GDPR ed email marketing, tutti i consigli per non sbagliare

Faticoso ma non impossibile: gestire bene l’attività dell’email marketing mantenendosi GDPR compliant potrebbe essere considerata una vera sfida del nuovo decennio.

Ecco un utile vademecum per non rischiare sanzioni.

Il rapporto tra GDPR ed email marketing

L’email marketing è una delle attività più potenti ed efficaci nel business di piccole e medie imprese. Consente di inviare offerte commerciali alle aziende con massima facilità, economicità nel modo immediato ed efficiente, sfruttando anche diverse piattaforme di marketing automation.

Tuttavia alla luce del GDPR si pone la domanda: i destinatari delle mailing list (create dai dati provenienti dai DB o CRM delle rispettive aziende) hanno consentito in precedenza l’invio delle mail promozionali? Ed in che modo queste campagne di e-mail marketing vengono svolte? Si parla del Permission Marketing o Cold E-Mail Marketing o di qualche altra tipologia? Vediamo le principali categorie, perché non tutte le email promozionali sono uguali. In linea di massima si potrebbero riconoscere tre principali categorie del direct e-mail marketing (DEM):

• cold email(per promuove i servizi a potenziali nuovi clienti)
• soft spam(per contattare soggetti che sono già clienti acquisiti)
• spam – non consentita! (per inviare email ad utenti senza il consenso esplicito)

Quali sono le regole per fare marketing diretto essendo GDPR compliant? Anche se la normativa dispone di indicazioni precise, nella pratica è comunque consigliabile essere più stringenti (applicando soprattutto il principio sulla “minimizzazione dei dati”) per svolgere l’attività del marketing in modo sicuro. Ed infatti, il GDPR non deve essere considerata la potenziale minaccia al Cold Email Marketing, bensì un regolamento che aiuta a proteggere i dati (personali) limitandone l’uso ed avendone il pieno controllo (applicando soprattutto il principio dell’”accountability”).

Cold e-mail: email “a freddo”

I destinatari delle mail sono potenziali clienti dai quali è stato ottenuto il consenso per l’invio delle mail promozionali (nel pieno rispetto del GDPR) Possono far eccezione le mail dell’ambito B2B, con qualche accorgimento preciso, ovvero: è consentito l’invio alle mail aziendali (del tipo: info@azienda.com, amministrazione@azienda.com, etc.), mentre non è consentito l’invio alle mail nominative senza il consenso (del tipo: nome.cognome@ azienda.com) perché contenenti i dati personali.

Soft Spam

I destinatari delle mail sono soggetti già fidelizzati (clienti acquisiti), dai quali è stato già ottenuto il consenso.  Nel caso “borderline” (senza richiedere il consenso dell’utente), le mail possono essere inviate purché vengano rispettate le seguenti condizioni:

• il cliente deve essere maggiorenne;
• l’email riguarda prodotti e/o servizi del titolare;
• il cliente deve avere la possibilità di opporsi al trattamento in modo semplice e gratuito (“opt-out“);
• non vengono utilizzati sistemi automatizzati per l’attività di email marketing;
• il trattamento viene giustificato da un interesse legittimo del titolare;
• deve essere fornita al cliente la Privacy Policy per comunicare tutti i dettagli sul trattamento dei dati.

Spam

Le mail che vengono considerate spam sono quelle inviate agli utenti senza aver richiesto alcun tipo di consenso. Di conseguenza in questo caso sono completamente “fuori regola” e si rincorre alle sanzioni, oltre alle possibilità di denunce penali e/o il blocco dell’attività aziendale.

Il consiglio: chiedere sempre il consenso

Le strategie di list bulding possono essere diverse, importante che si basino sui principi del GDPR. Sicuramente non si tratta di un’attività semplice da progettare ed immediata nella sua esecuzione (anzi, può risultare piuttosto dispendiosa), pertanto bisognerebbe seguire delle best practice nel pieno rispetto delle normative vigenti. Ad esempio, la neswsletter è un ottimo canale del direct email marketing anche perché basata sul permesso esplicito dei cyber-utenti a ricevere comunicazioni.

Oltre alla classica iscrizione alla Newsletter (“opt-in” singolo) può essere implementata la modalità ancora più conforme alle norme GDPR, ovvero il double opt-in, che prevede una doppia approvazione per l’iscrizione. Una prima sul form di richiesta e solitamente, una seconda confermando il link che si riceve via email.

GDPR ed email marketing: la privacy policy

La Privacy Policy diventa un “must” con l’entrata in vigore del GDPR e, nel caso vengano usati i dati personali per l’email marketing, la stessa deve informare l’utente sulle modalità del trattamento dei dati e sui suoi diritti (rif.artt.12-22 GDPR).

Inoltre, bisogna prestare attenzione ad eventuali trattamenti dei dati da terze parti (l’uso delle piattaforme di gestione delle newsletter, a.e. MailChimp, MailUp, GetResponse, oppure sistemi CRM completi come InfusionSoft, Salesforse, etc.), verificando sempre che siano GDPR compliant.

GDPR ed email marketing: conservazione dei dati

Anche le mailing list hanno una scadenza! I dati (raccolti previo il consenso degli interessati) possono essere usati nel periodo di tempo necessario al perseguimento della finalità, pertanto quando un dato termina la sua finalità deve essere cancellato.

A questo proposito il GDPR stabilisce le tempistiche che vanno dai 12 mesi (per finalità di profilazione) ai 24 mesi (per finalità di marketing).

GDPR ed email marketing: best practice ed errori da evitare

Ecco i principali errori da evitare e le best practice da attuare:

1. L’adeguamento al GDPR è un processo aziendale e non va applicato soltanto ai siti web o all’attività online. Assicurati che l’azienda sia GDPR compliant.
2. Predisponi l’informativa Privacy chiara, completa, accessibile.
3. Raccogli i dati ottenendo i consensi espliciti (form online, iscrizione newsletter, richieste esplicite), preferibilmente con modalità double-opt-in.
4. Non utilizzare gli indirizzi di posta elettronica reperibili in rete o acquisibile da pubblici atti nel modo indiscriminato.
5. Memorizza le scelte sui relativi consensi ottenuti (Registro dei consensi)
6. Organizza le mailing list rispettando le norme GDPR (in particolare il principio sulla minimizzazione dei dati trattati).
7. Garantisci i diritti dei destinatari delle mail (protezione dati, conservazione, cancellazione, oblio).
8. Non utilizzare i dati superando i tempi di conservazione (richiedi un nuovo consenso).
9. Predisponi sempre la possibilità di comunicazione tra l’utente ed il titolare del trattamento dei dati.
10. Inserisci sempre nelle mail il link alla privacy policy.
11. Inserisci sempre il link di disiscrizione.
12. Assicurati che le piattaforme di terze parti (usate per email marketing) siano completamente GDPR compliant.
13. Non è permesso l’anonimato o il mascheramento dell’indirizzo email da cui si spedisce.
14. Inserisci sempre l’oggetto della mail indicando chiaramente l’intento della tua comunicazione.
15. Evita il “tono della persuasione commerciale” cercando di mantenere il carattere del tuo messaggio prettamente informativo.
16. Non inserire gli allegati alla mail (eventualmente puoi inserire i link per accedere ad altre info pertinenti all’oggetto della mail).
17. Tieni sotto controllo la dimensione della mail.

L’obiettivo è rendere consapevoli gli email marketer sull’uso idoneo di questi strumenti in modo che possano continuare a lavorare senza rischiare sanzioni.

Cosa succede se si sbaglia: le conseguenze legali

Il GDPR consente il diritto esplicito di sporgere denuncia presso un’autorità di vigilanza (nel caso di violazione delle norme). Di conseguenza, quando viene presentata un’istanza di violazione normativa all’autorità, questa può scegliere di eseguire una verifica delle operazioni di trattamento.

Nel caso si accertasse il trattamento dei dati eseguito nel modo illegale, non solo si rincorrerebbe ad una sanzione, ma è possibile che venga anche interdetto l’utilizzo di tali dati provenienti da fonti simili. Nel caso dell’email marketing un caso del genere (se la violazione riguarda la raccolta di indirizzi di posta elettronica), si rischia di non poter più utilizzare l’intera mailing list. Le sanzioni amministrative vanno dai 6.000 a 36.000 euro (in base alla gravità della situazione).

Non è da sottovalutare anche la responsabilità per danni: la normativa garantisce agli utenti il diritto al risarcimento per i danni. Quindi violando le normative c’è l’ulteriore rischio di potenziali contenziosi. Importante è ricordarsi che l’utilizzo scorretto delle mail (nominative) comporta una responsabilità civile per spamming nonché una responsabilità penale per illecito trattamento di dati personali.

Altre conseguenze

Oltre alle conseguenze legali, si rischia di avere l’interruzione dei servizi di terze parti (piattaforme di email marketing). Violando il GPDR in termini di legalità, questa viene considerata la violazione dei termini del servizio terzi con il rischio di sospendere il servizio o addirittura di avere un divieto permanente.

Il danno alla reputazione può essere irreversibile, rovinando pubblicamente l’immagine dell’azienda e lasciando l’impressione di svolgere l’attività malevola. I danni significativi possono perdurare nel tempo fino a compromettere completamente l’attività aziendale.

Conclusione

A giorno d’oggi l’attività di email marketing può essere svolta con la base giuridica del legittimo interesse del Titolare, importante è che le Privacy Policy e i trattamenti dei dati siano conformi al GDPR, evitando possibili abusi e/o situazioni borderline che possono compromettere la sicurezza dei dati. Perché il GDPR non deve essere considerato come un limite all’attività di email marketing, bensì quello che è: il quadro normativo chiaro e trasparente che permette le iniziative pubblicitarie di email marketing senza un’invasione eccessiva dei diritti e delle libertà dell’interessato.