Documentazione

Indice dei contenuti

Mailchimp e GDPR: privacy policy, form di iscrizione e raccolta del consenso

Se hai un sito web e un form di contatto/iscrizione e usi Mailchimp per gestire la tua newsletter, ti starai chiedendo se devi aggiungere queste informazioni alla tua privacy policy (o, prima ancora, se devi avere una privacy policy).

La risposta è , una privacy policy contenente le clausole relative alle tue attività di email marketing è richiesta sia dalle normative che dai termini delle terze parti.

Questa guida ti mostrerà come creare una privacy policy per Mailchimp e, in aggiunta, illustrerà i passi da intraprendere per assicurarti che le tue mailing list (e, più in generale, le tue attività di email marketing) siano conformi.

Requisiti di terze parti

Mailchimp aderisce al Privacy Shield e dichiara esplicitamente nella sezione 20 delle proprie condizioni di utilizzo che l’utente deve essere conforme a tutte le leggi applicabili, cioè le leggi sulla privacy vigenti nel paese della tua sede operativa e in quello dei tuoi utenti:

È tua responsabilità determinare se il Servizio è adatto all’utilizzo alla luce degli obblighi derivanti da normative quali HIPAA, GLB, le leggi europee sulla protezione dei dati (incluso il GDPR), le leggi e i regolamenti statunitensi sul controllo delle esportazioni e le leggi e i regolamenti sulle sanzioni economiche (“U.S. Export Control Laws and Regulations”), o altre leggi applicabili.

I requisiti sono ancora più espliciti se tu o qualcuno degli iscritti alla tua newsletter avete sede nello Spazio Economico Europeo (Regno Unito e Svizzera inclusi):

Se hai sede nello Spazio Economico Europeo, nel Regno Unito o in Svizzera (collettivamente, il “SEE”) e/o distribuisci Campagne o altri Contenuti attraverso il Servizio a chiunque abbia sede nel SEE (ciascuno di questi membri è un “membro SEE”) per creare la propria lista di distribuzione delle Campagne, inviare Campagne tramite il Servizio e/o raccogliere informazioni come risultato della creazione o dell’invio di Campagne, dichiari e garantisci a Mailchimp che:

  1. Pubblicherai, manterrai e rispetterai una privacy policy pubblicamente accessibile sulle proprietà digitali da cui sono raccolti i dati sottostanti che soddisfi i requisiti delle leggi applicabili sulla protezione dei dati, descriva l’utilizzo del Servizio e includa un link alla Privacy Policy di Mailchimp.
  2. Otterrai e manterrai tutti i permessi necessari e i consensi validi richiesti per trasferire legalmente i dati a Mailchimp e per consentire che tali dati siano legalmente raccolti, trattati e condivisi da Mailchimp ai fini della fornitura del Servizio o come altrimenti indicato dall’utente.
  3. Ti impegni a rispettare tutte le leggi e i regolamenti applicabili alle Campagne inviate tramite il Servizio, comprese quelle relative (a) all’acquisizione dei consensi (ove richiesto) per l’invio delle Campagne, (b) al Contenuto delle Campagne, e (c) alle pratiche di implementazione della Campagna.

Inoltre, se appartieni al SEE, riconosci e accetti che ai sensi delle leggi UE sulla privacy abbiamo la tua previa autorizzazione scritta a rispondere (a nostra discrezione) a qualsiasi richiesta dei tuoi contatti inerente i propri dati personali o che, in alternativa, possiamo indirizzare tali richieste a te, così che tu possa rispondere di conseguenza.

Stabilito che Mailchimp richiede il rispetto di tutte le normative applicabili, diamo un’occhiata agli obblighi di legge.

Requisiti di legge

Requisiti generali sulla privacy

Secondo la maggior parte delle leggi nazionali devi disporre di una privacy policy valida. L’informativa sulla privacy dovrebbe dettagliare in modo chiaro e preciso chi effettua il trattamento e per quale scopo. Non farlo può comportare sanzioni pecuniarie e/o provvedimenti di un certo peso.

Requisiti per il consenso

Consenso informato

Se rientri nell’ambito di applicazione di leggi come il GDPR o il PIPA canadese, il consenso raccolto deve soddisfare requisiti specifici per essere considerato valido. Tra questi hai l’obbligo di informare in modo completo e corretto gli utenti sulle finalità, i metodi e le parti coinvolte nel trattamento dei loro dati.

Registro dei consensi

Ai sensi di leggi come il GDPR, se non si dispone di un registro valido dei consensi raccolti, questi potrebbero essere considerati non validi, obbligandoti a ottenerli nuovamente. Il registro dei consensi deve contenere tutti i dettagli del singolo consenso, compresi metodo di raccolta, modulo presentato all’utente e l’informativa sulla privacy in essere nel momento in cui il consenso è stato acquisito. Qui trovi maggiori dettagli sul registro dei consensi.

Come essere conformi

1. Crea una privacy policy per Mailchimp

  • Fai click su Inizia la generazione, seleziona Sito web o App, inserisci il nome/URL, scegli la tua lingua e procedi.
  • Ora aggiungi i servizi che usi, assicurandoti di includere le clausole sia delle tue attività di trattamento che di quelle delle terze parti. In questo caso dovrai sicuramente aggiungere i servizi Mailing list o newsletter e Mailchimp. Importante: considera anche l’aggiunta di Direct Email Marketing (DEM) se monetizzi la tua newsletter. Una volta che hai finito di aggiungere tutti i servizi applicabili, fai click su Salva e chiudi.
  • Specifica il proprietario del sito/app e i dettagli di contatto e salva.
  • Ora fai click su Gestisci e integra (in alto a sinistra della pagina, poco sopra il nome del tuo sito/app) per incorporare la privacy policy utilizzando uno dei tre metodi disponibili. È buona prassi includere un link alla privacy policy in fondo alla tua newsletter (dov’è facilmente accessibile agli iscritti), oltre che ovviamente sul tuo sito web.

Le privacy e cookie policy di iubenda sono create e continuamente monitorate da un team internazionale di avvocati e vengono ospitate direttamente sui nostri server per assicurarti che siano sempre aggiornate con gli ultimi requisiti legali e delle terze parti.

2. Attiva i GDPR fields (campi GDPR) di Mailchimp

Mailchimp ha da tempo reso disponibile una funzione chiamata GDPR fields (campi GDPR): i moduli GDPR-friendly includono delle checkbox per il consenso e delle sezioni modificabili che spiegano modalità e finalità di trattamento dei dati personali. Ti preghiamo di notare che la semplice abilitazione di questa funzionalità non basta a renderti conforme alle normative.

Ecco cosa devi fare:

  • imposta il tuo modulo di iscrizione in linea con i requisiti del GDPR (abilitando e modificando i campi GDPR);
  • segmenta la lista dei destinatari sulla base dei consensi ricevuti; e
  • raccogli un consenso valido sia dai contatti nuovi che da quelli esistenti.

Visita mailchimp.com/help per saperne di più.

Attenzione

Il semplice fatto di avere questa funzione abilitata non ti rende automaticamente conforme: la raccolta del consenso e la gestione delle mailing list infatti devono avvenire in conformità con la normativa a te applicabile. Alcuni di questi requisiti dipendono fortemente dal modo in cui progetti il form d’iscrizione e la newsletter vera e propria. Per una panoramica completa sull’argomento (corredata di esempi pratici), leggi la nostra guida sull’email marketing e l’invio di newsletter.

Double Opt-In (opzionale)

Mailchimp offre due alternative per l’opt-in delle tue liste: single opt-in e double opt-in.

Se il single opt-in richiede unicamente che gli utenti inseriscano le loro informazioni per essere aggiunti alla tua mailing list, il double opt-in richiede che gli utenti convalidino il proprio indirizzo email prima di essere aggiunti. La validazione avviene quando l’utente fa click su uno specifico link contenuto in un messaggio di conferma inviato al suo indirizzo email.

A seconda delle esigenze della tua organizzazione, potresti voler provare il double opt-in, che prevede un passaggio verifica per ogni indirizzo email aggiunto. Questo metodo di registrazione è considerato una best practice in molti paesi dell’Unione Europea, soprattutto in Germania.

Qui trovi la guida di Mailchimp su come abilitare il double opt-in per le tue liste.

3. Firma il DPA di Mailchimp

Come indicato al punto 20.5 delle loro condizioni d’uso, se tu o qualcuno degli iscritti alla tua mailing list risiedete nel SEE (Regno Unito e Svizzera inclusi), sei tenuto a siglare un DPA con Mailchimp:

Firmerai e restituirai l’addendum di Mailchimp per il trattamento dei dati (esempio qui), che definisce i tuoi e i nostri obblighi in materia di protezione e sicurezza dei dati personali durante il loro trattamento. Una volta firmato, l’addendum sul trattamento dei dati sarà parte integrante del contratto. Puoi accedere al nostro accordo per il trattamento dei dati qui (verrai indirizzato al login, così da poter firmare il contratto online).

4. Tieni un registro dei consensi

Se (com’è probabile) rientri nell’ambito di applicazione del GDPR, sei obbligato a tenere un registro valido dei consensi.

Questo registro dovrebbe includere:

  • chi ha fornito il consenso;
  • quando e come è stato acquisito il consenso del singolo utente;
  • il modulo di raccolta del consenso presentato all’utente in fase di raccolta dello stesso; e
  • un riferimento ai documenti legali e alle condizioni in essere nel momento in cui il consenso è stato acquisito.

La nostra Consent Solution semplifica questo processo aiutandoti a conservare facilmente la prova del consenso e a gestire le preferenze di consenso e privacy per ciascuno dei tuoi utenti – consentendoti di tracciare ogni aspetto del consenso raccolto.

Attiva la Consent Solution, accedi alle API via HTTP o libreria JavaScript e avrai fatto: potrai recuperare i consensi e aggiornare le preferenze in qualsiasi momento.

Per ulteriori informazioni sulla Consent Solution consulta la guida introduttiva oppure, per un esempio pratico di come può essere utilizzata con WordPress, leggi Come implementare la Consent Solution con Contact Form 7.

Crea una privacy policy per Mailchimp

Inizia la generazione

o leggi la nostra guida su come creare una policy

Leggi anche