Arrivate con un buon anticipo rispetto alla fatidica scadenza del 25 maggio 2018, le opzioni GDPR di MailChimp sembrano essere state interpretate da molti come un rimedio last-minute per mettersi in regola, senza analizzarne bene le possibili implicazioni.
In questo articolo spiego in modo più approfondito di quanto ho già fatto finora cosa offre questa opzione, quali sono i suoi limiti e come puoi gestire in modo GDPR-compliant le liste MailChimp senza necessariamente ricorrervi.
MailChimp è una società statunitense che opera a livello mondiale, quindi ha sia clienti nell’Unione Europea, sia clienti di qualunque parte del mondo che trattano, nelle proprie mailing list, i dati di iscritti residenti nella UE.
Di conseguenza, è cosa buona e giusta che MailChimp si sia posta il problema di rispondere ai requisiti stringenti sul trattamento dei dati definiti dalla UE; già peraltro lo stava facendo da prima, con una grande attenzione alla sicurezza dei propri server e spiegando molto bene come gestisce i dati (se hai tempo leggi la loro privacy policy, è fatta molto bene e, come nel loro stile, scritta in un inglese fluido e privo di legalese).
Nei mesi scorsi MailChimp ha mandato a ciascun utente un aggiornamento degli accordi contrattuali, per mettere nero su bianco i rispettivi ruoli rispetto al trattamento dei dati degli iscritti che abbiamo in lista:
Se usi MailChimp, avrai ricevuto e sottoscritto anche tu questo aggiornamento del contratto, giusto per rinfrescarti la memoria questa è la copia del mio.
Perché devi averle ben presenti quando qualcuno (il tuo ufficio legale, i legali del cliente a cui fai consulenza, il tuo cliente a cui l’ufficio legale ha messo paura) ti obietterà che per essere in regola col GDPR bisogna usare un servizio europeo, quindi MailChimp non va bene. È una sciocchezza bella e buona: MailChimp offre tutte le garanzie necessarie che deve offrire il mailer, il resto ce lo dobbiamo mettere noi facendo le cose per bene.
Si tratta di un’opzione attivabile (e disattivabile) dalle impostazioni della lista, List >> Settings >> List name and campaign defaults.
Dopo averla attivata bisogna configurarne testi e opzioni, per adattare quelli impostati di default da MailChimp.
Per farlo, vai nel Form Builder (Signup form >> General forms) e qui ti troverai davanti il modulo “hosted”, quello che risiede sui server MailChimp, a cui è stato aggiunta una sezione col blocco GDPR. Si tratta di una sorta di campo aggiuntivo con varie opzioni: un titolo, una descrizione introduttiva, l’elenco degli utilizzi possibili dei dati e un testo finale da usare per riassumere i diritti della persona che si iscrive.
Puoi modificare i testi e le opzioni di uso dei dati; se pensi di usare le mailing list come base per generare delle custom audience su Facebook o altre piattaforme dovrai chiedere un consenso ad hoc per farlo.
L’unica parte che non puoi modificare, e che resterà scritta in inglese, è il testo finale, in cui si ricorda che i dati verranno trasferiti a MailChimp e si rimanda ai relativi documenti sulla privacy e sulle condizioni del servizio.
Qui sta il limite più grosso della “soluzione” MailChimp: le opzioni GDPR sono presenti solo:
Niente campi GDPR nel codice da includere nel proprio HTML (Embed forms), niente possibilità di agire su questi dati via API nei casi in cui si è costruito un modulo di iscrizione personalizzato, a mano o usando un plugin.
Questo almeno ad oggi (8 giugno 2018); vedremo col passare del tempo se queste limitazioni verranno superate, e MailChimp rilascerà una versione completa e “agibile” della funzionalità, o se si è trattato solo di una pezza messa lì per poter dire “siamo GDPR-compliant”, e poi i nostri amici di Atlanta se ne dimenticheranno per passare ad altro.
Se via API non c’è modo di agire sulle opzioni GDPR, è pur sempre possibile aprire la scheda dell’iscritto e, dal link Edit, aggiornare noi stessi le preferenze.
Io fossi in te lo farei solo se ho indicazioni scritte dal diretto interessato, così da poter dimostrare in ogni momento che c’è stato un consenso valido e informato.
D’ora in avanti chi si iscriverà alla lista indicherà per quali tipi di uso dei dati ti dà il consenso. Alle persone che sono già in lista invece devi chiederlo tu, con una campagna apposta in cui li inviti ad aggiornare le loro preferenze di iscrizione: forse l’hai già fatto, in una delle migliaia di messaggi che ci sono arrivati nelle settimane scorse e che dopo un po’ abbiamo iniziato a cestinare allegramente senza nemmeno aprirli ;-)
A questo punto, mettiamo che, come nell’esempio sopra, tu abbia previsto due opzioni possibili: l’invio degli aggiornamenti del blog e l’invio di DEM. La prossima volta che vorrai mandare una campagna DEM, dovrai aggiungere alle condizioni di segmentazione dei destinatari anche la clausola che seleziona solo chi ti ha dato il consenso per quell’opzione:
Chi non ti ha dato il permesso di fare nulla (cioè non ha selezionato nessuna delle opzioni GDPR che avevi previsto) sta lì in lista solo per occupare un posto, ma di fatto tu non puoi usare i suoi dati per fare nulla: nemmeno, a questo punto, per scrivergli di nuovo implorando di cambiare idea :)
No, puoi farne benissimo a meno pur facendo le cose in regola, ed evitare tutte le complicazioni che si porta dietro.
Per chiedere agli iscritti le loro preferenze puoi usare i Groups; nella mia mailing list io prevedo da sempre le opzioni “post del blog” e “newsletter”, è possibile sceglierne una o entrambe in tutti i punti in cui propongo l’iscrizione e aggiornare, in qualunque momento, le preferenze.
Se decidessi di usare la mailing list anche per creare custom audiences su Facebook, potrei semplicemente aggiungere un’ulteriore opzione; a quel punto, manderei agli iscritti una richiesta di consenso apposta, indirizzandoli sulla pagina di aggiornamento del profilo (*|UPDATE_PROFILE|*).
Per fare le cose un po’ meglio, potrei anche creare una semplice Automation: