Per una buffa coincidenza oggi, 25 maggio 2018, primo giorno in cui ha effetto il GDPR, è anche il Towel Day: quindi basta panico, e controlliamo di avere — oltre all’asciugamano — tutto ciò che serve per continuare a fare email marketing rispettando le regole e in modo efficace.
Ecco quindi una checklist ragionata, in cui cerco di mettere ordine fra tutte le domande che mi sono state fatte in queste settimane e che continuano ad arrivarmi, spesso dopo la lettura del mio post di un mese fa su GDPR e email marketing.
Lo scopo di un post non è e non può essere quello di darti la soluzione giusta per il TUO caso, perché questo è il compito di una consulenza individuale. Se ti serve una consulenza specifica su come (ri)organizzare le liste, contattare i tuoi iscritti, razionalizzare e rendere più efficace il tuo email marketing, dopo che hai finito di leggere il mio post passa alla pagina Consulenza e scrivimi.
Le mie considerazioni sono frutto della mia lettura del GDPR (in questo GoogleDoc ho copiato le parti che ritengo più rilevanti per la mia attività e quella dei miei clienti, a questo link si trova il testo completo) e del confronto con legali esperti.
Troverai avvocati che danno pareri contrastanti fra loro: tieni presente che una laurea in legge non implica automaticamente la comprensione del contesto a cui la norma viene applicata, ma a volte si porta dietro la tendenza a sovraccaricare di oneri “così stiamo del tutto sicuri che…”, oneri che finiscono per danneggiare chi si lascia prendere dal panico. Lo spiega in modo eccellente questo articolo, “Are all these GDPR-consent email really necessary?”.
Ho scritto questo post tenendo presente in particolare la situazione di chi fa email marketing usando MailChimp.
Se usi un sistema diverso troverai sicuramente indicazioni utili anche a te, ma probabilmente ci saranno cose che dovrai controllare o fare in modo diverso; dovrai chiarire questi dubbi altrove, perché io non posso studiarmi a fondo il tuo mailer in poche ore per rispondere urgentemente ai tuoi quesiti.
Fatte tutte le premesse del caso, iniziamo con le domande che devi farti.
Non è detto che per tutti gli iscritti la risposta sia la stessa, ma è importante fare mente locale sui casi possibili.
Benissimo, il consenso che ti hanno dato a suo tempo resta perfettamente valido. Se qualche avvocato zelante ti dice il contrario, rispondi citando il punto 171 dei “considerando”, le premesse su cui si basa la norma, che dicono testualmente:
Qualora il trattamento si basi sul consenso a norma della direttiva 95/46/CE, non occorre che l’interessato presti nuovamente il suo consenso, se questo è stato espresso secondo modalità conformi alle condizioni del presente regolamento, affinché il titolare del trattamento possa proseguire il trattamento in questione dopo la data di applicazione del presente regolamento.
Qualunque sia il modo in cui li hai caricati (passaggio automatico a MailChimp dall’ecommerce, importazione di un elenco il lista, aggiunta manuale), se puoi dimostrare che sono tuoi clienti puoi continuare a fare soft spam, cioè a mandare loro messaggi promozionali legati ai prodotti o servizi che hanno già acquistato da te (qui la spiegazione completa).
Ti consiglio comunque di verificare periodicamente l’effettivo livello di engagement della tua lista attraverso una procedura di list cleaning, per assicurarti che continuino a persistere le ragionevoli aspettative nutrite dall’interessato, e di scrivere per bene l’informativa (vedi più avanti).
Ecco, in questo caso può essere opportuno metterli in una lista a parte e scrivere loro invitandoli a iscriversi esplicitamente alla lista. Con una mia cliente abbiamo fatto una campagna di riconferma di questo tipo, che si è trasformata in un’ottima occasione per riprendere i contatti.
Però fammi il piacere, d’ora in poi installati MailChimp Subscribe su un tablet e agli eventi vacci con quello, così la gente si iscrive per conto suo e ti dà un consenso dimostrabile e tracciato.
A prescindere dal GDPR, stai lavorando fuori dalla legge, quindi cancella la lista e ricomincia da capo, con una strategia di list-building sensata. Contattami per una consulenza che ne parliamo.
Bene, passa al punto C, l’informativa.
Sia che tu lo faccia scaricando le liste e creando, a partire da quelle, custom audiences su Facebook o altri social, sia che tu usi MailChimp per creare campagne sui social e su AdWords, questo è un uso distinto che richiede un’autorizzazione ad hoc.
È improbabile che tu, al momento dell’iscrizione, avessi già chiesto questa autorizzazione, quindi per continuare adesso devi chiedere il consenso, tenendo separati i casi “invio di messaggi email” e “pubblicità targettizzata sulle piattaforme X, Y, Z”.
Controlla e aggiorna l’informativa, cercando di fare in modo che ci sia tutto ciò che serve (trovi l’elenco all’articolo 13 del GDPR) ma anche che sia sintetica e scritta in linguaggio comprensibile. Riassumi i punti salienti (che messaggi scriverai e con quale frequenza) nei moduli di iscrizione, e metti anche lì il link all’informativa completa.
Sotto alcuni punti a cui fare attenzione.
MailChimp ci permette di vedere chi apre e clicca i messaggi e anche di prendere decisioni sulla base di questi comportamenti: questa, a detta di alcuni, è profilazione. La mia posizione in merito è questa:
Significa che devi spiegare per quanto tempo conserverai gli indirizzi in lista. Non è necessario che sia un termine espresso in mesi o anni, basta anche spiegare i criteri che definiscono la durata; io ad esempio nella mia informativa ho scritto così:
Continuerò a mandarti newsletter e post fino a quando non chiuderai la tua iscrizione; almeno una volta all’anno io controllo chi non sta aprendo più i miei messaggi da alcuni mesi, e procedo a disiscriverli io stessa (…); questo riduce molto il rischio che continui a scriverti anche quando non ti interesserò più.
NB: dopo la disiscrizione, MailChimp mantiene comunque i dati degli ex-iscritti per evitare di poterne forzare il reinserimento nella mailing list; io ogni volta che faccio list-cleaning cancello anche tutti quelli che si sono disiscritti da più di 6 mesi. Se però vuoi la cancellazione definitiva e immediata dei tuoi dati, scrivimi e la farò io manualmente.
Devi specificare che usi MailChimp e che questo significa trasferire dati fuori dalla UE (server e uffici di MailChimp stanno negli USA); io ho linkato la privacy policy di MailChimp (e di tutti gli altri servizi che uso), per maggiore garanzia e informazione (dubito che qualcuno segua i link, ma ci sono).
Se al tuo account MailChimp accede anche un’agenzia o un consulente come me, questi:
Veniamo adesso ad alcune delle domande che mi state facendo.
Ni. Per il momento, non è che l’implementazione del GDPR mi faccia impazzire di gioia, sia perché è disponibile solo su alcuni form (magari le cose cambieranno in seguito, vedremo) sia perché alcuni testi non sono comunque modificabili.
Di sicuro, se usi MailChimp solo per fare email marketing, sei già a posto con il consenso che hai chiesto o che chiederai, quindi lascia perdere l’aggiunta del GDPR. Se invece usi le liste anche per l’advertising, è un’opzione da considerare, sempre che ti vada bene raccogliere le adesioni coi moduli sul server di MailChimp o con le popup MailChimp.
Se ce l’hai già (vedi sopra), non è necessario.
Smetti di scrivergli e, dopo un tempo congruo, li disiscrivi o cancelli dalla lista. Il GDPR non ammette l’accettazione implicita, quindi quelli sono indirizzi che non puoi più usare.
Quando ci sono cambiamenti sostanziali nel contenuto ha senso avvisare gli iscritti in modo che possano liberamente valutare se restare a bordo o no, ma io fossi in te non lo farei con un messaggio ad hoc proprio in questi giorni in cui tutti sono sommersi da email sulla privacy.
Se hai in programma di scrivere comunque una newsletter o una DEM puoi aggiungere l’informazione lì, come ha fatto ad esempio Luigi Centenaro:
Grazie per la stima e l’apprezzamento; la cosa migliore è se prendi ispirazione dallo spirito (essere il più possibile chiari e completi), ma poi fai mente locale sul tuo caso specifico, e ti fai controllare comunque l’informativa da un legale di fiducia.
Ma figurati se sono sicura, però a un certo punto bisogna anche mettere un punto fermo e smettere di spender tempo ed energie in attività collaterali al nostro core business.
Ci ho ragionato sopra, ho studiato, continuerò a studiare; a settembre faremo un workshop con Giorgio Trono, e nel frattempo magari il nostro Parlamento avrà deciso come armonizzare GDPR e norme italiane (ieri han detto che la questione è troppo complicata, si prendono un altro po’ di tempo).
Siamo sopravvissuti alla cookie law, ce la faremo anche stavolta, coraggio.