Vendere online, Leggi e Fisco

Floriana Capone

GDPR e email marketing: come essere conformi

Il direct e-mail marketing rappresenta un valido strumento marketing per gli e-commerce, performante ed economico e perciò in alcuni casi è preferito ad altri strumenti di web marketing come le ads. Con l’e-mail marketing, infatti, l’e-commerce è in grado anche di personalizzare la comunicazione commerciale e di offrire agli utenti i prodotti o i servizi che meglio si adattano ai loro gusti e alle loro preferenze, sfruttando la profilazione.

GDPR e email marketing: come essere conformi

illustrazione di Francesco Zorzi

Nelle campagne di e-mail marketing si raccolgono e si trattano i dati personali degli utenti che vengono in contatto con l’e-commerce, motivo per cui è necessario rispettare le norme a tutela dei dati personali, come il GDPR, per non rischiare di subire sanzioni e cancellare i contatti acquisiti nel tempo.

In questo articolo vedremo come fare e-mail marketing a norma di GDPR, dalla fase della lead generation e della raccolta del consenso fino alla struttura dell’e-mail promozionale

E-mail marketing e GDPR: quando si applica

Il GDPR (il Regolamento Ue 2016/679) si applica ogni qualvolta l’e-commerce tratta dati personali di persone fisiche europee o che si trovano in Europa.

Nell’e-mail marketing si raccolgono dati personali come il nome, il cognome e l’indirizzo e-mail o altri dati personali come la posizione geografica degli utenti, i loro gusti e le loro preferenze attraverso i cosiddetto cookie di profilazione, come ad esempio il pixel di Facebook.

Per il GDPR, infatti, si intendono dati personali tutte quelle informazioni che identificano o rendono identificabile una persona fisica e possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, la sua situazione economica, eccetera.

Per trattamento dei dati personali, invece, si intende qualsiasi operazione compiuta sui dati personali, con o senza l’ausilio di processi di automazione, consistente in attività come la raccolta, l’organizzazione, la conservazione, l’utilizzo o anche la semplice consultazione dei dati personali. 

Attenzione: si devono intendere come dati personali anche le e-mail aziendali (pensiamo al B2B), per cui, anche in questo caso, è opportuno rispettare le norme e i passaggi che affronteremo nei prossimi paragrafi per una campagna di e-mail marketing a norma di GDPR.

Il GDPR e la Lead Generation di un e-commerce

La prima fase di ogni campagna di e-mail marketing consiste nella Lead Generation, ovvero nella raccolta dei “lead”, contatti interessati ai prodotti dell’e-commerce da ‘riscaldare’ attraverso un’attività di approfondimento informazioni, per trasformarli da contatti interessati a possibili clienti. 

La Lead Generation può essere realizzata mediante diversi strumenti marketing: pensiamo al form dei contatti o all’iscrizione alla newsletter; pensiamo anche ai “lead magnet”, come i coupon o sconti particolari, riconosciuti in cambio del rilascio di dati personali da utilizzare per le finalità di marketing. 

Raccolta di lead a norma

Per prima cosa, è necessario che i lead siano raccolti in conformità al GDPR, che richiede che vengano rispettati alcuni principi come:

  • minimizzazione del trattamento, da cui deriva che il Titolare del Trattamento (in questo caso l’e-commerce) deve raccogliere solo i dati necessari al perseguimento di una determinata finalità (ad es. per l’invio della newsletter non è necessario raccogliere anche il numero di cellulare); 
  • limitazione della conservazione dei dati: i dati raccolti non devono essere conservati sine die, ma deve essere rispettato un termine di conservazione dei dati che sia adeguato alla finalità perseguita e al prodotto/servizio offerto e definito nella privacy policy. 

Inoltre, i dati personali devono essere trattati: 

  • su una valida base giuridica, che rappresenta ciò che autorizza legalmente il trattamento (in assenza della quale il trattamento è illecito).
  • secondo una finalità del trattamento lecita e dichiarata nella privacy policy.

Questo cosa significa? Che le attività di marketing diretto, di invio di comunicazioni commerciali, di profilazione e di trattamenti automatizzati sono lecite solo se

  • è stato prima raccolto un valido consenso degli utenti (che rappresenta la base giuridica per le predette attività); 
  • gli utenti sono stati informati delle finalità del trattamento attraverso una informativa privacy chiara e completa. 

Per essere considerato valido il consenso, questo deve essere stato liberamente espresso attraverso una manifestazione di “volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso [l’interessato] manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento” (art. 4 n. 11 GDPR).

Ciò significa che l’utente deve essere messo nelle condizioni di poter scegliere se rilasciare o meno il consenso al trattamento per i suoi dati personali, sulla base di una scelta attiva e di una giusta informativa

La scelta libera, specifica, informata e mediante azione positiva implica dunque che: 

  • il form del consenso non deve essere pre-flaggato
  • il consenso deve essere rilasciato singolarmente per le diverse finalità (marketing diretto, profilazione e cessione dei dati a terzi);
  • le finalità dichiarate devono essere quelle reali

Form privacy per newsletter, email marketing e profilazione

Uno dei presupposti per una campagna di e-mail marketing a norma di GDPR è rappresentato dalla raccolta di un valido consenso privacy degli utenti per le finalità del marketing e della profilazione. 

Il consenso, però, per essere considerato valido deve essere raccolto attraverso dei form specifici per ogni finalità del trattamento, liberamente selezionabili dagli utenti, con alcune caratteristiche definite dai Garanti Privacy, Europeo e Italiano, come quella del consenso granulare, cioè separato per ogni finalità

Vediamo degli esempi di form per la raccolta del consenso con questa caratteristica: 

(MARKETING DIRETTO E NEWSLETTER)

“Letta l’informativa privacy di questo sito, presto il mio consenso per l’invio di comunicazioni promozionali (compresa la newsletter) da parte del sito a mezzo mail e riferite a prodotti propri.”

(MARKETING PROFILATO)

“Letta l’informativa privacy di questo sito, presto il mio consenso per l’analisi delle mie scelte di acquisto su questo sito e finalizzata all’invio di comunicazioni promozionali da parte del sito a mezzo mail e riferite a prodotti propri di mio specifico interesse.”

È molto importante ricordare che il consenso raccolto deve essere conservato dall’e-commerce, in quanto incombe sul Titolare del Trattamento l’onere di dimostrare di averlo raccolto. 

Una buona prassi per la conservazione del consenso è rappresentata dalla procedura del double opt-in, che consiste nella conferma dell’indirizzo e-mail da parte dell’utente, dopo che questo abbia espresso il suo consenso all’invio di comunicazioni commerciali. 

Come abbiamo visto negli esempi del paragrafo precedente, i form del consenso devono contenere il link all’informativa privacy (o ‘Privacy Policy’), che rappresenta il documento legale di un e-commerce in cui devono essere descritte tutte le informazioni imposte dall’articolo 13 del GDPR sul trattamento dei dati personali. 

Quando il consenso è richiesto come base giuridica del trattamento, come nell’e-mail marketing, l’informativa privacy ha anche lo scopo di rendere valido il consenso, motivo per il quale deve essere prestata massima attenzione a questo documento legale. 

Per fare dell’e-mail marketing a norma di GDPR, infatti, non possiamo dimenticare che all’interno della Privacy Policy del tuo e-commerce dovranno essere inserite tutte le informazioni sul trattamento dei dati personali per le finalità del marketing diretto, delle comunicazioni commerciali e, nell’eventualità in cui queste attività siano svolte, anche dei trattamenti automatizzati e della cessione di dati a soggetti terzi. 

Accanto alla Privacy Policy, poi, vi è un altro documento legale molto importante per un e-commerce: la Cookie Policy, contenente le informazioni relative ai cosiddetti cookie. 

I cookie sono stringhe di testo che vengono installate sui terminali degli utenti dai siti web da questi visitati – i cosiddetti “cookie di prima parte” – o dai siti web diversi da quelli direttamente visitati – i cosiddetti “cookie di terza parte”.

Le informazioni raccolte attraverso questi strumenti possono includere dati personali, come gli indirizzi IP, il nome utente, l’indirizzo e-mail o addirittura memorizzare la posizione geografica e le preferenze degli utenti in modo da inviare loro messaggi pubblicitari in linea con queste (“cookie di profilazione”). Vi sono poi anche cookie in grado di svolgere solo funzioni tecniche, come quelle di ricordare l’autenticazione dell’utente o i prodotti inseriti nel carrello (“cookie tecnici”). 

Quando il sito e-commerce fa uso di cookie tecnici, il Titolare del Trattamento ha solo l’obbligo di fornire l’informativa estesa sui cookie – la cosiddetta “Cookie Policy”. Mentre, se fa uso anche di cookie di profilazione o di terza parte, o di altri strumenti di tracciamento, il Titolare del Trattamento ha l’ulteriore obbligo rappresentato dall’informativa breve sui cookie (“Cookie banner”). 

Con il Cookie Banner l’utente può rilasciare o meno il suo consenso all’installazione dei cookie di profilazione o di terza parte, e deve contenere: l’informativa relativa all’utilizzo dei cookie; il link alla Cookie Policy estesa; la possibilità per l’utente di esprimere liberamente il consenso per ogni tipologia di cookie (raggruppati anche per categorie), con scelte che siano inizialmente preimpostate sul diniego

Attenzione: secondo le ultime pronunce dei Garanti Privacy, non sono ammessi: 

  • lo scroll di pagina come manifestazione del consenso, che deve consistere invece in un “atto positivo inequivocabile”. 
  • il cookie wall, inteso come quel meccanismo con cui l’utente viene obbligato ad esprimere il consenso all’installazione di cookie di profilazione per potere accedere al sito web. 

E-mail marketing senza consenso: il soft spam

Vi è un solo caso in cui è possibile fare e-mail marketing a norma di GDPR senza aver ottenuto il consenso per tale finalità.
Questo è il caso del cd. soft-spam, previsto dall’art. 130, comma 4, del Codice Privacy italiano, tuttora in vigore.

Cosa prevede? Che si possano utilizzare i dati personali di coloro che hanno già acquistato sul sito e-commerce, per inviare loro comunicazioni commerciali, senza aver ricevuto il consenso per il marketing. 

Ciò è possibile solo a condizione che:

  • le comunicazioni vengano inviate via e-mail, allo stesso indirizzo utilizzato per l’acquisto;
  • riguardino prodotti/servizi analoghi a quelli già acquistati (appartenenti alla stessa classe merceologica); 
  • il cliente, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni; 
  • il cliente non si opponga a questo utilizzo, mediante richiesta espressa o utilizzo del link di opt-out contenuto nella e-mail promozionale.

Come strutturare una mail promozionale conforme con il GDPR

Le norme sul commercio elettronico definiscono anche la struttura di una e-mail promozionale a norma.

Infatti, ogni qualvolta si invia una comunicazione commerciale, bisogna informare gli utenti: 

  • che si tratta di una comunicazione commerciale;
  • la persona fisica o giuridica per conto della quale essa è effettuata;
  • che si tratta di un’offerta promozionale come sconti, premi, o omaggi e le relative condizioni di accesso;
  • che si tratta di concorsi o giochi promozionali, e le relative condizioni di partecipazione.

Infine, è necessario inserire nella mail promozionale il link per l’opt-out (l’‘unsubscribe’), utile a revocare il consenso per le future comunicazioni commerciali.

Conclusioni

Abbiamo visto come le attività da rispettare per effettuare campagne di e-mail marketing a norma di GDPR sono tante e richiedono un’attenzione particolare, tanto nell’attività informativa quanto in quella di raccolta del consenso.

Infatti, il GDPR prevede sanzioni molto importanti per le attività di trattamento di dati personali poste in essere in violazione delle norme a tutela della privacy degli utenti.

Per questo motivo è opportuno rivolgersi sempre a professionisti che sappiano indirizzarvi sulle attività da porre in essere, tutelando il vostro business online. 

Floriana Capone

Scritto da:

Floriana Capone

Avvocato dell’E-commerce - EcommerceLegale.it

Esperta in diritto digitale, mi occupo di contratti per e-commerce e altre attività digitali, compliance legale dei siti web, adeguamento alla normativa e-commerce e GDPR, registrazione marchi.

Illustrazione di:

Francesco Zorzi

Illustratore, Visual Designer, Direttore Creativo

Illustratore, visual designer, direttore creativo con un background multidisciplinare in architettura e grafica, si divide fra Firenze e New York. I suoi lavori vengono pubblicati su giornali e riviste come The Wall Street Journal, The Boston Globe, AdAge, La Stampa tra gli altri. È creative director di isendu, di cui ha curato il progetto di redesign.

Francesco Zorzi