email-marketing-gdpr-guida-utile-in-7-passi

In questo post, estratto dal mio articolo dell’8 Ottobre su Cybersecurity360, affrontiamo i dubbi che assillano i marketing manager in merito a come gestire le attività di EMail-Marketing, per essere in regola col GDPR.

Proprio in questi giorni sono usciti diversi articoli riportanti le attività dei vari Garanti Europei negli ultimi mesi.

Da questo quadro emerge che, al contrario di quello che molti pensano, le attività ispettive vengono fatte anche a fronte di eventi straordinari come Data Breach o semplici segnalazioni di cittadini, con sanzioni anche pesanti (800 rilevamenti e 11 Milioni in 6 mesi solo in Italia).

Nel mirino ci sono sempre più spesso le attività di Marketing, in particolare TeleMarketing ed EMailMarketing, ed ho quindi deciso di scrivere questo articolo per cercare di fare un po’ di chiarezza a chi, come me, si occupa di queste cose.

Ma quali sono i QUESITI in merito alla Privacy per chi fa campagne di EMail-Marketing?

  • Col Gdpr posso ancora utilizzare la mia vecchia Mailing List per fare E-mail marketing?
  • Il consenso che avevo ottenuto prima del Gdpr è ancora valido?
  • Come devo fare se devo chiedere un nuovo consenso?
  • E l’informativa che ho adesso va ancora bene?
  • Posso mandare mail liberamente ai miei clienti?
  • E per i contatti presi in fiera? E quelli dei miei commerciali?
  • …………?

Partiamo dal presupposto che ogni azienda, che faccia un minimo di attività commerciale, abbia un po’ di fogli excel sparsi qua e là (se va bene un CRM), con contatti, mail, nomi e cognomi di referenti, magari raccolti negli anni e provenienti dalle più svariate fonti.

...eh già le FONTI!

Capire da dove provengono i nostri dati è uno degli aspetti più delicati e discussi, ed è proprio da qui che partiamo con la nostra CHECK-LIST per stabilire se quello che facciamo è in linea con il GDPR o meno:

1

Le FONTI: come hai ottenuto i dati?

Capire in che modo sono stati acquisiti i dati è fondamentale!

Purtroppo, nella maggior parte dei casi, non lo sappiamo, perché nella stessa banca dati possono esserci nominativi di tipologie diverse e raccolti nei modi più svariati come ad esempio:

  • Clienti già acquisiti
  • Prospect e/o Leads con cui avete avuto contatti
  • Nominativi comprati da Banche Dati a pagamento
  • Biglietti da visita
  • Nominativi da eventi e fiere
  • Elenchi Pubblici (es. Camera di Commercio)
  • Indirizzi presi su Internet, social…
  • Iscritti al sito web o alla newsletter

Ipotizzando che per nessuna di queste categorie di fonti sia stato raccolto uno specifico consenso, vediamo una per una cosa possiamo fare e soprattutto cosa NON FARE con questi dati:


Clienti già acquisiti

Prima di partire in tromba chiediamoci cosa s’intende innanzitutto per CLIENTE?

In realtà le normative non danno una definizione chiara né per chi vende ON-LINE né per chi usa metodi di vendita tradizionali OFF-LINE.

È altresì ragionevole pensare che può intendersi cliente chi abbia acquistato un prodotto da noi (o sul nostro sito e-commerce) o si sia servito della nostra azienda dietro la fornitura di un compenso.

Il Considerando 47 del GDPR specifica tra la’altro che, un Titolare (azienda) può avere un LEGITTIMO INTERESSE a trattare dati per finalità di marketing se, per esempio, tratta i dati di clienti.

Se si prende troppo alla lettera questa espressione si rischia però di generalizzare troppo rendendo quindi necessario appoggiarsi ad altre normative come ad esempio l’Art.130 del D.Lgs 101/2018, che specifica meglio in merito al Legittimo Interesse per finalità marketing:

“…. se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente”

In definitiva, è possibile inviare ad un Cliente già acquisito comunicazioni commerciali, newsletter, offerte promozionali inviti ad eventi etc. purché facciano in qualche modo riferimento a prodotti o tipologie di prodotti affini a quelli che ha già acquistato.

Un ESEMPIO potrebbe essere il caso di un Cliente che ha appena acquistato sul nostro E-Commerce un prodotto elettronico e ci ha ovviamente lasciato l’indirizzo e-mail oltre ad altri dati necessari alla conferma e all’evasione dell’ordine:

POSSO inviargli tramite mail comunicazioni, offerte, materiale promozionale, inviti ad eventi etc. che però siano inerenti ad altri prodotti elettronici.

NON POSSO però inviargli comunicazioni che trattino, ad esempio, di abbigliamento, in quanto troppo distanti come categorie/tipologie di prodotto rispetto a quello già acquistato.

#GdprMarketing: non abusare del Legittimo Interesse quando si parla di Marketing Condividi il Tweet


PROSPECT o LEADS con i quali siamo entrati in contatto

Siccome i Clienti normalmente non fanno la fila per comprare da noi, a meno che non ci chiamiamo Apple o Nike, il primo pensiero di ogni responsabile commerciale e marketing è:

“Come faccio a “tampinare” i miei potenziali clienti (Leads), con i quali c’è stato un primo contatto commerciale o un interesse, per spingerli sempre più in fondo nel mio “funnel di vendita” e quindi portarli all’acquisto?”

La cosa che più mi sento dire è che, una volta che sono entrati in contatto diretto con il potenziale cliente, è fondamentale “non mollare l’osso” , e via a tempestare il malcapitato di mail, telefonate, volantini e offerte su tutti i prodotti a catalogo così, dicono, “… prima o poi troverà qualcosa che gli interessa e lo comprerà!”

Personalmente, visto che mi occupo da anni di Inbound Marketing, sono contrario a questo tipo di approccio alla Leonardo di Caprio anni ’80, che avrebbe come inevitabile effetto quello sfinire il destinatario a tal punto da metterci nella Posta Indesiderata e allora“….buonanotte suonatori”!

Comunque, siccome in questo articolo dobbiamo parlare di Privacy e Gdpr, concentriamoci su questi aspetti facendo un altro ESEMPIO PRATICO:

Mettiamo che il nostro Potenziale Cliente ci abbia contattati tramite mail compilando la form di contatto del nostro sito web, chiedendoci un preventivo o semplicemente informazioni su un prodotto specifico.

Qualcuno potrebbe anche dire che, avendoci lasciato spontaneamente la sua mail ci ha “implicitamente” dato il consenso ad usarla ignorando che, il motivo per cui ce l’ha lasciata, ovvero la  FINALITÀ, è ottenere un preventivo o semplicemente informazioni.

Potrebbe quindi non gradire di essere tempestato da ulteriori offerte, newsletter o volantini a meno che, non abbia spuntato una magica e specifica casella dove ci esplicita il consenso ad inviargli materiale marketing promozionale.

Una cosa che pochi sanno è che NON VALE più la logica del SILENZIO/ASSENSO.

Quindi, il consenso è considerato valido solo se espresso LIBERAMENTE e VOLONTARIAMENTE, in maniera ESPLICITA ed INFORMATA ed, infine, deve poter essere DIMOSTRABILE ma, di questo ne parleremo più approfonditamente in seguito.

Questo infatti è il caso in cui la comunicazione deve essere circoscritta e limitata alla sola richiesta pre-contrattuale (offerta o informazioni) ed il relativo trattamento dati si deve esaurire lì.

In definitiva, una volta esaudita la richiesta del potenziale cliente, sarebbe anche opportuno procedere in tempi brevi alla CANCELLAZIONE dal DataBase di tutti i suoi dati personali, mail compresa con buona pace del Responsabile Commerciale e Marketing in quanto sarebbe esaurita la finalità di trattamento.


Nominativi acquistati da BANCHE DATI 

Alzi la mano chi non ha mai acquistato delle belle Liste di nominativi, già belle e pronte e, magari, con “mail già consensate e certificate” da società che vendono BANCHE DATI?!

Potrebbe sembrare una scelta sicura ma, in realtà, è la strada più rischiosa, per diversi motivi che riguardano sempre il CONSENSO:

  • CONSENSO a TERZI: nella maggioranza dei casi, gli indirizzi personali di dirigenti o responsabili inclusi nei contatti aziendali della lista, vengono spacciati come “consensati” e, questo in parte potrebbe essere vero ma, quello di cui non siamo mai sicuri è la FINALITÀ per la quale è stato ottenuto il consenso.

Ricordiamoci che il consenso non è mai trasferibile automaticamente a terzi senza un ulteriore consenso specifico per cui, anche ammesso che il consenso per finalità di marketing o di profilazione sia stato regolarmente ottenuto dalla Società proprietaria della banca dati (e qui sempre un po’ difficile da verificare), deve esserci anche il consenso specifico al trasferimento dei dati verso TERZI per le stesse finalità.

  • CONSENSO ANTECEDENTE al GDPR: ricordiamoci che il GDPR è entrato in vigore il 25 Maggio 2018 per cui il consenso può essere stato ottenuto prima. Il GDPR dice che il consenso ottenuto prima della sua entrata in vigore può essere ancora valido solo se conforme al nuovo Regolamento altrimenti deve essere emessa una nuova informativa e richiesto un nuovo consenso.
  • FINALITÀ: spesso queste società vendono questi dati ad altre società che ne fanno i più svariati usi dal marketing, alla profilazione, al credit-check etc.. Le finalità per cui sono stati raccolti i dati non sempre coincidono con quelle per cui vengono utilizzati quindi, anche il relativo consenso potrebbe non essere specifico per una o l’altra finalità, ed anche questo è sempre difficile da verificare.
  • Titolare, Contitolare e Responsabile/i: anche qui la materia è grigia perché non è facile, in questo caso, stabilire di chi sia la Titolarità effettiva del trattamento, chi siano i Responsabili e soprattutto chi deve fare cosa in caso di Violazione Dati (Data Breach).

Consiglio: evitate le liste a pagamento per fare campagne marketing se non siete proprio sicuri della qualità dei consensi. Se spedite mail a diverse migliaia di indirizzi e scoprite dopo che la vostra lista non è a posto rischiate di incorrere in pesanti sanzioni che possono arrivare fino a 20 Milioni o il 4% del fatturato!


Biglietti da visita

Qui la disputa si fa controversa perché viene spontaneo pensare:

” ..ma il biglietto da visita me l’hanno dato con tanto di cellulare e mail personale, per cui è logico che mi dia automaticamente anche il consenso a scrivergli, tutte le volte che voglio e come voglio!!”

La risposta a questo quesito per me ma, anche per altri esperti del diritto privacy con cui mi sono confrontato, è “NI”!

Partendo infatti dal presupposto che questi dati, come ad esempio indirizzo mail e telefono, ci sono stati forniti spontaneamente, il motivo e quindi le finalità possono essere diversi da quelli che abbiamo in testa noi.

Il nostro interlocutore potrebbe infatti averci gentilmente concesso il suo biglietto da visita pensando che lo utilizzassimo per futuri contatti, aggiornamenti sulle offerte/prodotti che ha chiesto ma magari, non gradisce di essere tempestato di mail commercialigliene arrivano già fin troppe!!

Infatti, alla base di tutto ci deve essere sempre un’ informativa, che non necessariamente deve essere scritta (ma attenzione a poterlo dimostrare), in cui viene dichiarato che questi dati possono essere utilizzati, oltre che per comunicazioni strettamente funzionali a quelle per cui vi siete incontrati (es. una richiesta di offerta o info su un prodotto), anche per l’invio di comunicazioni periodiche, commerciali e marketing come ad esempio delle newsletter, inviti ad eventi, offerte promozionali, etc.

Nel caso in cui questa informazione, specifica per quella finalità, non sia stata fornita, non potreste inviare newsletter o DEM commerciali (Direct E-mail) se non avete uno specifico consenso che, ripeto, può essere anche verbale ma dimostrabile.

Piccolo trucchetto per ottenere un consenso rapido: fatevi scrivere dal vostro interlocutore, magari a biro dietro al biglietto da visita, che accetta di ricevere comunicazioni marketing o newsletter, impegnandovi però a fornirgli un’informativa completa alla prima occasione utile!


Nominativi da Eventi e Fiere

Il caso è molto simile a quello dei biglietti da visita, con la differenza che spesso i nominativi vengono raccolti in fretta e furia da stagiste ingaggiate solo per l’occasione che, non hanno sempre il tempo e la possibilità, nella tipica confusione di una fiera, di fornire un’informativa completa e raccogliere un consenso con tutti i crismi.

Potrebbe essere utile in quel caso, mettere in una lista a parte quelli per cui non si è riusciti a raccogliere il consenso e fare una “Campagna mail post-fiera”, facendo specifico riferimento alla loro visita in fiera e inviandogli l’informativa privacy con la richiesta di consenso.

In alternativa si potrebbero anche usare dei “contenitori”; ne ho visti delle forme più svariate e curiose, tipo bocce di vetro e anche scatole da scarpe, dove il visitatore può inserire il suo biglietto da visita ai quali è affissa una mini-informativa privacy del tipo:

“Gentile visitatore,
lasciando il tuo biglietto da visita nel contenitore acconsenti ad essere contattato dal nostro personale commerciale per fornirti ulteriori informazioni, materiale, brochure etc sui nostri prodotti e servizi.
Riceverai, qualche giorno dopo l’evento, una mail con la presentazione della nostra società insieme all’informativa completa per il trattamento dei dati personali.
Il Titolare del Trattamento….(Ragione Sociale azienda)”

Dopodiché potete usare la stessa procedura “Campagna post-fiera” spiegata sopra.

Ancora più pratico sarebbe dotarsi di una APP o di un CRM, io ad esempio uso quella di Mailchimp McSubscribe, che permetta di raccogliere direttamente in fiera, magari su un tablet, i dati con i relativi consensi distinti per l’invio di newsletter, profilazione statistica o uso delle foto/video da pubblicare raccolte durante l’evento.

Questa soluzione vi dispensa dal dover inserire manualmente tutti i dati successivamente nel DataBase ed inviare la mail con la richiesta di consenso che, a distanza di giorni, potrebbe anche non essere accettata.


ELENCHI PUBBLICI (es. Camera di Commercio)

Spesso anzi, troppo spesso, mi sento dire:

“…ah… siccome i dati erano negli elenchi che mi ha fornito la Camera di Commercio, quindi sono pubblici, ci posso fare quello che voglio!”

…..in realtà non è proprio così!

Il PUNTO CARDINE da cui non si può mai prescindere è sempre Lei: “Sua Eminenza” la FINALITÀ!

Perchè quei dati sono lì?

Per quale motivo vengono messi a disposizione del Pubblico?

Ovvio che se ho deciso di lasciare la mia casella mail alla Camera di Commercio o a qualche altro Ente Pubblico, non tanto la info@azienda.it ma magari la mario.rossi@azienda.it, non è certo perché chiunque me la possa riempire con decine e decine di mail commerciali o di spam!

Scordatevi quindi, .…mamma quanto vi starò diventando antipatico!!… ;-), di “accarezzare l’idea” di andare alla Camera di Commercio della vostra provincia con l’obiettivo di riempire fogli Excel con migliaia di indirizzi perché tanto non potreste utilizzarli per quello scopo!

A meno che, le Camere di Commercio non si mettano a raccogliere i consensi per il trasferimento dei dati a terzi per finalità di marketing ma, mi sembra molto improbabile che questo possa avvenire, dato che le mission delle CCIAA sono diverse dal fare mercato di liste.


Indirizzi trovati su INTERNET o sui SOCIAL

Questo caso è abbastanza simile al precedente, in quanto abbiamo comunque a che fare con dati resi pubblici sul web o i social media (es. Facebook, Linkedin) che, con pochi click di mouse, sono facilmente disponibili.

Il punto di fondo rispetto agli elenchi pubblici è comunque il medesimo.

È chiaro che, dal momento che metto il mio profilo su Linkedin con tanto di mail, devo aspettarmi missive da qualche sconosciuto…se no non sarei lì!

Ma, un conto è qualcuno che mi scrive direttamente con gli strumenti che mette a disposizione la piattaforma social, presentandosi col suo profilo e spiegandomi perché mi contatta e un altro invece è essere inserito in una Mailing List per poi essere bombardato di mail commerciali.

Quindi, prima di mandare mail “ad minchiam” solo perché avete trovato nominativi e mail in rete, è meglio se contattate prima il destinatario, presentandovi degnamente e spiegando cosa fate, chiedendogli infine se potete inviargli comunicazioni marketing e commerciali.

Ricorda! Quando chiedi il consenso, anche verbale o via chat on-line, non scordarti mai di fornire, contestualmente o subito dopo, l'informativa. #EMailMarketingGdpr Condividi il Tweet


Iscritti alla newsletter dal SITO WEB

Questo è l’unico caso in cui avete il GOquasi totale” in quanto:

  • il vostro utente ha inserito i dati in una form di richiesta;
  • ha letto l’informativa, o comunque si presume l’abbia fatto spuntando la casellina;
  • ha dato il consenso esplicito a ricevere comunicazioni commerciali e marketing; 
  • ha magari anche dato un ulteriore consenso ad essere profilato in base ai suoi interessi;

ATTENZIONE però perché questo NON È un “VIA LIBERI TUTTI!” …e dopo spiegheremo il perché al punto 3!

E adesso che abbiamo analizzato le principali FONTI da cui possono provenire i dati e come trattarli procediamo con gli altri punti della nostra check-list.

2

Hai una INFORMATIVA corretta?

Una cosa che non bisogna mai dimenticarsi è che:

Non esiste CONSENSO senza INFORMATIVA!

Il Regolamento UE 2016/679 (vedi Art. 6,7 e 13) è abbastanza lapidario in questo, dicendo che il consenso deve sempre essere informato, l’informativa deve essere chiara e comprensibile (meglio non in legalese) e deve fornire le seguenti informazioni:

  • dati di contatto del Titolare;
  • le finalità e le modalità di trattamento (digitale, manuale o entrambi);
  • le categorie e tipologie di Dati trattati;
  • come abbiamo ottenuto i dei dati;
  • se vengono adottate misure adeguate di protezione dei dati;
  • quali sono i diritti dell’interessato e come può esercitarli;
  • indicare a chi o quali categorie di enti possono essere comunicati i dati (es. Inps, Banche etc);
  • se i dati possono essere trasferiti anche in paesi Extra UE e quali garanzie di protezione offrono;
  • quali sono i tempi minimi e massimi di conservazione;
  • se c’è un processo di profilazione automatizzato;
  • se si trattano dati di minori e, nel caso, come vengono gestiti;
  • L’indicazione dei Responsabili esterni o come fare per ottenerli;
  • i dati di contatto del DPO o Responsabile Protezione Dati (se nominato);

Inoltre, se l’informativa è stata redatta prima dell’entrata in vigore del Regolamento è molto probabile che dobbiate metterci mano, se non altro per modificare i riferimenti normativi.

QUANDO e in CHE MODO devo fornire l’informativa?

Nel caso non possa avvalermi di un criterio che mi legittima a trattare i dati (Art. 6) come, ad esempio, un accordo contrattuale o pre-contrattuale oppure il Legittimo Interesse, e sia quindi costretto a richiedere il consenso, questo deve possibilmente essere preceduto dalla lettura dell’informativa.

Quindi, nel caso abbia nel mio sito la classica FORM di richiesta contatto o preventivo (legittimità pre-contrattuale) e voglia anche chiedere l’iscrizione alla newsletter, devo fare in modo che l’informativa sia immediatamente accessibile, con il link magari posizionato vicino (meglio prima) alla casella di richiesta consenso, in quanto l’utente deve sempre avere la possibilità di informarsi come avviene il trattamento e decidere poi se accettare o meno (vedi link di esempio).

3

Hai ottenuto i CONSENSI nel modo corretto?

In che senso ho i consensi corretti? Un consenso è un consenso…o no?!

In effetti, se ho ottenuto un consenso non vuol dire automaticamente che posso fare tutto quello che voglio e poi…dipende molto da COME l’ho ottenuto e PER CHE COSA.

Innanzitutto, devo sempre poter dimostrare, per il principio di “Accountability”, che il consenso è stato ottenuto liberamente, inequivocabilmente e correttamente informato (vedi punto 2).

Cosa vuol dire LIBERAMENTE? È logico che se uno dà il consenso è libero di darlo o meno!!

Facciamo il solito ESEMPIO:

Se in una form di contatto del sito, che ha come finalità la richiesta di un preventivo o di informazioni, inserisco una casella per il consenso alla newsletter rendendone obbligatoria la spunta ovvero, vincolando la richiesta di informazioni all’iscrizione stessa, vuol dire che il consenso NON è LIBERO e quindi non può essere ritenuto valido.

Importante: ad ogni consenso deve corrispondere una sola finalità o sottofinalità simili!

Questo purtroppo è un grave errore, che fanno in tanti, dovuto alla riluttanza ad inserire più caselle di consenso che potrebbero far dissuadere il visitatore e uscire dal sito.

D’altro canto però, un “consenso cumulativo”, che accorpasse più finalità come newsletter, profilazione, statistica (Google Analytics), trasferimento dati a terzi e cookie di terze parti, sarebbe condizionato o subordinato agli altri rendendolo quindi illegittimo.

consenso-casella-pre-spuntata

E se i miei consensi sono antecedenti al 25 Maggio 2018 devo richiederli di nuovo a tutti i miei iscritti?

E qui almeno una buona notizia perché la risposta è: non necessariamente devi chiederlo di nuovo.

Infatti, se il consenso è stato ottenuto rispettando i principi del Gdpr è ancora valido ma, se così non è in base a quanto hai letto fino adesso, devi ahimè ottenere un nuovo consenso.

Come puoi fare ad ottenere un nuovo consenso?

Potresti inviare una mail alla tua lista, specificando che hai aggiornato le condizioni di trattamento dei dati in funzione del nuovo Regolamento UE 2016/679 (quindi nuova informativa) e che è necessario confermare il consenso precedente tramite un bottone, una spunta o qualsiasi altra forma che preveda un’azione inequivocabile dell’utente.

E se qualcuno non risponde alla mail?

Allora devi smettere di mandargli mail anche perché, ripetiamo che NON VALE il SILENZIO ASSENSO, anche se puoi eventualmente ripetere la procedura dopo qualche tempo…senza però insistere troppo!

4

L’utente può facilmente esercitare i suoi DIRITTI?

Gli articoli del Regolamento UE 2016/679, che vanno dal 12 al 22, riguardano i DIRITTI dell’INTERESSATO cioè la persona fisica di cui stiamo trattando i dati personali.

Per non dilungarci troppo, non starò qui ad elencarli tutti, che comunque l’informativa deve riportare, in particolare, quelli più specifici per chi riceve mail come:

  • Il diritto di REVOCA del consenso
  • il diritto di CANCELLAZIONE (detto anche diritto all’Oblio).

L’utente deve sempre e facilmente poter esercitare questi diritti senza essere “ingabbiato” in procedure complesse.

In una procedura di EMail-Marketing si deve facilitare il compito all’utente, mettendo ad esempio in calce ad ogni comunicazione, un link o bottone che gli permetta di disiscriversi revocando il consenso dato in precedenza sia per non ricevere più comunicazioni ma, anche per la possibilità di essere completamente cancellato dalla Mailing List.

Molte piattaforme di Mail Marketing, come MailChimp e MailUp, permettono facilmente la disiscrizione automatica e non consentono di inviare più newsletter ma, non cancellano automaticamente i dati mettendoli in un’area a parte. È necessario una ulteriore operazione manuale per cancellare definitivamente i dati dal DataBase, se l’utente l’ha richiesto altrimenti li posso tenere lì a scopi statistici ma non all’infinito (vedi punto successivo sulla conservazione).

Siccome, nell’eventualità di una verifica da parte dell’Autorità (Garante o Gdf), in base al principio di “Accountability”, si deve sempre poter dimostrare quello che è successo, il software di gestione del Database deve anche tenere traccia di questa attività tramite un registro degli eventi di sistema (LOG).

Per l’esercizio di ogni diritto deve anche essere prevista una procedura di autenticazione per identificare con certezza l’identità del richiedente, ad esempio attraverso un processo automatico double Opt-in (es. tramite la conferma dell’indirizzo mail).

Ricordatevi infine che avete massimo un mese di tempo per rispondere ad una richiesta dell’Interessato in relazione all’esercizio di un suo diritto.

5

Hai stabilito i criteri per la CONSERVAZIONE dei DATI per la tua Mailing List?

I criteri per la DATA RETENTION, ovvero quelli che stabiliscono per quanto tempo posso o devo conservare i dati, devono essere ben chiari fin dall’inizio (Privacy By Design e By Default) ed esplicitati nell’informativa.

Fermo restando che i dati ottenuti con il consenso dell’interessato possono essere conservati fino a revoca (vedi Provv. Garante del 15 Ottobre 2020), per tutti gli altri invece esistono criteri differenti e, purtroppo, non sempre così chiari.

Per i dati amministrativi e fiscali è tutto abbastanza semplice perché i tempi di conservazione sono obbligatori e stabiliti dalla Legge (di solito 10 anni).

Negli altri casi ed, in particolare per i dati utilizzati per fini commerciali e marketing, si deve fare riferimento a pareri, disposizioni e linee guida.

Esaminiamo il caso dei CLIENTI ACQUISITI ovvero, quelli per cui il Titolare può inviare Comunicazioni Marketing inerenti a prodotti simili già acquistati in base al LEGITTIMO INTERESSE (vedi Punto 1).

Il criterio del Legittimo Interesse ha senso fintanto che il Cliente è ancora attivo e compra regolarmente.

Ma se nella mia anagrafica ho ancora un vecchio Cliente col quale non ho più rapporti da anni, posso ancora mandargli mail commerciali?

In questo caso, siccome il GDPR non cita questi casi specifici, ci si deve aggrappare a pareri e linee guida emesse dai Garanti Europei in base ai quali si è arrivati a questa definizione che è stata adottata in diversi Paesi UE:

Si deve cessare di inviare comunicazioni marketing ad un cliente se non ha eseguito alcuna “iterazione” con l’azienda negli ultimi 24 mesi in quanto, oltre tale periodo, decadrebbero le ragioni per mantenere un Legittimo Interesse.

Dove per “iterazione” possiamo intendere azioni di acquisto, pagamenti, preventivi, contratti o forniture ancora in esecuzione, richieste di informazioni, contatti diretti della propria rete commerciale etc...

A meno che tu non abbia ottenuto anche il consenso ad inviargli comunicazioni allora, a quel punto, prevarrebbe sul Legittimo Interesse.

6

I dati che hai raccolto sono PROPORZIONATI?

Uno dei principi fondamentali su cui fonda il Gdpr è quello di MINIMIZZAZIONE o di PROPORZIONALITÀ (Art.5 par.c Gdpr) in base al quale la quantità e la tipologia di dati che trattiamo devono essere quelli strettamente necessari a soddisfare le finalità per cui sono stati raccolti.

Ahh…sta benedetta finalità…sempre Lei! Ebbene si, anche in questo caso, l’oste con cui fare i conti è lei!

Come al solito facciamo un bell’ESEMPIO per capire meglio!

Mettiamo che tu sia un Imprenditore, un Responsabile Commerciale, un Marketing Manager, o il consulente di una Web Agency che si occupa della comunicazione per conto di molti clienti, e devi decidere QUALI CAMPI inserire nella FORM di ISCRIZIONE alla NEWSLETTER.

La DOMANDA che devi porti è la seguente:

Quali dati effettivamente mi servono per inviare le mie newsletter?

Credo che siamo concordi tutti nel dire che l’unico dato veramente indispensabile è l’INDIRIZZO MAIL, senza il quale posso solo usare il postino o i piccioni viaggiatori.

E se invece volessi chiedergli Nome, CognomeCittà, CAP, Azienda, Settore e, magari, anche Cellulare, Mansione e Data di Nascita così gli mando anche gli auguri di Compleanno?

“E perché no?! ..già che gli chiedo il consenso glielo chiedo per tutto così, se mi servono quei dati ce li ho già!”

Mentre dati come Nome, Città, Azienda e Settore, possono essere giustificati dal fatto che si desidera personalizzare la comunicazione in base alla locazione geografica o ai possibili interessi (es. mansione, settore), per il cellulare e la Data di Nascita si farebbe un po’ più fatica a giustificarli.

A cosa ti serve il cellulare se gli devi mandare delle Mail?

In quel caso il tipo di dato raccolto sarebbe ingiustificato allo scopo (finalità) di inviare mail, e si incorrerebbe in un trattamento eccessivo di dati, contrario al principio di minimizzazione e quindi passibile di sanzione.

Se però volessi mandargli degli SMS o dei messaggi WHATTSAPP, tipico delle “Fidelity Card” usate ormai in molti negozi, allora la mia finalità reggerebbe e il relativo trattamento, una volta ottenuto il consenso correttamente, sarebbe proporzionato.

7

Come PROTEGGI i dati della tua Mailing List?

Preciso che ho lasciato questo punto volutamente per ultimo, non per ordine d’importanza, quanto perché, essendo quello che riguarda la parte di Protezione Dati molto più tecnica, meriterebbe un capitolo a se ma, vorrei comunque ribadirne l’importanza che ha, a prescindere dal Gdpr, con una leggera “provocazione“.

Se hai sistemato tutti gli aspetti giuridici in merito al #Gdpr (la carta) e non ti sei preoccupato di proteggere i dati allora è come se avessi pagato il bollo, assicurato la macchina e girassi con le gomme lisce! Condividi il Tweet

Tenere la propria Mailing list in fogli Excel o nei file .pst di Outlook, magari anche sparsi nei vari PC di responsabili, commerciali o di segretarie dell’azienda, non è sicuramente un’idea sana.

È altamente raccomandato affidarsi a sistemi di DB centralizzati su Server, meglio ancora se in Cloud certificati (magari locati nella UE), dotati di firewall con sistemi antintrusione IDP e IPS e sistemi di backup collaudati e ben configurati in funzione di un’analisi dei rischi fatta a monte.

La cosa che dobbiamo assolutamente evitare è incorrere in un DATA BREACH, ovvero una violazione dati che pregiudichi la riservatezza, l’integrità o la disponibilità dei dati.

Se la violazione riguardasse anche solo qualche migliaio di indirizzi, ricadrebbe quasi sicuramente nell’obbligo di notifica al Garante entro le 72 ore, con probabili verifiche ispettive di riscontro oltre agli altri danni conseguenti non meno impattanti (immagine, inoperatività, perdita di fatturato, possibili sanzioni).

CONCLUSIONE

Innanzitutto complimenti per essere arrivato fino a qui e, sperando di non essermi fatto odiare troppo, concludo riepilogando cosa hai appreso in questi sospirati 7 PASSI per fare E-Mail Marketing col GDPR:

  1. Controllare le FONTI da cui provengono i dati della tua Mailing List;
  2. Avere un’INFORMATIVA chiara, completa e accessibile;
  3. Ottenere i CONSENSI in modo corretto e senza “furbate” inutili;
  4. Consentire con facilità l’esercizio dei DIRITTI all’Interessato;
  5. Stabilire i criteri per i TEMPI di CONSERVAZIONE dei dati;
  6. Non ECCEDERE nella quantità di dati raccolti;
  7. PROTEGGERE i dati;

E ti rammento ancora che, le aziende che svolgono attività di Marketing, in particolare quelle che lo fanno o si presume che lo facciano in maniera massiva, sono e saranno sempre più sotto la lente d’ingrandimento da parte delle Autorità di Controllo e che, tra l’altro, sono obbligate a nominare il DPO (Data Protection Officer).

Questo perché, in questi anni, troppi operatori un po’ “Garibaldini”, hanno “abusato” di strumenti come la Mail e il Telemarketing con il risultato di riempire le caselle degli utenti di spazzatura o di tempestarli di telefonate inutili, oltre ogni limite.

Ecco perché i Garanti Europei (Italiano in testa) hanno colto l’occasione, con questo nuovo Regolamento Europeo, per cercare di contrastare il fenomeno con strumenti più efficaci come le pesanti sanzioni anche penali, emesse in questi ultimi mesi alle quali, mi auguro tu non debba incorrere se metti in pratica quello che hai letto fino a qui.

Fonte: mio articolo su Cybersecurity360

1 commento(i) deveno essere approvati.
27 commenti
  1. Isidoro D'Anna
    Isidoro D'Anna dice:

    Ciao Marco,

    leggendo il tuo utilissimo articolo e le risposte che gentilmente dai, mi sono fatto un quadro abbastanza chiaro.

    Spero che tu possa aiutarmi a vedere se ho capito bene. Ti espongo il mio caso.

    Una signora proprietaria di un centro estetico vorrebbe fare commercio di apparecchi per un tipo di trattamento. Ha pensato di inviare un’email a vari centri estetici italiani. Siccome questa email non è attesa, mi sembra che si tratterebbe comunque di spam.

    La soluzione sta forse nel far precedere all’email una telefonata, presentandosi brevemente e chiedendo il consenso all’invio dell’email?

    Dopodiché, bisogna inviare l’informativa sulla privacy e il consenso alla raccolta dei dati? Mi sembra un po’ macchinoso, specialmente se l’informativa richiede la firma del destinatario. Non c’è il rischio che la prendano come una seccatura, si scoraggino e vada tutto a monte?

    A meno che con l’informativa non si possa già inviare l’email con tutti i dettagli dell’offerta…

    Terrei molto a conoscere le tue valutazioni del caso, e a sapere se ci sono alternative.

    Molte grazie, ciao

    Isidoro

    Rispondi
  2. Valerio Tramontano
    Valerio Tramontano dice:

    Buongiorno…..Vorrei chiedervi, se possibile, una considerazione. Chiedo scusa in anticipo della specificità della domanda, ma Oggi, data l’ampia portata delle regole, risulta difficile comprendere nel particolare come comportarsi.
    Un utente privato, autore di un’opera, se volesse inviare una mail pubblicitaria del libro realizzato ad una libreria privata capofila (l’indirizzo e-mail è stato preso dal sito di riferimento), può farlo, oppure, incorre in qualche violazione del GDPR.
    Grazie Mille per l’Attenzione!

    Rispondi
    • Marco Gentilini
      Marco Gentilini dice:

      Buongiorno Valerio,
      innanzitutto preciso che il GDPR si applica solamente a soggetti con attività economica con e senza scopo di lucro, quindi p.iva.
      Non si applica ai privati per cui non infrange nessuna regola in merito al GDPR.
      Ti auguro un’ottima giornata.
      Marco

      Rispondi
  3. Alessandro
    Alessandro dice:

    Buongiorno Marco;
    avrei un dubbio: è possibile inviare comunicazioni (mail o SMS/whatsapp) per invitare un cliente a lasciarti una recensione, anche se non ha esplicitato i consensi di marketing? (visto che invitare a lasciare una recensione su un prodotto/servizio acquistato non è la stessa cosa che mandare una pubblicità di un altro prodotto)

    Rispondi
    • Marco Gentilini
      Marco Gentilini dice:

      Buongiorno Alessandro, scusa innanzitutto per la risposta tardiva.
      se è già cliente ci si può avvalere del Legittimo Interesse in base al quale il Titolare può inviare comunicazioni commerciali e marketing, purché di prodotti analoghi a quelli già acquistati (Soft Spam).
      Quindi la risposta è SI.
      Ottima giornata
      Marco

      Rispondi
  4. Elisa Beretta
    Elisa Beretta dice:

    Buongiorno Sig. Marco,
    ho un dubbio: l’espressione del consenso è legata alla persona o alla sua mail?
    Mi spiego con un caso pratico: un mio cliente sceglie di fare opt out dopo una mia mail. La sua azienda poi cambia dominio della mail quindi il mio contatto ha una mail diversa dalla precedente. Posso riprendere a inviargli mail oppure fa fede l’opt out precedente?
    Grazie!

    Rispondi
    • Marco Gentilini
      Marco Gentilini dice:

      Buongiorno Elisa,
      il suo è un caso un po’ particolare ma può capitare. In realtà, siccome il consenso viene prestato sempre da una persona in funzione di una finalità ben specifica, indipendentemente dal nome della casella, se ne può desumere che, se la persona e l’azienda sono sempre le stesse e, le finalità non cambiano rispetto a quelle per cui è stato prestato il consenso in origine, per me può valere ancora il primo consenso.
      in ogni caso, se proprio vuole essere certa gli può rimandare la mail al nuovo indirizzo chiedendo conferma del precedente consenso relativo alla vecchia mail.
      Spero di aver soddisfatto la sua richiesta.
      Ottima giornata
      Marco

      Rispondi
  5. Monica
    Monica dice:

    Buongiorno Marco, complimenti articolo molto utile! è da considerarsi valida la modalità iscrizione newsletter tramite modulo cartaceo? Nello specifico, predisporre un modulo di raccolta dati da utilizzare durante degli eventi, all’interno del quale viene chiesto, tramite due caselle il consenso esplicito alla volontà di ricevere newsletter? il modulo contiene anche lo spazio per la firma e sul retro viene riportata la privacy policy aziendale. E’ conforme al gdpr?

    Rispondi
    • Marco Gentilini
      Marco Gentilini dice:

      Buongiorno Monica, la ringrazio innanzitutto per i complimenti.
      Il consenso può essere espresso in diversi modi, non solo in digitale. Vanno bene quindi anche moduli cartacei ma potrebbe essere espresso anche a voce (vedi per esempio la modalità degli operatori telefonici). L’importante è che sia informato, quindi preceduto da una informativa, libero (non vincolato o subordinato), e tracciabile o dimostrabile oltre ad essere ovviamente esplicito (quindi click, firma, SI vocale registrato). Consiglio per cui di tener anche traccia del luogo e del timing in cui viene rilasciato nel modulo che utilizzate.
      Spero di esserle stato utile.
      Saluti, Marco

      Rispondi
  6. Giorgia
    Giorgia dice:

    Buongiorno Sig. Marco,
    se io raccolgo email aziendali direttamente dai siti posso inviare a loro una mail dove presento l’azienda per cui lavoro, spiegandogli dove ho preso il loro indirizzo di posta, e invitarli a visitare il sito e soprattutto ad iscriversi alla newsletter?
    La ringrazio se vorrà chiarirmi questo punto perché sono un po’ dubbiosa a riguardo.

    Rispondi
    • Marco Gentilini
      Marco Gentilini dice:

      Buongiorno Giorgia, il suo dubbio è molto comune come può leggere anche dagli altri commenti. Siamo sempre su una linea di confine molto sottile perché, se da un lato è vero che l’indirizzo è pubblico dall’altro lo scopo per cui è stato messo lì non è probabilmente quello di ricevere mail commerciali. La modalità che propone è fattibile, soprattutto se la mail proviene direttamente da lei e non da una casella anonima, rendendo l’approccio di tipo one-to-one, anche se realizzato con metodi automatizzati.
      L’importante è che, per l’invio di successive newsletter, ci sia il consenso esplicito a riceverle e quindi un azione dell’utente dimostrabile e chiara(click su casella, risposta alla sua mail etc..). Non incorriamo quindi nell’errore comune di considerare consenso l’inattività dell’utente…nel Gdpr non vale la regola del “silenzio/assenso”. Spero di averle risposto. Saluti

      Rispondi
  7. Elena
    Elena dice:

    Buonasera, se noi raccogliamo indirizzi email dai siti, indirizzi email che non hanno nome e cognome di privati, ma email generiche come “commerciale@dominiodelsito” è obbligatorio avere il consenso della persona che gestisce l’email prima di inviare l’email o possiamo inviarle lo stesso?
    Nella newsletter noi comunque diamo sempre la possibilità di disiscriversi ed inoltre presentiamo la nostra privacy policy e cookies policy.

    Rispondi
  8. mauriziotranchina
    mauriziotranchina dice:

    Grazie della risposta. In realtà per lista ‘non regolare’ intendo una raccolta di email prese dal web, facebook o google, di attività che mettono le informazioni a disposizione del pubblico. Ecco in questo caso si può creare una inserzione che punta a quelle mail? Non verrebbero contattati direttamente ma indirettamente attraverso una sponsorizzata che loro vedrebbero sui social.

    Rispondi
    • Marco Gentilini
      Marco Gentilini dice:

      Sull’utilizzo di indirizzi resi pubblici sul web o sui social non ci sono particolari impedimenti anche se, se contengono dati personali es. nome.cognome@azienda.it è bene non utilizzarli per finalità di marketing massive o che prevedono una profilazione se non dietro uno specifico consenso.
      Nessun problema invece ad essere utilizzati per un contatto commerciale di tipo one-to-one.
      Comunque, detto fra noi, quello che si fa con le CAMPAGNE ADS sui SOCIAL è sempre molto, molto “borderline”.
      Saluti

      Rispondi
  9. mauriziotranchina
    mauriziotranchina dice:

    Buongiorno,
    se possiedo un elenco di mail di fonte ‘non regolare’ posso inserirlo in facebook per creare un ‘pubblico’ ed usarlo per mostrare a queste persone una determinata inserzione? Si trasgredisce a qualche norma?

    Rispondi
    • Marco Gentilini
      Marco Gentilini dice:

      Buongiorno Maurizio,
      la domanda è interessante ma, la questione non è tanto se lei può usare questa lista diciamo “non regolare” su Facebook o su un’altro social per fare Marketing.
      Semplicemente, se non è stata acquisita con tutti i crismi, quindi col consenso oppure una qualsiasi base giuridica, non potrebbe neanche detenerla nei suoi archivi.
      Spero di averle risposto.

      Rispondi
  10. Michele
    Michele dice:

    Buongiorno, leggo che il GDPR non si applica alle persone giuridiche e che pertanto le comunicazioni commerciali inviate ad aziende, enti ed associazioni sono legittime anche in assenza di un esplicito consenso. E’ vero?
    Grazie e saluti

    Rispondi
    • Marco Gentilini
      Marco Gentilini dice:

      Buongiorno Michele,
      una comunicazione commerciale inviata ad una casella aziendale es. nome@azienda.it, pur se compresa in un dominio aziendale, è comunque considerata una comunicazione ad una persona quindi rientra nel novero del Regolamento GDPR a tutti gli effetti.
      Il fatto che il GDPR non si applica alle persone giuridiche è un po’ fuorviante, sarebbe più corretto dire che si applica solo a quelle tipologie di dati che in qualche modo possano ricondursi, direttamente o indirettamente, ad una persona fisica.
      Spero di esserle stato utile
      Buona serata

      Rispondi
  11. Marcello
    Marcello dice:

    Grazie, gentilissimo e chiaro.
    Avendo un programma intelligente che fa sembrare una lettera come se fosse personalizzata anche se massiva difatti è un One-to-One, a parer mio : equivale quasi ad copia/incolla ma fatto da una macchina. Mi sbaglio di molto? Se il ricevente conferma di volerne ricevere altre, bene, altrimenti fine del contatto. Troppo azzardato?

    Rispondi
    • Marco Gentilini
      Marco Gentilini dice:

      Mi dispiace Marcello deluderti ma, per comunicazione one-to-one non s’intende certo usare una piattaforma di mail marketing che automaticamente mette nome e cognome in cima ad una serie di mail uguali per tutti.
      Inoltre, per ottenere il consenso non vale il principio di “silenzio/assenso”, quindi ti devi porre il problema di come ottenerlo in altra maniera, più esplicita e dimostrabile.
      Spero di aver chiarito meglio.
      Saluti Marco

      Rispondi
  12. Marcello
    Marcello dice:

    Ho un elenco di indirizzi email aziendali (soprattuto info@…, redazione@… , clienti@….), costruito nel tempo in decenni di attività. Non riconducibili dunque ad una persona singola ma ad una azienda. Che regole si applicano?
    Ad esempio, si può inviare a tali indirizzi una mail presentazione come fornitore? O bisogna prima inviare una mail chiedendo se puoi inviare una mail di presentazione (che meccanismo perverso e contorto ci pare)?

    Rispondi
    • Marco Gentilini
      Marco Gentilini dice:

      Ciao Marcello,
      dilemma dei dilemmi questo che poni.
      Se la comunicazione è di tipo One-to-One ovvero tu che scrivi ad un ipotetico responsabile che legge quella mail, può essere considerata come un porta-a-porta alla stregua di una normalissima e più che legittima attività commerciale fatta di persona.
      Diverso invece è l’invio massivo di centinaia/migliaia di mail commerciali che, se non precedute da un consenso, vengono considerate come Spam.
      Inviare una mail per chiedere il consenso, in modalità one-to-one e non one-to-many, è un po’ border-line ma, se si fa contestualmente all’invio di una informativa che spiega bene come avviene il trattamento, può andare.
      Spero di esserti stato utile
      Marco

      Rispondi
  13. Giuseppe
    Giuseppe dice:

    Buongiorno,
    l’invio di mail relative ad un congresso annuale è da considerarsi campagna di e-mail marketing? Se non lo è, è comunque soggetto al GDPR? E se, invece, lo è come posso chiedere il consenso alla mia mailing list di 12000 indirizzi (solo nome, cognome e indirizzo e-mail) raccolti da altri congressi, riviste di settore ecc.? Mando un’ultima mail a tutti chiedendo di registrarsi sul sito? Costringere il destinatario a registrarsi sul sito mi sembra più invasivo rispetto a quello che ho sempre fatto, cioè offrire la possibilità di disiscriversi con un semplice click.
    Cordiali saluti,
    Giuseppe

    Rispondi
    • Marco Gentilini
      Marco Gentilini dice:

      Buongiorno Giuseppe,
      premetto subito che tutto quello che comporta dati riconducibili ad una persona fisica sottostà al GDPR, indipendentemente dal numero.
      La registrazione ad un sito non è mai una costrizione se si lascia la libertà di farlo fornendo un’adeguata informativa su come verranno trattati i dati.
      Purtroppo, se non ha altre basi giuridiche a cui appoggiarsi, come ad esempio il Legittimo Interesse in caso di rapporto cliente/fornitore, non ci sono altre possibilità se non chiedere un consenso esplicito ed inequivocabile (non vale la regola del silenzio/assenso in questo caso).
      Spero di averle risposto.
      Saluti Marco

      Rispondi

Lascia un Commento

Vuoi partecipare alla discussione?
Sentitevi liberi di contribuire!

Lascia un commento se ti è piaciuto l'articolo. Se devi fare una richiesta specifica puoi inviarmi una mail a info@marcogentilini.com

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.