Smart. Concentrazione. Email.
Posta elettronica veloce e multipiattaforma progettata per filtrare i fastidi.
Definizione
💡 GDPR: il Regolamento generale sulla protezione dei dati, in pratica l'ampia normativa UE sulla privacy che controlla come raccogli, archivi e utilizzi i dati personali delle persone (compresi gli indirizzi email). È entrato in vigore il 25 maggio 2018 e si applica a qualsiasi organizzazione che tratti i dati dei residenti nell'UE, indipendentemente da dove abbia effettivamente sede la tua attività.
Quando il GDPR è rilevante per le email?
Se invii email a chiunque si trovi in Europa, rientri nella giurisdizione del GDPR.
Il regolamento ti impone di proteggere i dati delle persone e di consentire loro facilmente di controllare cosa ne fai.
Le organizzazioni che violano il GDPR rischiano multe fino a 20 milioni di € o al 4 percento del fatturato globale, a seconda di quale importo sia maggiore. Non è certo una pacca sulla spalla.
Per quanto riguarda specificamente le email, il GDPR ha cambiato tutto nel modo in cui funzionano i messaggi di marketing e quelli transazionali. Non puoi semplicemente acquistare una lista e iniziare a inviare email a raffica. Il GDPR richiede alle aziende di ottenere un consenso chiaro ed esplicito prima di contattare chiunque via email. Ciò significa vere caselle di opt-in che le persone selezionano attivamente, non caselle già spuntate o consenso implicito.
Ma non si tratta solo di marketing. Il GDPR disciplina l'intera operatività della tua email. Per quanto tempo conservi i messaggi, come li proteggi e cosa accade quando qualcuno ti chiede di eliminare i propri dati. Conta più di quanto la maggior parte delle persone immagini.
Cosa richiede il GDPR
Ci sono quattro principali aree di conformità:
Base giuridica del trattamento. Hai bisogno di un motivo legale per raccogliere e utilizzare l'indirizzo email di una persona. Il trattamento è consentito solo se l'interessato ha dato il consenso oppure se esiste un'altra base giuridica. Per le email di marketing, si tratta quasi sempre del consenso. Per le email transazionali (conferme d'ordine, reimpostazioni della password), puoi invece fare affidamento sul legittimo interesse o sulla necessità contrattuale.
Diritti dell'interessato. Le persone possono richiedere l'accesso ai propri dati, chiederti di correggerli o pretendere che tu li elimini del tutto. Il famoso "diritto all'oblio" ti impone di cancellare i dati personali quando non sono più necessari. I tuoi sistemi email devono supportare davvero queste richieste, non limitarsi a confermarle.
Sicurezza dei dati. Il GDPR richiede la "protezione dei dati fin dalla progettazione e per impostazione predefinita", il che significa che le organizzazioni devono sempre considerare le implicazioni per la protezione dei dati di qualsiasi prodotto o servizio nuovo o esistente. La crittografia delle email è menzionata esplicitamente come misura tecnica da implementare. Cinque anni fa, l'email crittografata non era pratica. Ora è il minimo indispensabile.
Prova della conformità. Hai bisogno di registrazioni. Quando qualcuno ha dato il consenso, come lo ha fatto, a cosa ha acconsentito. Il GDPR richiede alle aziende di conservare registrazioni del consenso, incluso chi ha dato il permesso, quando e come lo ha fatto e quali informazioni gli sono state mostrate in quel momento. Senza documentazione, non puoi dimostrare la conformità durante un audit.
Ottenere correttamente il consenso email
Il consenso è valido se è libero, informato, inequivocabile e specifico. È proprio quest'ultima parte a mettere in difficoltà molte persone. Non puoi raggruppare il consenso per le email di marketing con il consenso ai termini di servizio. Sono due cose separate che richiedono caselle di controllo separate.
Ecco come si presenta un consenso valido: una persona visita il tuo sito, vede una casella non selezionata con scritto "Sì, inviami aggiornamenti settimanali sui prodotti", la seleziona attivamente e invia il modulo. Questo funziona.
Cosa non funziona: caselle preselezionate. Consenso implicito dato effettuando un acquisto. Presumere che il silenzio significhi sì. Se non hai un consenso esplicito e inequivocabile da parte del visitatore per ricevere messaggi di marketing, non potrai inviargli messaggi—altrimenti rischi pesanti sanzioni.
Il double opt-in è ancora meglio. Una volta che una persona compila il modulo di iscrizione e fa clic su invia, le viene inviata un'email con un link di conferma e le comunicazioni di marketing iniziano solo dopo che ha confermato il proprio consenso. In questo modo si escludono le iscrizioni accidentali e si ottiene una prova del consenso davvero solida.
C'è un'eccezione: il soft opt-in per i clienti esistenti. Se ottieni l'indirizzo email del cliente durante la vendita del tuo prodotto o servizio, puoi utilizzarlo per il marketing diretto di prodotti simili, purché tu offra un'opzione di opt-out. Ma hai comunque bisogno di quel link di disiscrizione in ogni messaggio.
Conservazione ed eliminazione dei dati
L'articolo 5(e) afferma che i dati personali possono essere conservati per un periodo "non superiore a quello necessario rispetto alle finalità per le quali sono trattati". La maggior parte di noi non elimina mai le email. Ora questo è un problema di conformità.
Hai bisogno di una policy di conservazione. Per quanto tempo conservi le email dei clienti? I ticket di assistenza? Le liste di marketing? Qualunque decisione tu prenda, documentala e rispettala davvero. Alcuni servizi di posta elettronica offrono un'opzione di email a scadenza che consente di impostare l'eliminazione dei messaggi dopo un periodo di tempo prestabilito.
Quando qualcuno richiede l'eliminazione, devi agire. Dopo che una persona si disiscrive, dovresti eliminare il suo nome e le sue informazioni personali dalla tua lista email. Conserva solo quanto basta per ricordare la sua preferenza di opt-out, niente di più.
Consigli per la conformità al GDPR
Soprattutto, leggi le regole del GDPR e tieniti aggiornato sul sito web del GDPR. Queste regole possono cambiare nel tempo, quindi dovresti verificarle periodicamente per essere sicuro di essere conforme.
In caso di dubbio, incarica uno specialista di aiutarti a configurare sistemi conformi alle normative.
Usa il double opt-in per tutte le liste di marketing. È la prova più chiara del consenso e filtra gli indirizzi falsi.
Rendi facile la disiscrizione. Secondo gli standard del GDPR, revocare il consenso deve essere facile quanto concederlo. Link di disiscrizione con un solo clic in ogni email. Nessun ostacolo, nessun senso di colpa.
Crittografa le email quando possibile. Il GDPR menziona specificamente la crittografia come misura di protezione. Oggi esistono servizi email con crittografia end-to-end e non sono così difficili da implementare.
Separa il transazionale dal marketing. Basi giuridiche diverse, regole di conservazione diverse. Tienili in sistemi diversi, se puoi.
Documenta tutto. Registrazioni del consenso, policy di conservazione, misure di sicurezza. Se non puoi dimostrare di aver cercato di conformarti, le sanzioni sono più elevate.
Rivedi regolarmente le tue liste email. Ripulisci gli iscritti inattivi, verifica che la documentazione del consenso esista ancora e controlla che le richieste di opt-out siano state effettivamente elaborate.
Contenuti correlati
Termini correlati