Logo Alessandra Farabegoli Alessandra Farabegoli
  • Chi sono, cosa faccio
    • Consulenza
    • Formazione
    • Mailchimp
  • Libri
  • Blog
  • Newsletter
  • Contatti

Mailchimp e GDPR: pro e contro di una soluzione preconfezionata

Scritto il 08/06/2018
  • Digital Marketing

Arrivate con un buon anticipo rispetto alla fatidica scadenza del 25 maggio 2018, le opzioni GDPR di MailChimp sembrano essere state interpretate da molti come un rimedio last-minute per mettersi in regola, senza analizzarne bene le possibili implicazioni.

In questo articolo spiego in modo più approfondito di quanto ho già fatto finora cosa offre questa opzione, quali sono i suoi limiti e come puoi gestire in modo GDPR-compliant le liste MailChimp senza necessariamente ricorrervi.

L’approccio di MailChimp al GDPR

MailChimp è una società statunitense che opera a livello mondiale, quindi ha sia clienti nell’Unione Europea, sia clienti di qualunque parte del mondo che trattano, nelle proprie mailing list, i dati di iscritti residenti nella UE.

Di conseguenza, è cosa buona e giusta che MailChimp si sia posta il problema di rispondere ai requisiti stringenti sul trattamento dei dati definiti dalla UE; già peraltro lo stava facendo da prima, con una grande attenzione alla sicurezza dei propri server e spiegando molto bene come gestisce i dati (se hai tempo leggi la loro privacy policy, è fatta molto bene e, come nel loro stile, scritta in un inglese fluido e privo di legalese).

Nei mesi scorsi MailChimp ha mandato a ciascun utente un aggiornamento degli accordi contrattuali, per mettere nero su bianco i rispettivi ruoli rispetto al trattamento dei dati degli iscritti che abbiamo in lista:

  • noi siamo i titolari dei dati (data controller), dato che siamo noi a raccogliere i dati chiedendo il consenso al trattamento e spiegando come gli useremo;
  • MailChimp è, su nostro incarico, un responsabile (esterno) del trattamento (data processor), e come tale ci fornisce una serie di garanzie a tutela dei dati stessi.

Se usi MailChimp, avrai ricevuto e sottoscritto anche tu questo aggiornamento del contratto, giusto per rinfrescarti la memoria questa è la copia del mio.

Perché ribadisco queste cose?

Perché devi averle ben presenti quando qualcuno (il tuo ufficio legale, i legali del cliente a cui fai consulenza, il tuo cliente a cui l’ufficio legale ha messo paura) ti obietterà che per essere in regola col GDPR bisogna usare un servizio europeo, quindi MailChimp non va bene. È una sciocchezza bella e buona: MailChimp offre tutte le garanzie necessarie che deve offrire il mailer, il resto ce lo dobbiamo mettere noi facendo le cose per bene.

Veniamo alla famosa opzione GDPR di MailChimp

Si tratta di un’opzione attivabile (e disattivabile) dalle impostazioni della lista, List >> Settings >> List name and campaign defaults.

Dopo averla attivata bisogna configurarne testi e opzioni, per adattare quelli impostati di default da MailChimp.

Per farlo, vai nel Form Builder (Signup form >> General forms) e qui ti troverai davanti il modulo “hosted”, quello che risiede sui server MailChimp, a cui è stato aggiunta una sezione col blocco GDPR. Si tratta di una sorta di campo aggiuntivo con varie opzioni: un titolo, una descrizione introduttiva, l’elenco degli utilizzi possibili dei dati e un testo finale da usare per riassumere i diritti della persona che si iscrive.

Puoi modificare i testi e le opzioni di uso dei dati; se pensi di usare le mailing list come base per generare delle custom audience su Facebook o altre piattaforme dovrai chiedere un consenso ad hoc per farlo.

L’unica parte che non puoi modificare, e che resterà scritta in inglese, è il testo finale, in cui si ricorda che i dati verranno trasferiti a MailChimp e si rimanda ai relativi documenti sulla privacy e sulle condizioni del servizio.

Dove compaiono le opzioni GDPR?

Qui sta il limite più grosso della “soluzione” MailChimp: le opzioni GDPR sono presenti solo:

  • nel modulo di iscrizione ospitato sui server MailChimp (quello che hai appena modificato);
  • nel modulo di aggiornamento delle preferenze di iscrizione ospitato sui server MailChimp;
  • nei moduli di iscrizione popup configurabili all’interno di MailChimp, ma solo nella versione Modal (non in quella Fixed e Banner) e nelle opzioni senza immagine o con immagineallinata in alto.

Niente campi GDPR nel codice da includere nel proprio HTML (Embed forms), niente possibilità di agire su questi dati via API nei casi in cui si è costruito un modulo di iscrizione personalizzato, a mano o usando un plugin.

Questo almeno ad oggi (8 giugno 2018); vedremo col passare del tempo se queste limitazioni verranno superate, e MailChimp rilascerà una versione completa e “agibile” della funzionalità, o se si è trattato solo di una pezza messa lì per poter dire “siamo GDPR-compliant”, e poi i nostri amici di Atlanta se ne dimenticheranno per passare ad altro.

Modificare a mano le scelte degli iscritti

Se via API non c’è modo di agire sulle opzioni GDPR, è pur sempre possibile aprire la scheda dell’iscritto e, dal link Edit, aggiornare noi stessi le preferenze.

Io fossi in te lo farei solo se ho indicazioni scritte dal diretto interessato, così da poter dimostrare in ogni momento che c’è stato un consenso valido e informato.

Ho attivato l’opzione GDPR: e adesso?

D’ora in avanti chi si iscriverà alla lista indicherà per quali tipi di uso dei dati ti dà il consenso. Alle persone che sono già in lista invece devi chiederlo tu, con una campagna apposta in cui li inviti ad aggiornare le loro preferenze di iscrizione: forse l’hai già fatto, in una delle migliaia di messaggi che ci sono arrivati nelle settimane scorse e che dopo un po’ abbiamo iniziato a cestinare allegramente senza nemmeno aprirli ;-)

A questo punto, mettiamo che, come nell’esempio sopra, tu abbia previsto due opzioni possibili: l’invio degli aggiornamenti del blog e l’invio di DEM. La prossima volta che vorrai mandare una campagna DEM, dovrai aggiungere alle condizioni di segmentazione dei destinatari anche la clausola che seleziona solo chi ti ha dato il consenso per quell’opzione:

Chi non ti ha dato il permesso di fare nulla (cioè non ha selezionato nessuna delle opzioni GDPR che avevi previsto) sta lì in lista solo per occupare un posto, ma di fatto tu non puoi usare i suoi dati per fare nulla: nemmeno, a questo punto, per scrivergli di nuovo implorando di cambiare idea :)

È proprio indispensabile usare questa opzione GDPR?

No, puoi farne benissimo a meno pur facendo le cose in regola, ed evitare tutte le complicazioni che si porta dietro.

Per chiedere agli iscritti le loro preferenze puoi usare i Groups; nella mia mailing list io prevedo da sempre le opzioni “post del blog” e “newsletter”, è possibile sceglierne una o entrambe in tutti i punti in cui propongo l’iscrizione e aggiornare, in qualunque momento, le preferenze.

Se decidessi di usare la mailing list anche per creare custom audiences su Facebook, potrei semplicemente aggiungere un’ulteriore opzione; a quel punto, manderei agli iscritti una richiesta di consenso apposta, indirizzandoli sulla pagina di aggiornamento del profilo (*|UPDATE_PROFILE|*).

Per fare le cose un po’ meglio, potrei anche creare una semplice Automation:

  • un primo messaggio in cui spiego come funziona la creazione di audience a partire da una lista, e chiedo di esprimere il proprio consenso cliccando su un link all’interno del messaggio stesso;
  • un secondo messaggio che parte solo nel momento in cui viene cliccato il link di cui sopra (che magari punta a una pagina di ringraziamento), e ha come azione collegata l’aggiunta dell’opzione “social advertising” al gruppo Preferenze.

Moduli di iscrizione a prova di ufficio legale

  • Riassumi sempre in poche righe come tratterai i dati: è importante anche per definire le giuste aspettative e preparare i nuovi iscritti ai messaggi che verranno
  • Metti il link all’informativa della privacy (e fai in modo che sia scritta bene e completa)
  • Se proprio vuoi stare sul sicuro, aggiungi un flag obbligatorio per esprimere il consenso; puoi anche farlo da MailChimp, come ho spiegato in questo post.

 

impara Mailchimp
con il mio corso online
Email Marketing con Mailchimp
lezioni video da seguire in streaming
quando e dove vuoi

Post precedente

« GDPR e Email Marketing: don’t panic

Post successivo

10 consigli per chi vuol fare email marketing »
  • Digital Marketing
GDPRMailchimpprivacy
ALESSANDRA FARABEGOLI
SEDE LEGALE via Mons.Liverani 53 - 48121 Ravenna
UFFICIO via Magazzini Anteriori 27 - 48122 Ravenna
P.IVA IT-02361590397
EMAIL info @ alessandrafarabegoli punto it
PEC alessandra punto farabegoli @ pec punto it
linkedin instagram twitter
CREATIVE COMMONS
Il contenuto di questo blog è pubblicato in licenza Creative Commons "Attribuzione - Non Commerciale - Condividi allo stesso modo".

CREDITS
Foto, design, testi
PRIVACY E AFFILIATE LINK
Per sapere come tratto i dati che raccolgo, leggi la pagina sulla privacy e la cookie policy. Alcuni dei link a prodotti e libri venduti su Amazon sono affiliate link.

Gestisci i cookie
  • Italiano
Gestisci Consenso Cookie
Su questo sito usiamo i cookie. Il consenso a queste tecnologie ci permetterà di elaborare dati come il comportamento di navigazione o ID unici su questo sito. Non acconsentire o ritirare il consenso può influire negativamente su alcune caratteristiche e funzioni.
Funzionale Sempre attivo
L'archiviazione tecnica o l'accesso sono strettamente necessari al fine legittimo di consentire l'uso di un servizio specifico esplicitamente richiesto dall'abbonato o dall'utente, o al solo scopo di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica.
Preferenze
L'archiviazione tecnica o l'accesso sono necessari per lo scopo legittimo di memorizzare le preferenze che non sono richieste dall'abbonato o dall'utente.
Statistiche
L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente per scopi statistici. L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente per scopi statistici anonimi. Senza un mandato di comparizione, una conformità volontaria da parte del vostro Fornitore di Servizi Internet, o ulteriori registrazioni da parte di terzi, le informazioni memorizzate o recuperate per questo scopo da sole non possono di solito essere utilizzate per l'identificazione.
Marketing
L'archiviazione tecnica o l'accesso sono necessari per creare profili di utenti per inviare pubblicità, o per tracciare l'utente su un sito web o su diversi siti web per scopi di marketing simili.
Gestisci opzioni Gestisci servizi Manage {vendor_count} vendors Per saperne di più su questi scopi
Visualizza le preferenze
{title} {title} {title}