Mail marketing o spam? Attenzione a privacy e consensi
Il mail marketing ha ormai completamente sostituito le vecchie cartoline e lettere pubblicitarie. Più facile, più economico, più immediato, più efficiente. Anche più rischioso?
Le normative in materia di mail marketing si sono moltiplicate in modo esponenziale. Non ultimo il GDPR. Prendere gli indirizzi postali dall’elenco del telefono in modo indiscriminato è anacronistico e persino pericoloso.
Per questa ragione è bene rivolgersi a chi ha fatto del concetto di privacy il cuore del proprio business:
“È doveroso ricordare che le buone pratiche applicate a una campagna di mail marketing rappresentano solo un aspetto dell’applicazione del GDPR (privacy by design e by default) che si stratifica all’interno dell’azienda fino a coinvolgere tutti i gangli della sua organizzazione”,
ha spiegato Daniele Umberto Spano, Amministratore di Kruzer.
“Vorrei sottolineare il concetto chiave della privacy: la tutela e la protezione dei dati non riguarda solo i clienti o i destinatari di una mail, ma anche i dipendenti, i visitatori, i navigatori del proprio portale, i candidati a una posizione lavorativa e qualsiasi altra persona fisica che si interfaccia con l’azienda”.
Kruzer può affiancare le imprese che hanno l’obiettivo di operare secondo le regole, cercando di massimizzare la propria attività commerciale e di marketing:
“La nostra società, molto spesso, si interfaccia con le imprese e con i loro consulenti di marketing o con i loro partner strategici, così da definire l’operatività più conveniente per rendere l’attività redditizia, ma allo stesso tempo conforme alle normative. È molto importante l’attività di formazione e di consulenza che svolgiamo sul campo”.
Le campagne di mail marketing sono all’ordine del giorno per ogni azienda. Quali sono le regole per utilizzare questo strumento essendo GDPR compliant?
Sicuramente dipende dal tipo di campagna di mail marketing. Se è prevista un’attività di contatto one to one, come può essere un massivo invio di mail, è indispensabile ottenere il consenso degli interessati. Nel caso in cui si effettui una campagna di mail marketing su nominativi non raccolti direttamente, è bene accertarsi che abbiano espresso il consenso a ricevere comunicazioni da terzi. Inoltre, è fondamentale mettere a disposizione l’informativa sul trattamento dei dati previsto ed essere pronti a bloccare l’invio di materiale pubblicitario nel momento in cui i destinatari dovessero esercitare il diritto di opposizione al trattamento. Nel momento in cui si dovesse effettuare una campagna basata sul contatto telefonico, bisognerà prima accertarsi che il numero di telefono non compaia sul Registro delle Opposizioni, in particolare, se vengono contattate persone fisiche. Per utilizzare il numero di cellulare è sempre necessario il consenso.
Esistono diverse tipologie di campagne di mail marketing a seconda del destinatario (prospect, cliente, etc.). Quali possono essere le differenze rispetto alla gestione dei dati?
I dati devono sempre essere gestiti nel pieno rispetto della volontà della persona, con la garanzia della protezione e della tutela e in modo lecito, al di là del ruolo del soggetto. Tuttavia, c’è un caso in cui il consenso del soggetto non serve, in quanto la base giuridica rientra nel concetto di “legittimo interesse”: stiamo parlando del “soft spam”. Si tratta di comunicazioni inviate a persone che hanno acquistato da poco un certo prodotto o servizio. In questo caso, è consentito inviare comunicazioni inerenti quello specifico prodotto o servizio o un bene molto simile. Tale eccezione è sancita da un paragrafo dell’art. 130 del vecchio codice della privacy, ritenuto ancora valido dato che non è stato abrogato dal nuovo decreto del 2018.
Esistono casi particolari?
Una situazione particolare potrebbe essere quella relativa i minori. Dobbiamo ricordare che il consenso è valido se prestato da una persona di età maggiore di 16 anni, nella società reale, e di 14 nella società dell’informazione. Un prodotto acquistabile online che preveda la consegna fisica, richiede un’età di almeno 16 anni, mentre un servizio online, solo 14. Bisogna tenere conto delle caratteristiche anche di tipo “legale” che può avere il destinatario di alcune particolari comunicazioni, specie di mail marketing.
Come comportarsi con i nominativi acquistati da banche dati?
Come accennavo, è necessario accertarsi che ci siano tutti i consensi previsti. È consigliabile acquistare nominativi da organizzazioni riconosciute come affidabili e serie.
Cos’è il sistema double opt-in? Perché è bene preferirlo rispetto al semplice opt-in?
Come sempre esistono pro e contro: necessitando di un solo click di conferma per l’iscrizione a una mailing list, il semplice opt-in consente una maggior fluidità, velocità e un più basso tasso di abbandono. Tuttavia, la conferma ulteriore, richiesta dal double opt-in, fa sì che il mailing non si riversi, magari per un mero errore di scrittura, su caselle di soggetti che non hanno mai richiesto tale servizio, ponendoci in una situazione di illegittimità. In pratica il double opt-in consente la costruzione di un database di più alta qualità e coinvolgimento, oltre a fornire al titolare del trattamento un solido consenso da parte dei soggetti destinatari. Alcuni tribunali tedeschi hanno addirittura ritenuto il single opt-in una prova non sufficiente di consenso.
Cosa non deve mancare nel testo della mail per essere a norma di GDPR?
Sicuramente non deve mancare l’esortazione al destinatario a esercitare il suo diritto di cancellazione e opposizione al trattamento nel caso in cui non fosse gradita la comunicazione inviatagli, oltre a un link che gli consenta di visionare l’informativa sul trattamento dei suoi dati. Potrebbe essere conveniente, inoltre, indicare la fonte del nominativo.
Abbiamo ribadito più volte che l’Informativa Privacy deve essere esaustiva, chiara e trasparente. Quando e in che modo deve essere fornita?
È bene metterla sempre a disposizione dell’utente, anche solo indicando un link. In qualsiasi momento, questi deve poterla visionare. In ogni caso, deve essere messa a disposizione prima di effettuare il trattamento e contestualmente al rilascio del consenso.
A cosa bisogna prestare attenzione in merito al diritto di revoca del consenso?
In caso di richiesta di cancellazione, è fondamentale la tempestività. Infatti, la cancellazione deve avvenire entro un mese dalla richiesta, stando alle disposizioni del Regolamento Europeo.
Esistono dei limiti di tempo per la conservazione dei dati?
Non è specificato perché dipende da molti fattori. Se il dato è utilizzato per fornire un servizio continuativo, è evidente che lo devo trattare e quindi conservare; altro discorso è la fornitura “spot” di un servizio o un caso di interruzione di servizio per volontà del cliente. In questi casi posso conservare, per il tempo stabilito dalla legge e con la dovuta protezione, solo dati di tipo fiscale. Tutti i dati che non trovano una diretta finalità di utilizzo acconsentita dal cliente o dalle leggi vigenti devono essere eliminati. Una società di arredamento è stata sanzionata per non aver rispettato il diritto all’oblio.
Nel caso di utilizzo di CRM completi o di piattaforme di gestione delle newsletter (MailUp, MailChimp, etc.), il trattamento dei dati è in mano a terze parti. Quali attenzioni occorre avere?
Le attenzioni riguardano, non solo la raccolta dei consensi, ma anche le informazioni che dobbiamo dare agli utenti per mezzo delle informative. Infatti, le principali piattaforme di mail marketing conservano i dati su server locati negli Stati Uniti. Da alcuni mesi è venuto meno il “Privacy Shield” che equiparava i trattamenti effettuati da molte aziende certificate negli Usa a quelli dei Paesi europei. Oggi, inviare i dati negli Usa è come inviarli in Cina, almeno sotto il profilo del GDPR. Visto che, nella pratica, l’unica base giuridica valida per il trasferimento dei dati verso i server di queste piattaforme è il consenso, all’interno dell’informativa sarà necessario rendere noto all’utente che non sarà possibile garantire lo stesso livello di tutela e di protezione dei dati dei Paesi dell’UE. Questo, fino a quando le suddette piattaforme di mail marketing non si attrezzeranno per posizionare i server in Europa.
Quali possono essere le principali conseguenze di una gestione di scorretta di una campagna di mail marketing?
Direi che le conseguenze possono essere molteplici e sempre negative. Trasgredire leggi e regolamenti porta inevitabilmente a elevati rischi di sanzionamenti e risarcimenti di danni, poi c’è l’aspetto reputazionale e quello di disaffezione della clientela o dell’utenza. In Kruzer cerchiamo di far capire i vantaggi derivanti da una politica di trasparenza e di correttezza. Alcune buone pratiche vissute inizialmente come fastidiose imposizioni possono invece essere la chiave per far percepire la nostra organizzazione come rispettosa della volontà e dei diritti delle persone.
