Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LA GUIDA PRATICA

Campagne di e-mail marketing conformi al GDPR: una check-list

Le attività di e-mail marketing sono state tra le più sanzionate dai Garanti europei in quanto spesso non rispettano i principi del Regolamento europeo per la privacy. Ecco dunque una pratica check-list per stabilire se quanto facciamo è aderente ai principi del GDPR

08 Ott 2019
G

Marco Gentilini

Consulente GDPR Privacy & DPO, ICT & Software selector


Con l’avvento del nuovo Regolamento europeo per la privacy o GDPR, l’invio delle mail commerciali è diventato un vero grattacapo per ogni marketing manager sensibile al problema. In effetti, anche alla luce delle sanzioni emesse in Europa dai Garanti europei, si nota che la maggior parte di queste riguarda attività di e-mail marketing che non rispecchiano i principi del GDPR.

E qual è l’attività di marketing che, attraverso l’invio di DEM (direct e-mail marketing), newsletter, coupon e via dicendo può arrivare dritta all’utente se non la vecchia ed intramontabile mail?

Ogni azienda commerciale che si rispetti ha sparsi in decine di fogli Excel archivi nutritissimi di indirizzi di contatti commerciali, mail, nomi e cognomi raccolti negli anni e provenienti dalle più svariate fonti.

Ed è proprio dalle fonti da cui provengono i dati, un aspetto molto delicato e discusso, che partiamo con la nostra check-list per stabilire se quanto facciamo è aderente ai principi del GDPR.

E-mail marketing: controlliamo le fonti dei dati

Capire in che modo sono stati acquisiti i dati è fondamentale e il problema è che spesso nella stessa banca dati possono esserci nominativi raccolti in modi diversi.

Proviamo a citarne alcuni come ad esempio:

  1. biglietti da visita;
  2. eventi e fiere;
  3. propri clienti;
  4. potenziali clienti che hanno manifestato interesse verso i nostri prodotti/servizi/azienda;
  5. banche dati a pagamento;
  6. elenchi pubblici (ad esempio: Camera di Commercio);
  7. indirizzi trovati su Internet, social web e via dicendo;
  8. iscritti al proprio sito web.

Ipotizzando che per nessuna di queste categorie di fonti sia stato raccolto uno specifico consenso vediamo una per una cosa possiamo fare e cosa non possiamo fare con questi dati.

Biglietti da visita

È il classico dei classici e qui la domanda che sorge naturalmente spontanea è: “Ma siccome me l’ha dato lui il biglietto da visita, e con tanto di cellulare e mail personale, è logico che automaticamente mi dà anche il consenso a scrivergli?”.

La risposta non è così scontata: infatti, partendo dal presupposto che comunque è vero che ci è stato dato spontaneamente l’indirizzo mail o il telefono, le finalità per cui ci sono stati forniti questi dati possono essere diverse da quelle che ci aspettiamo noi.

Infatti, se non si specifica bene in un’informativa, non necessariamente scritta (ma attenzione a poterlo dimostrare), che quei dati possono essere utilizzati anche per l’invio di comunicazioni periodiche e commerciali come ad esempio delle newsletter, il nostro potenziale cliente potrebbe aspettarsi comunicazioni solo strettamente funzionali a quella per cui ci siamo incontrati, come ad esempio un’offerta, ritenendo quindi eccessive ulteriori comunicazioni.

In tal caso non possiamo inviare newsletter o DEM commerciali se non abbiamo uno specifico consenso, magari facendocelo scrivere dietro al biglietto stesso con l’impegno poi di mandargli l’informativa completa alla prima occasione utile.

Eventi e Fiere

Il caso è simile a quello dei biglietti da visita, con la differenza che a volte i nominativi vengono raccolti in fretta da stagiste opportunamente ingaggiate solo per la fiera e, in una confusione di una fiera non è sempre possibile fornire un’informativa completa e raccogliere un consenso correttamente.

Potrebbe essere utile, in quel caso, mettere in una lista a parte quelli per cui non si ha il consenso e fare una campagna mail “post fiera”, facendo riferimento alla loro visita in fiera, per raccogliere il consenso automaticamente (ad esempio con le procedure automatiche di Mailchimp o MailUP).

Ancora meglio sarebbe dotarsi per la fiera di un’app (ce ne sono diverse on-line anche gratuite) che permetta di raccogliere velocemente su un tablet consensi anche separati come per esempio per l’invio di newsletter e per una profilazione statistica.

Propri clienti

Facciamo una piccola ma doverosa premessa.

Innanzitutto, cosa s’intende per clienti? In realtà né il GDPR né il Garante privacy danno una definizione chiara e precisa che possa racchiudere tutte le casistiche sia per le vendite on-line (e-commerce) che off-line.

È altresì ragionevole pensare che può intendersi cliente chi abbia acquistato un prodotto da noi (o sul nostro sito e-commerce) o si sia servito della nostra azienda dietro la fornitura di un compenso.

Il GDPR ci viene incontro, nel Considerando 47, dove specifica che un “titolare può avere un legittimo interesse a trattare dati per finalità di marketing se, per esempio, tratta i dati di clienti”.

Purtroppo, il GDPR non specifica come il titolare del trattamento può essere legittimato ad inviare cosa e per quanto tempo ai propri clienti.

Una definizione più precisa la possiamo trovare nell’ancora vigente D.lgs. 196, poi confermato dal D.lgs. 101 del 2018 che, all’Art.130 comma 4 specifica:

“…. se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente”.

In definitiva è possibile inviare ad un cliente comunicazioni commerciali, newsletter, offerte promozionali inviti ad eventi ecc. purché in qualche modo facciano riferimento a prodotti o tipologie di prodotti affini a quelli che ha già acquistato.

Un esempio potrebbe essere il caso di un cliente che ha appena acquistato sul nostro e-commerce un prodotto elettronico e ci ha ovviamente lasciato l’indirizzo e-mail:

  • posso inviargli tramite mail comunicazioni, offerte, materiale promozionale, inviti ad eventi etc. che però siano inerenti ad altri prodotti elettronici.
  • non posso però inviargli ad esempio comunicazioni che trattino di abbigliamento in quanto troppo distanti come categorie/tipologie di prodotto rispetto a quello/i già acquistati.

Potenziali clienti o lead che hanno manifestato interesse verso i nostri prodotti

Visto che i clienti non piovono dal cielo ma ce li dobbiamo andare a cercare, il pensiero ricorrente di ogni responsabile commerciale e marketing è come fare a “tampinare” i potenziali clienti (lead), con i quali c’è stato un contatto commerciale, per portarli all’acquisto.

La cosa che più mi sento dire dai vari responsabili commerciali e marketing è che, una volta che il potenziale cliente ci ha contattati o ha chiesto preventivi è fondamentale “non mollare l’osso” tempestando il malcapitato di mail, telefonate, volantini e piccioni viaggiatori su tutti i prodotti a catalogo fino allo sfinimento così, dicono, “… prima o poi troverà qualcosa che lo interessa e lo comprerà!”.

Personalmente sono contrario a questo tipo di approccio marketing che avrebbe come unico e inevitabile effetto quello di irritare il destinatario a tal punto da metterci nella “Posta Indesiderata” e buonanotte suonatori. Ma, dobbiamo parlare di privacy e GDPR, quindi concentriamoci su questi aspetti.

Facciamo un esempio pratico.

Mettiamo che il nostro potenziale cliente ci abbia contattati tramite mail compilando la form di contatto del nostro sito web, chiedendoci un preventivo o semplicemente informazioni su un prodotto specifico.

Qualcuno potrebbe anche dire che, avendoci lasciato spontaneamente la sua mail ci ha “implicitamente” dato il consenso ad usarla ignorando che, il motivo per cui ce l’ha lasciata (finalità) è ottenere un preventivo o semplicemente informazioni e potrebbe non gradire di essere tempestato da ulteriori offerte, newsletter o volantini a meno che non abbia spuntato una casella specifica per il consenso ad inviarglieli.

Ricordiamoci che, per il GDPR, non vale il consenso se non è esplicitamente ed inequivocabilmente espresso.

Questo, infatti, è il caso in cui la comunicazione deve essere circoscritta e limitata alla sola richiesta precontrattuale (offerta o informazioni) ed il relativo trattamento dati si deve esaurire lì.

In definitiva, una volta esaudita la richiesta del potenziale cliente, sarà quindi necessario procedere alla cancellazione dal database di tutti i suoi dati, mail compresa e con buona pace del responsabile marketing.

Banche dati a pagamento

L’acquisto di banche dati con liste di indirizzi mail già belle, pronte e “con consenso” potrebbe sembrare la scelta più sicura ma, in realtà è la strada più rischiosa per diversi motivi:

  • consenso a terzi: Anche se gli indirizzi personali di dirigenti o responsabili vengono spesso spacciati come “consensati” non siamo mai sicuri della finalità per la quale è stato ottenuto il consenso. Ricordiamoci che il consenso non è trasferibile automaticamente a terzi senza un ulteriore consenso specifico per cui, anche ammesso che il consenso per finalità di marketing sia stato regolarmente ottenuto dalla Società proprietaria della banca dati (e qui sempre un po’ difficile da verificare) deve esserci anche il consenso al trasferimento dei dati verso terzi per le stesse finalità;
  • consenso antecedente al GDPR: ricordiamoci che il GDPR è entrato in vigore il 25 Maggio 2018 per cui può essere che il consenso sia stato ottenuto prima di tale data. Il GDPR dice che il consenso ottenuto prima della sua entrata in vigore può essere ancora valido solo se conforme al nuovo Regolamento altrimenti deve essere emessa una nuova informativa ed un nuovo consenso;
  • finalità: spesso queste società vendono questi dati ad altre società che ne fanno i più svariati usi dal marketing, alla profilazione, al credit-check e via dicendo. Le finalità per cui sono stati raccolti i dati non sempre coincidono per cui, anche il relativo consenso potrebbe non essere specifico per una o l’altra finalità ed anche questo è sempre difficile da stabilire a priori;
  • titolare/contitolare e responsabile: anche qui la materia è grigia perché non è facile, in questo caso, stabilire di chi sia la titolarità effettiva del trattamento, chi siano i responsabili e soprattutto chi deve fare cosa in caso di data breach.

Per tutti questi motivi il consiglio è quello di stare alla larga dalle liste a pagamento anche perché, se improntate campagne marketing di diverse migliaia di indirizzi e scoprite poi dopo che la vostra lista è illegale rischiate di incorrere in pesantissime sanzioni (fino a 20 Milioni o 4% del fatturato).

Elenchi pubblici (ad esempio: Camera di Commercio)

La frase che più spesso sento dire è “… ah ma ho trovato la sua mail nell’elenco della Camera di Commercio per cui ci posso fare quello che voglio”. In realtà non è proprio così.

Il punto cardine da cui non si può mai prescindere è sempre lei: la finalità!

Perché quei dati sono lì? Per quale motivo vengono messi a disposizione del pubblico?

Ovvio che se ho deciso di lasciare la mia casella mail (non la info@ ma la mario.rossi@acme.it, ad esempio) non è certo perché qualsiasi azienda me la possa riempire con decine di mail commerciali o di spam per cui abbandonate l’idea di andare alla CCIAA della vostra città con l’obiettivo di riempire i fogli Excel dei vs server con migliaia di indirizzi perché tanto non potreste utilizzarli per quello scopo.

Indirizzi trovati su Internet o sui social

Questo caso è abbastanza simile al precedente, in quanto ci troviamo davanti ad indirizzi resi pubblici o attraverso un sito web o i social media (ad esempio Facebook e Linkedin) con la differenza che qui non dobbiamo neanche faticare andandoli a richiedere se non lavorando di mouse.

Il punto di fondo però non cambia perché, è sì vero che se metto la mia mail su Linkedin mi devo anche aspettare che qualcuno che non conosco mi scriva ma, un conto è un contatto diretto One-to-One, ed un altro è essere inserito, senza neanche preavviso, in una mailing list per poi essere tempestato di mail commerciali ogni due giorni.

Quindi anche qui, non facciamoci prendere dalla “foga markettara” e cerchiamo magari di contattare prima il destinatario presentandoci degnamente e chiedendogli il consenso ad inserirlo nella nostra lista per inviargli materiale commerciale (non scordiamoci, però, di mandargli contestualmente anche il link all’informativa).

Iscritti tramite il vostro sito Web

Questo è il caso più “OPEN” di tutti in quanto il nostro utente ha dato il consenso per ricevere comunicazioni commerciali e marketing per cui avete VIA LIBERA…ma, non a tutte le condizioni che spiegheremo di seguito.

E-mail marketing: controlliamo l’informativa

Una cosa che non bisogna mai dimenticarsi è: “non esiste consenso senza informativa”.

Il GDPR è abbastanza chiaro in questo e dice che il consenso deve sempre essere informato e l’informativa deve essere chiara e comprensibile (non in legalese) oltre ad avere altri requisiti come contenere: i dati di contatto del titolare, le finalità e le modalità di trattamento, la garanzia di protezione dei dati, come l’interessato può esercitare i suoi diritti, il trasferimento dei dati in paesi Extra UE e la comunicazione vs terzi, la fonte dei dati, i tempi di conservazione, se c’è un processo di profilazione automatizzato, se si trattano dati di minori, i responsabili esterni i dati di contatto del DPO (se nominato).

Se l’informativa è stata redatta prima dell’entrata in vigore del Regolamento è molto probabile che dobbiate metterci mano.

E quando e in che modo devo fornire l’informativa?

L’informativa, nel caso debba richiedere il consenso, quindi non sono in presenza di un altro criterio che mi legittima (ad esempio: legittimo interesse per clienti), deve possibilmente precedere la richiesta di consenso.

Nel caso di una form di richiesta contatto o preventivo e, se voglio chiedere anche l’iscrizione alle newsletter, il link all’informativa deve essere posizionato prima della casella di spunta o, al limite, nella stessa riga ma mai dopo in quanto l’utente deve avere la possibilità di leggerla e decidere poi se accettare o meno (vedi link di esempio).

E-mail marketing: ottenere i consensi giusti

In che senso hai i consensi giusti? A parte il gioco di parole, in effetti non basta chiedere il consenso per poter fare di tutto di più.

Innanzitutto, devo sempre poter dimostrare che il consenso è stato ottenuto liberamente, inequivocabilmente e correttamente informato (previa informativa).

Cosa vuol dire liberamente?

Se ad esempio nella form di contatto, che ha come scopo la richiesta di un preventivo o di informazioni, inserisco una casella per il consenso alla newsletter rendendone obbligatoria la spunta, ovvero impedendo di fatto all’utente di finalizzare la richiesta se non dopo averla spuntata, vuol dire che il consenso non è libero, quindi non valido.

Inoltre, ad ogni consenso deve corrispondere una finalità o sottofinalità simili!

È molto facile incorrere in questo errore per la riluttanza di molti marketing manager ad inserire più richieste di consenso che potrebbero compromettere il buon esito dell’iscrizione.

Un solo consenso richiesto, per esempio, per finalità di newsletter, profilazione e statistica (Google Analytics), trasferimento dati a terzi e cookie di terze parti sarebbe condizionato o subordinato agli altri rendendolo illegittimo.

Non dimentichiamo che sono “bandite” anche le caselle prespuntate.

E se abbiamo ottenuto un consenso antecedente al 25 maggio 2018 dobbiamo richiederlo di nuovo a tutti i nostri iscritti?

Non dobbiamo necessariamente chiederlo di nuovo se il consenso è ottenuto correttamente ed in linea coi principi del GDPR è ancora valido ma, se così non è in base a quanto hai letto fino adesso, devi ahimè ottenere un nuovo consenso.

Come ottenere un nuovo consenso?

Possiamo procedere mandando una mail a tutti specificando che hai aggiornato le condizioni di protezione dei dati in funzione del nuovo Regolamento (nuova informativa) e che è necessario confermare il consenso precedente tramite un bottone, un link o qualsiasi altra forma comunque che preveda un’azione dell’utente.

E se qualcuno non risponde alla mail?

Smettiamo di mandargli mail anche perché non vale il silenzio assenso, anche se possiamo eventualmente ripetere la procedura dopo qualche tempo però non esagerare.

L’utente può facilmente esercitare i suoi diritti?

Negli articoli da 12 a 22 del GDPR sono elencati i diritti a cui ha accesso l’interessato che, non stiamo ad elencare tutti ma devono essere presenti nell’informativa ed alcuni sono particolarmente importanti per i trattamenti che riguardano l’e-mail marketing, in particolare:

  • il diritto di revoca del consenso
  • il diritto di cancellazione (o diritto all’oblio).

Il processo di e-mail marketing deve prevedere la possibilità da parte dell’utente di provvedere facilmente all’esercizio di questi diritti, ad esempio mettendo in calce ad ogni comunicazione un link o bottone che mi permettere di esprimere la propria volontà per esempio di revocare il consenso per non ricevere più newsletter e/o di essere cancellato dalla mailing list.

Il software di gestione del database deve poi anche tenere traccia di questa attività tramite i log in modo da poter dimostrare quanto successo.

Per l’esercizio di ogni diritto deve anche essere prevista una procedura di autenticazione per identificare con certezza l’identità del richiedente ad esempio attraverso un processo automatico double Opt-in (ad esempio: tramite la conferma dell’indirizzo mail).

La risposta ad una richiesta di un diritto deve essere data entro e senza ingiustificato ritardo entro UN MESE dalla richiesta.

E-mail marketing: stabilire i criteri per la conservazione dei dati

I criteri per la data retention, ovvero quelli che stabiliscono dopo quanto tempo devo cancellare i dati devono essere ben chiari fin dall’inizio ed esplicitati nell’informativa.

Fermo restando che i dati ottenuti con il consenso dell’interessato possono essere conservati fino alla revoca del consenso prestato in precedenza per tutti gli altri invece esistono criteri differenti.

Mentre risulta abbastanza semplice stabilire la data retention per i dati amministrativi e fiscali per i quali ci sono dei termini di Legge ben precisi (di solito 10 anni), è un po’ più difficile per tutti gli altri per i quali si fa riferimento a pareri, disposizioni e sentenze.

Prendiamo in considerazione in questa sede i soli dati relativi ai propri clienti ovvero, quelli per cui il titolare può inviare Comunicazioni Marketing inerenti a prodotti simili già acquistati in base al legittimo interesse (vedi punto 1/c).

Chiaro che ci si può aggrappare al legittimo Interesse fintanto che il cliente è ancora attivo e compra regolarmente. Ma posso ancora inviare mail ad un cliente che ho in anagrafica ma col quale non ho più rapporti o non compra più da anni?

In questo caso, come dicevo, ci si riferisce ai vari pareri e linee guida dei Garanti Europei in base ai quali, si può stabilire che, devo cessare di inviare comunicazioni marketing ad un cliente non oltre i 24 mesi a decorrere dall’ultima iterazione (acquisto, richiesta preventivi e/o informazioni ecc.) in quanto, oltre tale periodo, decadrebbero le ragioni per mantenere un Legittimo Interesse.

A meno che non abbia, nel frattempo, ottenuto anche il consenso che allora prevarrebbe.

E-mail marketing: gestire i dati raccolti in eccesso

Uno dei principi fondamentali del GDPR è quello di minimizzazione (vedi Art.5 par.c GDPR) in base al quale non si può eccedere nel raccogliere dati che non siano strettamente necessari per soddisfare le finalità.

Facciamo un esempio: se un marketing manager deve decidere quali campi inserire nella form di iscrizione alla newsletter si deve porre questa domanda.

Quali dati effettivamente mi servono per inviare le mie newsletter via mail?

Sicuramente la mail ma, nome, cognome, città e numero di cellulare?

Se oltre alla mail, l’unica veramente indispensabile, Nome, Cognome e Città possono essere giustificati dal fatto che si desidera personalizzare la comunicazione in base anche alla locazione geografica il cellulare sarebbe ingiustificato allo scopo e quindi si incorrerebbe in un trattamento eccessivo di dati contrario al principio di minimizzazione e quindi passibile di sanzione.

Proteggere i dati contenuti nella mailing list

Una volta sistemati gli aspetti più burocratici e normativi dobbiamo anche, e non per ultimo come importanza, preoccuparci di come proteggere i dati che raccogliamo.

Tenere la propria Mailing list in fogli Excel o nei file .pst di Outlook sparsi nei vari PC dei responsabili o dei commerciali dell’azienda non è sicuramente una buona idea.

È bene affidarsi a sistemi di DB centralizzati su server, meglio se in cloud certificati (magari locati nella UE) e con sistemi antintrusione di firewall e backup collaudati e ben configurati in funzione di un’analisi dei rischi fatta a monte.

Incorrere in un data breach per una lista di qualche migliaio di indirizzi ricadrebbe necessariamente in una notifica al Garante e possibili verifiche ispettive oltre al danno d’immagine che ne deriverebbe.

Conclusione

Riepiloghiamo i 7 punti della nostra check-list per fare e-mail marketing ed essere abbastanza tranquilli:

  1. controllare le fonti da cui provengono i dati della nostra mailing list;
  2. avere un’informativa chiara, completa e accessibile;
  3. ottenere i consensi in modo corretto e senza “furbate” inutili;
  4. consentire con facilità l’esercizio dei diritti all’Interessato;
  5. stabilire i criteri per i tempi di conservazione dei dati;
  6. non eccedere nella quantità di dati raccolti;
  7. proteggere i dati.

Infine, dobbiamo sapere che le attività di marketing sono da un po’ sotto i riflettori perché, in questi anni, qualche operatore un po’ “garibaldino”, ha abusato di strumenti come la mail e il telemarketing con il risultato di riempirci le caselle di spazzatura e tempestarci di telefonate inutili oltre l’umanamente sostenibile.

Ecco perché i Garanti europei (italiano in testa) hanno colto l’occasione del nuovo Regolamento Europeo GDPR per contrastare il fenomeno con strumenti più efficaci e, lo dimostrano le sanzioni milionarie emesse in questi ultimi mesi in Europa e in Italia.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5