Come dimostrare il consenso al marketing e alla newsletter
Se gestisci un
sito web o un
ecommerce è probabile che ti sia chiesto:
come dimostrare il consenso al marketing o alla
iscrizione alla newsletter ?
Niente paura. I
nostri avvocati esperti in privacy hanno preparato questa guida che ti guiderà passo dopo passo su come ottenere questo consenso a
norma del GDPR. E la parte migliore? Niente bisogno di avventurarsi in complicati tool o intricati sistemi CMP!
Buona lettura!
Hey, se non lo hai già fatto, seguici sui nostri social:
Facebook,
LinkedIn e
YouTube. Oppure iscriviti alla nostra newsletter. Sarai sempre aggiornato sulle novità legali del mondo e-commerce e sulle implementazioni del nostro
generatore di documenti legali!
SOMMARIO
Il contesto privacy di riferimento
Perchè è importante dimostrare il consenso al marketing
Come dimostrare questo consenso
I sistemi CMP sono necessari?
Come dimostrare l'accettazione alla privacy policy
La prova del consenso ai cookie di profilazione
Gestione della revoca del consenso e aggiornamento delle liste
Errori frequenti nei form di iscrizione
Conservazione del consenso e data retention
Maggiori informazioni?
L'ambito di applicazione riguarda il caso di un sito web o di un ecommerce che offra la possibilità agli utenti di
iscriversi ad una newsletter.
Questa possibilità è di solito permessa mediante l'inserimento della email in una apposita sezione del sito internet, seguita dalla accettazione di una formula del consenso.
Ovviamente, del fatto che il sito internet potrà inviare comunicazioni di marketing se ne dovrà dare menzione nella
privacy policy del sito web.
NOTA: Per un approfondimento completo sui profili legali del remarketing e sui requisiti GDPR, trovi qui una
guida aggiornata e operativa.
L'azione dell'utente che accetta la formula del consenso deve essere ovviamente dimostrata. In caso contrario c'è il rischio che l'utente possa denunciare un caso di spam: vale a dire potrebbe sostenere di non essersi mai iscritto alla newsletter e quindi denunciare il sito web al
Garante Privacy.
Quindi può sorgere la domanda: come dimostrare questo consenso? Devo implementare particolari
tool per dimostrare il consenso alla ricezione di comunicazioni di marketing o l'iscrizione alla newsletter?
La maggior parte dei siti internet e di commercio elettronico utilizzano
sistemi di automatizzati di invio di newsletter (le c.d. piattaforme CRM).
Si tratta di piattaforme tramite le quali, dopo aver installato il relativo plugin, è possibile ricevere le email degli utenti che hanno
prestato il consenso all'invio di comunicazioni di marketing.
Ebbene, nella stragrande maggioranza dei casi questi sistemi conservano la prova dell'avvenuto consenso.
Nella figura sotto riportata trovi un
esempio di tracciamento del consenso al marketing di una nota società di invio di newsletter.
Ecco come dimostrare il consenso al marketing, rispettando il GDPR e senza implementare (e pagare) ulteriori sistemi.
Innanzitutto, cosa si intende con la
sigla CMP?
Con questo termine si intendono le piattaforme di Consent Management Platform (Piattaforme di Gestione del Consenso). Sono piattaforme che offrono diversi servizi per rispettare la privacy degli utenti e la
gestione dei cookie.
Se hai
controllato che la tua piattaforma di invio di newsletter traccia già il consenso al marketing, l'uso di un sistema di CMP molto spesso si risolve in un costo ulteriore e non necessario per la tua attività.
Medesime considerazioni valgono per la
presa visione della privacy policy.
Qui il contesto di riferimento è quando si chiede all'utente di confermare di aver letto e di accettare l'informativa privacy del sito web (magari nella sezione "Contattaci" del sito").
Come per il consenso al marketing anche in questo caso è molto probabile che esista già uno
strumento per tracciare questo comportamento dell'utente.
Questo strumento non è la piattaforma di invio delle newsletter ma la stessa piattaforma CMS utilizzata per la costruzione del tuo sito web o ecommerce.
Anche in questo caso, quindi, per dimostrare il consenso non devi installare un sistema CMP o altri costosi tool.
Anche se la presente
guida ha per oggetto la prova del consenso al marketing e alla iscrizione alla newsletter è opportuno fare un cenno anche al "tema cookie".
In questo ambito è importante dimostrare il consenso al rilascio dei cookie di profilazione (leggi la guida su
come riconoscere i cookie di profilazione).
Questo obbligo può essere soddisfatto tramite un registro sul tracking dei cookie, che tiene traccia di informazioni quali:
- categorie di cookie di profilazione eventualmente accettati
- giorno di accettazione
- indirizzzo IP
Scopri come
tracciare il consenso al rilascio ai cookie di profilazione con LegalBlink.
Il GDPR impone che il consenso possa essere revocato in qualsiasi momento, con la stessa facilità con cui è stato prestato (art. 7, par. 3). Nel contesto di newsletter e marketing, ciò significa che ogni comunicazione deve includere un meccanismo chiaro e immediato di disiscrizione.
Dal punto di vista operativo, la revoca comporta l’obbligo di aggiornare tempestivamente le liste di contatto e di interrompere ogni ulteriore trattamento per finalità di marketing. Continuare a inviare comunicazioni dopo la revoca equivale a trattare dati personali in assenza di base giuridica.
Il mancato rispetto della revoca espone il titolare a sanzioni amministrative fino a 20 milioni di euro o al 4% del fatturato annuo mondiale, oltre al rischio di segnalazioni al Garante Privacy e richieste risarcitorie da parte degli interessati.
Molti consensi vengono raccolti in modo formalmente scorretto, rendendoli giuridicamente invalidi. Tra gli errori più comuni rientrano le checkbox preselezionate, i consensi cumulativi (privacy + marketing + profilazione con un’unica spunta) e le formule generiche o ambigue.
Un consenso non specifico o non libero è considerato inesistente ai fini del GDPR. In questi casi, anche se l’utente ha inserito la propria email, il trattamento per finalità di marketing è illecito.
Le Autorità di controllo hanno più volte sanzionato siti ed eCommerce per moduli di iscrizione non conformi, con multe che possono raggiungere importi significativi anche per realtà di piccole e medie dimensioni, soprattutto in caso di trattamenti ripetuti o sistematici.
Un altro aspetto spesso trascurato riguarda la durata di validità del consenso. Il GDPR richiede che i dati personali siano conservati per un periodo non superiore a quello necessario rispetto alle finalità per cui sono trattati.
Un consenso al marketing non può essere considerato valido “per sempre”. Se l’utente non interagisce più con le comunicazioni o se trascorre un lungo periodo di inattività, il titolare dovrebbe valutare la necessità di rinnovare il consenso o cancellare i dati.
La conservazione indefinita di consensi obsoleti viola i principi di limitazione della conservazione e minimizzazione dei dati, con possibili sanzioni da parte del Garante e obbligo di cancellazione delle liste non aggiornate.
Contattaci: il team LegalBlink è a disposizione per chiarire ogni dubbio sulla privacy e aiutarti a gestire marketing e consenso in modo conforme e sicuro.
Team LegalBlink