GDPR e Email Marketing: don’t panic

Per una buffa coincidenza oggi, 25 maggio 2018, primo giorno in cui ha effetto il GDPR, è anche il Towel Day: quindi basta panico, e controlliamo di avere — oltre all’asciugamano — tutto ciò che serve per continuare a fare email marketing rispettando le regole e in modo efficace.

Ecco quindi una checklist ragionata, in cui cerco di mettere ordine fra tutte le domande che mi sono state fatte in queste settimane e che continuano ad arrivarmi, spesso dopo la lettura del mio post di un mese fa su GDPR e email marketing.

Premessa #1: un post non è una consulenza

Lo scopo di un post non è e non può essere quello di darti la soluzione giusta per il TUO caso, perché questo è il compito di una consulenza individuale. Se ti serve una consulenza specifica su come (ri)organizzare le liste, contattare i tuoi iscritti, razionalizzare e rendere più efficace il tuo email marketing, dopo che hai finito di leggere il mio post passa alla pagina Consulenza e scrivimi.

Premessa #2: io non sono un avvocato

Le mie considerazioni sono frutto della mia lettura del GDPR (in questo GoogleDoc ho copiato le parti che ritengo più rilevanti per la mia attività e quella dei miei clienti, a questo link si trova il testo completo) e del confronto con legali esperti.

Troverai avvocati che danno pareri contrastanti fra loro: tieni presente che una laurea in legge non implica automaticamente la comprensione del contesto a cui la norma viene applicata, ma a volte si porta dietro la tendenza a sovraccaricare di oneri “così stiamo del tutto sicuri che…”, oneri che finiscono per danneggiare chi si lascia prendere dal panico. Lo spiega in modo eccellente questo articolo, “Are all these GDPR-consent email really necessary?”.

Premessa #3: l’articolo è scritto pensando a MailChimp

Ho scritto questo post tenendo presente in particolare la situazione di chi fa email marketing usando MailChimp.

Se usi un sistema diverso troverai sicuramente indicazioni utili anche a te, ma probabilmente ci saranno cose che dovrai controllare o fare in modo diverso; dovrai chiarire questi dubbi altrove, perché io non posso studiarmi a fondo il tuo mailer in poche ore per rispondere urgentemente ai tuoi quesiti.

Fatte tutte le premesse del caso, iniziamo con le domande che devi farti.

A. Origine dei dati: come sono finite in mailing list le persone a cui scrivi?

Non è detto che per tutti gli iscritti la risposta sia la stessa, ma è importante fare mente locale sui casi possibili.

Si sono iscritti loro sul sito o sui form di MailChimp, con un meccanismo di doppio opt-in

Benissimo, il consenso che ti hanno dato a suo tempo resta perfettamente valido. Se qualche avvocato zelante ti dice il contrario, rispondi citando il punto 171 dei “considerando”, le premesse su cui si basa la norma, che dicono testualmente:

Qualora il trattamento si basi sul consenso a norma della direttiva 95/46/CE, non occorre che l’interessato presti nuovamente il suo consenso, se questo è stato espresso secondo modalità conformi alle condizioni del presente regolamento, affinché il titolare del trattamento possa proseguire il trattamento in questione dopo la data di applicazione del presente regolamento.

Sono clienti

Qualunque sia il modo in cui li hai caricati (passaggio automatico a MailChimp dall’ecommerce, importazione di un elenco il lista, aggiunta manuale), se puoi dimostrare che sono tuoi clienti puoi continuare a fare soft spam, cioè a mandare loro messaggi promozionali legati ai prodotti o servizi che hanno già acquistato da te (qui la spiegazione completa).

Ti consiglio comunque di verificare periodicamente l’effettivo livello di engagement della tua lista attraverso una procedura di list cleaning, per assicurarti che continuino a persistere le ragionevoli aspettative nutrite dall’interessato, e di scrivere per bene l’informativa (vedi più avanti).

Ho raccolto gli indirizzi a un evento / fiera / corso e il consenso mi è stato dato a voce

Ecco, in questo caso può essere opportuno metterli in una lista a parte e scrivere loro invitandoli a iscriversi esplicitamente alla lista. Con una mia cliente abbiamo fatto una campagna di riconferma di questo tipo, che si è trasformata in un’ottima occasione per riprendere i contatti.

Però fammi il piacere, d’ora in poi installati MailChimp Subscribe su un tablet e agli eventi vacci con quello, così la gente si iscrive per conto suo e ti dà un consenso dimostrabile e tracciato.

Non ho il consenso / ho acquistato la lista / ho trovato gli indirizzi su Internet

A prescindere dal GDPR, stai lavorando fuori dalla legge, quindi cancella la lista e ricomincia da capo, con una strategia di list-building sensata. Contattami per una consulenza che ne parliamo.

B. Per che cosa usi la tua lista?

Solo per fare email marketing

Bene, passa al punto C, l’informativa.

Anche per fare pubblicità online

Sia che tu lo faccia scaricando le liste e creando, a partire da quelle, custom audiences su Facebook o altri social, sia che tu usi MailChimp per creare campagne sui social e su AdWords, questo è un uso distinto che richiede un’autorizzazione ad hoc.

È improbabile che tu, al momento dell’iscrizione, avessi già chiesto questa autorizzazione, quindi per continuare adesso devi chiedere il consenso, tenendo separati i casi “invio di messaggi email” e “pubblicità targettizzata sulle piattaforme X, Y, Z”.

C. L’informativa è completa e scritta in modo chiaro?

Controlla e aggiorna l’informativa, cercando di fare in modo che ci sia tutto ciò che serve (trovi l’elenco all’articolo 13 del GDPR) ma anche che sia sintetica e scritta in linguaggio comprensibile. Riassumi i punti salienti (che messaggi scriverai e con quale frequenza) nei moduli di iscrizione, e metti anche lì il link all’informativa completa.

Sotto alcuni punti a cui fare attenzione.

Natura del trattamento e “profilazione”

MailChimp ci permette di vedere chi apre e clicca i messaggi e anche di prendere decisioni sulla base di questi comportamenti: questa, a detta di alcuni, è profilazione. La mia posizione in merito è questa:

• io spiego nell’informativa che posso vedere chi apre e clicca, e anche come fare a non essere tracciati se proprio si tiene alla cosa;
• dopodiché, se ti va bene iscriviti, se non ti va bene fai pure a meno di leggere le mie newsletter: io non sono obbligata a scriverti, tu non sei obbligato a leggermi, ma il tracciamento è intrinseco alla natura del trattamento, quindi non ha senso chiederti un consenso ad hoc perché non potrei in ogni caso mandare email “non tracciabili” a chi non vuole essere tracciato, né tantomeno ho intenzione di spendere soldi e tempo per farlo.

Durata del trattamento

Significa che devi spiegare per quanto tempo conserverai gli indirizzi in lista. Non è necessario che sia un termine espresso in mesi o anni, basta anche spiegare i criteri che definiscono la durata; io ad esempio nella mia informativa ho scritto così:

Continuerò a mandarti newsletter e post fino a quando non chiuderai la tua iscrizione; almeno una volta all’anno io controllo chi non sta aprendo più i miei messaggi da alcuni mesi, e procedo a disiscriverli io stessa (…); questo riduce molto il rischio che continui a scriverti anche quando non ti interesserò più.

NB: dopo la disiscrizione, MailChimp mantiene comunque i dati degli ex-iscritti per evitare di poterne forzare il reinserimento nella mailing list; io ogni volta che faccio list-cleaning cancello anche tutti quelli che si sono disiscritti da più di 6 mesi. Se però vuoi la cancellazione definitiva e immediata dei tuoi dati, scrivimi e la farò io manualmente.

Responsabili esterni del trattamento dei dati

Devi specificare che usi MailChimp e che questo significa trasferire dati fuori dalla UE (server e uffici di MailChimp stanno negli USA); io ho linkato la privacy policy di MailChimp (e di tutti gli altri servizi che uso), per maggiore garanzia e informazione (dubito che qualcuno segua i link, ma ci sono).

Se al tuo account MailChimp accede anche un’agenzia o un consulente come me, questi:

• sono di fatto responsabili esterni del trattamento dei dati;
• devono avere un incarico formale per farlo;
• vanno indicati anche loro nell’informativa, non necessariamente nominandoli in modo esplicito ma anche semplicemente spiegando che ai dati hanno accesso i professionisti che ti supportano nelle attività di email marketing.

Veniamo adesso ad alcune delle domande che mi state facendo.

Devo usare le funzionalità GDPR di MailChimp?

Ni. Per il momento, non è che l’implementazione del GDPR mi faccia impazzire di gioia, sia perché è disponibile solo su alcuni form (magari le cose cambieranno in seguito, vedremo) sia perché alcuni testi non sono comunque modificabili.

Di sicuro, se usi MailChimp solo per fare email marketing, sei già a posto con il consenso che hai chiesto o che chiederai, quindi lascia perdere l’aggiunta del GDPR. Se invece usi le liste anche per l’advertising, è un’opzione da considerare, sempre che ti vada bene raccogliere le adesioni coi moduli sul server di MailChimp o con le popup MailChimp.

Devo chiedere di nuovo il consenso a tutta la lista?

Se ce l’hai già (vedi sopra), non è necessario.

Ho mandato la richiesta di rinnovo del consenso / di aggiornamento dati GDPR, cosa faccio con chi non apre o non risponde?

Smetti di scrivergli e, dopo un tempo congruo, li disiscrivi o cancelli dalla lista. Il GDPR non ammette l’accettazione implicita, quindi quelli sono indirizzi che non puoi più usare.

Ho aggiornato l’informativa: devo avvisare tutti i miei iscritti?

Quando ci sono cambiamenti sostanziali nel contenuto ha senso avvisare gli iscritti in modo che possano liberamente valutare se restare a bordo o no, ma io fossi in te non lo farei con un messaggio ad hoc proprio in questi giorni in cui tutti sono sommersi da email sulla privacy.

Se hai in programma di scrivere comunque una newsletter o una DEM puoi aggiungere l’informazione lì, come ha fatto ad esempio Luigi Centenaro:

Posso copiare la tua informativa, citandoti?

Grazie per la stima e l’apprezzamento; la cosa migliore è se prendi ispirazione dallo spirito (essere il più possibile chiari e completi), ma poi fai mente locale sul tuo caso specifico, e ti fai controllare comunque l’informativa da un legale di fiducia.

Sei sicura che sia tutto qui?

Ma figurati se sono sicura, però a un certo punto bisogna anche mettere un punto fermo e smettere di spender tempo ed energie in attività collaterali al nostro core business.

Ci ho ragionato sopra, ho studiato, continuerò a studiare; a settembre faremo un workshop con Giorgio Trono, e nel frattempo magari il nostro Parlamento avrà deciso come armonizzare GDPR e norme italiane (ieri han detto che la questione è troppo complicata, si prendono un altro po’ di tempo).

Siamo sopravvissuti alla cookie law, ce la faremo anche stavolta, coraggio.