GDPR applicato all’email marketing
Il web sta fremendo per l’arrivo del nuovo regolamento in materia di protezione dei dati personali, imposto dall’Unione Europea, il GDPR.
Al momento, c’è molta confusione su cosa o non cosa bisognerà fare per adattarsi alla normativa e non incorrere in multe salate, che potrebbero portare persino alla chiusura del proprio sito web.
Innanzi tutto, spieghiamo cos’è il GDPR?
GDPR: cos’è e quando entra in vigore?
Il nuovo regolamento in materia dei dati personali, il GDPR, presenta una linea unica per tutti gli stati membri dell’Unione Europea, al fine di agevolare una gestione univoca e lineare, oltre che trasparente dei dati personali che vengono “prelevati” dal web.
Il GDPR, approvato dall’UE nel 2016, entrerà in vigore il 25 maggio del 2018.
Entro questa data tutti coloro che operano nel web marketing e attraverso l’email marketing, dovranno aver effettuato specifici cambiamenti, al fine di essere in regola con la vigente normativa.
L’introduzione del GDPR serve a rinnovare le normative sulla protezione dei dati personali, che in linea generale risalivano al lontano 1995, anno in cui l’internet marketing, la profilazione dei clienti, e l’acquisizione dei loro dati era ancora agli albori.
Oggi, invece, i dati degli utenti, i loro interessi, la loro localizzazione geografica, sono molto importanti per un’azienda che opera online, oltre che facilmente tracciabili. Attraverso questi dati è possibile, infatti, lavorare con l’email marketing, conoscere i desideri dei propri clienti, vendere e comprendere meglio le loro esigenze.
Quest’azione potrà ancora sussistere, il GDPR non intende infatti oscurare in toto i dati degli utenti che navigano online. Più che altro, si vuole proteggere gli utenti che non desiderano essere tracciati, contattati o iscritti involontariamente a qualche newsletter.
GDPR e e-mail marketing: consenso esplicito?
Uno dei principali dubbi sulla nuova normativa imposta dal GDPR, è quanto sia necessario o meno il consenso esplicito dell’utente, e in quali casi invece sussista la possibilità del cosiddetto consenso-assenso.
Secondo l’art.7 del GDPR il consenso da parte dell’utente dev’essere: libero, informato, verificabile, revocabile, specifico e inequivocabile.
Ciò significa che l’utente può dare il consenso all’uso dei suoi dati, non solo attraverso le spunte di specifiche caselle, che lo informino su come verranno impiegati i dati, ma anche attraverso le sue azioni implicite.
Naturalmente non sono considerate azioni implicite:
- l’impiego di form precompilati;
- l’impiego di caselle già spuntate.
In questo caso, l’utente deve provvedere a un’azione specifica ossia: la spunta delle caselle, la compilazione dei dati del form, l’accettazione di tutte le finalità per i quali saranno impiegati i suoi dati.
Inoltre, il consenso, secondo l’art. 9 del GDPR, dev’essere esplicito nel caso in cui il sito provveda al trattamento dei dati sensibili e alla profilazione dell’utente mediante sistemi di automatizzazione (come ad esempio l’impiego del codice di tracking di Google Analytics).
Dunque, come già previsto in Italia, l’utente che compila i dati di un form, ad esempio per effettuare un acquisto, non può essere automaticamente iscritto alla newsletter commerciale del sito web, e-commerce ecc…Ma bisogna informare, al momento dell’iscrizione dell’utente, che i suoi dati potrebbero essere impiegati al fine di:
- una profilazione utente (quindi l’impiego dei dati sensibili come: località, sesso, età e interessi).
- Invio di una newsletter ai fini commerciali o informativi (dunque l’utilizzo della mail per vendere, inviare offerte, o informazioni).
Quindi nell’ambito dell’email marketing, restano ancora necessarie le forma di consenso che erano già previste dalla legge italiana, nel momento in cui ci si iscriveva a una newsletter.
Inoltre, si necessità dell’impiego del double opt-in.
Ossia l’utente deve innanzi tutto spuntare volontariamente le caselle che prevedono il trattamento dei dati e l’invio di mail da parte dell’azienda. Ma non solo, questo deve anche confermare attraverso un link di conferma, ricevuto via mail, la volontà di ricevere altre comunicazioni.
Questo è un meccanismo del quale si avvalgono già diverse aziende, ed è altamente consigliato, specialmente oggi, dato l’avvento della nuova legge sulla protezione dei dati.
Informativa dei dati per i clienti: la nuova soluzione trasparente e comprensibile
Nel momento in cui si richiede l’accettazione da parte dell’utente all’impiego dei suoi dati per la profilazione e per l’email marketing, è necessario allegare la Privacy Policy.
A differenza di quelle a cui siamo abituati e che spesso le aziende ci fanno firmare, anche quando facciamo un acquisto in un negozio. L’informativa prevista dal GPDR dev’essere: trasparente, comprensibile a tutti, semplice, e scritta in linguaggio corrente (e tradotta anche in lingua inglese).
L’informativa dunque non deve avere riferimenti normativi o un linguaggio giuridico tecnico e incomprensibile, ma questa dev’essere leggibile e comprensibile a colpo d’occhio.
In questo modo l’utente saprà immediatamente che fine faranno i dati forniti dall’utente.
Oltre all’informativa semplice di prima lettura, si devono comunque inserire dei link che portino a un approfondimento della Privacy Policy. In questo modo l’utente più esigente potrà capire in modo esaustivo quale sarà l’impiego dei suoi dati sensibili.
Quali sono le principali conseguenze per le aziende che operano nell’email marketing?
Per chi opera nel settore dell’email marketing, il GDPR prevede alcune specifiche variazioni nella raccolta dei dati, o meglio nel consenso che gli utenti devono fornire all’azienda per il trattamento di questi.
L’articolo 13 e 14 del GDPR afferma che: gli interessati devono avere tutte le informazioni inerenti al trattamento dei loro dati in modo semplice e chiaro.
L’utente dovrà decidere voce per voce, quali sono i dati che vuole condividere con l’azienda e quali invece vuole che vengano cancellati dai relativi database.
Quindi un’azienda che si occupa di email marketing, non potrà inserire in un’unica voce di spunta, attività differenti come: la comunicazione dei dati a terzi, l’impiego dei dati da parte esclusiva dell’azienda, la profilazione dell’utente.
Ogni voce, dovrà essere inserita a parte e l’utente potrà scegliere quali sono i dati che vuole condividere e quali meno.
In ambito dell’email marketing, alcune aziende, propongono form con le spunte già inserite o obbligano il cliente ad accettare l’impiego dei dati a fini commerciali, per concludere un acquisto o per iscriversi alla newsletter.
Ciò non sarà più possibile, l’utente deve poter utilizzare o acquistare un prodotto, anche nel momento in cui egli non desidera essere inserito in una specifica mailing list.
Inoltre, non sono valide, in alcun modo, tutte le proposte di vendita o le offerte che sono vincolate all’inserimento da parte dell’utente dei propri dati.
Diritto alla cancellazione
Dal 25 maggio, l’utente avrà in ogni momento, la possibilità di eliminare la sua iscrizione alla newsletter.
Nel momento in cui ciò avviene, l’azienda deve eliminare obbligatoriamente, i dati dell’utente che ha richiesto la cancellazione. Quest’opzione, era già prevista dal regolamento del Garante della Privacy, del 2013, quindi è stato semplicemente integrato anche nel GDPR.
Rimane anche in auge il divieto di impiegare dati presi da elenchi professionali, acquistati da altri siti web, o con mezzi poco trasparenti e non regolamentati.
Dunque con il GDPR, viene rafforzato il divieto dell’acquisto dei dati da soggetti terzi. I consumatori, chi si iscrive a una newsletter deve dare il suo consenso esclusivo all’azienda.
Infine, il nuovo GDPR prevede l’impiego di liste specifiche degli utenti e non più di liste collettive. Cosa vuol dire? Semplice, dovrai separare gli utenti in base alle informative e all’uso dei dati personali che hanno accettato. Se hanno accettato l’impiego dei dati solo per la newsletter e non per l’uso a fini commerciali, allora dovrai creare una specifica lista per questi utenti. In un’altra lista, inserirai gli utenti che hanno consentito all’impiego totale dei loro dati, e così via.
Dopo il GDPR, gli utenti non saranno più tutti uguali, quindi si dovrà provvedere anche a una suddivisione in base a ciò per cui hanno accettato di lasciare i propri dati.
E-mail marketing e GDPR: cosa si deve e si può fare?
Se si opera nell’email marketing, come abbiamo visto ci saranno diverse regole da seguire, dopo averti illustrato nello specifico che cosa non potrai più fare, vediamo invece quali sono le azioni da compiere per essere in regola con il nuovo GDPR.
Innanzi tutto, ricordiamo che è necessario inserire in qualunque prodotto che prevede l’iscrizione dell’utente con la propria mail, il consenso al trattamento dei dati, il consenso all’impiego dei dati ai fini commerciali, o informativi. Infine, bisogna ricordarsi di impiegare sempre il sistema di double op-tin, per permettere la cancellazione dell’utente dalle liste.
Separare i consensi e le comunicazioni che avvengono per la vendita B2B e B2C. Molto probabilmente già presenti due mailing list separate, ma nel caso non lo fossero bisogna provvedere a effettuare tale modifica. Le comunicazioni B2B sono infatti mirate a un’azienda e non alla persona privata, quelle B2C sono invece dirette a una persona fisica.
Email marketing: che fine fanno I dati raccolti prima del GDPR?
Per concludere, bisogna chiarire un con concetto, che preoccupa molti operatori nel settore dell’email marketing: i dati raccolti prima del 25 maggio 2018, non andranno persi.
I dati degli utenti raccolti in precedenza non vanno cancellati, ma bisogna solo effettuare un’analisi e definire un programma di raccolta delle nuove mail secondo le regole previste dal GDPR.
Dato che vi saranno nuove regole e liste differenziate in cui inserire gli utenti, si consiglia comunque d’inviare una comunicazione agli utenti, al fine di tranquillizzarli sull’impiego che si fanno dei loro dati, e sulle finalità.
Quindi i dati già raccolti, potranno essere tranquillamente utilizzati dall’azienda, sempre rispettando i fini per i quali erano inseriti in una newsletter.