Con newsletter si intende una comunicazione inviata per email ad una lista di utenti che hanno manifestato un esplicito consenso a ricevere tali informazioni. E’ un mezzo prezioso per consolidare le relazioni con i propri clienti, ma è possibile incorrere in sanzioni salate se non si rispettano le normative previste dal GDPR. Quali step seguire per non essere sanzionati?
Chi sono i titolari del trattamento?
Nel momento in cui accediamo alle e-mail e altre informazioni personali (quali ad esempio nome e cognome, tasso di apertura delle email o lettura delle newsletter) stiamo trattando dati personali, essendo considerati tali tutte le informazioni che:
“identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..”
Chiunque raccolga questo tipo di dati, definito titolare del trattamento, è tenuto a rispettare il GDPR. La normativa non verrà applicata alle attività domestiche (ad esempio alla propria cerchia di amici), ma si applicherà anche laddove si tratti di un’associazione, anche senza scopo di lucro.
I diversi tipi di newsletter
Tra i vari tipi di newsletter troviamo:
- newsletter interne alle aziende, che mirano ad informare i dipendenti sulle attività dei vari team e divulgano informazioni di settore;
- newsletter del Data Protection Officer ai titolari del trattamento per informare sui temi più importanti in materia di GDPR;
- newsletter erogate dalle pubbliche amministrazioni che sensibilizzano la collettività (es. i servizi offerti dal territorio);
- newsletter informative pure che condividono articoli informativi che riguardano i temi più svariati;
- newsletter di influencer/liberi professionisti che informano sulle loro novità e rappresentano un modo per mantenere vivo il rapporto con i follower.
Tutte le newsletter citate si limitano quindi a divulgare l’immagine e la professionalità del professionista o dell’azienda in questione, senza promuovere attivamente i servizi o prodotti offerti.
Sono le email promozionali ad occuparsi della vendita diretta di un prodotto o servizio. Si tratta delle email che informano sugli sconti o novità di un brand o sulla possibilità di partecipare a concorsi.
Come rendere conforme la tua newsletter in 5 step
Per rendere la tua newsletter conforme alle normative devi:
1. Definire gli scopi della newsletter
Come ribadisce il provvedimento del Garante del 4 luglio 2013 è importante avere chiaro i motivi per cui si intende fornire il servizio e quali siano i dati necessari, così come il tipo di newsletter che si intende realizzare.
2. Predisporre l’informativa privacy
La raccolta di dati personali presuppone un obbligo imprescindibile da parte del titolare del trattamento, ovvero quello di fornire un’informativa chiara e completa relativa al trattamento dei dati. L’interessato deve essere informato oralmente o per iscritto riguardo a una serie di elementi. Fra questi:
- i dati trattati;
- le modalità del trattamento;
- le finalità del trattamento (ricerca statistica, marketing, proliferazione ecc.);
- i servizi di terze parti utilizzati;
- i diritti degli utenti in relazione ai loro dati;
- come vengono gestite le richieste degli utenti in merito ai loro diritti;
- quali strumenti vengono utilizzati per le comunicazioni (email, SMS, ecc);
- le misure di sicurezza adottate dalla tua azienda.
Per saperne di più > Informativa privacy: dove, come, quando, perché
Acconsento.click presenta una sezione per redigere l’informativa: dopo alcune domande verrà mostrato il template più adatto alle tue esigenze. Potrai utilizzarlo o modificarlo a tuo piacimento, oppure caricarne uno tuo. Una volta salvato, l’utente potrà visionare e stampare l’informativa.
3. Raccogliere il consenso al trattamento dei dati
Il consenso deve essere:
- esplicito (espresso mediante una dichiarazione o altro gesto inequivocabile);
- informato (l’interessato deve sapere quali suoi dati sono trattati, con che modalità e finalità);
- specifico (deve essere fornito per ogni finalità perseguita);
- libero (non vincolato a condizioni).
Quest’ultimo punto significa che l’interessato deve essere in grado di operare una scelta in maniera autonoma e attiva, inoltre non deve subire alcuna pressione che lo costringa ad accettare, né alcuna conseguenza negativa a seguito del mancato conferimento del consenso.
Proprio per questo, le caselle preselezionate non sono conformi alla normativa.
Fonte: it.101-help.com
Nel consenso per l’invio della newsletter va specificato:
- il soggetto che manderà la comunicazione;
- il mezzo tramite il quale sarà inviata (email, SMS, ecc);
- la tipologia di comunicazione (newsletter, comunicazioni commerciali).
Inoltre, ogni consenso ha una scadenza, pertanto, una volta raggiunta, i dati personali andranno cancellati.
4. Assicurare il diritto di opposizione al trattamento dei dati
Gli utenti hanno il diritto di cancellarsi dalla newsletter in qualsiasi momento.
Il tasto “unsubscribe” deve essere chiaramente visibile, semplice da capire e presente nella newsletter stessa.
Se l’utente chiede di essere cancellato, l’eliminazione deve essere fatta il prima possibile. L’utente potrebbe anche voler ricevere newsletter solo tramite un mezzo e non riceverne più da un altro. In questo caso, a seguito della disiscrizione, andrà impedito l’invio di newsletter tramite mezzi non richiesti.
5. Tenere un registro dei consensi raccolti (altrimenti i consensi non saranno validi)
Il GDPR afferma che il consenso raccolto deve essere dimostrabile. Per farlo, è importante tenere traccia di tutti i consensi acquisiti, altrimenti questi non risulteranno validi.
Di seguito le informazioni che devono essere incluse nel registro:
- quando e come è stato prestato il consenso;
- da chi;
- il modulo del consenso presentato all’interessato;
- le informative in vigore nel momento in cui il consenso è stato raccolto.
Single Opt-In o Double Opt-In
I titolari del trattamento si trovano di fronte a due opzioni: Single Opt-in e Double Opt-In? Si tratta di due criteri differenti che permettono agli interessati di accedere al flusso di comunicazione di una newsletter.
Vediamoli in dettaglio:
- Il single opt-in è il criterio che permette di iscriversi attraverso una sola conferma. L’utente risulterà iscritto alla lista email subito dopo aver compilato il modulo di iscrizione con i dati richiesti.
- Il double opt- in è il criterio che prevede invece due passaggi per iscriversi alla lista email. Una volta compilato il modulo, è necessario confermare l’iscrizione attraverso l’email di conferma inviata automaticamente al nuovo contatto. Nell’immagine sottostante è possibile vedere un esempio di double opt-in.
Il GDPR non richiede obbligatoriamente il double opt-in. Tuttavia, la sua implementazione è considerata una best practice in diversi paesi UE, in particolare in Germania. Grazie al double opt-in è possibile accertare che l’indirizzo email sia valido e che appartenga veramente alla persona che ha espresso la volontà di essere iscritto alla lista email. E’ un ottimo strumento per evitare alti tassi di cancellazione e per migliorare la reputazione del proprio indirizzo.
Casi concreti: cosa si può fare e non fare
Se l’utente ha prestato il consenso a ricevere email per i contenuti pubblicati sul blog, posso inviargli offerte sui prodotti o servizi della mia azienda?
NO. La newsletter che viene inviata all’utente che ha prestato il consenso a ricevere email per i contenuti pubblicati sul blog deve contenere solo questo tipo di informazioni. Questo perché il consenso acquisito è specifico e di conseguenza l’utente ha acconsentito a ricevere solo quel tipo di informazioni. Se si desidera inviare altri tipo di email è necessario richiedere e ottenere un consenso aggiuntivo.
Posso impedire agli utenti di navigare sul mio sito se non accettano di iscriversi alla newsletter?
NO. Se gli utenti fossero costretti ad accettare l’iscrizione alla newsletter per navigare sul sito non si gestirebbe il consenso a norma. Come visto in precedenza, il consenso deve essere libero, pertanto l’utente deve poter scegliere di iscriversi al servizio senza subire nessun tipo di pressione o costrizione.
Rischi e sanzioni
La non conformità può portare a sanzioni salate, con multe che vanno da decine di migliaia a milioni di euro. Oltre a queste, possono presentarsi altre sanzioni preoccupanti che comprendono rimproveri ufficiali, valutazioni periodiche della protezione dei dati e responsabilità per i danni.
Tra gli aspetti maggiormente sanzionati troviamo la violazione dell’informativa e dei diritti degli interessati e la mancanza di validità del consenso. Violazioni queste che rientrano nello scaglione più alto e che possono portare a sanzioni fino a 20 milioni di euro o al 4% del fatturato annuale globale.
Ci possono essere ulteriori conseguenze, quali interruzione dei servizi di terze parti (sospensione del servizio o divieti permanenti) e danno alla reputazione (gli utenti possono percepire la tua attività come poco affidabile).
La conformità al GDPR è una materia complessa. Non improvvisare! Se hai bisogno di aiuto contattaci, siamo esperti di privacy, siti web, cookie e conformità da oltre 20 anni e siamo qui per te.