Venerdi 22 Giugno 2018
MacroambienteEmail marketing e GDPR: come adeguare i moduli di iscrizione alla newsletter

Email marketing e GDPR: come adeguare i moduli di iscrizione alla newsletter

Quali sono gli effetti del GDPR sui moduli di iscrizione alla newsletter? Una check-list dei punti più importanti.


Redazione

A cura di: Redazione Autore Inside Marketing

Email marketing e GDPR: come adeguare i moduli di iscrizione alla newsletter

Va anzitutto precisato che, contrariamente a quanto troppo spesso si legge e a dispetto dei tentativi speculativi sul punto, il GDPR – acronimo inglese di General Data Protection Regulation – non si occupa direttamente dell’email marketing. Ciò non toglie, tuttavia, che le novità che esso introduce in tema di requisiti, forma e modalità di esternazione del consenso al trattamento dei dati personali finiscano per incidere in maniera significativa anche su tale pratica commerciale, imponendo, quindi, una revisione ed un controllo delle procedure, specie con riferimento ai moduli di iscrizione alla newsletter.

Va tuttavia sottolineato che, in termini generali, la nuova normativa di matrice comunitaria riproduce (e rafforza) le norme già contenute nel Codice Privacy (D.Lgs. 196/2003): ciò da un lato implica che non è alle porte alcuna rivoluzione, in quanto – come anticipato – il GDPR tratta in buona sostanza di una migliore e più efficace implementazione dei principi giuridici che già regolavano la materia, anche in considerazione del fatto che lo stesso Codice Privacy costituiva pur sempre applicazione di una direttiva UE; per altro verso, la linea di sostanziale continuità che è possibile rinvenire (perlomeno in termini di principio) rende estremamente probabile, per colui che già attualmente gestisca servizi di email marketing in violazione del Codice, incorrere nelle pesantissime sanzioni pecuniarie comminate dal GDPR (fino a 10 o fino a 20 milioni di euro, a seconda della tipologia di violazione). Ciò perché, nel momento in cui un utente decide di iscriversi a una newsletter, l’azienda acquisisce la disponibilità di una serie di dati personali, risultando quindi soggetta a una specifica normativa. In particolare appare oramai indubbio che anche l’indirizzo email debba ritenersi un dato personale, anche considerato che tale nozione è oggi definita dal GDPR in maniera più ampia e più specifica, ricomprendendo «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale». (art. 4 n. 1). A differenza del passato, quindi, è esplicitata formalmente la riconducibilità al genus anche degli identificativi online. Tutti coloro i quali hanno già attivato o che attiveranno campagne di email marketing, allora, dovranno (ove non siano già in regola) adeguare i moduli di iscrizione alla newsletter a una privacy policy in cui vengono identificati trattamento, finalità e responsabilità connesse alla gestione dei dati.

Quali sono i punti più importanti da tenere in considerazione nei rapporti che vengono a crearsi tra email marketing e GDPR? Una check-list per verificare se la propria informativa è chiara e in regola con il GDPR.

  • Il contenuto minimo dell’informativa è stato rispettato?

Ai sensi dell’art. 13 del GDPR, sarà necessario che, al momento della raccolta dei dati personali e dunque al momento dell’iscrizione alla newsletter, l’interessato sia informato:

  1. dell’identità e dei dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
  2. dei dati di contatto del responsabile della protezione dei dati, ove applicabile;
  3. delle finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
  4. qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f ), dei legittimi interessi perseguiti dal titolare del trattamento o da terzi;
  5. degli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  6. ove applicabile, dell’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47 o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

Inoltre, sarà necessario informare l’interessato circa:

  1. il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  2. l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguarda oppure di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
  3. qualora il trattamento sia basato sul consenso, l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
  4. il diritto di proporre reclamo a un’autorità di controllo;
  5. se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
  6. l’esistenza di un processo decisionale automatizzato, compresa la profilazione, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
  • La privacy policy del servizio di newsletter è di facile comprensione?

Uno dei punti da prendere in esame durante l’adeguamento che precede l’entrata in vigore del GDPR è relativo alla semplificazione linguistica. Le informative per essere accessibili agli utenti devono abbandonare l’utilizzo esclusivo di termini burocratici e rinvii alla relativa legislazione a favore di testi di immediata comprensione. Allo stesso modo l’utente deve essere informato sulla tipologia di messaggio che andrà a ricevere e consapevole della frequenza con la quale lo riceverà.

Sulla base della tipologia di messaggio sarà possibile raccogliere principalmente tre tipi di consenso: consenso all’invio di newsletter, consenso all’invio di DEM promozionali e consenso relativo all’uso dei dati per l’advertising social.

  • Nel caso in cui si utilizzino piattaforme terze per la gestione delle campagne di email marketing, viene specificato quali sono e a quali dati hanno accesso?

L’obiettivo del GDPR è quello di trasformare l’utente in un soggetto di diritti, dunque in un utente realmente informato e dotato del potere di decidere in ordine ai suoi dati personali: ecco che allora, per non risultare un mero ornamento burocratico ma porsi come utile strumento per la comprensione e la scelta dell’utente, l’informativa dovrà specificare quale è la piattaforma utilizzata per creare newsletter, dovrà contenere i link alle privacy policy dedicate, dovrà specificare su quali server risiedono i dati e se sono gestiti da procedure di sicurezza rispondenti a protocolli riconosciuti. Ulteriori dati a cui le piattaforme hanno accesso e vanno inseriti nella privacy policy sono relativi alle interazioni fra newsletter e destinatario della stessa.

  • L’azienda è dotata di figure specifiche che si occupino del trattamento dati?

Come abbiamo già visto, l’azienda in quanto mittente delle comunicazioni deve obbligatoriamente mostrare la propria identità e inserire un indirizzo fisico reale. Le figure coinvolte nel trattamento e nell’accesso ai dati sono:

  • il titolare del trattamento, ovverosia la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali;
  • il responsabile del trattamento, ovverosia la persona fisica o giuridica, l’autorità, il servizio o altro organismo che tratta i dati personali per conto del titolare del trattamento. Il responsabile del trattamento deve essere legato al titolare da un contratto (o altro rapporto giuridicamente rilevante a norma del diritto degli Stati membri) che deve possedere un contenuto minimo analiticamente determinato dall’art. 28 co. III del GDPR.
    Dunque, per distinguere le due figure può dirsi che il titolare interviene a monte del processo di trattamento, determinando per l’appunto le finalità e i mezzi da impiegare, mentre il responsabile interviene a valle, procedendo materialmente a trattare i dati sulla base delle modalità determinate dal titolare e per suo conto.;
  • il destinatario, ovverosia colui che riceve comunicazione di dati personali;
  • il rappresentante, ovverosia la persona fisica o giuridica stabilità nell’Unione che, designata dal titolare del trattamento o dal responsabile (per iscritto), li rappresenta per quanto riguarda l’assolvimento degli obblighi emergenti dal GDPR;
  • il responsabile della protezione dei dati, ovverosia un soggetto designato dal titolare e dal responsabile del trattamento in alcune ipotesi specifiche e avente funzioni di verifica, consulenza e sorveglianza in ordine al rispetto degli obblighi, dei diritti e delle garanzie (anche procedurali) previste dal GDPR. Il responsabile della protezione dei dati, peraltro, è anche preposto a fungere da soggetto di collegamento tra il soggetto che effettua il trattamento e l’autorità di controllo (per l’Italia, il Garante per la protezione dei dati personali). Il data protection officer, secondo la terminologia inglese, è una figura la cui istituzione è obbligatoria solo in alcune ipotesi. In particolare, per quanto riguarda i privati, il dpo deve essere nominato allorché le attività principali del titolare o del responsabile consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala. Inoltre, la nomina è obbligatoria allorché il trattamento, sempre su larga scala, riguardi gli (ex) dati sensibili (di cui ora all’art. 9 del GDPR) ovvero dati relativi a condanne penali e a reati.
  • Il database è aggiornato con le modalità e i tempi di raccolta di ogni singolo contatto?

Il cuore del nuovo approccio al consenso è basato sul concetto di inequivocità. Il consenso esplicito non potrà mai derivare da un comportamento silente dell’interessato e per la procedura di iscrizione è consigliata la scelta di un doppio step di conferma. Il double opt-in prevede infatti che una volta compilato il modulo con i dati richiesti l’utente riceva una email attraverso la quale confermare la propria iscrizione. La scelta tutela sia l’utente stesso che l’azienda titolare dei dati e quest’ultima ha a disposizione una prova di un consenso autorizzato oltre a una verifica di validità dell’indirizzo inserito. I dati raccolti in passato non vanno considerati persi: non essendo consentito mantenere all’interno del database dati di cui non si conoscono modalità e tempi di raccolta, le aziende sono invitate a inviare una email a questi indirizzi chiedendo il consenso. L’attività di revisione del database può essere accompagnata da strategie di content marketing con la condivisione di contenuti esclusivi e dedicati.

  • Come verranno regolamentate le operazioni identificate come soft-spam?

Una questione particolarmente importante da considerare è quella del cd. soft-spam, ovverosia di quelle comunicazioni aventi comunque carattere pubblicitario-commerciale, ma relative a beni o servizi che il destinatario della comunicazione ha già acquistato dal mittente. In questa ipotesi, sotto la vigenza del Cod. Privacy, il Garante aveva emanato delle linee guida con le quali aveva precisato che era possibile inviare tali comunicazioni anche senza il previo consenso dell’interessato-destinatario (cd. opt-out, in luogo del generale opt-in). Ciò, beninteso, sempre che la comunicazione da inviare fosse finalizzata alla vendita di propri beni e servizi (e non quindi a quelli offerti da terzi) e che l’interessato fosse adeguatamente informato circa la possibilità di dissentire rispetto a tali comunicazioni e, quindi, impedire futuri invii. In questa particolarissima ipotesi, allora, il sistema diventava sostanzialmente basato sull’opt-out.

Cosa avviene con il GDPR? A primo impatto si potrebbe dire che il nuovo regolamento non contempli più la specifica eccezione (prima sancita dall’art. 130 co IV del Cod. Privacy) sulla cui scorta era intervenuto il provvedimento del Garante, per cui il soft-spam sembrerebbe fuori gioco e soggetto alle regole generali in materia, con conseguente necessità di acquisire un consenso pieno, libero, informato, specifico ed effettivo del destinatario.

Qualche argomento di segno contrario, tuttavia, potrebbe ricavarsi dal Considerando 47 del GDPR, il quale ritiene “legittimo interesse” del titolare (ovverosia di chi effettua il trattamento, nel nostro caso inviando l’email) quello relativo al caso in cui «esista una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento, ad esempio quando l’interessato è un cliente o è alle dipendenze del titolare». Dunque, se l’interessato è un cliente del titolare, il trattamento dei dati potrebbe dirsi lecito anche senza consenso, perché la relativa base giuridica (lawful base) non sarebbe più costituita dall’art. 6 lett. a) del GDPR, bensì dalla lettera f).

Può allora affermarsi che il soft-spam sarà sempre ammesso? Assolutamente no. Infatti, in ossequio all’approccio pragmatico che contraddistingue da sempre le normative UE, occorrerà verificare caso per caso il particolare modo di atteggiarsi della vicenda: il medesimo Considerando, infatti, precisa che «l’esistenza di legittimi interessi richiede un’attenta valutazione anche in merito all’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine».  

Quel che conta, quindi, è il particolare modo di atteggiarsi della relazione tra venditore-titolare e acquirente-interessato, dovendosi senz’altro affermare che modalità con cui avverrà la transazione, ovvero le modalità degli invii, risulterà decisiva per verificare se possa applicarsi la disciplina del soft-spam. Con un esempio che ben potrebbe rendere l’idea della “legittima aspettativa” dell’interessato, potrebbe dirsi che nell’ipotesi in cui questi abbia acquistato in maniera assolutamente episodica (o addirittura una volta soltanto) un certo servizio dal fornitore e magari in forma quasi anonima, mediante la sola indicazione di un indirizzo email (dunque senza completare alcun procedimento di registrazione), come ad esempio avviene per l’acquisto delle ricariche telefoniche o dei biglietti per il cinema, dovrebbe ritenersi esclusa (o, meglio, non sufficientemente certa o probabile) la legittima aspettativa dell’acquirente di ricevere comunicazioni e, di conseguenza, dovrebbe ritenersi preclusa l’applicazione della disciplina eccezionale imperniata sull’opt-out, riespandendosi quella ordinaria del (double) opt-in.

Allo stesso modo, può ragionevolmente ritenersi escluso dalla disciplina eccezionale in predicato l’ipotesi in cui gli invii siano particolarmente numerosi o comunque concentrati in un lasso di tempo circoscritto, perché in questa ipotesi verrà in rilievo un hard-spam, con conseguente necessità di acquisire il previo consenso. In ogni caso, sarà essenziale verificare gli orientamenti delle Authorities e degli organi giurisdizionali sul punto per poter trarre delle conclusioni più certe.

  • L’utente può facilmente disiscriversi dalla newsletter?

La stessa facilità che l’utente ha nell’iscriversi a una newsletter deve essere presente nella possibilità di disiscriversi. Il tasto “unsubscribe” e quindi la possibilità di annullare la propria iscrizione a un servizio di newsletter devono essere obbligatori in ogni messaggio e ben visibili. A tal proposito è necessario specificare la differenza fra disiscrizione al servizio di newsletter e cancellazione dei propri dati dal database aziendale. Nel primo caso l’utente non riceverà più la newsletter ma i suoi dati saranno comunque a disposizione dell’azienda, nel secondo caso l’azienda oltre a non poter più inviare la newsletter dovrà cancellare i dati dell’utente dai propri archivi.

© RIPRODUZIONE RISERVATA E' vietata la ripubblicazione integrale dei contenuti
Iscriviti alla newsletter!

Ricevi gli aggiornamenti settimanali delle notizie più importanti tra cui: articoli, video, eventi, corsi di formazione e recensione libri
Potrai anche usufruire di offerte esclusive per libri, eventi e corsi.
Cosa aspetti?!

Iscriviti