GDPR e email marketing: come adeguare newsletter e form di iscrizione

La newsletter è uno strumento di marketing incredibilmente potente. È un mezzo conveniente per costruire e consolidare le relazioni con i propri clienti, ma potrebbe anche costarti caro se non osservi gli obblighi di legge.

Requisiti di legge in generale

Se stai pensando o stai già effettuando attività di invio di newsletter, hai l’obbligo legale di dotarti di una privacy policy completa, dal momento che raccogli dati personali dei tuoi utenti.

Secondo la stragrande maggioranza delle legislazioni, se si trattano dati personali si è tenuti ad informare l’utente delle attività di trattamento effettuate (tipicamente tramite una privacy policy) e – a seconda della normativa applicabile – potrebbe inoltre rendersi necessaria la raccolta di un consenso da parte dell’utente e/o la predisposizione di un metodo attraverso cui l’utente possa facilmente revocare il consenso.

In genere queste disposizioni si applicano a tutti i servizi rivolti agli utenti di uno specifico Paese, con la conseguenza che una normativa locale può essere applicata alla tua attività indipendentemente dal fatto che essa si basi o meno nella medesima area. Si tratta di un aspetto ancora più importante se si utilizza un elenco di email acquistate: in tal caso, infatti, potrebbe non essere possibile conoscere il Paese di residenza del destinatario.

Informa gli utenti sulle attività di trattamento dei dati

Nella maggior parte dei casi, la normativa richiede che la tua privacy policy informi gli utenti sulle attività di trattamento dati effettuate con un linguaggio semplice da comprendere e privo di ambiguità.

La tua policy dovrà includere dettagli su:

• dati trattati;
• modalità del trattamento;
• finalità del trattamento (ad esempio invio di newsletter o analisi di mercato);
• servizi di terza parte utilizzati;
• diritti degli utenti in relazione ai loro dati;
• come gestisci le richieste degli utenti in merito all’esercizio dei loro diritti;
• effettivi strumenti di comunicazione utilizzati (email, posta etc.);
• quali misure di sicurezza adotti.

Dove inserire l’informativa sulla privacy

In generale, le normative stabiliscono che la tua privacy policy debba essere chiaramente visibile e facilmente accessibile in tutto il tuo sito web o app, e a tal scopo potrebbe essere sufficiente anche inserire un semplice link all’informativa direttamente all’interno del footer.

Tuttavia, in un contesto di trasparenza (che di solito è uno dei fini principali delle leggi sulla privacy), è consigliabile che tu renda la tua privacy policy contestualmente disponibile, ad esempio inserendo anche un link sia in calce al form di iscrizione che nella newsletter stessa.

Obblighi legali per l’aggiunta di utenti alla tua mailing list

Poiché i moduli di iscrizione alla newsletter sono strumenti di raccolta dei dati, ai sensi della normativa europea (vale a dire il GDPR) è obbligatorio ottenere il consenso informato dell’utente prima di sottoscriverlo al servizio.

Ai sensi della normativa europea, l’acquisizione del consenso può configurarsi come un processo in due fasi che comprende informare l’utente e ottenere il consenso esplicito e verificabile attraverso un’azione positiva.

Per informare l’utente è necessario:

• essere specifici;
• essere chiari e privi di ambiguità;
• rendere chiaro che l’iscrizione è facoltativa.

Il consenso deve essere “prestato liberamente”: non è possibile costringere gli utenti a iscriversi alla propria mailing list o far sembrare che l’iscrizione sia obbligatoria.

Questo è particolarmente importante nei casi in cui si rendono disponibili al download gratuito e-book e white paper. Anche se l’indirizzo email dell’utente è necessario per l’erogazione del servizio, l’iscrizione alla newsletter non lo è.

Se si desidera quindi aggiungere alla newsletter anche le persone che scaricano un e-book, occorre inserire nel form di download dell’e-book un messaggio:

Come si evince dall’esempio, gli utenti devono essere consapevoli del fatto che il consenso è in realtà facoltativo e non obbligatorio.

Acquisizione del consenso

Il consenso deve essere esplicito e verificabile. È pertanto necessario che il processo per ottenere il consenso dell’utente sia semplice e implichi una chiara azione di “opt-in”.

Ciò significa che non sono ammessi meccanismi come checkbox di iscrizione alla newsletter pre-selezionate, in quanto il regolamento europeo vieta espressamente le caselle pre-selezionate ed altri metodi alternativi di “opt-out”.

Si può, tuttavia, utilizzare qualsiasi altro metodo che richieda all’utente di intraprendere un’azione positiva diretta (che può includere una qualsiasi azione di consenso verificabile, compreso l’invio di un’email o il click su una checkbox).

Gli utenti devono avere la possibilità di revocare il consenso. Ai sensi del GDPR, gli utenti hanno infatti il diritto di revocare il consenso con la stessa facilità con cui lo hanno prestato.

Tale requisito può essere facilmente soddisfatto inserendo un link di cancellazione visibile e valido in ogni newsletter inviata. Idealmente, gli utenti dovrebbero avere la possibilità di gestire le proprie preferenze email anche da un proprio account.

Il consenso acquisito deve essere specifico rispetto alla tipologia di contenuti inviati. Ciò significa che la newsletter deve contenere solo informazioni che l’utente ha acconsentito di ricevere.

Ad esempio, se l’utente acconsente solo a ricevere email sui nuovi prodotti, non è consentito inviare loro email promozionali relative a offerte di partner terzi.

Nei casi in cui si desideri inviare diversi tipi di email ai propri utenti, è necessario quindi ottenere un consenso aggiuntivo, specifico per tali usi, in quanto è necessario avere un consenso per ogni finalità di trattamento.

Non è necessario che tale consenso sia fornito tramite un form aggiuntivo. In pratica, è sufficiente aggiungere diverse checkbox per informare l’utente di ogni ulteriore finalità e consentirgli di prestare il proprio consenso specifico per tali scopi.

Questo è particolarmente importante per il Direct Email Marketing (DEM) (ovvero per l’invio di email il cui scopo è quello di pubblicizzare direttamente prodotti o servizi). Nel caso di invio di DEM, è necessario ottenere un ulteriore consenso se si inviano email su prodotti/servizi di terzi oltre a quelle relative ai propri prodotti/servizi.

Eccezioni

Esistono alcune eccezioni al requisito del consenso esplicito di cui sopra. Diamo un’occhiata al soft opt-in e al modulo esplicito. 

Il soft opt-in può permetterti di aggirare il requisito del consenso preventivo. Il soft opt-è consentito quando un utente ha indicato il suo indirizzo email al momento dell’acquisto di un tuo prodotto o servizio. In particolare, il soft-opt-in si può applicare nei seguenti casi:

• l’indirizzo email è stato raccolto durante un processo di vendita sul tuo sito;
• il cliente è stato informato adeguatamente (ad esempio, tramite un avviso sulla pagina delle vendite o nella tua privacy policy) del fatto che intendi utilizzare il suo indirizzo email in questo modo;
• l’utente non ha già effettuato l’opt-out (ad esempio cancellando l’iscrizione alla tua newsletter).
• le email promozionali riguardano prodotti e servizi simili a quelli che l’utente ha inizialmente acquistato sul tuo sito; e
• la promozione riguarda i tuoi prodotti/servizi (non è una promozione di terze parti)

Nel caso del modulo esplicito, la finalità perseguita è indicata all’interno del modulo di iscrizione in modo inequivocabile. Ad esempio, se il tuo sito ha una finestra di pop-up che invita gli utenti ad iscriversi alla newsletter utilizzando una frase chiara come: “Iscriviti alla nostra newsletter per accedere a buoni sconto e aggiornamenti sui nostri prodotti“. L’azione positiva che l’utente esegue digitando il proprio indirizzo email, in questo caso, è considerata un valido consenso.

Registro dei consensi

Poiché il consenso ai sensi del GDPR è una questione di primaria importanza, è obbligatorio registrare in modo puntuale i consensi ottenuti. Il registro dei consensi deve contenere almeno le seguenti informazioni:

• l’identità dell’utente che ha prestato il consenso;
• ciò a cui ha acconsentito;
• il momento in cui è stato prestato il consenso;
• le informazioni che sono state fornite all’utente nel momento in cui ha acconsentito al trattamento;
• i metodi utilizzati per ottenere il consenso (come un form di iscrizione alla newsletter);
• un’indicazione circa l’eventuale revoca del consenso.

Mantenere un registro conforme, per quanto obbligatorio, può rivelarsi una sfida dal punto di vista tecnico. Il nostro Consent Database semplifica questo processo permettendoti di registrare, gestire ed esportare facilmente le prove del consenso per ogni tuo utente.

Obblighi legali relativi al contenuto della newsletter

Nell’Unione Europea, la Direttiva ePrivacy stabilisce delle linee guida generali che sono recepite individualmente dagli Stati Membri, sebbene alcuni elementi (come la possibilità di revocare il consenso) rientrino nell’ambito di applicazione del GDPR.

In generale, le disposizione europee anti-spam stabiliscono quanto segue:

• Fornisci un link per annullare l’iscrizione direttamente nella email.
  L’opzione di revoca deve essere chiara, visibile e facilmente accessibile. Questo elemento rientra nell’ambito di applicazione del GDPR, ed in particolare nell’ambito di applicazione del diritto di cancellazione; per questa ragione, il tempo massimo per onorare queste richieste è di 30 giorni. Vale la pena sottolineare però che, mentre la legge prevede fino a 30 giorni per onorare queste richieste, la maggior parte degli iscritti non sarà disposta ad attendere. È pertanto prudente onorare prontamente le richieste di opt-out per non rischiare di essere contrassegnati come spam e compromettere così la legittimità del tuo indirizzo email.
• Indica chiaramente l’identità del mittente.
  Non è permesso nascondere l’identità del mittente, le informazioni devono essere chiare e dirette.
• Includi un indirizzo aziendale fisico.
  È necessario fornire un indirizzo valido.
• Indica e specifica chiaramente la natura del messaggio.
  Occorre cioè indicare, in modo inequivocabile, il tipo di messaggio inviato (promozionale o no).
• Evita l’uso di espressioni false o ingannevoli.
  La pubblicità in qualsiasi forma (compresi i messaggi commerciali) non deve essere formulata in modo tale da poter trarre in inganno i destinatari.

Cosa fare per rendere la tua newsletter conforme alle normative

Quando si tratta di conformità, è sempre consigliabile approcciare le proprie attività di trattamento dei dati tenendo conto delle più severe normative applicabili.

1. Definisci:

• i tuoi servizi;
• i dati che raccogli;
• le finalità del trattamento;
• le tipologie di comunicazioni che puoi inviare;
• il tuo metodo di consegna.

2. Informa gli utenti:

• di eventuali fornitori di terza parte coinvolti nel processo di gestione della newsletter e includi i link ai relativi documenti sulla privacy;
• dei diritti sui loro dati (incluso il diritto a revocare il consenso).

Se fai attività di Direct Email Marketing (DEM) per il mercato tedesco, devi aggiungere una dichiarazione nella privacy policy in cui specifichi quali società e tipi di beni e servizi saranno promossi attraverso la newsletter.

3. Ottieni un consenso preventivo (in base alla normativa locale) che sia:

• basato su una chiara azione affermativa;
• informato;
• specifico.

4. Offri la possibilità di revocare il consenso. Questa opzione dev’essere:

• disponibile nella newsletter stessa;
• chiaramente visibile;
• semplice da capire.

5. Tieni un registro dei consensi raccolti. Se rientri nell’ambito di applicazione del GDPR (cosa molto probabile), devi registrare in modo chiaro tutti i consensi acquisiti. Senza registro, i consensi raccolti non sono validi. Il registro dei consensi deve includere queste informazioni:

• quando e come il consenso è stato prestato;
• da chi;
• il modulo di raccolta del consenso presentato all’utente in fase di raccolta dello stesso; e
• le informative legali o privacy in vigore quando il consenso è stato raccolto.