Newsletter a norma di legge: come rispettare il GDPR
Se gestisci un sito web o un ecommerce è molto probabile che vorrai
inviare newsletter ai tuoi utenti. Una
gestione a norma di legge della propria lista contatti infatti è un ottimo modo per mantenere il rapporto con i clienti e farsene di nuovi.
Per fare in modo che l'invio di
comunicazioni di marketing e newsletter sia producente, però, deve essere eseguito
ai sensi di legge. In particolare, deve essere fatto nel
rispetto di quanto previsto dal GDPR.
Proprio per evitare reclami degli utenti o sanzioni del
Garante Privacy i nostri legali esperti di privacy per siti web ed ecommerce hanno preparato la seguente guida.
In questo nuovo articolo, infatti, imparerai, nel concreto, come
gestire una newsletter a norma di legge nel rispetto del GDPR.
Vuoi verificare se i i documenti legali del tuo sito web sono a norma. Prova il nostro
test gratuito di conformità legale!
SOMMARIO
Cosa si intende per lista contatti e newsletter
L'informativa privacy del sito deve menzionare l'invio di newsletter
Formula del consenso e GDPR
Permettere la cancellazione dell'utente
Per quanto tempo puoi inviare newsletter
Come LegalBlink ti aiuta a gestire la lista contatti
Il primo passo per rispettare il GDPR è quello ovviamente di sapere bene cosa si intende, nel nostro contesto digitale, per "lista contatti" e per newsletter.
Ebbene, il
termine "lista contatti" si riferisce ad un insieme di informazioni riguardanti individui o entità, spesso organizzato in un database o una piattaforma di gestione delle relazioni con i clienti (CRM).
Queste informazioni possono includere, ma non sono limitate a,
nomi, indirizzi email, numeri di telefono, e altre note rilevanti.
Nell'ambito del
marketing digitale, una lista contatti è spesso utilizzata per inviare comunicazioni, offerte o aggiornamenti a gruppi target di individui.
Il concetto di "newsletter" è ovviamente funzionale e accessorio alla lista contattati. Infatti, che senso ha possedere una lista se poi si raggiunge gli utenti con newsletter e/o comunicazioni di marketing?
Non ci sono definizioni legali di "newsletter".
Nel gergo digitale con questo termine si intende una comunicazione regolare inviata per email a una lista di utenti che hanno manifestato un valido consenso a ricevere questa tipologia di informazioni.
Lo abbiamo scritto all'inizio di questa guida ma giova ripeterlo anche qui: la
newsletter è uno strumento prezioso per i siti web ed ecommerce per mantenere un rapporto con la propria base di clienti o followers, promuovendo la fidelizzazione e fornendo valore aggiunto.
C'è differenza tra newsletter e comunicazioni commerciali?
Visto che stiamo approfondendo il tema delle definizioni, è utile chiarire un concetto.
Dal punto di vista privacy non c'è una particolare differenza tra l'invio di una
newsletter e di
comunicazioni commerciali.
Entrambe queste comunicazioni, infatti, dovranno rispettare i
criteri qui descritti per essere fatte a norma di legge e del GDPR.
In tal senso ci viene in aiuto il Garante Privacy, il quale nelle sue
Linee guida sullo spam ha chiarito questo importante concetto. Dal punto di vista pratico questo significa che si può inserire una unica formula del consenso - menzionando l'invio di newsletter e comunicazioni commerciali - per poter inviare alla nostra lista di contatti entrambe queste categorie di comunicazioni.
Ovviamente se nella formula del consenso non ho menzionato l'invio di comunicazioni commerciali, ma solo di newsletter, è ragionevole ritenere che non potrò inviare pubblicità ai miei utenti. E viceversa.
Per
gestire una newsletter nel rispetto del GDPR è molto importante curare la
privacy policy del sito web.
Che tu abbia deciso di affidarti a un
generatore di privacy policy oppure a un
avvocato esperto in dati personali è infatti essenziale che la tua policy abbia determinate
caratteristiche legali.
L'elemento più importante è riferito al fatto che
l'informativa privacy deve menzionare il fatto che,
previo consenso dell'utente, il sito potrà inviare comunicazioni di marketing e/o newsletter.
Inoltre, la privacy policy deve spiegare all'utente i suoi diritti previsti dal GDPR; ad esempio il diritto di:
- revocare il consenso all'invio di queste comunicazioni
- chiedere quali dati personali sono trattati dal sito internet o dall'ecommerce
- chiedere a quali soggetti i dati personali sono comunicati
Altra attività importante per
gestire una lista contattati a norma di legge è quello di pubblicare una valida
formula del consenso.
Questa infatti è la formula che l'utente deve accettare per permetterti di inviare comunicazioni di marketing o newsletter.
Come l'informativa privacy, anche la formula del consenso, deve avere
determinate caratteristiche dal punto di vista legale.
Infatti, la formula del consenso
non deve essere pre-selezionata. L'utente deve essere messo nella condizione di esprimere il proprio consenso con un comportamento attivo e non trovarsi la formula già selezionata.
Inoltre, il consenso deve essere "libero". Vale a dire che l'utente non deve subire alcun tipo di "pressione" per essere costretto ad accettare. Ad esempio,
non si gestirebbe a norma la lista contattati se gli utenti per navigare sul sito fossero costretti ad accettare anche l'iscrizione alla newsletter.
Nella
formula del consenso per l'invio di newsletter inoltre devi specificare:
- il soggetto che manderà la comunicazione (va bene anche il solo nome "commerciale", come Nike o Apple)
- il mezzo tramite il quale verrà inviata la comunicazione, esempio per email e/o per sms
- l'oggetto della comunicazione. Vuoi inviare solo newsletter oppure comunicazioni commerciali?
Devi ovviamente mettere in conto che uno o più utenti
vorranno cancellarsi dalla tua newsletter. Oppure può accadere che un utente scriva per
non ricevere più comunicazioni tramite un determinato mezzo, ad esempio SMS.
In ogni caso, tramite il tool che utilizzi per inviare queste comunicazioni devi poter gestire queste richieste.
Quindi, se l'utente chiede di essere cancellato dalla newsletter devi eseguire la cancellazione il prima possibile e senza indugio, comunicando poi all'utente la circostanza. Se invece l'utente vuole ricevere newsletter solo tramite un determinato mezzo dovrai impedire l'invio di newsletter tramite i mezzi non richiesti dall'utente stesso.
Quando si tratta di ottenere e dimostrare il
consenso per l'iscrizione alla newsletter, molte aziende temono la necessità di investire in costosi strumenti esterni.
Tuttavia, ciò che molti potrebbero non realizzare è che
gli stessi tool utilizzati per inviare newsletter possono spesso fornire una prova sufficiente del consenso dell'utente.
Questi sistemi, infatti, solitamente registrano quando e come un utente si è iscritto, conservando dettagli come
l'indirizzo IP, la data e l'ora dell'iscrizione e qualsiasi altra interazione correlata.
Queste informazioni, quando raccolte e conservate correttamente, possono fungere da
prova affidabile del consenso, eliminando la necessità di strumenti esterni aggiuntivi e riducendo così i costi per le aziende.
Pertanto, non servono affatto costosi strumenti di "
prova del consenso".
Per
gestire a norma di legge una newsletter è importante sapere
per quanto tempo, a partire dal consenso, puoi continuare a inviare comunicazioni.
Prima dell'introduzione del GDPR c'erano regole piuttosto specifiche riguardo alla durata del consenso per le comunicazioni di marketing.
Ad esempio, per comunicazioni di
marketing generiche, era spesso concesso un periodo di 24 mesi dal momento dell'ottenimento del consenso, mentre per
comunicazioni profilate - quelle basate su dati e comportamenti specifici dell'utente - il periodo era più breve, solitamente di 12 mesi.
Con l'adozione del GDPR, però, il panorama è cambiato notevolmente. Invece di limiti temporali "secchi", il GDPR ha introdotto il principio dell'"accountability", o responsabilità.
Questo significa che i
siti internet ed ecommerce devono essere in grado di dimostrare in ogni momento di avere una base legittima per trattare i dati personali e inviare comunicazioni di marketing. In pratica, ciò implica che
non esiste un periodo fisso dopo il quale il consenso perde validità; piuttosto, dipende dalla natura e dall'operatività del sito, così come dalla relazione con l'utente.
Ad esempio, se un sito web ha interazioni frequenti e significative con un utente, potrebbe essere ragionevole sostenere che il consenso
rimane valido per un periodo di tempo più lungo.
Al contrario, se l'interazione è minima o assente, potrebbe essere difficile giustificare l'invio di comunicazioni di marketing dopo un lungo periodo di inattività. Pertanto, le aziende devono valutare attentamente la loro posizione e assicurarsi di avere procedure chiare e trasparenti per gestire e
rinnovare il consenso.
LegalBlink è un potente
generatore di documenti legali, con un Team di
avvocati esperti in ecommerce e
privacy a supporto.
E' l'unico tool dove i documenti legali (e quindi anche l'informativa privacy) possono essere generati direttamente da legali esperti in privacy e diritto digitale.
Questo servizio esclusivo è permesso tramite il pacchetto
Easy Merchant, che si può attivare anche per i siti vetrina, con uno
sconto del 50%.
In particolare, tramite questo servizio non solo la privacy policy è generata direttamente dai nostri legali, ma tramite il
checkup legale del sito viene presentata anche la corretta formula del consenso da pubblicare online.
Una soluzione che protegge il sito a 360° da reclami o contestazioni.
Team LegalBlink