Email marketing: inviare email in conformità alla normativa

Email marketing: cosa fare e cosa assolutamente non fare per inviare email promozionali in conformità alla normativa e al GDPR.

Email marketing e GDPR: il consenso

Le email di marketing sono uno dei principali strumenti di business soprattutto per le piccole e medie imprese e, in alcuni casi, anche per lavoratori autonomi. Sono utili per inviare offerte o anche solo per pubblicizzare prodotti e servizi. Talvolta l’invio di email di marketing è perfino automatizzato, grazie all’uso di piattaforme di marketing automation. Insomma la newsletter di marketing è uno strumento di promozione estremamente efficace e molto conveniente. Ma può anche costare molto caro.

L’entrata in vigore del GDPR ha messo infatti dei paletti a questa attività e la prima domanda che deve venirci in mente al momento di inviare un’email di marketing è:

“Ho ricevuto dai destinatari della mia mailing list i necessari consensi?”

Il GDPR sul tema del consenso è chiaro: deve essere informati e libero (di conseguenza il principio del silenzio / assenso non è conforme al GDPR). Quindi il primo passo è scrivere una policy privacy chiara e semplice che specifichi perché abbiamo bisogno di raccogliere i dati personali dei nostri utenti e per quali finalità vogliamo usarli. Chi ha raccolto i consensi PRIMA del GDPR deve quindi aver verificato di averlo fatto secondo queste modalità, altrimenti non saranno validi.

Per farla breve esistono due diversi meccanismi, che tra l’altro sono previsti in tutte le piattaforme per l’invio di newsletter

  • l’opt in singolo;
  • il double opt-in ovvero la doppia conferma, una prima sul form di iscrizione alla newsletter e una seconda che l’utente può fornire cliccando un link apposito che riceve via email. Il double opt-in è la forma che meglio rispecchia le previsioni del GDPR.

Dimostrare di aver ottenuto i consensi per l’email marketing: il principio di accountability del GDPR

Il GDPR introduce un principio detto accountability. Anche se la traduzione è impropria, potremmo definirlo il principio di “responsabilità”. Per il GDPR chi tratta dati deve essere responsabile e pienamente consapevole del fatto che sta trattando dati che non sono in suo possesso. Il regolamento infatti ribadisce che i dati personali sono di proprietà dell’interessate l’azienda che tratta quei dati può farlo solo perché l’interessato gli ha concesso di farlo. In cambio l’azienda deve trattare quei dati col massimo rispetto e soprattutto garantirne la protezione.

Ecco perchè se decidi di raccogliere i consensi all’invio di email di marketing, oltre a tenere i dati in un “posto” e in modalità sicura, dovrai anche prevedere di dimostrare di averli raccolti,di averlo fatto correttamente e di mantenerli al sicuro. Il registro dei consensi è uno strumento importante che introdurremo presto su acconsento.click.

Per dimostrare quanto sei responsabile ricorda di “non barare”: un consenso per ogni finalità. Non nascondere il consenso all’invio di email di marketing assieme al consenso alla profilazione tramite cookie. Ugualmente, non pre flaggare la casella con la quale richiedi il consenso ai tuoi utenti. In nessuno dei due casi il consenso sarà considerato “libero e informato” e non sarà valido. Rischierai sanzioni!

Un caso concreto: posso inviare newsletter di marketing all’utente che mi ha contattato per chiedere un preventivo tramite il mio sito web?

NO. Il motivo è semplice e sta nella finalità per la quale ti ha concesso di trattare i suoi dati. Chiedere un preventivo non ciautorizza a tempestare di offerte e messaggi promozionali un utente, a meno che non abbia esplicitamente prestato consenso alla ricezione di email di marketing. Altrimenti il flusso comunicativo verso quell’utente deve cessare con il raggiungimento della finalità “preventivo” e dovrai procedere anche a cancellare i suoi dati. Esaurità la finalità infatti non hai base legale per trattenerli. Ugualmente

Un altro caso concreto: posso inviare newsletter di marketing su viaggi all’estero ad un utente che ha acquistato sul mio e-commerce un prodotti di bellezza?

NO. Però potrai inviargli comunicazioni di marketing relative a prodotti affini senza dover richiedere un nuovo consenso. E’ il cosiddetto Legittimo Interesse per finalità di marketing che consente di trattare dati senza richiedere un nuovo consenso purchè si resti nell0ambito di servizi analoghi a quelli già acquistati in precedenza.

Fonti esterne di raccolta dati: cosa posso fare e cosa no?

Di database a pagamento, zeppi di nominativi e contatti email, se ne trovano a bizzeffe. Il problema è sempre lo stesso: i consensi sono stati raccolti correttamente? Cioè il consenso raccolto è libero, informato e specifico per singola finalità? Ecco, su molte liste a pagamento questo è difficilmente verificabile. Nel caso tu decida di acquistare un database di contatti per rimpolpare la tua lista di newsletter sappi che se i consensi non sono validi, la multa la rischierai tu responsabile del trattamento.

Potrai trattare a finalità di marketing i dati raccolti tramite altre fonti, come quelli raccolti ad eventi o dai biglietti da visita, soltanto dopo aver ricevuto esplicito consenso. Invia loro una email che specifichi dove e come hai ottenuto quei dati, allegando la policy privacy e la richiesta esplicita di consenso.

Oppure raccogli direttamente i consensi, soprattutto nei casi di eventi, fiere, spettacoli e qualsiasi altra occasione di incontro fisico con un potenziale cliente. Basta una soluzione che consenta di raccogliere i consensi su qualsiasi dispositivo: Firmadoc è un esempio di strumento pratico e utile a questo scopo.

Veniamo alle note dolenti: l’informativa privacy o privacy policy

Potrai anche raccogliere i consensi correttamente, ma se la privacy policy non è corretta, anche i consensi non lo saranno. Qui il tema si fa vasto, perché la privacy policy è come un vestito da fare su misura per la tua azienda e per il tuo sito web. Nel caso del tuo sito web, acconsento.click ti fornirà in automatico la privacy policy adatta dopo aver proceduto ad analisi del sito e dei dati che raccoglie.

In breve, la policy privacy deve contenere:

  • i dati di contatto del titolare del trattamento e del DPO, se presente;
  • la base giuridica, quindi il consenso degli interessati;
  • la finalità del trattamento. In questo caso la ricezione di email di marketing;
  • il periodo di conservazione dei dati (scaduto il quale devi cancellarli e non trattarli più a meno di non ottenere un nuovo consenso);
  • le modalità del trattamento;
  • i diritti degli interessati e come esercitarli.

Per l’ultimo caso attrezzati di conseguenza e ricordati che hai un mese di tempo per rispondere alla richiesta di un interessato. Devi garantire agli interessati di poter richiedere la modifica, la rettifica, la cancellazione, la limitazione del trattamento dei loro dati.


Se ti tormentano ulteriori dubbi e incertezze, non improvvisare. Contattaci, ti metteremo a disposizione la nostra esperienza!

ArabicChinese (Simplified)DutchEnglishFrenchGermanItalianPortugueseRussianSpanish