PRIVACY

E-mail marketing: cos’è, a cosa serve e come ottenere il consenso a norma GDPR

I principi base del GDPR si applicano anche alle attività di e-mail marketing, in modo particolare per quanto riguarda l’obbligo di informativa e l’individuazione della giusta base giuridica che autorizza al trattamento dei dati. Ecco le regole pratiche per un corretto adeguamento alla normativa privacy

14 Feb 2020
I
Stefano Inverardi

Consulente IT, Privacy e DPO


Con l’avvento di Internet sono stati utilizzati sempre più strumenti per indirizzare pubblicità ai consumatori: queste pratiche comprendo solitamente il social media marketing, l’advertising nei siti web e l’e-mail marketing: soprattutto in quest’ultimo caso, è importante seguire le regole giuste per realizzare una campagna di e-mail marketing conforme al GDPR.

Il GDPR (Regolamento UE 2016/679) non regolamenta in modo specifico l’e-mail marketing (che sarà meglio trattato dal Regolamento ePrivacy), però i principi base si applicano anche a questa attività; in modo particolare per quanto riguarda l’obbligo di informativa e l’individuazione della giusta base giuridica che autorizza al trattamento dei dati.

Partendo dalla base giuridica, ovvero la motivazione che legittima il titolare a trattare i dati, la si individua quasi esclusivamente nel libero consenso rilasciato dall’interessato.

Il consenso deve essere informato e soprattutto libero, questo vuol dire che non possiamo iscrivere automaticamente i nostri clienti ad una mailing list, né tanto meno possiamo inserire indirizzi e-mail trovati o copiati chissà da dove nel web.

In realtà, questa pratica sarebbe anche controproducente, perché renderebbe il nostro elenco poco efficacie visto che rischieremmo di avere e-mail non lette, cestinate o addirittura segnalate come spam, con conseguenze negative sulle nostre campagne marketing.

E-mail marketing e GDPR: il consenso

Come già specificato dal GDPR, il consenso deve essere informato e libero, quindi dobbiamo scrivere un’informativa chiara che specifichi il motivo della raccolta dati e le modalità di utilizzo.

L’informativa sul trattamento e sulla protezione dei dati rilasciata ai sensi degli art. 13 e 14 del GDPR deve contenere quindi:

  • dati di contatto del titolare del trattamento e del DPO se nominato;
  • base giuridica, nel nostro caso il consenso degli interessati;
  • finalità del trattamento, nel nostro caso e-mail marketing;
  • periodo di conservazione dai dati raccolti;
  • intenzione di trasferire dati extra UE (attenzione a quali piattaforme utilizzate);
  • eventuali destinatari dei dati;
  • modalità del trattamento;
  • diritti degli interessati.

Per quanto riguarda il trasferimento di dati extra UE spesso si pensa che non viene effettuato, in realtà bisogna fare molta attenzione ai metodi utilizzati per fare e-mail marketing.

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

Tra le principali piattaforme di invio newsletter, gratuite e non, sono utilizzati strumenti che utilizzano server fisicamente posizionati negli Stati Uniti d’America. Spesso copia degli indirizzi e-mail, dei nominativi e altre informazioni sono salvate in questi database e quindi, a tutti gli effetti, i dati sono trasferiti extra UE, informazione da specificare nelle informative privacy.

Dimostrare di aver ottenuto il consenso

Una volta tenute conto delle informazioni da inserire nelle informative, dobbiamo poter dimostrare di aver ottenuto il consenso dai nostri clienti. Le modalità possono essere differenti, purché siano tracciabili e dimostrabili.

Alcuni esempi di consenso possono essere:

  • consenso tramite modulo cartaceo (es. durante una fiera o un evento);
  • consenso tramite sito internet (es. modulo di iscrizione alla newsletter);
  • consenso tramite e-mail.

In tutti i casi bisogna poter dimostrare che l’interessato abbia preso visione dell’informativa privacy e abbia fornito il consenso per il trattamento dei dati per le specifiche finalità indicate.

Come poter avere questa certezza?

Un metodo potrebbe essere quello di inviare una mail di conferma attivazione del servizio all’interessato, con un riepilogo delle modalità di invio delle newsletter e copia dell’informativa che ha visionato in precedenza. Non dimentichiamoci inoltre di inserire la possibilità di cancellarsi dalla mailing list.

Un altro metodo è quello di salvare in un database il consenso ricevuto. In questo caso, oltre all’indirizzo e-mail, alla data e all’orario si dovrebbe salvare anche il codice hash dell’informativa visionata.

Il codice hash, lo ricordiamo, è un valore univoco che identifica ad esempio un testo. Facciamo un esempio pratico per capirne meglio il funzionamento.

Immaginiamo di prendere la nostra informativa contenuta in un file di testo (es. PDF, DOC, DOCX ecc.) e utilizzare un software gratuito che genera i codici di hash; in questo modo otteniamo un valore univoco specifico per il file che abbiamo creato.

Questo codice ci certifica che il testo indicato è esattamente quello visionato nella nostra informativa. Il cambio di una lettera o di un segno di punteggiatura riporterebbe un valore di hash differente, quindi questo metodo ci può certificare il testo visionato.

E-mail marketing e GDPR: i diritti degli interessati

Tra i diritti degli interessati c’è ad esempio la possibilità di sapere quando e in che modo hanno rilasciato il consenso al trattamento dei dati. Risulta quindi molto importante trovare il corretto metodo di salvataggio di tali informazioni in modo da poter rispondere rapidamente e in modo chiaro a tali richieste.

Un’altra cosa molto importante è quella di ricordarsi di inserire all’interno di ogni newsletter la possibilità di cancellarsi in modo facile dalla mailing list o specificare i metodi in cui si può effettuare la cancellazione.

La cancellazione della mailing list deve essere effettuata nel minor tempo possibile ed è importante ricordarsi di cancellare l’indirizzo da tutti i database, sia locali, sia in cloud, sia in quelli dei fornitori.

E-mail marketing e GDPR: il legittimo interesse

Abbiamo specificato che l’invio di newsletter richiede il consenso dell’interessato. Ci sono alcuni casi, però, in cui non è necessario il consenso, bensì si può utilizzare un’altra base giuridica: il legittimo interesse.

Il legittimo interesse deve essere bilanciato tra le parti e quindi essere un interesse per entrambi non solo per chi invia le comunicazioni. In genere, il legittimo interesse può essere utilizzato per comunicazioni “di servizio” che non sono vere e proprie comunicazioni commerciali: si pensi, ad esempio, alla commercializzazione di un nuovo prodotto o servizio. In questo caso si potrebbe inviare una e-mail a tutti i clienti informandoli e chiedendo loro di ricontattarvi per maggiori informazioni; oppure, potreste inviare a tutti l’intenzione di iscriverli alla mailing list della vostra newsletter chiedendogli quindi il consenso; o ancora, potreste dover inviare comunicazioni di temporaneo disservizio per manutenzioni e via dicendo.

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

Anche in questi casi, l’importante è prevedere già tali possibilità fin dall’inizio e specificarle in modo chiaro nell’informativa rilasciata ai clienti.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5