Diritto

Fare direct marketing usando le email in modo conforme al GDPR

Il considerando n. 32 del GDPR relativo alla necessaria richiesta di consenso, infatti, si applica anche agli operatori di marketing che fanno uso di pratiche di marketing diretto (settore nel quale rientra anche l’email marketing), i quali prima di intraprendere qualsiasi attività, dovranno ottenere dagli utenti, cui hanno intenzione di inviare email pubblicitarie o newsletter, il consenso espresso di accettare il trattamento dei dati personali che li riguardano attraverso un atto positivo inequivocabile che sia una manifestazione libera di volontà, specifica, informata e indubbia.

Nella sostanza, per un operatore che intenda fare uso dell’email marketing, ma anche per un professionista del settore che offre a terzi servizi di questo tipo, ad esempio impiegando sistemi automatizzati, significa dover adottare nuove pratiche per conformarsi al GDPR:

  • richiedere il consenso (opt-in) nel rispetto delle caratteristiche previste dalla norma (espresso, libero, specifico, informato, inequivocabile);
  • tenere traccia del consenso, quindi, implementare strumenti tecnici che consentano di creare e conservare uno storico dei consensi (es. file log che traccino gli accessi anche da un punto di vista temporale);
  • prevedere un sistema mediante il quale l’utente possa consentire di opporsi (opt-out) al trattamento anche dopo aver prestato il consenso.

Perché il consenso sia validamente espresso, quando si opera nel contesto della società dell’informazione, come consigliato dallo stesso regolamento, è opportuno prevedere sistemi innovativi come la possibilità di selezionare un’apposita casella in un sito web, pur restando un valido consenso qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente che l’interessato abbia accettato il trattamento proposto.
Non vale il silenzio-assenso, né la preselezione di caselle che, di default, dovranno essere non flaggate. Si ricorda che uno stesso consenso vale per tutte le attività di trattamento svolte per la stessa o le stesse finalità (o finalità analoghe), pertanto, qualora il trattamento abbia più finalità (es. newsletter e fidelity card), il consenso dovrebbe essere prestato in maniera separata per ciascuna delle stesse. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non deve interferire immotivatamente con il servizio per cui il consenso è espresso.

Si tenga presente che tali obblighi non si riferiscono solo agli operatori che utilizzano l’email marketing nei confronti dei consumatori; anche rivolgendosi al mercato BtoB sarà necessario rispettare le regole di richiesta del consenso e impiegare meccanismi che consentano di ritirarlo. Non esiste dunque con il GDPR un approccio più leggero e uno più rigido, come invece è avvenuto in passato, dove in alcune occasioni si ammetteva anche la possibilità di implementare meccanismi che consentissero di esercitare solo l’opt-out; con il GDPR in ogni circostanza sarà necessario richiedere il consenso (opt-in) prima di inviare email promozionali o newsletter, salvo il caso in cui il destinatario della email non lo abbia già prestato per una finalità analoga o non sussista l’interesse legittimo del titolare del trattamento (si tenga presente che l’interpretazione del concetto di interesse legittimo, in tal caso, è circoscritta a casi limitati). Il titolare del trattamento, essendo anche il destinatario delle sanzioni, dovrà verificare che il consenso sia richiesto in maniera conforme anche dai terzi ai quali decida di affidare lo svolgimento delle operazioni di email marketing, stipulando un contratto con cui designa il fornitore del servizio responsabile del trattamento, verificando che questi fornisca la garanzia di aver implementato strumenti conformi per la richiesta dei consensi e per l’esercizio del diritto di opposizione.

Se poi l’email marketing viene svolto quale risultato di operazioni di profilazione (inviando ad esempio email promozionali personalizzate in base ai risultati acquisiti da analisi svolte tracciando gli utenti), il GDPR offre una chiara definizione della nozione e dei diritti degli interessati in merito alla profilazione, prevedendo norme ancora più rigide che è necessario rispettare, per non incorrere in gravi sanzioni, tenendo conto che la profilazione effettuata impiegando esclusivamente strumenti automatizzati che assumono decisioni che possono influire significativamente sugli interessati o comportare su di loro effetti giuridici è sostanzialmente vietata, salvo in alcune occasioni o salvo non venga prestato il consenso espresso.

Cosa dunque è consigliabile eseguire prima di intraprendere un’azione di email marketing?

  1. Innanzitutto, effettuare un’analisi della propria banca dati, dove sono conservati gli indirizzi email (chiediti se puoi ancora inviare campagne di email marketing a tutti gli indirizzi di cui disponi);
  2. verificare come tali indirizzi email sono stati acquisiti dalla propria organizzazione (dovrai dunque domandarti ad esempio qual è l’origine dell’indirizzo, in quale occasione è stato ottenuto il consenso espresso, se disponi di una prova – traccia - del fatto che il consenso è stato debitamente ottenuto);
  3. rivedere le policy interne (o implementale se ancora non lo hai fatto), informando, mediante istruzioni operative, i soggetti che sino a questo momento si sono occupati del mail marketing della necessità di cancellare gli indirizzi dei quali non si conosce la fonte o per i quali non sia stato richiesto un consenso corretto e dell’iter da seguire da quel momento in poi, chiarendo anche come dovranno essere custoditi gli indirizzi, quando procedere alla loro cancellazione definitiva, come gestire il processo di trasferimento verso terzi come possibili responsabili del trattamento;
  4. controllare l’informativa e la privacy policy e verificare che esse siano sufficientemente chiare e che specifichino anche la logica eseguita nelle operazioni di email marketing;
  5. se si prevede di realizzare nuove iniziative, occorre giocare d’anticipo e nel momento in cui esse vengono progettate, riflettere anche sulle norme in materia di trattamento dei dati personali, implementando ciò che occorre per essere a norma (privacy by design).

Il GDPR non vieta a priori lo scambio di indirizzi email a pagamento, tuttavia se si decidesse di acquistare una lista di indirizzi email per effettuare le proprie campagne di email marketing, occorrerà prestare particolare attenzione al fornitore, in quanto si dovrà avere la certezza e la garanzia che in relazione a quell’elenco di indirizzi il venditore abbia ottenuto il consenso vero e concreto al trasferimento verso terzi per finalità di marketing diretto, si comprende bene come sia molto difficile ottenere questa certezza, pertanto, salvo non si tratti di un professionista che offra garanzie adeguate che attestino la sua reale conformità al GDPR, è consigliabile evitare tale pratica, in quanto si potrebbe incorrere in sanzioni. La responsabilità di aver ottenuto un consenso al trattamento quando necessario è sempre del titolare del trattamento.

Per quanto concerne poi il processo relativo alla cancellazione e quindi all’esercizio del diritto di opposizione al trattamento da parte di chi lo abbia già prestato, dovrà trattarsi di un sistema chiaro e semplice, come può essere l’inserimento di un semplice link nella email inviata, si tenga presente però che esso dovrà contenere certamente per ogni operatore la possibilità di cancellazione dalla specifica email inviata (es. Cancellati da questa newsletter), tuttavia, se si tratta di un operatore che offre servizi professionali di campagne di email marketing a pagamento per conto terzi, la email inviata all’utente dovrà contenere anche la possibilità di cancellarsi definitivamente da tutti i servizi (es. Cancellati definitivamente dai nostri database), oltre che la possibilità di contattare il mittente della email. Questo sistema stratificato che consente di opporsi al trattamento per l’invio di email promozionali o newsletter e di cancellare definitivamente i dati dovrà essere previsto in tutti i casi in cui un utente non abbia con il titolare del trattamento un rapporto contrattuale in corso, ma si sia semplicemente iscritto ad esempio ad un portale, ad una piattaforma o ad un social.

Chiariamo meglio questo punto con un esempio

Poniamo il caso che un utente si sia iscritto ad un portale di ricerca di lavoro o su un portale di prenotazione di voli aerei e abbia prestato anche il consenso espresso all’invio di una newsletter mensile che lo informa delle possibili posizioni lavorative in una determinata zona, in linea con il suo profilo professionale oppure nel caso delle offerte di volo anche sulla base dei suoi viaggi pregressi, la newsletter dovrà contenere nel proprio footer:

  1. la data in cui l’utente ha effettuato la registrazione e prestato il consenso all’invio delle informazioni/promozioni via email;
  2. la possibilità di cancellarsi dalla newsletter (o comunque le indicazioni su come fare), esercitando il diritto di opposizione al trattamento (opt-out): in questo caso il titolare del trattamento ovvero il mittente della newsletter dovrà contrassegnare i dati come bloccati nei propri database e non dovrà inviare più la newsletter; i dati dell’utente tuttavia potranno essere mantenuti nel database, consentendo all’utente stesso di entrare ad esempio nella propria area personale e continuare a fruire degli altri servizi della piattaforma, una conferma della cancellazione dovrà essere inviata all’utente;
  3. la possibilità di cancellarsi definitivamente dal portale/piattaforma (o comunque le indicazioni su come fare), in questo caso, il profilo dell’utente e quindi i suoi dati dovranno essere cancellati definitivamente da tutti i database e dagli archivi in cui sono contenuti e all’utente dovrà essere data contezza del fatto che il suo profilo sulla piattaforma non esiste più e che qualora intenda ricrearne uno, dovrà ritornare ad effettuare la registrazione come ha fatto la prima volta; una conferma della cancellazione dovrà essere inviata all’utente;
  4. la possibilità di entrare nel proprio profilo per modificare/rettificare i propri dati personali;
  5. la possibilità di contattare il mittente della email.

<<Esempio di email da inviare>>

Si tenga in ogni caso conto del fatto che il regolamento generale sulla protezione dei dati non si applica solo ai dati raccolti a partire dal 25 maggio 2018 in poi, ma anche a quelli già raccolti. Ecco perché è opportuno verificare tutti gli indirizzi e i consensi già ottenuti e, qualora da tale analisi si rilevi che:

  • il consenso non è stato richiesto e ottenuto;
  • si tratti di un consenso richiesto in maniera non conforme alle nuove regole;
  • sia un consenso obsoleto o ambiguo,

è d’obbligo richiederlo nuovamente o comunque cancellare quell’indirizzo email, evitando di continuare ad inviare comunicazioni di marketing via email ad indirizzi dei quali non si abbia una traccia certa che un consenso conforme al GDPR sia stato chiesto e ottenuto.