Consulenza legale per ecommerce con un Team di avvocati esperti in privacy e diritto digitale, dal 2011.
0

Riepilogo carrello

Il tuo carrello è vuoto

Prodotti nel carrello: 0
Totale prodotti: € 0,00

Prosegui al carrello

Privacy: come gestire la lista contatti ai sensi del GDPR

27/06/2023

Privacy: come gestire la lista contatti ai sensi del GDPR



Se gestisci un sito web o un ecommerce è molto importante sapere come gestire la lista contatti nel modo più efficace possibile e nel rispetto del GDPR.

Infatti, i dati personali dei tuoi utenti rappresentano un importante asset della tua azienda digitale. Un assett che deve essere gestito a norma, per evitare sanzioni del Garante Privacy e/o reclami degli utenti.

In questa guida vediamo alcune indicazioni legali su come gestire una lista contatti e proteggere il business online.

 


SOMMARIO


Raccogliere un valido consenso privacy
Privacy policy e lista contatti
Lista contatti e marketing profilato
Valido consenso al marketing
Gestione operativa della lista contatti

Quando aggiornare la lista contattati
Cosa fare se l'utente non conferma il consenso 
Le sanzioni
Consulenza legale su come gestire la lista contatti?

 

Raccogliere un valido consenso privacy



Il primo requisito per gestire una lista contatti è quello di costituirne validamente una.

Per farlo è necessario aver pubblicato sul proprio sito web o sito ecommerce:

 

Visto che la lista contatti di solito viene creata per ragioni di marketing, analizzeremo il contenuto della privacy policy e della formula del consenso da questo punto di vista.

 

Privacy policy e lista contatti



La privacy policy deve contenere in modo chiaro e specifico che, previo consenso dell'utente, il sito web o ecommerce procederà all'invio di comunicazioni di marketing.

L'assenza di questa informazione determina che il consenso non è valido e che la lista contatti così generata non è a norma di legge.

Il riferimento all'invio di comunicazioni di marketing può essere fatto in merito a:

 
  • marketing generico: il sito web o ecommerce può inviare comunicazioni generiche, senza profilare gli utenti.
  • marketing "profilato": il sito ecommerce o sito web invia comunicazioni personalizzate agli utenti.
 

Come gestire la lista contatti nel marketing profilato



Proprio con riferimento al marketing profilato è opportuno spendere qualche parola in più. Cosa significa creare una lista contatti con il marketing profilato?

Significa in buona sostanza dividere gli utenti in "gruppi", in base a determinate caratteristiche. Ad esempio, utenti che hanno acquistato determinati prodotti, che hanno determinate caratteristiche e/o interessi.

Una volta creata una lista contatti di questo tipo, il sito procede all'invio di comunicazioni di marketing di specifico interesse per gli utenti, in base a quanto risulta dalla lista contatti stessa.

Ad esempio, se un utente è stato inserito in una lista di utenti interessati a scarpe di ginnastica (perchè magari ha fatto un precedente acquisto di questo tipo), il sito procederà ad inviare email solo riferite a questo tipo di prodotti, o prodotti simili.

Non potrà inviare comunicazioni di marketing riferite ad altre categorie di prodotti. 

Creare una lista di contatti con marketing profilato è molto utile per "segmentare" i proprio utenti, conoscerli meglio e inviare solo comunicazioni alle quali gli utenti stessi sono interessati.

 
lista contatti marketing GDPR

Lista contatti e valido consenso al marketing



Pubblicare una informativa privacy per creare una valida lista contatti non è sufficiente. 

Come abbiamo scritto all'inizio è richiesto che l'utente accetti una formula del consenso al marketing.

Questa è la formula che l'utente deve accettare per esprime un valido consenso al marketing. Solo dopo l'accettazione di questa formula l'email dell'utente può essere inserita nella lista contatti del sito web o ecommerce.

Quale contenuto deve avere una valida formula del consenso?

Ovviamente non si può prescindere dal caso concreto. Vediamo però alcuni principi importanti che valgono praticamente sempre:

 
  • la formula del consenso non deve essere pre-selezionata
  • deve far comprendere all'utente che riceverà comunicazioni di marketing dal sito a mezzo email (o a mezzo di altri strumenti, es. sms)
  • il consenso non deve essere subordinato al fatto che l'utente debba effettuare determinati comportamenti (es. puoi iscriverti alla newsletter solo se procedi all'acquisto di un prodotto)


E' importante anche tenere separata la formula del consenso al marketing da quella del consenso alla profilazione.

In questo ambito ancora molto legali fanno un pò di confusione ed è quindi opportuno specificare che il sito web o ecommerce può pubblicare:

 
  • la sola formula al consenso al marketing generico:
  • la sola formula al marketing profilato
  • entrambe le formule.


Nel caso in cui vengano pubblicate entrambe le formule, queste devono essere tenute separate e distinte: una formula del consenso al marketing generico e una formula del consenso al marketing profilato.

 

La gestione operativa della lista contatti



Una volta che l'utente ha accettato la formula del consenso al marketing l'email può essere utilizzata per inviare comunicazioni di marketing, generico o profilato.

Ovviamente all'utente deve sempre essere data la possibilità di cancellarsi dalla lista contatti.

Questa possibilità deve essere offerta in modo agevole e senza frapporre ostacoli.

Pertanto, nella email di marketing che invii all'utente deve essere presente un link che, una volta cliccato, permette la cancellazione dalla lista contatti.

ATTENZIONE: l'utente può in ogni caso scrivere direttamente al sito web o ecommerce per farsi cancellare dalla lista contatti. Non è obbligario infatti per l'utente utilizzare il link contenuto nella email. 

Quindi, è molto importante che se l'utente scrive al sito web o ecommerce per farsi cancellare dalla lista contatti, il sito stesso deve dare pronta esecuzione a questa richiesta.

Il rischio è quello di subire una segnalazione al Garante Privacy con conseguente sanzione. 

 

Quando aggiornare la lista contatti



Un tema molto importante su come gestire una lista contatti e quello dell'aggiornamento della lista stessa.

In pratica, ogni quanto richiedere il consenso degli utenti iscritti alla newsletter? Quando l'utente ha accettato la formula del consenso, è necessario richiedere il consenso? Se sì, entro quanto tempo?

Prima della entrata in vigore del GDPR i termini erano chiaramente indicati dal Garante Privacy:

 
  • il consenso al marketing generico durava 24 mesi
  • il consenso al marketing profilato durava 12 mesi 


Con l'entrata in vigore del GDPR a maggio 2018 questi termini non sono considerati così perentori da parte del Garante Privacy.

Pertanto, posto che è importante prendere in considerazione se e quando richiedere il consenso al trattamento dei dati per finalità di marketing, hai le seguenti opzioni:

 
  • segui l'originario orientamento del Garante Privacy sopra descritto (quindi per esempio ogni 24 mesi richiedi il consenso al marketing)
  • mantieni le email nella lista contatti fino ad eventuale revoca del consenso
  • fissi nella privacy policy un termine diverso e ben specificato, per esempio ogni 5 anni richiedi il consenso


Ovviamente le scelta deve essere espressa nella privacy policy e deve essere conforme alla tua modalità di gestione della lista contatti.

 

Cosa devo fare se l'utente non conferma il consenso al marketing?




Come abbiamo visto prima la corretta gestione del database di email implica richiedere il consenso entro un determinato periodo di tempo (oppure di indicare nella privacy policy che le email verranno inviate fino ad eventuale revoca del consenso).

In ogni caso, come comportarsi se l'utente chiede la cancellazione della email oppure non conferma il consenso al marketing?

Ovviamente quella email non può più essere utilizzata per ragioni di marketing.

Ciò ovviamente non significa che deve essere cancellata completamente dal database del sito web o del sito di commercio elettronico.

Questo è infatti un errore molto comune nella gestione della lista contatti. Infatti, anche se l'utente chiede di non ricevere più email di marketing, quella stessa email può essere trattata per ulteriori finalità, ad esempio per esigenze di fatturazione o di eseguire il contratto di acquisto.

Ciò significa, quindi, che se un utente chiede la cancellazione della propria email non bisogna procedere alla cancellazione di tutti i dati, ma solo della email inserita nel database per finalità di marketing.

 

Cosa rischi per il GDPR se non gestisci a norma la lista contatti



La gestione non a norma del GDPR può costare sanzioni molto care. Infatti, si rischia una multa fino a 20 milioni di euro o il 4% del fatturato annuo. 

Ovviamente, l'importo della sanzione varia in base a diversi criteri, quali:

 
  • numero di email trattate in modo illecito
  • durata temporale della infrazione
  • eventuali comportamenti reiterati nel tempo


Inoltre, la mala gestione della lista contatti può comportare un danno di immagine. Infatti, se viene emessa una sanzione è molto probabile che essa sia poi condivisa tra i social o tra determinati gruppi di utenti. E ovviamente non è piacevole vedere il proprio sito web o ecommerce "additato" come sito non rispettoso della privacy degli utenti.

 
come gestire la lista contattati GDPR
 

Consulenza legale su come gestire la lista contatti?



Utilizza il link riferito alla prenotazione della consulenza legale. Potrai indirizzare al meglio il tuo business digitale!

Team LegalBlink