E-Mail Marketing e GDPR: essere conformi in 7 passi!

In questo post, estratto dal mio articolo dell’8 Ottobre su Cybersecurity360, affrontiamo i dubbi che assillano i marketing manager in merito a come gestire le attività di EMail-Marketing, per essere in regola col GDPR.

Proprio in questi giorni sono usciti diversi articoli riportanti le attività dei vari Garanti Europei negli ultimi mesi.

Da questo quadro emerge che, al contrario di quello che molti pensano, le attività ispettive vengono fatte anche a fronte di eventi straordinari come Data Breach o semplici segnalazioni di cittadini, con sanzioni anche pesanti (800 rilevamenti e 11 Milioni in 6 mesi solo in Italia).

Nel mirino ci sono sempre più spesso le attività di Marketing, in particolare TeleMarketing ed EMail–Marketing, ed ho quindi deciso di scrivere questo articolo per cercare di fare un po’ di chiarezza a chi, come me, si occupa di queste cose.

Ma quali sono i QUESITI in merito alla Privacy per chi fa campagne di EMail-Marketing?

• Col Gdpr posso ancora utilizzare la mia vecchia Mailing List per fare E-mail marketing?
• Il consenso che avevo ottenuto prima del Gdpr è ancora valido?
• Come devo fare se devo chiedere un nuovo consenso?
• E l’informativa che ho adesso va ancora bene?
• Posso mandare mail liberamente ai miei clienti?
• E per i contatti presi in fiera? E quelli dei miei commerciali?
• …………?

Partiamo dal presupposto che ogni azienda, che faccia un minimo di attività commerciale, abbia un po’ di fogli excel sparsi qua e là (se va bene un CRM), con contatti, mail, nomi e cognomi di referenti, magari raccolti negli anni e provenienti dalle più svariate fonti.

...eh già le FONTI!

Capire da dove provengono i nostri dati è uno degli aspetti più delicati e discussi, ed è proprio da qui che partiamo con la nostra CHECK-LIST per stabilire se quello che facciamo è in linea con il GDPR o meno:

1

Le FONTI: come hai ottenuto i dati?

Capire in che modo sono stati acquisiti i dati è fondamentale!

Purtroppo, nella maggior parte dei casi, non lo sappiamo, perché nella stessa banca dati possono esserci nominativi di tipologie diverse e raccolti nei modi più svariati come ad esempio:

• Clienti già acquisiti
• Prospect e/o Leads con cui avete avuto contatti
• Nominativi comprati da Banche Dati a pagamento
• Biglietti da visita
• Nominativi da eventi e fiere
• Elenchi Pubblici (es. Camera di Commercio)
• Indirizzi presi su Internet, social…
• Iscritti al sito web o alla newsletter

Ipotizzando che per nessuna di queste categorie di fonti sia stato raccolto uno specifico consenso, vediamo una per una cosa possiamo fare e soprattutto cosa NON FARE con questi dati:

Clienti già acquisiti

Prima di partire in tromba chiediamoci cosa s’intende innanzitutto per CLIENTE?

In realtà le normative non danno una definizione chiara né per chi vende ON-LINE né per chi usa metodi di vendita tradizionali OFF-LINE.

È altresì ragionevole pensare che può intendersi cliente chi abbia acquistato un prodotto da noi (o sul nostro sito e-commerce) o si sia servito della nostra azienda dietro la fornitura di un compenso.

Il Considerando 47 del GDPR specifica tra la’altro che, un Titolare (azienda) può avere un LEGITTIMO INTERESSE a trattare dati per finalità di marketing se, per esempio, tratta i dati di clienti.

Se si prende troppo alla lettera questa espressione si rischia però di generalizzare troppo rendendo quindi necessario appoggiarsi ad altre normative come ad esempio l’Art.130 del D.Lgs 101/2018, che specifica meglio in merito al Legittimo Interesse per finalità marketing:

“…. se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente”

In definitiva, è possibile inviare ad un Cliente già acquisito comunicazioni commerciali, newsletter, offerte promozionali inviti ad eventi etc. purché facciano in qualche modo riferimento a prodotti o tipologie di prodotti affini a quelli che ha già acquistato.

Un ESEMPIO potrebbe essere il caso di un Cliente che ha appena acquistato sul nostro E-Commerce un prodotto elettronico e ci ha ovviamente lasciato l’indirizzo e-mail oltre ad altri dati necessari alla conferma e all’evasione dell’ordine:

POSSO inviargli tramite mail comunicazioni, offerte, materiale promozionale, inviti ad eventi etc. che però siano inerenti ad altri prodotti elettronici.

NON POSSO però inviargli comunicazioni che trattino, ad esempio, di abbigliamento, in quanto troppo distanti come categorie/tipologie di prodotto rispetto a quello già acquistato.

#GdprMarketing: non abusare del Legittimo Interesse quando si parla di Marketing Condividi il Tweet

PROSPECT o LEADS con i quali siamo entrati in contatto

Siccome i Clienti normalmente non fanno la fila per comprare da noi, a meno che non ci chiamiamo Apple o Nike, il primo pensiero di ogni responsabile commerciale e marketing è:

“Come faccio a “tampinare” i miei potenziali clienti (Leads), con i quali c’è stato un primo contatto commerciale o un interesse, per spingerli sempre più in fondo nel mio “funnel di vendita” e quindi portarli all’acquisto?”

La cosa che più mi sento dire è che, una volta che sono entrati in contatto diretto con il potenziale cliente, è fondamentale “non mollare l’osso” , e via a tempestare il malcapitato di mail, telefonate, volantini e offerte su tutti i prodotti a catalogo così, dicono, “… prima o poi troverà qualcosa che gli interessa e lo comprerà!”

Personalmente, visto che mi occupo da anni di Inbound Marketing, sono contrario a questo tipo di approccio alla Leonardo di Caprio anni ’80, che avrebbe come inevitabile effetto quello sfinire il destinatario a tal punto da metterci nella Posta Indesiderata e allora“….buonanotte suonatori”!

Comunque, siccome in questo articolo dobbiamo parlare di Privacy e Gdpr, concentriamoci su questi aspetti facendo un altro ESEMPIO PRATICO:

Mettiamo che il nostro Potenziale Cliente ci abbia contattati tramite mail compilando la form di contatto del nostro sito web, chiedendoci un preventivo o semplicemente informazioni su un prodotto specifico.

Qualcuno potrebbe anche dire che, avendoci lasciato spontaneamente la sua mail ci ha “implicitamente” dato il consenso ad usarla ignorando che, il motivo per cui ce l’ha lasciata, ovvero la  FINALITÀ, è ottenere un preventivo o semplicemente informazioni.

Potrebbe quindi non gradire di essere tempestato da ulteriori offerte, newsletter o volantini a meno che, non abbia spuntato una magica e specifica casella dove ci esplicita il consenso ad inviargli materiale marketing promozionale.

Una cosa che pochi sanno è che NON VALE più la logica del SILENZIO/ASSENSO.

Quindi, il consenso è considerato valido solo se espresso LIBERAMENTE e VOLONTARIAMENTE, in maniera ESPLICITA ed INFORMATA ed, infine, deve poter essere DIMOSTRABILE ma, di questo ne parleremo più approfonditamente in seguito.

Questo infatti è il caso in cui la comunicazione deve essere circoscritta e limitata alla sola richiesta pre-contrattuale (offerta o informazioni) ed il relativo trattamento dati si deve esaurire lì.

In definitiva, una volta esaudita la richiesta del potenziale cliente, sarebbe anche opportuno procedere in tempi brevi alla CANCELLAZIONE dal DataBase di tutti i suoi dati personali, mail compresa con buona pace del Responsabile Commerciale e Marketing in quanto sarebbe esaurita la finalità di trattamento.

Nominativi acquistati da BANCHE DATI 

Alzi la mano chi non ha mai acquistato delle belle Liste di nominativi, già belle e pronte e, magari, con “mail già consensate e certificate” da società che vendono BANCHE DATI?!

Potrebbe sembrare una scelta sicura ma, in realtà, è la strada più rischiosa, per diversi motivi che riguardano sempre il CONSENSO:

• CONSENSO a TERZI: nella maggioranza dei casi, gli indirizzi personali di dirigenti o responsabili inclusi nei contatti aziendali della lista, vengono spacciati come “consensati” e, questo in parte potrebbe essere vero ma, quello di cui non siamo mai sicuri è la FINALITÀ per la quale è stato ottenuto il consenso.

Ricordiamoci che il consenso non è mai trasferibile automaticamente a terzi senza un ulteriore consenso specifico per cui, anche ammesso che il consenso per finalità di marketing o di profilazione sia stato regolarmente ottenuto dalla Società proprietaria della banca dati (e qui sempre un po’ difficile da verificare), deve esserci anche il consenso specifico al trasferimento dei dati verso TERZI per le stesse finalità.

• CONSENSO ANTECEDENTE al GDPR: ricordiamoci che il GDPR è entrato in vigore il 25 Maggio 2018 per cui il consenso può essere stato ottenuto prima. Il GDPR dice che il consenso ottenuto prima della sua entrata in vigore può essere ancora valido solo se conforme al nuovo Regolamento altrimenti deve essere emessa una nuova informativa e richiesto un nuovo consenso.
• FINALITÀ: spesso queste società vendono questi dati ad altre società che ne fanno i più svariati usi dal marketing, alla profilazione, al credit-check etc.. Le finalità per cui sono stati raccolti i dati non sempre coincidono con quelle per cui vengono utilizzati quindi, anche il relativo consenso potrebbe non essere specifico per una o l’altra finalità, ed anche questo è sempre difficile da verificare.
• Titolare, Contitolare e Responsabile/i: anche qui la materia è grigia perché non è facile, in questo caso, stabilire di chi sia la Titolarità effettiva del trattamento, chi siano i Responsabili e soprattutto chi deve fare cosa in caso di Violazione Dati (Data Breach).

Consiglio: evitate le liste a pagamento per fare campagne marketing se non siete proprio sicuri della qualità dei consensi. Se spedite mail a diverse migliaia di indirizzi e scoprite dopo che la vostra lista non è a posto rischiate di incorrere in pesanti sanzioni che possono arrivare fino a 20 Milioni o il 4% del fatturato!

Biglietti da visita

Qui la disputa si fa controversa perché viene spontaneo pensare:

” ..ma il biglietto da visita me l’hanno dato con tanto di cellulare e mail personale, per cui è logico che mi dia automaticamente anche il consenso a scrivergli, tutte le volte che voglio e come voglio!!”

La risposta a questo quesito per me ma, anche per altri esperti del diritto privacy con cui mi sono confrontato, è “NI”!

Partendo infatti dal presupposto che questi dati, come ad esempio indirizzo mail e telefono, ci sono stati forniti spontaneamente, il motivo e quindi le finalità possono essere diversi da quelli che abbiamo in testa noi.

Il nostro interlocutore potrebbe infatti averci gentilmente concesso il suo biglietto da visita pensando che lo utilizzassimo per futuri contatti, aggiornamenti sulle offerte/prodotti che ha chiesto ma magari, non gradisce di essere tempestato di mail commerciali…gliene arrivano già fin troppe!!

Infatti, alla base di tutto ci deve essere sempre un’ informativa, che non necessariamente deve essere scritta (ma attenzione a poterlo dimostrare), in cui viene dichiarato che questi dati possono essere utilizzati, oltre che per comunicazioni strettamente funzionali a quelle per cui vi siete incontrati (es. una richiesta di offerta o info su un prodotto), anche per l’invio di comunicazioni periodiche, commerciali e marketing come ad esempio delle newsletter, inviti ad eventi, offerte promozionali, etc.

Nel caso in cui questa informazione, specifica per quella finalità, non sia stata fornita, non potreste inviare newsletter o DEM commerciali (Direct E-mail) se non avete uno specifico consenso che, ripeto, può essere anche verbale ma dimostrabile.

Piccolo trucchetto per ottenere un consenso rapido: fatevi scrivere dal vostro interlocutore, magari a biro dietro al biglietto da visita, che accetta di ricevere comunicazioni marketing o newsletter, impegnandovi però a fornirgli un’informativa completa alla prima occasione utile!

Nominativi da Eventi e Fiere

Il caso è molto simile a quello dei biglietti da visita, con la differenza che spesso i nominativi vengono raccolti in fretta e furia da stagiste ingaggiate solo per l’occasione che, non hanno sempre il tempo e la possibilità, nella tipica confusione di una fiera, di fornire un’informativa completa e raccogliere un consenso con tutti i crismi.

Potrebbe essere utile in quel caso, mettere in una lista a parte quelli per cui non si è riusciti a raccogliere il consenso e fare una “Campagna mail post-fiera”, facendo specifico riferimento alla loro visita in fiera e inviandogli l’informativa privacy con la richiesta di consenso.

In alternativa si potrebbero anche usare dei “contenitori”; ne ho visti delle forme più svariate e curiose, tipo bocce di vetro e anche scatole da scarpe, dove il visitatore può inserire il suo biglietto da visita ai quali è affissa una mini-informativa privacy del tipo:

“Gentile visitatore,
lasciando il tuo biglietto da visita nel contenitore acconsenti ad essere contattato dal nostro personale commerciale per fornirti ulteriori informazioni, materiale, brochure etc sui nostri prodotti e servizi.
Riceverai, qualche giorno dopo l’evento, una mail con la presentazione della nostra società insieme all’informativa completa per il trattamento dei dati personali.
Il Titolare del Trattamento….(Ragione Sociale azienda)”

Dopodiché potete usare la stessa procedura “Campagna post-fiera” spiegata sopra.

Ancora più pratico sarebbe dotarsi di una APP o di un CRM, io ad esempio uso quella di Mailchimp McSubscribe, che permetta di raccogliere direttamente in fiera, magari su un tablet, i dati con i relativi consensi distinti per l’invio di newsletter, profilazione statistica o uso delle foto/video da pubblicare raccolte durante l’evento.

Questa soluzione vi dispensa dal dover inserire manualmente tutti i dati successivamente nel DataBase ed inviare la mail con la richiesta di consenso che, a distanza di giorni, potrebbe anche non essere accettata.

ELENCHI PUBBLICI (es. Camera di Commercio)

Spesso anzi, troppo spesso, mi sento dire:

“…ah… siccome i dati erano negli elenchi che mi ha fornito la Camera di Commercio, quindi sono pubblici, ci posso fare quello che voglio!”

…..in realtà non è proprio così!

Il PUNTO CARDINE da cui non si può mai prescindere è sempre Lei: “Sua Eminenza” la FINALITÀ!

Perchè quei dati sono lì?

Per quale motivo vengono messi a disposizione del Pubblico?

Ovvio che se ho deciso di lasciare la mia casella mail alla Camera di Commercio o a qualche altro Ente Pubblico, non tanto la info@azienda.it ma magari la mario.rossi@azienda.it, non è certo perché chiunque me la possa riempire con decine e decine di mail commerciali o di spam!

Scordatevi quindi, .…mamma quanto vi starò diventando antipatico!!… ;-), di “accarezzare l’idea” di andare alla Camera di Commercio della vostra provincia con l’obiettivo di riempire fogli Excel con migliaia di indirizzi perché tanto non potreste utilizzarli per quello scopo!

A meno che, le Camere di Commercio non si mettano a raccogliere i consensi per il trasferimento dei dati a terzi per finalità di marketing ma, mi sembra molto improbabile che questo possa avvenire, dato che le mission delle CCIAA sono diverse dal fare mercato di liste.

Indirizzi trovati su INTERNET o sui SOCIAL

Questo caso è abbastanza simile al precedente, in quanto abbiamo comunque a che fare con dati resi pubblici sul web o i social media (es. Facebook, Linkedin) che, con pochi click di mouse, sono facilmente disponibili.

Il punto di fondo rispetto agli elenchi pubblici è comunque il medesimo.

È chiaro che, dal momento che metto il mio profilo su Linkedin con tanto di mail, devo aspettarmi missive da qualche sconosciuto…se no non sarei lì!

Ma, un conto è qualcuno che mi scrive direttamente con gli strumenti che mette a disposizione la piattaforma social, presentandosi col suo profilo e spiegandomi perché mi contatta e un altro invece è essere inserito in una Mailing List per poi essere bombardato di mail commerciali.

Quindi, prima di mandare mail “ad minchiam” solo perché avete trovato nominativi e mail in rete, è meglio se contattate prima il destinatario, presentandovi degnamente e spiegando cosa fate, chiedendogli infine se potete inviargli comunicazioni marketing e commerciali.

Ricorda! Quando chiedi il consenso, anche verbale o via chat on-line, non scordarti mai di fornire, contestualmente o subito dopo, l'informativa. #EMailMarketingGdpr Condividi il Tweet

Iscritti alla newsletter dal SITO WEB

Questo è l’unico caso in cui avete il GO “quasi totale” in quanto:

• il vostro utente ha inserito i dati in una form di richiesta;
• ha letto l’informativa, o comunque si presume l’abbia fatto spuntando la casellina;
• ha dato il consenso esplicito a ricevere comunicazioni commerciali e marketing; 
• ha magari anche dato un ulteriore consenso ad essere profilato in base ai suoi interessi;

ATTENZIONE però perché questo NON È un “VIA LIBERI TUTTI!” …e dopo spiegheremo il perché al punto 3!

E adesso che abbiamo analizzato le principali FONTI da cui possono provenire i dati e come trattarli procediamo con gli altri punti della nostra check-list.

2

Hai una INFORMATIVA corretta?

Una cosa che non bisogna mai dimenticarsi è che:

Non esiste CONSENSO senza INFORMATIVA!

Il Regolamento UE 2016/679 (vedi Art. 6,7 e 13) è abbastanza lapidario in questo, dicendo che il consenso deve sempre essere informato, l’informativa deve essere chiara e comprensibile (meglio non in legalese) e deve fornire le seguenti informazioni:

• dati di contatto del Titolare;
• le finalità e le modalità di trattamento (digitale, manuale o entrambi);
• le categorie e tipologie di Dati trattati;
• come abbiamo ottenuto i dei dati;
• se vengono adottate misure adeguate di protezione dei dati;
• quali sono i diritti dell’interessato e come può esercitarli;
• indicare a chi o quali categorie di enti possono essere comunicati i dati (es. Inps, Banche etc);
• se i dati possono essere trasferiti anche in paesi Extra UE e quali garanzie di protezione offrono;
• quali sono i tempi minimi e massimi di conservazione;
• se c’è un processo di profilazione automatizzato;
• se si trattano dati di minori e, nel caso, come vengono gestiti;
• L’indicazione dei Responsabili esterni o come fare per ottenerli;
• i dati di contatto del DPO o Responsabile Protezione Dati (se nominato);

Inoltre, se l’informativa è stata redatta prima dell’entrata in vigore del Regolamento è molto probabile che dobbiate metterci mano, se non altro per modificare i riferimenti normativi.

QUANDO e in CHE MODO devo fornire l’informativa?

Nel caso non possa avvalermi di un criterio che mi legittima a trattare i dati (Art. 6) come, ad esempio, un accordo contrattuale o pre-contrattuale oppure il Legittimo Interesse, e sia quindi costretto a richiedere il consenso, questo deve possibilmente essere preceduto dalla lettura dell’informativa.

Quindi, nel caso abbia nel mio sito la classica FORM di richiesta contatto o preventivo (legittimità pre-contrattuale) e voglia anche chiedere l’iscrizione alla newsletter, devo fare in modo che l’informativa sia immediatamente accessibile, con il link magari posizionato vicino (meglio prima) alla casella di richiesta consenso, in quanto l’utente deve sempre avere la possibilità di informarsi come avviene il trattamento e decidere poi se accettare o meno (vedi link di esempio).

3

Hai ottenuto i CONSENSI nel modo corretto?

In che senso ho i consensi corretti? Un consenso è un consenso…o no?!

In effetti, se ho ottenuto un consenso non vuol dire automaticamente che posso fare tutto quello che voglio e poi…dipende molto da COME l’ho ottenuto e PER CHE COSA.

Innanzitutto, devo sempre poter dimostrare, per il principio di “Accountability”, che il consenso è stato ottenuto liberamente, inequivocabilmente e correttamente informato (vedi punto 2).

Cosa vuol dire LIBERAMENTE? È logico che se uno dà il consenso è libero di darlo o meno!!

Facciamo il solito ESEMPIO:

Se in una form di contatto del sito, che ha come finalità la richiesta di un preventivo o di informazioni, inserisco una casella per il consenso alla newsletter rendendone obbligatoria la spunta ovvero, vincolando la richiesta di informazioni all’iscrizione stessa, vuol dire che il consenso NON è LIBERO e quindi non può essere ritenuto valido.

Importante: ad ogni consenso deve corrispondere una sola finalità o sottofinalità simili!

Questo purtroppo è un grave errore, che fanno in tanti, dovuto alla riluttanza ad inserire più caselle di consenso che potrebbero far dissuadere il visitatore e uscire dal sito.

D’altro canto però, un “consenso cumulativo”, che accorpasse più finalità come newsletter, profilazione, statistica (Google Analytics), trasferimento dati a terzi e cookie di terze parti, sarebbe condizionato o subordinato agli altri rendendolo quindi illegittimo.

E se i miei consensi sono antecedenti al 25 Maggio 2018 devo richiederli di nuovo a tutti i miei iscritti?

E qui almeno una buona notizia perché la risposta è: non necessariamente devi chiederlo di nuovo.

Infatti, se il consenso è stato ottenuto rispettando i principi del Gdpr è ancora valido ma, se così non è in base a quanto hai letto fino adesso, devi ahimè ottenere un nuovo consenso.

Come puoi fare ad ottenere un nuovo consenso?

Potresti inviare una mail alla tua lista, specificando che hai aggiornato le condizioni di trattamento dei dati in funzione del nuovo Regolamento UE 2016/679 (quindi nuova informativa) e che è necessario confermare il consenso precedente tramite un bottone, una spunta o qualsiasi altra forma che preveda un’azione inequivocabile dell’utente.

E se qualcuno non risponde alla mail?

Allora devi smettere di mandargli mail anche perché, ripetiamo che NON VALE il SILENZIO ASSENSO, anche se puoi eventualmente ripetere la procedura dopo qualche tempo…senza però insistere troppo!

4

L’utente può facilmente esercitare i suoi DIRITTI?

Gli articoli del Regolamento UE 2016/679, che vanno dal 12 al 22, riguardano i DIRITTI dell’INTERESSATO cioè la persona fisica di cui stiamo trattando i dati personali.

Per non dilungarci troppo, non starò qui ad elencarli tutti, che comunque l’informativa deve riportare, in particolare, quelli più specifici per chi riceve mail come:

• Il diritto di REVOCA del consenso
• il diritto di CANCELLAZIONE (detto anche diritto all’Oblio).

L’utente deve sempre e facilmente poter esercitare questi diritti senza essere “ingabbiato” in procedure complesse.

In una procedura di EMail-Marketing si deve facilitare il compito all’utente, mettendo ad esempio in calce ad ogni comunicazione, un link o bottone che gli permetta di disiscriversi revocando il consenso dato in precedenza sia per non ricevere più comunicazioni ma, anche per la possibilità di essere completamente cancellato dalla Mailing List.

Molte piattaforme di Mail Marketing, come MailChimp e MailUp, permettono facilmente la disiscrizione automatica e non consentono di inviare più newsletter ma, non cancellano automaticamente i dati mettendoli in un’area a parte. È necessario una ulteriore operazione manuale per cancellare definitivamente i dati dal DataBase, se l’utente l’ha richiesto altrimenti li posso tenere lì a scopi statistici ma non all’infinito (vedi punto successivo sulla conservazione).

Siccome, nell’eventualità di una verifica da parte dell’Autorità (Garante o Gdf), in base al principio di “Accountability”, si deve sempre poter dimostrare quello che è successo, il software di gestione del Database deve anche tenere traccia di questa attività tramite un registro degli eventi di sistema (LOG).

Per l’esercizio di ogni diritto deve anche essere prevista una procedura di autenticazione per identificare con certezza l’identità del richiedente, ad esempio attraverso un processo automatico double Opt-in (es. tramite la conferma dell’indirizzo mail).

Ricordatevi infine che avete massimo un mese di tempo per rispondere ad una richiesta dell’Interessato in relazione all’esercizio di un suo diritto.

5

Hai stabilito i criteri per la CONSERVAZIONE dei DATI per la tua Mailing List?

I criteri per la DATA RETENTION, ovvero quelli che stabiliscono per quanto tempo posso o devo conservare i dati, devono essere ben chiari fin dall’inizio (Privacy By Design e By Default) ed esplicitati nell’informativa.

Fermo restando che i dati ottenuti con il consenso dell’interessato possono essere conservati fino a revoca (vedi Provv. Garante del 15 Ottobre 2020), per tutti gli altri invece esistono criteri differenti e, purtroppo, non sempre così chiari.

Per i dati amministrativi e fiscali è tutto abbastanza semplice perché i tempi di conservazione sono obbligatori e stabiliti dalla Legge (di solito 10 anni).

Negli altri casi ed, in particolare per i dati utilizzati per fini commerciali e marketing, si deve fare riferimento a pareri, disposizioni e linee guida.

Esaminiamo il caso dei CLIENTI ACQUISITI ovvero, quelli per cui il Titolare può inviare Comunicazioni Marketing inerenti a prodotti simili già acquistati in base al LEGITTIMO INTERESSE (vedi Punto 1).

Il criterio del Legittimo Interesse ha senso fintanto che il Cliente è ancora attivo e compra regolarmente.

Ma se nella mia anagrafica ho ancora un vecchio Cliente col quale non ho più rapporti da anni, posso ancora mandargli mail commerciali?

In questo caso, siccome il GDPR non cita questi casi specifici, ci si deve aggrappare a pareri e linee guida emesse dai Garanti Europei in base ai quali si è arrivati a questa definizione che è stata adottata in diversi Paesi UE:

Si deve cessare di inviare comunicazioni marketing ad un cliente se non ha eseguito alcuna “iterazione” con l’azienda negli ultimi 24 mesi in quanto, oltre tale periodo, decadrebbero le ragioni per mantenere un Legittimo Interesse.

Dove per “iterazione” possiamo intendere azioni di acquisto, pagamenti, preventivi, contratti o forniture ancora in esecuzione, richieste di informazioni, contatti diretti della propria rete commerciale etc...

A meno che tu non abbia ottenuto anche il consenso ad inviargli comunicazioni allora, a quel punto, prevarrebbe sul Legittimo Interesse.

6

I dati che hai raccolto sono PROPORZIONATI?

Uno dei principi fondamentali su cui fonda il Gdpr è quello di MINIMIZZAZIONE o di PROPORZIONALITÀ (Art.5 par.c Gdpr) in base al quale la quantità e la tipologia di dati che trattiamo devono essere quelli strettamente necessari a soddisfare le finalità per cui sono stati raccolti.

Ahh…sta benedetta finalità…sempre Lei! Ebbene si, anche in questo caso, l’oste con cui fare i conti è lei!

Come al solito facciamo un bell’ESEMPIO per capire meglio!

Mettiamo che tu sia un Imprenditore, un Responsabile Commerciale, un Marketing Manager, o il consulente di una Web Agency che si occupa della comunicazione per conto di molti clienti, e devi decidere QUALI CAMPI inserire nella FORM di ISCRIZIONE alla NEWSLETTER.

La DOMANDA che devi porti è la seguente:

Quali dati effettivamente mi servono per inviare le mie newsletter?

Credo che siamo concordi tutti nel dire che l’unico dato veramente indispensabile è l’INDIRIZZO MAIL, senza il quale posso solo usare il postino o i piccioni viaggiatori.

E se invece volessi chiedergli Nome, Cognome, Città, CAP, Azienda, Settore e, magari, anche Cellulare, Mansione e Data di Nascita così gli mando anche gli auguri di Compleanno?

“E perché no?! ..già che gli chiedo il consenso glielo chiedo per tutto così, se mi servono quei dati ce li ho già!”

Mentre dati come Nome, Città, Azienda e Settore, possono essere giustificati dal fatto che si desidera personalizzare la comunicazione in base alla locazione geografica o ai possibili interessi (es. mansione, settore), per il cellulare e la Data di Nascita si farebbe un po’ più fatica a giustificarli.

A cosa ti serve il cellulare se gli devi mandare delle Mail?

In quel caso il tipo di dato raccolto sarebbe ingiustificato allo scopo (finalità) di inviare mail, e si incorrerebbe in un trattamento eccessivo di dati, contrario al principio di minimizzazione e quindi passibile di sanzione.

Se però volessi mandargli degli SMS o dei messaggi WHATTSAPP, tipico delle “Fidelity Card” usate ormai in molti negozi, allora la mia finalità reggerebbe e il relativo trattamento, una volta ottenuto il consenso correttamente, sarebbe proporzionato.

7

Come PROTEGGI i dati della tua Mailing List?

Preciso che ho lasciato questo punto volutamente per ultimo, non per ordine d’importanza, quanto perché, essendo quello che riguarda la parte di Protezione Dati molto più tecnica, meriterebbe un capitolo a se ma, vorrei comunque ribadirne l’importanza che ha, a prescindere dal Gdpr, con una leggera “provocazione“.

Se hai sistemato tutti gli aspetti giuridici in merito al #Gdpr (la carta) e non ti sei preoccupato di proteggere i dati allora è come se avessi pagato il bollo, assicurato la macchina e girassi con le gomme lisce! Condividi il Tweet

Tenere la propria Mailing list in fogli Excel o nei file .pst di Outlook, magari anche sparsi nei vari PC di responsabili, commerciali o di segretarie dell’azienda, non è sicuramente un’idea sana.

È altamente raccomandato affidarsi a sistemi di DB centralizzati su Server, meglio ancora se in Cloud certificati (magari locati nella UE), dotati di firewall con sistemi antintrusione IDP e IPS e sistemi di backup collaudati e ben configurati in funzione di un’analisi dei rischi fatta a monte.

La cosa che dobbiamo assolutamente evitare è incorrere in un DATA BREACH, ovvero una violazione dati che pregiudichi la riservatezza, l’integrità o la disponibilità dei dati.

Se la violazione riguardasse anche solo qualche migliaio di indirizzi, ricadrebbe quasi sicuramente nell’obbligo di notifica al Garante entro le 72 ore, con probabili verifiche ispettive di riscontro oltre agli altri danni conseguenti non meno impattanti (immagine, inoperatività, perdita di fatturato, possibili sanzioni).

CONCLUSIONE

Innanzitutto complimenti per essere arrivato fino a qui e, sperando di non essermi fatto odiare troppo, concludo riepilogando cosa hai appreso in questi sospirati 7 PASSI per fare E-Mail Marketing col GDPR:

1. Controllare le FONTI da cui provengono i dati della tua Mailing List;
2. Avere un’INFORMATIVA chiara, completa e accessibile;
3. Ottenere i CONSENSI in modo corretto e senza “furbate” inutili;
4. Consentire con facilità l’esercizio dei DIRITTI all’Interessato;
5. Stabilire i criteri per i TEMPI di CONSERVAZIONE dei dati;
6. Non ECCEDERE nella quantità di dati raccolti;
7. PROTEGGERE i dati;

E ti rammento ancora che, le aziende che svolgono attività di Marketing, in particolare quelle che lo fanno o si presume che lo facciano in maniera massiva, sono e saranno sempre più sotto la lente d’ingrandimento da parte delle Autorità di Controllo e che, tra l’altro, sono obbligate a nominare il DPO (Data Protection Officer).

Questo perché, in questi anni, troppi operatori un po’ “Garibaldini”, hanno “abusato” di strumenti come la Mail e il Telemarketing con il risultato di riempire le caselle degli utenti di spazzatura o di tempestarli di telefonate inutili, oltre ogni limite.

Ecco perché i Garanti Europei (Italiano in testa) hanno colto l’occasione, con questo nuovo Regolamento Europeo, per cercare di contrastare il fenomeno con strumenti più efficaci come le pesanti sanzioni anche penali, emesse in questi ultimi mesi alle quali, mi auguro tu non debba incorrere se metti in pratica quello che hai letto fino a qui.

Fonte: mio articolo su Cybersecurity360