Logo Alessandra Farabegoli Alessandra Farabegoli
  • Chi sono, cosa faccio
    • Consulenza
    • Formazione
    • Mailchimp
  • Libri
  • Blog
  • Newsletter
  • Contatti

GDPR e email marketing: cosa ho fatto e cosa farò

Scritto il 30/04/2018
  • Digital Marketing

Spoiler: lavorare bene e secondo le regole, alla lunga, conviene.

Manca meno di un mese alla fatidica data del 25 maggio 2018, quella in cui chiunque tratti dati personali di cittadini europei dovrà applicare le regole del GDPR (General Data Protection Regulation), il regolamento della privacy approvato ed entrato in vigore due anni fa.

Di mestiere non faccio l’avvocato, quindi non devi prendere ciò che dico e scrivo in materia come se fosse un parere legale; ma qualche indicazione utile posso dartela, almeno per fare le domande giuste al tuo consulente legale.

Cosa ho fatto finora per prepararmi al GDPR

1. Leggere il GDPR, in originale

Innanzitutto, sarà banale, ma mi sono scaricata il testo completo del GDPR e l’ho letto. È un testo lungo, ripetitivo e, almeno nella traduzione italiana, a volte vago in modo imbarazzante, ma in genere preferisco farmi un’idea sulle fonti originali e non solo su riassunti e interpretazioni.

Non ho letto tutte le 88 pagine parola per parola: ho saltato le parti che non hanno impatto sulla mia attività, come il trattamento di dati giudiziari o i trattamenti fatti dalle amministrazioni pubbliche; ma mi sono creata un documento Evernote apposta dove ho copiato le parti che mi sembrano rilevanti, sia fra le premesse e considerazioni iniziali, sia fra gli articoli veri e propri del regolamento.

2. Fare il punto sui dati che tratto

Ho ripensato bene a come, fino a oggi, ho gestito i dati personali di clienti, contatti, iscritti alla newsletter, sia per quel che riguarda l’attività di consulenza e formazione che faccio come Alessandra Farabegoli, sia per i progetti che ho creato e gestisco insieme ad altri (Digital Update e Freelancecamp).

Ho anche fatto mente locale su come lavoro coi dati dei miei clienti, o meglio dei clienti dei miei clienti, dato che, per dirne una, con l’accesso ai loro account MailChimp vedo e tratto nomi e indirizzi email dei loro iscritti.

3. Parlare con un avvocato esperto

Infine ho preso appuntamento con Giorgio Trono, il mio avvocato di fiducia per quel che riguarda privacy e digital marketing; gli ho esposto le mie considerazioni e lui mi ha confermato molte cose a cui ero già arrivata ragionando sui testi, poi mi ha fatto notare alcune cose a cui non avevo fatto caso e mi ha dato ulteriori materiali e modelli di riferimento. (*)

Privacy e email marketing: cosa dobbiamo fare da sempre

Ogni volta che vedo qualcuno agitarsi riguardo alla sorte della sua attività di email marketing come se il 25 maggio dovesse arrivare la rivoluzione, non posso fare a meno di chiedermi “ma fino a oggi, come hanno lavorato questi?”

Fatti una domanda, datti una risposta

  • Hai scritto un’informativa chiara in cui spieghi:
    • che tipo di messaggi scriverai, e, se possibile, con quale frequenza;
    • come gestisci i dati, cioè che piattaforme utilizzi (con link alle rispettive privacy policy) e cosa ti permettono di fare (ad esempio vedere chi apre o chi clicca);
    • chi ha accesso ai dati, come titolare (tu o la tua azienda) e come responsabile del trattamento (altri soggetti con cui condividi i dati per vari motivi)?
  • Mandi DEM e newsletter solo a persone che ti hanno dato il consenso esplicito a riceverle, meglio se documentato da un doppio opt-in?
  • Se mandi messaggi promozionali ai tuoi clienti (soft spam), si tratta di un uso ragionevole, collegato a ciò che hanno già acquistato da te, e con la possibilità da parte loro di fare opt-out?
  • La disiscrizione dalle tue mailing list è semplice e veloce, con un clic a partire da un link sempre incluso in ogni messaggio?
  • Usi piattaforme che ti danno garanzie di sicurezza, password ragionevolmente difficili da trovare, computer protetti da antivirus aggiornati?

Se hai risposto sì a tutte queste domande sei praticamente già in regola col GDPR, perché la nuova norma non fa altro che rafforzare i principi che già erano stati affermati dalle leggi e dalle linee guida precedenti:

  • importanza di dare un’informativa chiara e completa sulle finalità del trattamento e sulle sue modalità;
  • necessità di ottenere un consenso esplicito per ogni tipo di utilizzo, senza chiedere un consenso generale e cumulativo e senza preimpostare l’accettazione di usi non strettamente indispensabili;
  • obbligo per chi tratta i dati, sia come titolare (il soggetto a cui vengono affidate le informazioni personali) sia come responsabile (chiunque debba trattare i dati per conto del titolare), di lavorare in sicurezza per evitare che i dati vadano persi o finiscano in mani non lecite.

Soft spam ai clienti: cambia qualcosa?

Fino a oggi, le Linee Guida del Garante in materia di attività promozionale e contrasto allo spam consentono di mandare email promozionali a chi è già nostro cliente, a condizione che si tratti di messaggi relativi a prodotti o servizi già acquistati o simili a quelli già acquistati e che i diretti interessati possano chiederci di interrompere questi invii: è il cosiddetto soft spam.

Il tema è molto importante, soprattutto per chi vende online, perché l’email marketing è potenzialmente un canale fantastico per fidelizzare i clienti e farli tornare ad acquistare da noi: potremo continuare a usarlo, senza chiedere un consenso esplicito all’invio di newsletter in fase di acquisto?

Io mi sento di dire che sì, il GDPR non chiude la porta al soft spam, quindi sta a noi usare bene questa opportunità per non sprecarla irritando i destinatari dei nostri messaggi.

Su cosa baso questa opinione? L’articolo 6 del GDPR, quello che definisce le condizioni per considerare lecito il trattamento (“il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni”), al punto F recita (il grassetto è mio):

f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

Per capire quando ci sono le condizioni per parlare di “legittimo interesse del titolare” torno alle parte iniziale del GDPR, quella delle considerazioni (sul sito del Garante si trova un testo del GDPR già integrato coi rimandi alle considerazioni iniziali), dove la premessa 47 recita così (il grassetto è mio):

47. I legittimi interessi di un titolare del trattamento, compresi quelli di un titolare del trattamento a cui i dati personali possono essere comunicati, o di terzi possono costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento. Ad esempio, potrebbero sussistere tali legittimi interessi quando esista una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento, ad esempio quando l’interessato è un cliente o è alle dipendenze del titolare del trattamento. In ogni caso, l’esistenza di legittimi interessi richiede un’attenta valutazione anche in merito all’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine. Gli interessi e i diritti fondamentali dell’interessato potrebbero in particolare prevalere sugli interessi del titolare del trattamento qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati personali. Posto che spetta al legislatore prevedere per legge la base giuridica che autorizza le autorità pubbliche a trattare i dati personali, la base giuridica per un legittimo interesse del titolare del trattamento non dovrebbe valere per il trattamento effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti. Costituisce parimenti legittimo interesse del titolare del trattamento interessato trattare dati personali strettamente necessari a fini di prevenzione delle frodi. Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto.

Provo a tradurre e sintetizzare dal legalese: se tu sei mio cliente, io (titolare) posso lecitamente usare il tuo indirizzo email per fare marketing diretto, a condizione di non violare altri tuoi diritti e nella misura in cui ciò che faccio rientra nelle ragionevoli aspettative che può comportare la nostra relazione.

Quindi, se fate come Wish che dopo un acquisto da pochi euro inizia a inondare i clienti di mail pressoché quotidiane, aspettatevi irritazione, molti unsubscribe e magari anche qualche segnalazione di spam; se invece scrivete a chi ha comprato qualcosa da voi, ma lo fate con una frequenza accettabile, messaggi curati e offerte e contenuti interessanti, siete nella legalità ed è anche probabile che i vostri clienti restino iscritti e magari tornino a comprare da voi.

MailChimp e il GDPR

Come quasi tutte le piattaforme online internazionali (e a differenza di molte aziende nostrane), MailChimp si è mossa con largo anticipo per prepararsi al GDPR, aggiornando gli accordi che regolano la sua relazione coi titolari degli account. Ciascuno di noi ha ricevuto un Data Processing Addendum in cui MailChimp ribadisce varie cose, fra cui:

  • MailChimp è a tutti gli effetti un Data Processor, cioè tratta i dati per conto dei titolari dei suoi account (Data Controller);
  • fra i dati trattati ci sono i dati degli iscritti alle mailing list, che comprendono o possono comprendere nome, dati di contatto, interessi e preferenze, storia d’acquisto, informazioni pubbliche su profili social e dati tecnici come indirizzi IP, cookie, dati di navigazione; MailChimp traccia i comportamenti degli iscritti tramite cookie, web beacons e tecnologie simili;
  • i dati risiedono sui server MailChimp che sono localizzati negli Stati Uniti e sono gestiti con procedure di sicurezza solide e documentate, che rispondono ai requisiti del Privacy Shield, protocollo riconosciuto e approvato dalla Commissione UE.

Oltre a questo, ad aprile MailChimp ha attivato la possibilità di integrare in alcuni dei moduli standard di iscrizione (quello base associato a ogni lista e che risiede sui server MailChimp e le opzioni “senza immagine” e “immagine in alto” dei moduli pop-up) una sezione apposta per la raccolta del consenso esplicito a tre tipi di trattamento, l’invio di newsletter, l’invio di DEM promozionali e l’uso dei dati per l’advertising social; qui le istruzioni per l’uso direttamente dalla documentazione MailChimp, e sotto il testo di default che viene proposto.

Detta come va detta, a me questa sembra una pezza messa lì per dire “noi qualcosa abbiamo fatto”: a parte l’assurdo di averla a disposizione solo in alcune versioni dei form e non in altre (perché non nel codice delle Embedded Forms? perché non in tutte le popup? e se io uso un plugin? e se ho sul sito un modulo ad hoc che invia i dati tramite API?), il discorso di base è che noi siamo già tenuti a dare informazione completa su come useremo i dati e gli indirizzi email di chi si iscrive, sia riguardo al tipo di messaggi che vogliamo mandare, sia per altri usi (ad esempio il remarketing sui social).

Torno a ribadire cosa secondo me dobbiamo mettere nei moduli di iscrizione:

  • riassumiamo in modo sintetico come e per cosa useremo i dati;
  • se pensiamo di mandare email di tipo diverso, proponiamo le diverse opzioni per essere certi di mandare solo ciò che davvero interessa;
  • mettiamo il link a un’informativa chiara e completa, con tutte le informazioni che rimandano a MailChimp e a ogni altra piattaforma che usiamo.

Se finora abbiamo raccolto le iscrizioni come si deve, non c’è nessun bisogno di stressare ulteriormente i nostri iscritti chiedendo l’ennesimo clic di accettazione di un’informativa e allungando la coda delle campagne di “raccolta consenso ai sensi del GDPR”.

L’uso delle mailing list per il social advertising

Un discorso specifico lo merita semmai l’uso delle mailing list per creare custom audience a cui indirizzare campagne su piattaforme social. MailChimp affronta il tema perché si propone come piattaforma globale di marketing automation e vorrebbe che noi gli facessimo gestire anche le nostre campagne social e AdWords, cosa che io non faccio né consiglio di fare in base al sano principio ofelè fa el to mesté, ma è comunque vero che noi possiamo collegare il nostro account MailChimp al Business Manager o caricare una mailing list estratta da MailChimp su una qualunque piattaforma terza, per definire audience personalizzate.

In questo caso, se la nostra informativa diceva solo “ti scriverò newsletter usando MailChimp”, nel momento in cui io mando i tuoi dati a Facebook per farti vedere contenuti sponsorizzati sto facendo qualcosa per cui non ti ho chiesto (e tu non mi hai dato) il consenso: ecco, in questo caso è bene ragionarci su e nel caso interrogare espressamente i nostri iscritti, tenendo separate le opzioni “newsletter” e “advertising social” che sono diverse per loro natura.

Disiscrizione e cancellazione

Un dettaglio a cui pochi pensano riguarda il funzionamento della disiscrizione, cioè cosa succede quando qualcuno clicca sul famoso link “unsubscribe” in fondo al messaggio.

MailChimp, come praticamente tutti i mailer, non cancella i dati dell'(ex-)iscritto, ma modifica il suo status da “subscribed” a “unsubscribed”, così da evitare di includerlo nei prossimi invii: si tratta quindi di una modifica dei dati (update), non di una cancellazione (delete). Da molti punti di vista questo fa sì che l'(ex-)iscritto sia più tutelato, perché la presenza del record unsubscribed ci impedisce di inserire di nuovo quella persona, magari durante un’importazione di dati da un altro archivio; dall’altra, mantiene nel nostro archivio tutte le informazioni e i dati di quella persona, comprese le sue interazioni con le varie campagne, la storia d’acquisto e così via.

Questo per dire che dobbiamo fare attenzione a come formuliamo le parole del famoso link: se scriviamo “cancellami dalla mailing list” stiamo promettendo una cosa non vera, perché il link *|UNSUB|* non avrà come effetto una vera e propria cancellazione dagli archivi; dobbiamo dirlo in un altro modo, come “smetti di scrivermi”, “se non vuoi più ricevere questi messaggi clicca qui”, o formule simili.

E, naturalmente, se qualcuno dovesse chiederci in altri modi di cancellare i suoi dati dai nostri archivi, dovremo farlo davvero, cercandolo dentro alla lista MailChimp e facendo a mano una “delete” del suo record.

Cosa farò da qui al 25 maggio

1. Controllare e sistemare informative, moduli di iscrizione, testi standard

L’informativa privacy del mio sito è una delle pagine a cui ho dedicato più cura, perché sono convinta che spiegare in modo chiaro come funzionano le cose sia un buon modo per presentarsi e iniziare un rapporto. Ho una voce in todolist che ogni sei mesi mi ricorda di rileggerla e se necessario aggiornarla e la prossima data cade proprio in maggio, quindi ci siamo.

In tutti i punti in cui ci si può iscrivere alla mia newsletter ho cercato di spiegare in modo sintetico come uso i dati, linkando anche l’informativa; anche qui, però, farò un giro di controllo per essere certa che non manchi nulla; così come nei miei template e nei moduli e messaggi prodotti da MailChimp.

Non farò nessuna particolare campagna di “riacquisizione del consenso ai sensi del GDPR”, perché le persone a cui scrivo me l’hanno già dato in modi che restano tuttora validi; ma dedicherò buona parte della newsletter mensile di maggio a questo tema.

2. Scrivere ai clienti che mi fanno accedere alle loro mailing list

Una cosa che mi prenderà più tempo sarà invece regolare nel modo giusto la relazione coi clienti a cui faccio consulenza e formazione sul loro email marketing: dato che per loro sono di fatto una “responsabile dei dati”, sarà necessario che regoliamo per iscritto la cosa fra noi, quindi preparerò un documento in cui spiego cosa faccio, come lavoro e i criteri di sicurezza che adotto; magari lo farò predisponendo già una sorta di incarico, più o meno come ha fatto MailChimp, così da facilitare la vita a chi ancora non si è organizzato.

3. Organizzare in modo sostenibile l’aggiornamento su questi temi

A volte mi prende lo sconforto quando mi sembra di dover dedicare più tempo agli adempimenti formali che non a far bene il lavoro che ho scelto, ma perlomeno in questi anni ho fatto in modo di lavorare con persone da cui imparo molte cose, così è più semplice restare sul pezzo anche su argomenti che non sono i miei senza morirci sopra. Così io e Gianluca Diegoli abbiamo deciso di organizzare per Digital Update un corso specifico con Giorgio Trono sugli aspetti legali del digital marketing, in particolare nell’ottica di chi come noi non solo gestisce i propri archivi dati, ma soprattutto si trova a trattare i dati dei clienti.

(*) Una postilla importante: come ho premesso all’inizio, io non sono un legale ed è per questo che chiedo pareri a chi di mestiere fa l’avvocato; tuttavia, le cose che ho scritto qui sono considerazioni e pareri miei, quindi eventuali errori, inesattezze o conclusioni avventate sono esclusivamente farina del mio sacco e non sono da imputare a Giorgio Trono né ad altri.

Ehi, ho scritto un aggiornamento sul GDPR il 25 maggio 2018

Lo trovi qui, c’è una checklist approfondita utile soprattutto a chi usa MailChimp.

Post precedente

« [Learning by dancing] Cosa ho imparato ballando il tango argentino

Post successivo

GDPR e Email Marketing: don’t panic »
  • Digital Marketing
GDPRMailchimpprivacy
ALESSANDRA FARABEGOLI
SEDE LEGALE via Mons.Liverani 53 - 48121 Ravenna
UFFICIO via Magazzini Anteriori 27 - 48122 Ravenna
P.IVA IT-02361590397
EMAIL info @ alessandrafarabegoli punto it
PEC alessandra punto farabegoli @ pec punto it
linkedin instagram twitter
CREATIVE COMMONS
Il contenuto di questo blog è pubblicato in licenza Creative Commons "Attribuzione - Non Commerciale - Condividi allo stesso modo".

CREDITS
Foto, design, testi
PRIVACY E AFFILIATE LINK
Per sapere come tratto i dati che raccolgo, leggi la pagina sulla privacy e la cookie policy. Alcuni dei link a prodotti e libri venduti su Amazon sono affiliate link.

Gestisci i cookie
  • Italiano
Gestisci Consenso Cookie
Su questo sito usiamo i cookie. Il consenso a queste tecnologie ci permetterà di elaborare dati come il comportamento di navigazione o ID unici su questo sito. Non acconsentire o ritirare il consenso può influire negativamente su alcune caratteristiche e funzioni.
Funzionale Sempre attivo
L'archiviazione tecnica o l'accesso sono strettamente necessari al fine legittimo di consentire l'uso di un servizio specifico esplicitamente richiesto dall'abbonato o dall'utente, o al solo scopo di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica.
Preferenze
L'archiviazione tecnica o l'accesso sono necessari per lo scopo legittimo di memorizzare le preferenze che non sono richieste dall'abbonato o dall'utente.
Statistiche
L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente per scopi statistici. L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente per scopi statistici anonimi. Senza un mandato di comparizione, una conformità volontaria da parte del vostro Fornitore di Servizi Internet, o ulteriori registrazioni da parte di terzi, le informazioni memorizzate o recuperate per questo scopo da sole non possono di solito essere utilizzate per l'identificazione.
Marketing
L'archiviazione tecnica o l'accesso sono necessari per creare profili di utenti per inviare pubblicità, o per tracciare l'utente su un sito web o su diversi siti web per scopi di marketing simili.
Gestisci opzioni Gestisci servizi Manage {vendor_count} vendors Per saperne di più su questi scopi
Visualizza le preferenze
{title} {title} {title}