⚖️ GDPR email marketing: come non sbagliare

L’email marketing è una forma di marketing diretto a pagamento, detto in gergo DEM (Direct Email Marketing). In questo caso intendiamo in senso più ampio l’invio di tutte le email a fini commerciali, comprese quindi le newsletter. 

Per attivare questa forma di pubblicità si utilizzano gli indirizzi e-mail che sono dati personali degli utenti. 

Quindi il GDPR si applica a pieno titolo a questa forma di pubblicità con tutto ciò che ne consegue. 

GDPR email marketing: premessa

Il GDPR si applica quando le imprese trattano dati personali delle persone fisiche. 

Per dati personali si intendono quei dati che rendono una persona identificata o identificabile. L’indirizzo e-mail personale è un dato tutelato dal GDPR.

Mentre non è un dato personale l’indirizzo e-mail aziendale in cui non compaiono nome e cognome per esteso dell’utente. Tuttavia qui vengono fuori altre problematiche a carico dell’utente che utilizza la casella e-mail lavorativa per ricevere proposte commerciali, quindi non è il caso di puntare ad avere questo tipo di dato per bypassare il GDPR. In ogni caso il GDPR si applica ai rapporti B2C e la mail aziendale potrebbe invece rientrare nel B2B anche qualora la persona sia identificabile. Tuttavia ci sono opinioni discordanti nei Paesi europei in merito a questa situazione. Per sicurezza ci si attiene agli obblighi previsti dal GDPR anche quando inviamo e-mail ad indirizzi aziendali. 

Preciso poi che la disciplina di cui stiamo trattando non riguarda le email che vengono mandate a fini non commerciali: email lavorative, email per comunicazioni di servizio ed email personali. In questi casi non è richiesto l’acquisizione di un consenso specifico. 

GDPR email marketing: si può fare?

L’email marketing è una forma di pubblicità su cui le aziende puntano molto perché è una delle più performanti. Infatti grazie alla profilazione si fanno proposte commerciali molto mirate su gruppi di utenti, che si sentono privilegiati e coinvolti, quindi è più facile ottenere la conversione. Inoltre i risultati dell’email marketing sono misurabili con precisione. 

L’email marketing si basa sull’utilizzo di tecniche di database building: per alimentare la base contatti aziendali il marketer sfrutta tutti i possibili touch point off-line e on-line per convertire i visitatori in iscritti.

Andando nel dettaglio, le occasioni in cui si può acquisire la mail del cliente sono:

• Off-line:
  • Eventi e fiere in cui per incentivare le iscrizioni email viene dato un gadget all’utente;
  • Compilazione del modulo di contatto all’interno dell’esercizio commerciale, spesso in cambio di una tessera punti;
  • Acquisto di liste di e-mail da società terze.
• On-line:
  • pop-up sui siti che rinviano al form di contatto incentivando l’iscrizione alla newsletter in cambio di uno sconto;
  • utilizzo di lead magnet: in cambio di una risorsa gratuita da scaricare chiedo l’iscrizione alla newsletter;
  • lancio di contest online: l’utente lascia la mail per poter vincere qualcosa;
  • campagne a pagamento di lead generation;
  • sistema di marketing automation con cui si ricorda all’utente già iscritto di avere un prodotto nel carrello del nostro e-commerce.

La tecnica di marketing è tanto più efficace quanto le liste di utenti sono profilate.

Quindi entra in gioco un altro aspetto fondamentale: la profilazione. Con questo termine si intende l’utilizzo di un sistema automatizzato attraverso cui si conoscono gusti, interessi, abitudini degli utenti, con lo scopo appunto di inviare loro offerte commerciali personalizzate.

Quando stava per entrare in vigore il GDPR ci si è chiesti se questo tipo di azioni di marketing potevano ancora essere messe in atto. 

La risposta è sì: si può ancora fare DEM, si possono mandare le newsletter, si può fare lead generation, si possono profilare gli utenti, e si può anche acquistare liste di e-mail da società terze.

Ma la risposta è anche no: nel senso che i contatti acquisiti precedentemente all’entrata in vigore del GDPR in gran parte non sono più a norma di legge. 

Infatti, come è evidente, l’email marketing è una strategia fatta di una serie di attività ciascuna toccata dal GDPR. E queste attività vanno analizzate una ad una.

GDPR email marketing: obblighi del titolare del trattamento

Innanzi tutto per il trattamento dei dati personali ai fini di email marketing si devono rispettare i principi generali del GDPR.

I principi generali riguardano i diritti dell’interessato e i corrispondenti obblighi del titolare del trattamento:

In merito alla raccolta dati:

• utilizzo di form a norma di legge;
• applicazione del principio di minimizzazione dei dati: richiesta dei soli dati necessari ai fini dichiarati. Quindi non raccogliere dati in eccesso: se il mio fine è mandare newsletter non chiedo anche il numero di telefono

In merito alla conservazione dei dati, il titolare del trattamento deve tenere un registro del trattamento in cui sono presenti e aggiornati:

• dati anagrafici dell’interessato al trattamento
• finalità a cui ha acconsentito
• modalità di acquisizione del consenso
• eventuali richieste fatte dall’utente in merito ai suoi dati.

Protezione dei dati delle mailing list: per cui il titolare del trattamento deve adottare tutte quelle misure tecnologiche che fanno sì che i dati siano protetti al massimo dalla violazione. Una volta ottenuti i consensi bisogna associare ad ogni utente un ID univoco per poterlo collegare ai consensi rilasciati. Inoltre bisogna avere un sistema che faccia sì che una volta che l’utente si disiscrive, non sia più possibile inserire di nuovo quella persona neppure in un’altro archivio. Infatti effetto della disiscrizione deve essere la cancellazione da tutti i database.

GDPR email marketing: come acquisire lead a norma

Se l’utente compila il form “contatti” presente sul sito e creato per richieste informazioni o preventivi, non posso utilizzare i dati del form per mandare e-mail commerciali. Inoltre il sito web stesso deve essere GDPR compliance. 

Anzi una volta che l’azienda ha mandato al cliente le info da lui richieste è tenuta a cancellare i suoi dati dal database, in virtù del principio di minimizzazione dei dati.

Per acquisire contatti ci sono diverse tecniche di marketing.

Campagne di lead generation che rinviano ad un form di contatto dove l’utente va a flaggare le caselle per consentire a ricevere e-mail contenenti:

• proposte commerciali 
• newsletter

Ci sono poi le tecniche di marketing volte a fare lead building utilizzando dei lead magnet:

• Invito a scaricare risorse gratuite: quando si chiede l’indirizzo e-mail all’utente per ricevere la risorsa si specifica che la può avere solo se acconsente al ricevimento delle mail commerciali. Questa tecnica non va a limitare i diritti dell’interessato, che dovrà comunque flaggare due consensi e non uno, e potrà sempre cancellarsi dalla lista
• Partecipazione ad un webinar: vale il discorso di prima. Per partecipare ti devi iscrivere anche alla newsletter, oppure per ricevere la registrazione post webinar
• Contest on-line: per partecipare ad un concorso o ricevere un premio devi acconsentire all’iscrizione alla newsletter

I consensi vanno sempre conservati in un apposito software

Acquisto di lead da piattaforme di terze parti

Come è facilmente intuibile i lead hanno un valore economico. Da anni le compagnie telefoniche vendono i nostri dati quando acquistiamo la scheda SIM. Il consenso degli utenti è sempre stato necessario. Ma rispetto alla normativa precedente con il GDPR la disciplina si fa molto più stringente. 

Sono due i fattori che determinano il valore economico dei dati:

A. L’essere conforme alla normativa privacy. Cosa vuol dire? 

Vuol dire che nel form di contatto oltre alla presenza dei normali requisiti relativi al consenso, c’è la dicitura specifica per il  consenso alla cessione dei dati a piattaforme di terze parti per fini commerciali. 

B. La profilazione. Che a sua volta necessita del consenso esplicito da parte dell’interessato. Questo permette al titolare originario dei dati, di lavorarli per conoscere gusti, interessi, abitudini di acquisto dell’utente. 

Se abbiamo entrambe le caratteristiche il dato può valere anche migliaia di euro, ma se manca la prima caratteristica ll’uso di quel dato è illegittimo.

GDPR email marketing: il form d’iscrizione

Vanno inseriti in un unico form tanti check-box quanti sono i tipi di contenuti che sono previsti nella nostra strategia di e-mail marketing. 

DA COMPILARE:

• Nome 
• Cognome 
• Inserisci la tua Email (migliore)

Ogni dicitura da flaggare separatamente e, a seconda del tipo di e-mail, CHECH-BOX separati:

• CHECK-BOX per newsletter:
  • Termini e condizioni (con dicitura di accettazione obbligatoria)
  • Voglio ricevere aggiornamenti settimanali su questo blog
  • Mi voglio iscrivere alla newsletter
  • Accetto di ricevere materiale pubblicitario di aziende terze.

• CHECK-BOX per registrazione a DEM:
  • e-mail
  • password
  • marketing diretto (rinvio alla relativa clausola dell’informativa privacy)
  • profilazione (link alla clausola della privacy policy)
  •  marketing da parte di società terze partner (rinvio alla policy di nuovo)

• CHECK-BOX per scaricare guida con iscrizione alla newsletter obbligatoria:
• nome
• e-mail
• iscrivimi alla newsletter 

Presenza del link alla privacy policy

Utilizzo del “double opt-in”: cioè una volta che l’utente ha dato il consenso attraverso il form, riceve una mail in cui è presente un link per confermare di voler ricevere le proposte commerciali. Questa procedura permette di acquisire un contatto qualitativamente migliore a livello di marketing, di avere la conferma che l’indirizzo e-mail che l’utente ha inserito è effettivamente il suo, e può essere considerata prova dell’acquisizione del consenso. 

Cosa non deve mancare nel testo della mail per essere a norma di GDPR

Una volta che il contatto è stato acquisito a norma di GDPR, anche la struttura e il testo della mail devono rispettare delle regole. In questo caso però entrano in gioco anche le normative anti-spam per cui ci sono dei contenuti obbligatori da inserire:

• Indirizzo e-mail del mittente: non può essere anonimizzato: Questa è la ragione per cui molte email che sono inviate da caselle di posta del tipo info@ finiscono nella spam
• Oggetto della mail: deve essere chiaro, non ingannevole. 
• DEM: nell’anteprima del messaggio compare la dicitura “sponsorizzato”
• Testo della mail: deve essere chiaro che si tratta di un contenuto promozionale
• Dati che devono essere presenti:
  • Indirizzo fisico dell’azienda
  • link informativa privacy
  • link per la disiscrizione 

GDPR email marketing: come adeguare la newsletter

Gli utenti danno il consenso specifico per ciascun tipo di contenuto: se nel form ha acconsentito a ricevere solo aggiornamenti su nuovi prodotti, i contenuti non possono eccedere questa finalità. 

Quindi l’azienda che sa che la sua strategia prevede diverse tipologie di invio newsletter, deve inserire preventivamente nel form una dicitura per il consenso specifico per ciascun tipo di contenuto, e l’utente deve essere libero di scegliere quale accettare.

Marketing automation e GDPR email marketing: 

I software di Mail Marketing come MailChimp, SendingBlue, MailUp trattano dati degli utenti con il ruolo di responsabili esterni del trattamento. Essendo le piattaforme attraverso cui si crea il CRM con varie liste interne, vanno a trattare dati quali: 

• Nome e cognome utente
• indirizzo email
• cookie, dati di navigazione
• comportamenti degli utenti e abitudini di acquisto

Ovviamente come fanno le piattaforme di hosting per i siti web, anche le piattaforme di marketing automation hanno aggiornato gli accordi con i titolari degli account inserendo la nomina a responsabili del trattamento.  

Queste piattaforme sono poi integrabili anche con i social network, e le mailing list create attraverso il CRM possono servire per creare le custom audience cui indirizzare campagne social a pagamento. Quindi si va oltre le campagne di email marketing, coinvolgendo anche il social advertising.

Cosa implica utilizzare queste piattaforme?

• Adeguamento del form di contatto:
  • L’utente deve essere messo al corrente e dare il consenso all’inserimento dei suoi dati in una piattaforma di marketing automation
  • Allo stesso modo deve essere a conoscenza del fatto che sarà oggetto di campagne social targetizzate
• Disiscrizione ha un significato diverso da cancellazione dei dati: con la disiscrizione i dati vengono mantenuti dalla piattaforma, ma vengono inseriti in una lista di archivio. Quindi l’interessato deve poter esercitare sia il diritto di disiscrizione, sia il diritto di cancellazione. E deve essere messo a conoscenza della differenza fra una e l’altra dicitura.

Le mailing list e la profilazione

Come anticipato la profilazione è strettamente collegata all’email marketing e soprattutto alle piattaforme di marketing automation, che hanno il grosso vantaggio di creare liste di utenti estremamente profilate. 

Ma profilare un utente significa tracciarne i comportamenti on-line, conoscere i suoi gusti e le sue preferenze. Per il GDPR è quindi un’attività border-line. 

L’attività di profilazione viene fatta attraverso l’uso dei cookie. In base al regolamento privacy è vietata l’attivazione dei cookie prima che l’utente abbia dato il consenso. Quindi quando il navigatore accede ad un sito web per la prima volta deve comparire un banner ben visibile dove è presente la check-box per dare i consensi: uno per ciascun tipo di cookie. Il banner contiene l’informativa breve e il link all’informativa estesa. L’informativa deve essere chiara, completa ed esaustiva.

I cookie si possono attivare solo dopo che l’utente ha flaggato i consensi e si attiveranno solo i cookie a cui ha acconsentito. 

 GDPR email marketing, sono ancora utilizzabili le mail raccolte prima del 2018? Check-list:

Sembra una domanda assurda nel 2020, visto che ormai ci si dovrebbe essere adeguati. Inoltre il GDPR non rivoluziona la normativa precedente, va semplicemente a rafforzarla.

Ma purtroppo la realtà dimostra che gran parte delle sanzioni comminate dagli organi di controllo sono relative alla non corretta raccolta delle email o al loro utilizzo non conforme. Se manca anche uno solo dei requisiti di questa check-list siamo a rischio di sanzione. È anche vero che questo non significa dover buttare tutte gli indirizzi email non a norma, che costituiscono un valore economico aziendale importante. Si può sempre chiedere il rinnovo del consenso, mandare una email per richiedere iscrizione e-mail attraverso un form a norma di regolamento privacy.

Da dove arrivano i dati? Le fonti

• Indirizzi e-mail di clienti acquisiti: la base giuridica per fare attività di marketing è il legittimo interesse. Però non si può promuovere qualsiasi cosa ma solo prodotti affini a quelli già acquistati. In gergo si parla di soft opt-in.
• Dati acquisiti da richiesta preventivo: no. Prima si potevano mandare e-mail promozionali in maniera più libera, ma adesso ci vuole il consenso specifico ai sensi di GDPR. 
• Indirizzi e-mail acquisiti attraverso form email con caselle preflaggate o che riunivano in un’unica dicitura tutte le finalità di acquisizione dati: con questa modalità la raccolta del consenso non è a norma
• Dati acquistati da piattaforme terze: normalmente tutti questi dati acquistati prima del 2018 non sono più idonei al trattamento.

Le fonti di acquisizione dati non sono di per sé non idonee, lo diventano dal momento in cui non è stato acquisito il consenso in maniera conforme al GDPR. 

L’informativa era già corretta?

Il codice privacy prevedeva già l’obbligo dell’informativa, ma il GDPR introduce delle novità anche per l‘informativa privacy. Quindi è opportuno aggiornare l’informativa privacy email, informare gli iscritti alla mailing list e documentarne la presa visione. 

L’utente ha dato il consenso esplicito?

Ricordiamo che ai sensi del GDPR il consenso deve essere:

• esplicito: l’utente deve aver spuntato la casella di consenso a ricevere newsletter e/o promo commerciali. Di recente la European Data Protection Board ha anche messo fine all’interpretazione secondo cui lo scrolling della pagina equivale a rilascio del consenso;
• libero quindi spontaneo. Questo significa no a caselle preflaggate;
• informato: quindi informativa breve mentre si dà il consenso con possibilità di prendere visione dell’informativa completa;
• specifico: non si possono indicare finalità di marketing generiche
• conservato da parte del titolare del trattamento, per essere dimostrabile. 

Di nuovo ricordo che  non serve il consenso esplicito nel caso che destinatario delle mail sia cliente già acquisito, e oggetto delle mail sia la promozione di 

L’utente può esercitare i suoi diritti?

È necessario che l’interessato al trattamento abbia i recapiti del titolare del trattamento per chiedere

• revisione dei dati;
• cancellazione dei dati;
• chiarimenti in merito a come sono stati acquisiti i dati

Quindi se tutti gli altri requisiti ci sono, basta aggiungere questa informazione nella mail.

Le finalità sono conformi?

Questo è il motivo per cui e-mail ottenute per richieste informazioni, preventivi, motivi di lavoro, non possono essere utilizzate per mandare offerte commerciali.

La data retention viene rispettata?

Non dimentichiamo che i dati non possono essere conservati per sempre, ma solo per un limite di tempo coincidente con il raggiungimento delle finalità per cui sono stati acquisiti. 

Il GDPR limita la conservazione dei dati a 12 mesi per finalità di profilazione e 24 mesi per finalità di marketing.

Quindi sarà difficile che gli indirizzi e-mail acquisiti prima del giugno 2018 siano a norma di GDPR, ma nulla vieta, o meglio vietava, che si potesse rimediare successivamente attraverso la richiesta di conferma del consenso.

Tutti quei contatti di cui non si è mantenuto traccia dell’opt-in vanno verificati con una mail in cui si chiede nuovamente il consenso mentre per gli altri che risultano già comprovati basta un invito a rivedere i propri dati.

Conclusioni GDPR email marketing

Non basta essere venuti a conoscenza di un indirizzo e-mail per sentirci liberi di utilizzarlo a fini commerciali. Questo vale sempre. Pensiamo ad esempio alla visibilità del contatto e-mail su alcuni social o le mail presenti in alcune banche dati pubbliche. Pubblico non è sinonimo di libero utilizzo. Quando l’utente ha inserito i suoi dati nella specifica piattaforma lo ha fatto aderendo ai termini e condizioni di quel database. Quindi l’uso improprio di quei dati porta ad una duplice violazione: la violazione dei dati personali dell’utente e la violazione dei termini e condizioni della piattaforma.

La DEM è un ottimo strumento di marketing se si rispettano i diritti dell’utente. Chiarezza, trasparenza e consenso volontario sono non solo la base per essere a norma di regolamento privacy, ma anche per avere contatti di qualità e una percentuale di conversioni più alta.

Il nostro studio legale oltre a strutturare al meglio l’adeguamento al GDPR per ogni cliente, è in grado di andare oltre e supportarti nel creare la strategia di web marketing efficace e a norma di legge. Questo grazie al fatto che siamo specializzati nel diritto della rete.

Brunella Martino

Avvocato specializzato in privacy e proprietà intellettuale con 15 anni di esperienza, DPO, arbitro in materia societaria, autrice Flaccovio Editore, formatrice aziendale, socia FederPrivacy, segretario dell'Aiga sezione Lucca e componente Aiga nazionale Dipartimento Diritto delle nuove tecnologie

Altri articoli in gdpr che potrebbero interessarti

Visualizza tutti gli articoli

Cybersecurity in Italia: miglioriamo la sicurezza dei dati?

26 Maggio 2023

Quando parliamo di protezione dei dati personali, del valore del GDPR, della privacy e della redazione di una documentazione adeguata a tutelare le informazioni condivise online, lo facciamo anche per sensibilizzare le persone a un uso corretto delle normative, favorire la sicurezza informatica ed evitare reati o cyberattacchi.

Leggi altro

⚖️ Violazioni della privacy e sanzioni

13 Maggio 2020

Si parla di violazione della privacy quando si trattano e si diffondono dati personali senza il consenso dell’interessato al trattamento. Come si può procedere?

Leggi altro

⚖️ Cookie di terze parti: è la fine dell’adv?

9 Aprile 2021

In questo articolo analizzeremo le dinamiche dei cookie di terze parti, il progetto Privacy Sandbox di Google e le reazioni del settore, cercando di capire come si evolveranno la privacy online e la pubblicità digitale nel prossimo futuro.

Leggi altro