GDPR e l’email marketing

nessun commento Privacy , ,
img per art GDPR nuova normativa Privacy

Cos’è il GDPR?

GDPR è l’acronimo di General Data Protection Regulation ed è il Regolamento UE sulla Privacy che sostituirà l’attuale D.Lgs. 196/2003, trasformando in legge quelle che fino ad oggi sono delle semplici pratiche.

Alcune cose molto importanti da sapere:

  • Entrerà ufficialmente in vigore il 25 maggio 2018.
  • GDPR è una legge unica e direttamente applicabile in tutti gli Stati membri UE.
  • Sostituisce il D.Lgs. 196/2003 (il cosiddetto Codice Privacy).

I punti essenziali da conoscere

Ecco alcuni punti chiave, per noi professionisti del marketing, da seguire in modo da essere conformi alla nuova legge sulla privacy.

a. Introduzione di nuovi diritti per gli utenti, come la portabilità e la cancellazione

Gli utenti ora possono richiedere che i loro dati, in possesso del titolare del servizio, vengano cancellati o che siano loro consegnati per poter essere trasferiti ad altro titolare.

Il nuovo GDPR prevede che l’utente sia completamente informato su tutto quello che viene fatto con i suoi dati. Se ad esempio dobbiamo monitorare il tasso di click e apertura delle newsletter o profilare i contenuti in base ai comportamenti/interessi degli utenti, significa che stiamo controllando il loro modo di agire. Per questo motivo è necessario informare gli iscritti di questa attività e quindi offrire loro la possibilità di annullare la registrazione.

b. Rafforzamento dei requisiti per l’ottenimento del consenso

Con il nuovo GDPR, chi tace non acconsente!

Il consenso va espresso mediante “un’azione positiva inequivocabile” (considerando 32 del GDPR), con la quale l’interessato manifesta l’intenzione libera, specifica e informata di accettare il trattamento.

Quindi NON possiamo inviare mail a chi non ha mai chiesto di essere contattato e che non ha sottoscritto il consenso al trattamento dei dati personali.

Questo vale anche in caso ci sia stato uno scambio di bigliettini da visita con altre persone. Per cui non è possibile in alcun modo aggiungere queste persone alla propria mailing list, a meno che non gli si invii una mail specifica nel quale gli si chiede il permesso.

Non possiamo richiedere il consenso dell’interessato attraverso una prima mail contente materiale promozionale, oppure riconoscendo all’utente un semplice diritto di cancellazione.

La mail per il consenso deve essere specifica e esclusiva ai fini di ottenere il consenso e basta.

Non configura quindi consenso il silenzio, l’inattività o la preselezione di caselle.
Il consenso deve essere raccolto attraverso delle opzioni di scelta positive, quali la spunta di un’apposita casella non preselezionata che indichi la specifica finalità dell’invio di comunicazioni commerciali o promozionali.

Solo per essere sicuri al 100%… inserendo una frase del tipo: “Cliccando sul bottone Registrati, accetti le nostre condizioni d’uso e confermi di aver letto la normativa tutela dei dati personali” non è sufficiente!

Il consenso raccolto prima del 25 Maggio 2018 resta valido se ha tutte le caratteristiche che il GDPR richiede.

c. Introduzione del Data Protection Impact Assessment

E’ un piano di Valutazione d’impatto sui Dati Personali che dovrà essere adottato ogni qualvolta vi sarà una mutazione nell’asset di trattamento. (Chi tratta quali classi di dati, con quali strumenti/supporti, in quali aree, per quale fine, con quali compiti e responsabilità).

d. La creazione della figura del DPO (Data protection Officer)

Un Piano di Valutazione d’impatto sui Dati Personali che dovrà essere adottato ogni qualvolta vi sarà una mutazione nell’asset di trattamento (chi tratta quali classi di dati, con quali strumenti/supporti, in quali aree, per quale fine, con quali compiti e responsabilità).

e. Il registro del trattamento

Si tratta di un importante registro per la compliance aziendale, in materia di dati personali. Solo le aziende oltre i 250 dipendenti devono redigere e tenere aggiornato un registro contenente:

  • Il nome e i dati di contatto del titolare del trattamento
  • Quali dati vengono trattati
  • La descrizione delle categorie di interessati e delle categorie di dati personali
  • Le finalità del trattamento
  • Chi accede ai dati (all’interno e all’esterno)
  • Se c’è trasferimento all’estero;
  • Termini di cancellazione dei dati (data retention)
  • Una descrizione generale delle misure di sicurezza tecniche e organizzative

f. Nuove regole specifiche in caso di data breach.

Con il termine data breach si intende un incidente di sicurezza in cui dati sensibili, vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato.
Il Garante ha così introdotto l’obbligo di avvisare l’autorità e gli utenti in caso di gravi violazioni a seguito di attacchi informatici o di eventi avversi (ad esempio incendi) che possano comportare la perdita, la distruzione o la diffusione indebita di dati.

E le sanzioni?

Le sanzioni crescono in modo significativo, potendo raggiungere il maggior valore fra 20 milioni di euro ed il 4% del fatturato globale.

Cosa fare dunque in vista dell’esecutività del GDPR?

  • Controllate la vostra informativa: contiene gli elementi obbligatori previsti dal GDPR? E’ formulata in maniera chiara e trasparente? E’ messa a disposizione dell’utente prima della raccolta dei dati? In caso di risposta negativa, provvedete alla sua predisposizione o al suo aggiornamento, evitando i copia – incolla.
    Evitate il copia incolla di modelli rinvenuti nel web! Rivolgetevi sempre ai professionisti.
    Ad esempio una società come Iubenda  può aiutare le aziende nell’adeguamento al nuovo GDPR. Come?
    Iubenda vanta un team legale internazionale dedicato ad assistere le aziende in maniera personalizzata, seguendo i clienti in tutti gli adempimenti legati alla presenza online tipo Cookie Policy, Privacy Policy, Termini e Condizioni, normativa privacy in generale e adeguamento al GDPR. Prova subito il servizio!.
  • Controllate la vostra lista contatti: rimuovete chiunque non disponga di una registrazione del consenso e assicuratevi che i nuovi utenti confermino specificamente l’intenzione di iscriversi alla vostra newsletter, anche mediante l’invio di una mail automatica per confermare l’iscrizione. Il consenso raccolto prima del 25 Maggio 2018 resta valido se ha tutte le caratteristiche che il GDPR richiede, diversamente sarà opportuno adoperarsi per raccogliere nuovamente il consenso degli interessati secondo quando previsto dal GDPR, predisponendo le opportune modifiche o le integrazioni operative e documentali.
  • Ottenete un valido consenso: non contattate qualcuno per offerte commerciali o promozionali a meno che non lo richieda espressamente. Il consenso a ricevere tale tipo di comunicazioni non si presume, ma deve essere provato e fornito per la specifica finalità di marketing.

SendInBlue

Suggeriamo di usare una piattaforma di email marketing che è conforme con il nuovo GDPR, ad esempio SendInBlue.

  • SendInBlue offre le necessarie garanzie di sicurezza per quanto riguarda la gestione del database contatti.
  • Ha una policy interna molto restrittiva nei confronti dello spam
  • Ogni iscrizione registrata tramite questo servizio è associata ad un marcatore temporale, come previsto dalla nuova normativa in materia di privacy. Su richiesta dell’iscritto sarà possibile in qualunque momento recuperare i dati, modificarli, cancellare o fornire informazioni circa i dati conservati.
  • Come ulteriore garanzia per gli iscritti, SendInBlue garantisce archiviazione ed elaborazione dei dati esclusivamente su server situati all’interno dell’Unione Europea, dove la legislazione in materia di dati personali sarà a breve uniformata dal nuovo Regolamento sulla Protezione dei Dati (GDPR).
  • Le specifiche relative a sicurezza e trattamento dei dati sono disponibili sul sito ufficiale di SendInBlue. Provate subito SendInBlue.

Per ulteriori informazioni potete scaricare la guida all’applicazione del regolamento europeo fornito dal garante della privacy.

Per domande non esitate a contattarci.