PROTEZIONE DATI PERSONALI

Come gestire gli aspetti privacy della newsletter: breve guida per i non addetti ai lavori

L’impostazione corretta del processo di creazione e gestione della newsletter evita di incorrere nei rischi sanzionatori previsti dalla normativa in materia di protezione dei dati personali e, in particolare, delle sanzioni previste dall’art. 83 GDPR. Ecco gli step operativi per la compliance della newsletter

20 Apr 2022
N
Alessandra Nisticò

Data Privacy Consultant, P4I - Partners4Innovation

La newsletter è un elemento essenziale per coltivare il rapporto con la propria audience di riferimento. Quale che sia il settore in cui si opera, la creazione di contenuti di qualità e la loro diffusione via email permette di migliorare l’attaccamento, accrescere la fiducia o l’autorevolezza verso la propria comunità di riferimento e, nel caso di attività commerciali, è un utile strumento di marketing.

È importante, però, gestire correttamente l’elenco dei destinatari della newsletter per evitare di incorrere nei rischi sanzionatori previsti dalla normativa in materia di protezione dei dati personali e, in particolare, dal GDPR.

Vediamo perché, chiarendo prima quali e quanti sono i tipi di newsletter che esistono.

Dalla gap analysis alla compliance GDPR: adempimenti per mettere in sicurezza i processi aziendali

Cos’è la newsletter e quanti tipi ne esistono

Innanzitutto, che cos’è la newsletter? La newsletter può essere definita come un servizio informativo che un’impresa, una pubblica amministrazione, un professionista, un blogger, un influencer eroga nei confronti del pubblico sulla base di una semplice richiesta di adesione al servizio.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

Esistono molteplici tipi di newsletter.

Un esempio sono le newsletter interne alle aziende che hanno lo scopo di informare i dipendenti sulle attività dei vari team o le novità organizzative, che divulgano informazioni di settore o cercano di sensibilizzare i dipendenti su alcuni temi.

Ci sono anche le newsletter del Data Protection Officer ai titolari del trattamento attraverso le quali il DPO adempie all’obbligo di informazione previsto dall’art. 39 GDPR su quelli che sono i temi più rilevanti in materia di conformità alla normativa privacy.

Ci sono anche servizi di newsletter erogati da pubbliche amministrazioni nell’ambito dei loro compiti istituzionali di informazione e sensibilizzazione della collettività. Molti Comuni, ad esempio, informano i cittadini sui servizi e le attività promosse dall’ente territoriale, oppure la newsletter dell’Autorità Garante che informa sui provvedimenti emanati dall’Autorità, informa sulle attività di sensibilizzazione condotte dai membri del Collegio e informa anche sui provvedimenti e le decisioni di altre istituzioni che incidono sulla sfera di competenze dell’Autorità.

Ci sono newsletter informative pure, queste sono tenute da giornalisti o collettivi di giornalisti attraverso le quali vengono condivisi articoli informativi o si instaurano dei dibattiti su alcuni temi particolari come la cybersecurity, la politica (nazionale o estera), lo sport, la cronaca, ecc. Alcune newsletter sono curate da scrittori per incentivare la lettura di brevi testi, far circolare racconti di esordienti, ecc.

Vi sono, infine, le newsletter degli influencer che vogliono essere uno strumento per avere delle metriche da utilizzare nei rapporti con i brand. Ad esempio, un food blogger può creare una newsletter in cui informa i propri follower circa le proprie ricette, le recensioni dei locali visitati, i video, articoli, fotografie che ha pubblicato sul proprio sito o i propri canali social in modo da mantenere vivo il rapporto tra i suoi lettori e la piattaforma su cui pubblica. La capacità di coinvolgere emotivamente l’audience sarà una metrica importante nell’impostare un rapporto di collaborazione con i brand.

Tutte queste newsletter, come visto, si caratterizzano perché non vendono o promuovono direttamente prodotti o servizi, ma si limitano a divulgare l’immagine o la professionalità dell’autore, dell’organizzazione o dell’ente che somministra il servizio agli iscritti attraverso un’opera di divulgazione di contenuti informativi.

Le e-mail promozionali

Un passo ulteriore è quello delle email promozionali che si differenziano dalle newsletter perché hanno come obiettivo quello di promuovere direttamente la vendita di un prodotto o un servizio. Sono quelle email che informano sulle novità presenti in negozio, offrono coupon, buoni sconto, la possibilità di partecipare a concorsi a premi e via dicendo.

È fondamentale distinguere le due tipologie di comunicazione al fine di impostare correttamente un processo di compliance privacy. Infatti, a seconda della finalità del servizio (informare o vendere) cambia la base giuridica del trattamento, ovvero la condizione che rende lecita la raccolta dei dati e l’invio di comunicazioni.

Le attività di marketing via e-mail rientrano infatti nel campo di applicazione della direttiva ePrivacy che è stata recepita all’interno del Titolo X del Codice Privacy (D.lgs. 196/2003). L’articolo 130 del codice privacy, in particolare, disciplina le comunicazioni indesiderate e ci dice che “l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente.” Questa disposizione disciplina il telemarketing, ma il comma 2 dell’art. 130 ci precisa che “La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo”.

Vi è un’eccezione, rappresentata dal c.d. soft-spam disciplinato dall’art. 130 co. 4 del Codice privacy, che consente l’invio di e-mail promozionali nel contesto della vendita di un prodotto o di un servizio, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. Il codice prevede altresì che “L’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente”.

Come si può vedere, l’invio di un’e-mail promozionale è ben diversa dalla struttura della newsletter e le ricadute applicative sono diverse come si vedrà.

Qual è il campo di applicazione della normativa

Essendo una guida destinata ai non addetti ai lavori, occorre fare una premessa iniziale per capire quando rientriamo nel campo di applicazione della normativa privacy.

Infatti, nel momento in cui raccogliamo delle e-mail e altre informazioni dal pubblico (ad esempio, il nome e il cognome degli iscritti) o altre metriche come i tassi di apertura e lettura delle newsletter, noi stiamo trattando dati personali. Infatti, l’articolo 4 GDPR definisce come dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile (il c.d. interessato del trattamento).

Il regolamento precisa che “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Il soggetto che raccoglie quei dati è il Titolare del trattamento, ovvero la persona fisica o giuridica che determina le finalità e i mezzi del trattamento. In altre parole, un professionista, un blogger, un ente pubblico o una società sono tutti titolari del trattamento nel momento in cui decidono di aprire una newsletter nell’ambito della propria attività. Occorre ricordare, infatti, che il GDPR non si applica alle attività domestiche e pertanto una newsletter indirizzata alla propria cerchia di amici non rientrerà nel campo di applicazione del Regolamento, mentre laddove la newsletter sia di un’associazione anche senza scopo di lucro (ad esempio un canile di quartiere) vi rientrerà.

Step operativi per la compliance della newsletter

Nel caso in cui si rientri nel campo di applicazione del Regolamento sulla protezione dei dati personali, allora sarà necessario seguire i seguenti passi.

Definire gli scopi della newsletter

È importante avere ben chiaro perché si intende fornire questo servizio, quali sono i dati necessari per la fornitura del servizio, in modo da strutturare l’iniziativa in ottica di privacy by design, conformemente alle previsioni dell’art. 25 GDPR.

Diventa fondamentale capire quale è il tipo di newsletter che si intende realizzare.

Se siamo un ente pubblico, il servizio di newsletter potrebbe essere una delle modalità con le quali adempiamo ai nostri compiti istituzionali. Ad esempio, l’Autorità per la protezione dei dati personali fonda la “la base giuridica di tale trattamento è da rinvenirsi nei compiti istituzionali affidati al Garante e volti a favorire la conoscenza della normativa in materia di protezione dei dati personali (v., in particolare, l’art. 57, par. 1, lett. b) e d), del Regolamento (UE) 2016/679, di seguito “Regolamento”)”.

Se siamo un’istituzione privata o pubblica o un professionista e intendiamo erogare il servizio di newsletter informativo, la base giuridica sarà rappresentata dall’art. 6 par. 1 lett. b) GDPR, ovvero il contratto rappresentato dall’adesione al servizio di newsletter.

Se la nostra newsletter è un elemento di marketing automation perché il nostro obiettivo è convertire i nostri follower in clienti dei beni e servizi che offriamo (es. consulenze, corsi digitali, prodotti artigianali), allora accanto all’offerta del servizio di newsletter potrebbe essere opportuno richiedere anche il consenso a ricevere email promozionali attraverso un apposito flag.

Questi concetti sono ribaditi anche dal provvedimento del Garante che risale al 4 luglio 2013 ed è tuttora vigente contenente le “Linee guida in materia di attività promozionale e contrasto allo spam”.

Predisporre l’informativa

La raccolta di dati personali al fine di trasmettere informazioni – di qualunque natura, siano esse informative o promozionali – nell’ambito di applicazione del Regolamento, richiede di predisporre un’informativa ai sensi dell’art. 13 GDPR. Sul punto, è importante fare attenzione ai trasferimenti di dati al di fuori dell’Unione Europea nel caso si utilizzino tool di email marketing di provider statunitensi.

Cautele se si raccoglie anche il consenso per le comunicazioni commerciali

In primo luogo, occorre ricordare i requisiti del consenso richiesti dall’art. 7 GDPR. Il consenso deve essere:

  1. espresso (mediante dichiarazione o gesto inequivocabile);
  2. libero (non sottoposto a vincoli o condizioni);
  3. specifico (un consenso per ogni finalità perseguita);
  4. revocabile;
  5. dimostrabile (deve essere storicizzato per poter dimostrare la legittimità dei trattamenti eseguiti prima della revoca).

Questo significa che il flag per il consenso non deve essere obbligatorio e nemmeno “pre-flaggato” e che l’interessato deve poter scegliere di iscriversi al servizio di newsletter senza dover necessariamente dare il consenso alla ricezione di comunicazioni commerciali.

Di conseguenza, sarà importante separare le audience: ci saranno gli iscritti al servizio di newsletter che saranno destinatari in modo esclusivo delle e-mail informative, mentre gli iscritti al servizio di newsletter che hanno anche prestato il consenso riceveranno anche le e-mail promozionali.

Questo aspetto è stato chiarito anche dalla Cassazione con la sentenza 2 luglio 2018, n. 17278 che, in relazione alla specificità del consenso ha precisato che il titolare deve indicare i trattamenti che sono collegati al consenso e che questo non può essere considerato come una controprestazione del servizio di newsletter.

Occorre ricordarsi, inoltre, che laddove si intendano eseguire attività di profilazione al fine di inviare email personalizzate sulla base delle preferenze o cedere dati a terzi per finalità di marketing del terzo, saranno entrambi da sottoporre a consensi specifici e distinti. Ne consegue che la definizione del percorso del dato e delle finalità di trattamento ad esso connesse sarà un aspetto da definire in principio, in modo da acquisire i consensi necessari e progettare il form di iscrizione e il percorso dell’interessato nel modo più corretto e trasparente possibile.

Ricordarsi del diritto di opposizione al trattamento

Benché sia ormai una feature acquisita di tutte le newsletter, il tasto “unsubscribe”, disiscriviti, è un aspetto fondamentale della compliance della newsletter, oltre che un diritto dell’interessato e deve essere indicato anche nell’informativa in modo separato rispetto agli altri diritti.

Ricordarsi della normativa sul commercio elettronico

L’art. 130 co. 5 del codice privacy contiene un divieto espresso di invio di comunicazioni commerciali nascondendo o camuffando l’identità del mittente che, quindi, deve essere ben visibile per il destinatario della comunicazione. Inoltre, è richiesto che vi sia un modo agevole per l’esercizio dei diritti da parte dell’interessato. Vi è infine un rimando alle prescrizioni del c.d. codice del commercio elettronico e in particolare all’articolo 8 D.lgs. 70/2003 che prescrive di evidenziare, fin dal primo invio che:

  1. che si tratta di comunicazione commerciale;
  2. la persona fisica o giuridica per conto della quale è effettuata la comunicazione commerciale;
  3. che si tratta di un’offerta promozionale come sconti, premi, o omaggi e le relative condizioni di accesso;
  4. che si tratta di concorsi o giochi promozionali, se consentiti, e le relative condizioni di partecipazione.

Conclusione

L’impostazione corretta del processo consente di evitare di incorrere nei rischi sanzionatori previsti dalla normativa in materia di protezione dei dati personali e, in particolare, delle sanzioni previste dall’art. 83 GDPR. La violazione dell’informativa e dei diritti degli interessati, nonché la mancanza dei requisiti di validità del consenso, infatti, sono tra gli aspetti maggiormente sanzionati e rientrano nello scaglione più alto, quello previsto dall’art. 83 par. 5 GDPR con sanzioni fino a 20 milioni di euro o il 4% del fatturato annuo globale, se più alto.

Una volta considerati tutti questi aspetti, predisposta l’informativa e raccolti i consensi sarà possibile partire con il piano editoriale e inviare le newsletter informative agli iscritti e le comunicazioni commerciali a coloro che hanno prestato il consenso.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA