La newsletter è uno strumento di marketing incredibilmente potente. È un mezzo conveniente per costruire e consolidare le relazioni con i propri clienti, ma potrebbe anche costarti caro se non osservi gli obblighi di legge.
Se stai pensando o stai già effettuando attività di invio di newsletter, hai l’obbligo legale di dotarti di una privacy policy completa, dal momento che raccogli dati personali dei tuoi utenti.
Secondo la stragrande maggioranza delle legislazioni, se si trattano dati personali si è tenuti ad informare l’utente delle attività di trattamento effettuate (tipicamente tramite una privacy policy) e – a seconda della normativa applicabile – potrebbe inoltre rendersi necessaria la raccolta di un consenso da parte dell’utente e/o la predisposizione di un metodo attraverso cui l’utente possa facilmente revocare il consenso.
In genere queste disposizioni si applicano a tutti i servizi rivolti agli utenti di uno specifico Paese, con la conseguenza che una normativa locale può essere applicata alla tua attività indipendentemente dal fatto che essa si basi o meno nella medesima area. Si tratta di un aspetto ancora più importante se si utilizza un elenco di email acquistate: in tal caso, infatti, potrebbe non essere possibile conoscere il Paese di residenza del destinatario.
Nella maggior parte dei casi, la normativa richiede che la tua privacy policy informi gli utenti sulle attività di trattamento dati effettuate con un linguaggio semplice da comprendere e privo di ambiguità.
La tua policy dovrà includere dettagli su:
In generale, le normative stabiliscono che la tua privacy policy debba essere chiaramente visibile e facilmente accessibile in tutto il tuo sito web o app, e a tal scopo potrebbe essere sufficiente anche inserire un semplice link all’informativa direttamente all’interno del footer.
Tuttavia, in un contesto di trasparenza (che di solito è uno dei fini principali delle leggi sulla privacy), è consigliabile che tu renda la tua privacy policy contestualmente disponibile, ad esempio inserendo anche un link sia in calce al form di iscrizione che nella newsletter stessa.
Poiché i moduli di iscrizione alla newsletter sono strumenti di raccolta dei dati, ai sensi della normativa europea (vale a dire il GDPR) è obbligatorio ottenere il consenso informato dell’utente prima di sottoscriverlo al servizio.
Ai sensi della normativa europea, l’acquisizione del consenso può configurarsi come un processo in due fasi che comprende informare l’utente e ottenere il consenso esplicito e verificabile attraverso un’azione positiva.
Per informare l’utente è necessario:
Il consenso deve essere “prestato liberamente”: non è possibile costringere gli utenti a iscriversi alla propria mailing list o far sembrare che l’iscrizione sia obbligatoria.
Questo è particolarmente importante nei casi in cui si rendono disponibili al download gratuito e-book e white paper. Anche se l’indirizzo email dell’utente è necessario per l’erogazione del servizio, l’iscrizione alla newsletter non lo è.
Se si desidera quindi aggiungere alla newsletter anche le persone che scaricano un e-book, occorre inserire nel form di download dell’e-book un messaggio:
Come si evince dall’esempio, gli utenti devono essere consapevoli del fatto che il consenso è in realtà facoltativo e non obbligatorio.
Il consenso deve essere esplicito e verificabile. È pertanto necessario che il processo per ottenere il consenso dell’utente sia semplice e implichi una chiara azione di “opt-in”.
Ciò significa che non sono ammessi meccanismi come checkbox di iscrizione alla newsletter pre-selezionate, in quanto il regolamento europeo vieta espressamente le caselle pre-selezionate ed altri metodi alternativi di “opt-out”.
Si può, tuttavia, utilizzare qualsiasi altro metodo che richieda all’utente di intraprendere un’azione positiva diretta (che può includere una qualsiasi azione di consenso verificabile, compreso l’invio di un’email o il click su una checkbox).
Gli utenti devono avere la possibilità di revocare il consenso. Ai sensi del GDPR, gli utenti hanno infatti il diritto di revocare il consenso con la stessa facilità con cui lo hanno prestato.
Tale requisito può essere facilmente soddisfatto inserendo un link di cancellazione visibile e valido in ogni newsletter inviata. Idealmente, gli utenti dovrebbero avere la possibilità di gestire le proprie preferenze email anche da un proprio account.
Il consenso acquisito deve essere specifico rispetto alla tipologia di contenuti inviati. Ciò significa che la newsletter deve contenere solo informazioni che l’utente ha acconsentito di ricevere.
Ad esempio, se l’utente acconsente solo a ricevere email sui nuovi prodotti, non è consentito inviare loro email promozionali relative a offerte di partner terzi.
Nei casi in cui si desideri inviare diversi tipi di email ai propri utenti, è necessario quindi ottenere un consenso aggiuntivo, specifico per tali usi, in quanto è necessario avere un consenso per ogni finalità di trattamento.
Non è necessario che tale consenso sia fornito tramite un form aggiuntivo. In pratica, è sufficiente aggiungere diverse checkbox per informare l’utente di ogni ulteriore finalità e consentirgli di prestare il proprio consenso specifico per tali scopi.
Questo è particolarmente importante per il Direct Email Marketing (DEM) (ovvero per l’invio di email il cui scopo è quello di pubblicizzare direttamente prodotti o servizi). Nel caso di invio di DEM, è necessario ottenere un ulteriore consenso se si inviano email su prodotti/servizi di terzi oltre a quelle relative ai propri prodotti/servizi.
Esistono alcune eccezioni al requisito del consenso esplicito di cui sopra. Diamo un’occhiata al soft opt-in e al modulo esplicito.
Il soft opt-in può permetterti di aggirare il requisito del consenso preventivo. Il soft opt-è consentito quando un utente ha indicato il suo indirizzo email al momento dell’acquisto di un tuo prodotto o servizio. In particolare, il soft-opt-in si può applicare nei seguenti casi:
💡 Scopri dove si applica il soft opt-in con la nostra Tabella riassuntiva sull’email marketing internazionale.
Nel caso del modulo esplicito, la finalità perseguita è indicata all’interno del modulo di iscrizione in modo inequivocabile. Ad esempio, se il tuo sito ha una finestra di pop-up che invita gli utenti ad iscriversi alla newsletter utilizzando una frase chiara come: “Iscriviti alla nostra newsletter per accedere a buoni sconto e aggiornamenti sui nostri prodotti“. L’azione positiva che l’utente esegue digitando il proprio indirizzo email, in questo caso, è considerata un valido consenso.
Poiché il consenso ai sensi del GDPR è una questione di primaria importanza, è obbligatorio registrare in modo puntuale i consensi ottenuti. Il registro dei consensi deve contenere almeno le seguenti informazioni:
Mantenere un registro conforme, per quanto obbligatorio, può rivelarsi una sfida dal punto di vista tecnico. Il nostro Consent Database semplifica questo processo permettendoti di registrare, gestire ed esportare facilmente le prove del consenso per ogni tuo utente.
Nell’Unione Europea, la Direttiva ePrivacy stabilisce delle linee guida generali che sono recepite individualmente dagli Stati Membri, sebbene alcuni elementi (come la possibilità di revocare il consenso) rientrino nell’ambito di applicazione del GDPR.
In generale, le disposizione europee anti-spam stabiliscono quanto segue:
Quando si tratta di conformità, è sempre consigliabile approcciare le proprie attività di trattamento dei dati tenendo conto delle più severe normative applicabili.
1. Definisci:
2. Informa gli utenti:
Se fai attività di Direct Email Marketing (DEM) per il mercato tedesco, devi aggiungere una dichiarazione nella privacy policy in cui specifichi quali società e tipi di beni e servizi saranno promossi attraverso la newsletter.
3. Ottieni un consenso preventivo (in base alla normativa locale) che sia:
4. Offri la possibilità di revocare il consenso. Questa opzione dev’essere:
5. Tieni un registro dei consensi raccolti. Se rientri nell’ambito di applicazione del GDPR (cosa molto probabile), devi registrare in modo chiaro tutti i consensi acquisiti. Senza registro, i consensi raccolti non sono validi. Il registro dei consensi deve includere queste informazioni: