NEWSLETTER E PRIVACY, COME RISPETTARE LA NORMATIVA RELATIVA ALLA PROTEZIONE DEI DATI PERSONALI

Quanto sia importante la newsletter è ormai risaputo.
Sia che tu abbia un piccolo blog sia che tu gestisca una grande azienda attiva online, poter contare sul rapporto costante con i tuoi utenti/clienti offerto dalla newsletter è fondamentale.
Ma sai come rendere compliance al GDPR la tua newsletter? Scoprilo leggendo l'articolo.

1. COS’È UNA NEWSLETTER

Il servizio di newsletter consiste nell’invio di comunicazioni elettroniche a seguito della espressa richiesta del destinatario, per cui non è necessario acquisire un consenso ulteriore, rispetto a quello fornito nella compilazione ed invio del modulo di iscrizione alla newsletter stessa.

 

Tra gli aspetti più importanti della nuova regolazione c’è sia la previsione di una serie di norme puntuali per il trattamento dei dati da parte degli enti pubblici e delle aziende, che la previsione di una serie di sanzioni, anche particolarmente salate, per tutti i privati che non adempiono ad una serie di obblighi in materia.

 

Risulta necessario che l’utente possa vedere l’informativa privacy e effettui il click sul pulsante di iscrizione alla newsletter, dopo aver compilato i campi richiesti.

 

In questo caso siamo in presenza dell’esenzione B, prevista dal GDPR, per cui non è necessario un consenso.

 

In concreto sarà possibile avere una casella nella quale inserire la mail e un pulsante per l’iscrizione alla newsletter, poi un’ulteriore casella con l’indicazione di aver letto l’informativa privacy linkata.

 

Occorre, però, che non si preveda un trattamento ulteriore dei dati, rispetto al mero invio della newsletter, e purché i dati richiesti nel modulo di iscrizione (nome, cognome ed email), non siano eccessivi rispetto all’invio della newsletter, importante ricordare che i dati raccolti devono essere solo quelli strettamente necessari per l’invio della newsletter.

 

Importante!

 

Nel caso in cui si voglia trattare i dati anche per un’ulteriore finalità, ad esempio ai fini della profilazione, occorre invece un ulteriore consenso, separato e specifico.

 

Attenzione!

 

Non è più sufficiente inserire una casella da riempire con la mail (invio newsletter), ma occorre un’ulteriore casella con l’indicazione della specifica finalità di profilazione (consenso per profilazione), come del resto chiarito dalla Corte di Cassazione (Cass. Sez. I Civ, 11/05/2018 – 2/07/2018, n.17278).

 

Ovviamente è indispensabile predisporre una modalità di cancellazione dal servizio il quale deve essere semplice e gratuito.

2. CAMPO DI APPLICAZIONE DELLA NORMATIVE – PROTEZIONE DATI PERSONALI

Ai sensi del regolamento europeo in materia di protezione dati personali (GDPR), per inviare comunicazioni elettroniche occorre acquisire preventivamente il consenso del destinatario.

 

Dobbiamo occuparci principalmente delle novità che questa disciplina ha comportato.

 

Non è possibile, infatti, usare dati personali (es. l’indirizzo di posta elettronica) solo perché sono già pubblici e quindi conoscibili da chiunque.

 

Il fatto che un dato sia reso “pubblico” dall’interessato (art. 9 GDPR) non lo rende solo per questo utilizzabile da tutti.

 

La previsione, come chiarito anche dal Garante italiano (provvedimento 11 gennaio 2001) ha precisato che la statuizione “si riferisce non a qualunque dato personale che sia di fatto consultabile da una pluralità di persone, ma ai soli dati personali che oltre ad essere desunti da registri, elenchi, atti o documenti “pubblici” (…) siano sottoposti ad un regime giuridico di piena conoscibilità da parte di chiunque, regime che può peraltro prevedere modalità o limiti temporali (…)”.

 

Ciò significa che: per la legittimità dell’uso del dato personale non basta la sua presenza su fonti di fatto liberamente accessibili, ma è necessario anche che le finalità di tale uso siano compatibili con quelle che ne giustificano la presenza sulla fonte, appunto, di fatto pubblica.

 

Il principio di finalità è alla base del trattamento dei dati, per cui la finalità deve essere connessa al motivo per il quale quel dato è pubblico.

 

Ad esempio: gli elenchi di indirizzi pubblicati dai siti web delle Università sono utilizzabili, ma solo per i contatti legati alla loro attività istituzionale non certo per l’invio di pubblicità commerciale.

 

Ovviamente esistono delle eccezioni, tra le quali il caso del trattamento necessario a fornire un servizio richiesto dal destinatario, per il quale non occorre consenso, ma occorre sempre fornire l’informativa.

3. COME RENDERE COMPLIANCE LA NEWSLETTER

Nel caso in cui si rientri nel campo di applicazione del Regolamento sulla protezione dei dati personali, allora sarà necessario seguire i seguenti passi:

  1. Definire gli scopi della newsletter, è importante avere ben chiaro perché si intende fornire questo servizio, quali sono i dati necessari per la fornitura del servizio, in modo da strutturare l’iniziativa in ottica di privacy by design, conformemente alle previsioni dell’art.25 GDPR;
  2. Diventa fondamentale capire quale è il tipo di newsletter che si intende realizzare.
    Se siamo un ente pubblico, il servizio di newsletter potrebbe essere una delle modalità con le quali adempiamo ai nostri compiti istituzionali.
    Invece, se siamo un’istituzione privata, pubblica o un professionista e intendiamo erogare il servizio di newsletter informativo, la base giuridica sarà rappresentata dall’art. 6 par. 1 lett. b) GDPR, ovvero il contratto rappresentato dall’adesione al servizio di newsletter.
    Risulta essere diverso il caso in cui la nostra newsletter è un elemento di marketing automation perché il nostro obiettivo è convertire i nostri follower in clienti dei beni e servizi che offriamo, allora accanto all’offerta del servizio di newsletter potrebbe essere opportuno richiedere anche il consenso a ricevere email promozionali attraverso un apposito flag.
    Attenzione!
    Questi concetti sono ribaditi anche dal provvedimento del Garante che risale al 4 luglio 2013 ed è tuttora vigente contenente le “Linee guida in materia di attività promozionale e contrasto allo spam”.
  3. Predisporre l’informativa.
    La raccolta di dati personali al fine di trasmettere informazioni nell’ambito di applicazione del Regolamento, richiede di predisporre un’informativa ai sensi dell’art. 13 GDPR. Sul punto, è importante fare attenzione ai trasferimenti di dati al di fuori dell’Unione Europea nel caso si utilizzino tool di email marketing di provider statunitensi.
  4. Cautele se si raccoglie anche il consenso per le comunicazioni commerciali
    In primo luogo, occorre ricordare i requisiti del consenso richiesti dall’art. 7 GDPR. Il consenso deve essere:
    • espresso (mediante dichiarazione o gesto inequivocabile);
    • libero (non sottoposto a vincoli o condizioni);
    • specifico (un consenso per ogni finalità perseguita);
    • revocabile;
    • dimostrabile (deve essere storicizzato per poter dimostrare la legittimità dei trattamenti eseguiti prima della revoca).

    Questo significa che il flag per il consenso non deve essere obbligatorio e nemmeno “pre-flaggato” e che l’interessato deve poter scegliere di iscriversi al servizio di newsletter senza dover necessariamente dare il consenso alla ricezione di comunicazioni commerciali.
    Di conseguenza, sarà importante separare le audience: ci saranno gli iscritti al servizio di newsletter che saranno destinatari in modo esclusivo delle e-mail informative, mentre gli iscritti al servizio di newsletter che hanno anche prestato il consenso riceveranno anche le e-mail promozionali.
    Questo aspetto è stato chiarito anche dalla Cassazione con la sentenza 2 luglio 2018, n. 17278 che ha precisato che il titolare deve indicare i trattamenti collegati al consenso e che questo non può essere considerato come una controprestazione del servizio di newsletter.
    Occorre ricordarsi, inoltre, che laddove si intendano eseguire attività di profilazione al fine di inviare email personalizzate sulla base delle preferenze o cedere dati a terzi per finalità di marketing del terzo, saranno entrambi da sottoporre a consensi specifici e distinti.
    Ne consegue che la definizione del percorso del dato e delle finalità di trattamento ad esso connesse sarà un aspetto da definire in principio.

  5. Ricordarsi del diritto di opposizione al trattamento.
    Benché sia ormai una feature acquisita di tutte le newsletter, il tasto “unsubscribe”, disiscriviti, è un aspetto fondamentale della compliance della newsletter, oltre che un diritto dell’interessato e deve essere indicato anche nell’informativa in modo separato rispetto agli altri diritti.
  6. Ricordarsi della normativa sul commercio elettronico.
    L’art. 130 co. 5 del codice privacy contiene un divieto espresso di invio di comunicazioni commerciali nascondendo o camuffando l’identità del mittente che, quindi, deve essere ben visibile per il destinatario della comunicazione. Inoltre, è richiesto che vi sia un modo agevole per l’esercizio dei diritti da parte dell’interessato. Vi è infine un rimando alle prescrizioni del c.d. codice del commercio elettronico e in particolare all’articolo 8 D.lgs. 70/2003 che prescrive di evidenziare, fin dal primo invio che:
    • si tratta di comunicazione commerciale;
    • la persona fisica o giuridica per conto della quale è effettuata la comunicazione commerciale;
    • che si tratta di un’offerta promozionale come sconti, premi, o omaggi e le relative condizioni di accesso;
    • che si tratta di concorsi o giochi promozionali, se consentiti, e le relative condizioni di partecipazione.

4. IN QUALI SANZIONI SI PUÒ INCORRERE

Le implicazioni legali della non conformità comprendono sanzioni salate nell’UE, con multe che variano da decine di migliaia a milioni di euro.

 

Queste sanzioni comprendono rimproveri ufficiali (per la prima violazione), valutazioni periodiche della protezione dei dati e responsabilità per i danni.

 

Il GDPR offre agli utenti il diritto esplicito di sporgere denuncia presso un’autorità di vigilanza se ritengono che il trattamento dei loro dati personali sia stata effettuato in violazione delle norme.

 

Per quanto riguarda la responsabilità per danni, la legislazione UE, attribuisce ai singoli utenti il diritto al risarcimento per i danni derivanti dall’inosservanza delle normative da parte di un’organizzazione.

 

Ciò significa che violare le normative può esporti al rischio di potenziali contenziosi.

 

Altre conseguenze:

  • Interruzione dei servizi di terza parte
  • Danno alla reputazione

Come hai potuto notare leggendo l’articolo, è fondamentale mantenere la compliance della tua newsletter relativamente a quanto disposto dal GDPR.

 

Avrai però anche notata che occorre conoscere in maniera adeguata le giuste disposizioni normative, per non incappare in sanzioni.

 

Per rendere la tua newsletter effettivamente compliant ed evitare sanzioni, contattaci subito scrivendoci all’indirizzo info@abinnovationconsulting.com, oppure compilando il modulo che trovi di seguito.