In questo articolo scritto in collaborazione con iubenda scopriremo insieme come adeguare l'email marketing al GDPR in pochi e semplici passaggi.
Le email possono essere uno strumento di marketing molto potente: non solo ti permettono di ampliare la tua rete e potenzialmente migliorare le tue entrate, ma sono anche un modo per costruire e consolidare il rapporto con i tuoi utenti.
Per questo motivo, è bene assicurarsi che le email che invii siano in linea con i requisiti previsti dalle leggi sulla privacy, come il GDPR. Infatti, la violazione della legge potrebbe portare alla sospensione della tua attività di email marketing. Ad esempio, ti potrebbe venir impedito l’utilizzo delle tue mailing list.
Quindi come si può essere sicuri che la propria attività di email marketing stia rispettando la legge?
I requisiti per il trattamento dei dati secondo il GDPR
Il GDPR (Regolamento Generale sulla Protezione dei Dati) disciplina la raccolta e il trattamento dei dati personali nell’Unione Europea. Per “dati personali” si intendono le informazioni che possono permettere l’identificazione di una persona fisica. Gli indirizzi email, quindi, sono dati personali a tutti gli effetti!
Qui però dobbiamo fare una precisazione, perché non tutti gli indirizzi email sono considerati dati personali. Sono dati personali indirizzi come mario.rossi@gmail.com oppure mario.rossi@azienda.com, perché permettono di identificare una
persona fisica. Invece, indirizzi generici come info@azienda.com non danno nessuna indicazione della persona e quindi non rientrano nella categoria di dati personali.
Per poter utilizzare gli indirizzi email nelle tue attività di marketing (quindi trattare i dati personali degli utenti) devi:
- definire la tua base giuridica, quindi la “motivazione legale” alla base della tua attività;
- informare gli utenti delle tue attività di raccolta e trattamento dei dati;
- se la tua base giuridica è il consenso, devi ottenere il consenso dei tuoi utenti in modo conforme al GDPR.
Vediamo insieme come tutto questo si traduce in pratica.
1. Crea una Privacy Policy
Per informare gli utenti delle tue attività di raccolta e trattamento dei dati, hai bisogno di una privacy policy. Si tratta di un documento legale che contiene tutte le informazioni necessarie riguardo la tua attività.
La tua policy dovrà includere dettagli su:
- dati trattati;
- modalità del trattamento;
- finalità del trattamento (ad esempio invio di newsletter o analisi di mercato);
- servizi di terza parte utilizzati;
- diritti degli utenti in relazione ai loro dati;
- come gestisci le richieste degli utenti in merito all’esercizio dei loro diritti;
- effettivi strumenti di comunicazione utilizzati (email, posta, ecc.);
- quali misure di sicurezza adotti.
Avere una privacy policy non è solo un requisito del GDPR: molte applicazioni e servizi di terza parte a supporto delle attività di email marketing spesso richiedono di adeguarsi alla normativa vigente.
Vuoi saperne di più su come creare una privacy policy? Dai un’occhiata a questo articolo di iubenda!
Una volta creata la tua privacy policy, devi fare in modo che sia sempre accessibile per i tuoi utenti.
Se invii email di natura promozionale o newsletter, un modo efficace è quello di inserire il link alla tua informativa in calce alla email.
Ricordati poi di inserire un link alla tua privacy policy anche all’interno dei moduli di iscrizione alla tua newsletter.
2. Ottieni il consenso
Una delle basi giuridiche del GDPR più utilizzate è senza dubbio il consenso. Tuttavia, l’attività sulla base del consenso deve rispettare dei requisiti specifici. Secondo il GDPR, il consenso deve essere “libero, specifico, informato e revocabile”.
Se la base della tua attività di email marketing è il consenso, hai bisogno di ottenerlo prima di poter inviare email ai tuoi utenti e attraverso un’esplicita azione affermativa. Di solito questo avviene con un modulo apposito, che deve:
- indicare chiaramente il tipo di email a cui si sta acconsentendo: non puoi ottenere il consenso per l’invio di una newsletter e poi inviare email di tutt’altra natura;
- chiarire che l’azione è facoltativa;
- non avere nessuna checkbox preselezionata: l’utente deve poter fare una scelta libera.
Crediti immagine: iubenda
Eccezione: quando non servono le checkbox
Le checkbox non sono sempre necessarie. Servono se si vuole ottenere il consenso per finalità separate, ma quando la finalità perseguita è indicata all’interno del modulo in modo inequivocabile allora possiamo evitarle.
Ad esempio, se un sito ha una finestra pop-up che invita gli utenti a iscriversi a una newsletter utilizzando una frase esplicita, come: “Iscriviti alla nostra newsletter per ricevere aggiornamenti sui nostri prodotti!”, qui l’azione affermativa corrisponde all’inserire la propria email e quindi il consenso viene considerato valido anche senza checkbox.
3. Predisponi il doppio opt-in
Il modo più sicuro per gestire una mailing list è sicuramente il doppio opt-in. Per “opt-in” si intende il consenso preventivo che l’utente presta prima di iniziare a ricevere una newsletter o email di natura promozionale.
Il doppio opt-in è un processo in due fasi. Nella prima l’utente compila il modulo e invia la richiesta di iscrizione. Nella seconda riceve un’e-mail di conferma e fa click su un link di verifica del proprio indirizzo e-mail, che verrà quindi aggiunto alla mailing list.
Questo metodo di registrazione è considerato una best practice in molti paesi dell’Unione Europea.
4. Aggiungi un link di unsubscribe
Per il requisito del consenso revocabile, gli utenti devono poter revocare il loro consenso con la stessa facilità con cui l’hanno prestato. Questo vuol dire che devi fornire ai tuoi utenti un modo per annullare la ricezione delle tue mail in qualsiasi momento.
Per rispettare questo requisito, puoi aggiungere un link di unsubscribe in calce a ogni email che invii.
5. Registra i consensi che hai ottenuto
Per il GDPR, il consenso è una questione di primaria importanza. Infatti, oltre a ottenere il consenso preventivo degli utenti per le tue attività di email marketing, devi anche essere in grado di dimostrare che i consensi che hai ottenuto sono validi e in linea con il GDPR.
Per farlo, devi predisporre un registro dei consensi che contenga almeno:
- l’identità dell’utente che ha prestato il consenso;
- ciò a cui ha acconsentito;
- il momento in cui è stato prestato il consenso;
- le informazioni che sono state fornite all’utente nel momento in cui ha acconsentito al trattamento;
- i metodi utilizzati per ottenere il consenso (come un form di iscrizione alla newsletter);
- un’indicazione circa l’eventuale revoca del consenso.
Scopri di più su come creare un registro dei consensi sul sito di iubenda.
In conclusione
Una valida strategia di email marketing non può non prendere in considerazione il rispetto dei requisiti legali, soprattutto perché la violazione della legge potrebbe portare alla sospensione della tua attività.
Se stai cercando un modo facile e veloce per generare i tuoi documenti legali e predisporre un registro dei consensi valido, iubenda può fare al caso tuo. iubenda è un software SaaS che offre soluzioni per l’adeguamento alle leggi sulla privacy online a più di 90.000 clienti in tutto il mondo.