio di responsabilizzazione o accontability previsto dall’Art.5 paragrafo 2 del GDPR che cita:

Il titolare del trattamento è competente per il rispetto del paragrafo 1 Art.5 e in grado di comprovarlo («responsabilizzazione»).

Il paragrafo 1 dell’Articolo 5 del GDPR cita:

I dati personali sono:

a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);

b) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);

Concludendo, possiamo affermare che NON è possibile utilizzare per sempre i nominativi iscritti nelle proprie liste email ai fini di marketing. Si dovrebbe definire un tempo massimo di trattamento, oltre il quale si hanno solo due scelte:

  • richiesta di nuovo consenso al trattamento
  • cancellazione del dato dalla lista che ha superato il periodo di trattamento

In ogni caso l’utente deve avere sempre piena libertà di leggere le informative che lo riguardano e che ha accettato, richiedere la cancellazione, il diritto all’oblio e si dovrebbe rendere facile la disiscrizione da ogni azione di marketing, sia condotta tramite email che con altri mezzi.

L’utente può facilmente disiscriversi dalla newsletter?

Come l’utente si è iscritto ad una newsletter, parimenti, può disiscriversi: il tasto “unsubscribe” a un servizio di newsletter deve essere obbligatorio in ogni messaggio e ben visibile, come anche il link alla privacy policy.

Attenzione: la disiscrizione non coincide con la cancellazione dei propri dati dal database aziendale.

Con la disiscrizione al servizio di newsletter l’utente non riceverà più la newsletter, ma i suoi dati saranno comunque a disposizione dell’azienda.

L’utente, qualora voglia essere totalmente rimosso, dovrà scrivere al titolare del trattamento, che ha l’obbligo di inserire i propri riferimenti all’interno dell’informativa privacy e richiedere la rimozione dei propri dati dagli archivi dell’aziedna

Email marketing: tra best practice ed errori da evitare 

Concludo questo articolo con qualche utile consiglio, onde evitare sanzioni o denunce per trattamento illecito dei dati:

  • Assicurati che la tua azienda sia a norma di GDPR. Ricorda che l’adeguamento al GDPR è un processo aziendale e non va applicato soltanto ai siti web.
    Se sei un soggetto (privato o azienda) che tratta dati di persone residenti in Europa, hai l’obbligo di adeguamento al GDPR
  • Adegua il tuo sito ed esponi le informative privacy
  • Raccogli dati con moduli (form on line) che permettano il consenso esplicito
  • Memorizza le scelte di consenso dell’utente, in modo da poterle dimostrare in caso di richiesta da parte dell’utente stesso o delle autorità competenti
  • Indica i tempi di conservazione dei dati, sopratutto se fai profilazione o marketing
  • Non utilizzare dati che abbiano superato i tempi di conservazione senza aver richiesto un nuovo consenso
  • Permetti sempre una libera comunicazione tra l’utente ed il titolare del trattamento
  • Inserisci nelle tue comunicazioni il link alla privacy policy
  • Inserisci sempre il link di disiscrizione
  • Non utilizzare piattaforme di invio email o di marketing quando non sei totalmente sicuro della loro compliance al Gdpr ITALIANO!

Questo articolo non vuole demonizzare l’uso di strumenti di marketing, ma ha l’obiettivo di rendere consapevoli gli utilizzatori di questi strumenti in modo che possano continuare a lavorare senza rischiare sanzioni.

Purtroppo spesso, seguendo i consigli di “esperti” e facendo un mero copia ed incolla di strategie americane, ci esponiamo a mancato rispetto delle normative vigenti, come il GDPR, oppure, se vendiamo servizi o prodotti nei nostri siti, alla normativa sul commercio elettronico o alle norme sul copyright.

Cta Gdpr