Il GDPR per principianti: cos’è e come cambierà la tua strategia di mail marketing

Qualche tempo fa ti avevo già parlato dell’avvento del GDPR, il nuovo regolamento sulla protezione dei dati personali che sarà applicato in tutti gli Stati membri UE a partire dal 25 maggio 2018 e che sostituirà l’attuale D.Lgs. 196/2003.

Giorni fa ho avuto modo di partecipare al Salon e-marketing di Parigi, un evento annuale che offre un’opportunità unica di informazione e di networking.

In questa occasione ho avuto modo di raccogliere diverse info riguardo all’impatto che le nuove normative europee avranno sulle future campagne di mail marketing.

Ho messo in ordine i miei appunti e oggi posso condividere con te queste informazioni.

Nonostante l’argomento sia un po’ noioso, proverò a spiegarti tutto in maniera chiara e senza paroloni.

Iniziamo…

Cos’è la GDPR?

Per iniziare, GDPR sta per “regolamento generale sulla protezione dei dati” ed è un insieme di normative sul trattamento dei dati personali valide per tutta la comunità europea.

Queste nuove normative entreranno in vigore a partire dal 25 Maggio 2018 sostituendo le leggi nazionali già esistenti ed il loro effetto sarà retroattivo.

Questo significa che i dati personali raccolti da blog, aziende e organizzazioni prima di questa data dovranno comunque rispettare le norme relative al consenso. Tornerò più tardi su questo punto.

Probabilmente hai letto già da qualche parte delle multe salate in caso di mancato adeguamento: molti hanno iniziato a fare terrorismo psicologico speculando su questo argomento.

Io preferisco tranquillizarti subito dicendoti che i controlli più approfonditi saranno effettuate sulle aziende di grande taglia, ovvero, quelle con almeno 250 impiegati.

Queste aziende hanno i mezzi economici e le risorse umane per mettersi in regola più rapidamente e sono quelle più esposte ai cambiamenti della nuova normativa.

Questo non significa che il piccolo team di un’agenzia web non debba adattarsi…

Anzi, il GDPR concerne chiunque raccolga dati, anche il piccolo blogger con la sua piccola newsletter di 100 iscritti, ma di certo quest’ultimo non sarà l’obiettivo dei controlli più severi e non rischia delle multe salate.

Qual è lo scopo del GDPR?

Le nuove normative mirano ad assicurare ad ognuno di noi un maggiore controllo sui dati personali, con un occhio di riguardo per i minori di 16 anni.

Nello specifico, gli obiettivi principali del GDPR sono:

  • Unificare le normative europee
  • Mettere al sicuro i dati raccolti anche dalle imprese non europee
  • Ridurre il rischio per i cittadini in caso di furto di dati da parte di hacker
  • Permettere ai cittadini il controllo sui loro dati
  • Vincolare le aziende nell’uso dei dati

Nessuna differenza se il tuo business è di tipo B2B o B2C.

Il GDPR si applicherà a tutti i tipi di aziende ed anche alle organizzazioni no profit (non a scopo di lucro).

Quindi se raccogli dei dati personali per un’associazione qualsiasi (caccia, pesca, sport …), dovrai essere conforme alle nuove normative.

Il nuovo regolamento sarà extra territoriale: si applicherà a qualunque persona fisica o giuridica che raccoglie dati personali dei cittadini europei, indipendentemente dal fatto che abbiano o meno un presenza fisica nell’UE.

Per essere più chiaro, se una società americana raccoglie dati relativi a cittadini dell’UE, incorre negli stessi obblighi legali di una società che ha la sua sede centrale in Francia o in Italia.

Cosa si intende per dati personali?

Facciamo chiarezza su un altro punto fondamentale…

Qualsiasi informazione relativa a una persona fisica e che potrebbe identificarla, direttamente o indirettamente, rappresenta un dato personale.

Email, nome, cognome, indirizzo ip, sono considerati dati personali.

Ma lo sono anche le registrazioni audio, una targa o qualsiasi elemento specifico ad una persona.

Il nuovo regolamento “raccomanda” di non raccogliere informazioni non utili riguardanti i clienti o i lead.

Ogni azienda deve limitarsi a raccogliere i dati strettamente necessari per profilare i suoi lead o clienti.

Nel caso si abbia bisogno di richiedere info addizionali, è necessario spiegare la ragione.

Ad esempio, per mettere in atto una campagna di email marketing, basterebbe raccogliere solo le email dei lettori.

Se invece hai bisogno di conoscere l’età dei tuoi lettori per inviare comunicazioni più specifiche e il loro nome per una maggiore personalizzazione delle email, allora devi comunicarlo al tuo iscritto.

Basta una piccola linea di testo nel modulo di iscrizione.

In qualunque caso, i dati in tuo possesso devono essere solo quelli forniti dai tuoi lettori.

Non aggiungere mai informazioni manualmente.

Inoltre, ricorda di non iscrivere alle tue liste le email dei tuoi lettori che trovi nei commenti o nei messaggi privati. Questi dati non sono legittimamente in tuo possesso!

Dovresti saperlo ma è meglio ribadirlo.

Piccola parentesi sui dati sensibili:

I “dati sensibili” sono quei “dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

È proibito raccogliere dati sensibili salvo disposizioni legali specifiche.

Qual è la validità dei dati in tuo possesso?

Una volta compresa la differenza tra dati personali e dati sensibili, è importante verificarne la validità.

Un contatto inattivo per tre anni è considerato non più valido.

Se, ad esempio, un abbonato non apre una tua email da 36 mesi, allora dovrai procedere alla rimozione dei suoi dati dalla tua lista.

Se non lo farai, in caso di controllo dovrai fornire delle spiegazioni e motivare la scelta.

Per questo è indispensabile preparare un automatismo di cancellazione dei tuoi iscritti inattivi.

Inizia da oggi a verificare se ci sono utenti inattivi da molto tempo sulla tua mailing list e provvedi alla rimozione dei contatti “morti”.

Tra tre anni ripeti l’operazione.

Personalmente ho deciso di verificare l’interazione dei miei iscritti ogni anno.

Ho impostato GetResponse per inviare un’email in cui chiedo ai miei iscritti di rinnovare il loro interesse per i miei contenuti.

Se la mail non viene aperta nei 5 giorni seguenti all’invio o il link al suo interno non viene cliccato, l’iscritto sarà eliminato automaticamente.

Puoi preparare una mail molto semplice di questo tipo:

***

questa è un email automatica che invio a tutti gli iscritti alla mia newsletter esattamente un anno dopo la loro registrazione.

Secondo le nuove normative europee sulla protezione dei dati personali, non sono autorizzato a conservare i tuoi dati per più di 3 anni senza il tuo consenso.

Per questo tra 5 giorni i tuoi dati saranno cancellati automaticamente dalla mia lista a meno che tu non voglia il contrario.

Se desideri, invece, continuare a ricevere le mie email, allora clicca su questo link.

Desidero restare iscritto alla newsletter

Senza nessuna azione da parte tua, smetterai di ricevere le mie email.

Spero che rimarrai tra i miei follower.

***

Verifica che il tuo AutoResponder e il tuo sito siano in regola

Il GDPR vuole garantire e preservare cinque diritti fondamentali delle persone delle quali raccogliamo i dati.

1. Il Diritto di rettifica

Ogni persona iscritta alla tua mailing list deve poter aver accesso ad i suoi dati per poterli modificare e correggere.

L’accesso ai dati deve essere reso semplice e automatico.

Assicurati quindi che in ogni mail inviata ai tuoi iscritti ci sia un link che permetta all’utente di accedere ai suoi dati. I migliori AutoResponder, implementano automaticamente questa funzione.

GetResponse, ad esempio, inserisce un link alla fine di ogni mail inviata.

2. Diritto all’oblio:

Ogni persona deve poter eliminare permanentemente i suoi dati dalla tua lista quando lo desidera e senza dover richiedere il tuo consenso.

La cancellazione deve essere automatica e semplice da effettuare.

Per questo motivo devi assicurarti che all’interno di ogni tua mail ci sia un link che permetta al lettore di cancellare la sua iscrizione. Vedi l’immagine precedente.

La cancellazione deve avere effetto su tutte le liste della tua campagna.

Spesso si creano diverse liste negli AutoResponder per segmentare gli iscritti secondo diversi criteri.

Ad esempio il tuo iscritto potrebbe trovarsi nella tua campagna principale, ma anche in quella che hai creato per fare una promozione temporanea.

In questo caso, il tuo iscritto rimarrà nelle altre liste anche se si è cancellato da quella principale.

Immagina ora, che il tuo iscritto riceva altre mail dopo aver cancellato i suoi dati dalla lista principale…

Questo è un quadro da evitare a tutti i costi. Perderesti di credibilità e potresti andare incontro a dei problemi legali.

Quindi, metti ordine nelle tue liste, lasciandone solo una principale.

Segmenta gli iscritti al suo interno usando piuttosto la funzione “tag” che gli AutoResponder migliori forniscono.

Potrai assegnare ad ogni iscritto diversi tag come “impresa”, “privato”, “promo”, “promo2”, ecc…

Questa è una pratica che ottimizza i costi di gestione del tuo AutoResponder e che assicura davvero la cancellazione degli iscritti.

3. Diritto alla portabilità

Ogni persona ha il diritto di richiedere e ricevere in un formato strutturato, comunemente usato e leggibile, tutti i suoi dati dal responsabile del trattamento dati.

L’obiettivo di questa direttiva è quello di evitare fenomeni di dipendenza forzata dei dati ad un determinato fornitore di servizi o programma (il cosiddetto lock-in).

Assicurati quindi che il tuo AutoResponder permetta l’esportazione dei dati registrati nei formati più comuni (.txt, .csv, .xls)

4. Diritto di opposizione

Nel caso che tu intenda utilizzare i dati dei tuoi iscritti per finalità di marketing diretto, l’interessato ha il diritto di opporsi in qualsiasi momento a tale finalità.

Nel momento in cui raccogli i dati dei tuoi iscritti, ricorda quindi di specificare che saranno eventualmente utilizzati per fini commerciali.

I dati che hai raccolto devono essere usati solo per gli scopi che hai dichiarato agli iscritti. Quindi è indispensabile essere chiari durante la raccolta dei dati.

Se hai raccolto le email dei tuoi abbonati per inviare delle newsletter, in teoria non hai il consenso di inviare comunicazioni commerciali.

Se non hai raccolto all’inizio il consenso per uso a fini commerciali, allora prepara una prima mail per chiedere ai tuoi lettori se sono interessati a ricevere comunicazioni commerciali relative ad un prodotto specifico.

Potresti preparare un’email di questo tipo:

***

Sto per mettere in vendita …

Clicca su questo link, per essere informato appena le vendite saranno aperte.

***

Il link dovrebbe portare ad una pagina di ringraziamento che hai preparato apposta per l’occasione.

Associa un tag specifico agli utenti che hanno cliccato sul link presente all’interno della mail e assicurati di inviare solo a questi ultimi le comunicazioni commerciali relative al tuo prodotto o servizio.

Oppure, crea una nuova campagna specifica alla promozione e nel modulo d’iscrizione di questa campagna ricorda di domandare il consenso esplicito all’invio di comunicazioni commerciali.

Se usi GetResponse, creare la casella di verifica del consenso è molto semplice:

Vai nella sezione “Contatti” e poi scegli la voce “Campi personalizzati”.

Poi crea un nuovo campo personalizzato di tipo Testo a scelta multipla con una sola voce in cui scriverai: “Acconsento all’invio di comunicazioni commerciali provenienti esclusivamente da parte di …

La casella di controllo deve essere vuota e non spuntata di default.

Per una nuova campagna e un nuovo uso dei dati è necessario un nuovo consenso.

Limita sempre le tue liste di abbonati per evitare doppioni e garantire il diritto all’oblio ad ogni utente. Riuscire a rimanere con una sola lista principale, resta la pratica ideale.

5. Diritto di accesso

Ogni utente deve poter ottenere dal responsabile del trattamento la conferma che sia in corso o meno un trattamento dei dati personali che lo riguardano.

Questo punto è ben spiegato in un articolo di Tom’s Hardware.

Ti riporto i punti salienti:

Il GDPR prevede, in particolare, che l’interessato abbia il diritto di conoscere:

– le finalità del trattamento;

– le categorie dei dati personali di cui il responsabile è in possesso

– i destinatari cui i dati sono stati o saranno comunicati, specificando in particolare se si tratta di soggetti che si trovano in paesi terzi rispetto all’Unione Europea o se si tratta di organizzazioni internazionali.

– se possibile, la durata prestabilita del periodo di conservazione dei dati o quanto meno i criteri cui il titolare fa riferimento per determinare tale durata;

– tutte le informazioni disponibili sull’origine dei dati nel caso in cui non siano stati raccolti presso l’interessato, ma ricevuti da soggetti terzi (a quali l’interessato potrebbe aver dato il consenso anche a tal fine) oppure ottenuti tramite elenchi pubblici.

Le informazioni dovranno essere date a titolo gratuito all’interessato, salvo il caso eccezionale in cui il titolare debba sostenere delle spese tecniche rilevanti per adempiere (ad esempio, qualora siano state richieste più copie) oppure le richieste dell’interessato siano risultate infondate o eccessive: in presenza di simili condizioni, il titolare potrà, quindi, addebitare, entro limiti ragionevoli all’interessato una parte delle spese e richiedergli il versamento di un contributo.

Dovresti già avere una pagina di informativa estesa che riporta al suo interno il nome del responsabile del trattamento dei dati e le finalità del trattamento.

Fai un check sulla presenza di questi elementi nella pagina di informativa estesa:

Titolare del trattamento e modi per contattarlo

Tipologie dei dati raccolti

Modalità del trattamento dei dati

Finalità del trattamento

Accesso da parte di servizi terzi

Strumenti usati per l’automazione             

Strumenti usati per la protezione dallo Spam

Strumenti usati per le statistiche

Informazioni relative alla trasmissione in paesi stranieri.

Tempi o criteri della conservazione dei dati.

Informazioni sui diritti di accesso, modifica, blocco, cancellazione, opposizione e portabilità dei dati.

Informazioni sul diritto di revocare le autorizzazioni concesse in qualsiasi momento.

Se ancora non hai creato la pagina di informativa estesa, usa Iubenda. Questo servizio genererà per te la pagina in maniera pulita ed evitandoti parecchi grattacapi. Nel Footer del tuo sito deve essere sempre presente il link alla pagina di Privacy Policy.

Ricorda inoltre di implementare il banner con l’informativa breve attraverso il plugin di Iubenda o un’altra soluzione di tua scelta, purché valida.

Come è ridefinito il consenso?

Il consenso al trattamento dei dati per fini commerciali deve essere dato “liberamente” e attraverso un’azione attiva.

Cosa vuol dire?

Come ti dicevo poco fa, è indispensabile che all’interno del modulo d’iscrizione alla tua newsletter sia presente la famosa casella di controllo che recita:

Acconsento all’invio di newsletter informative provenienti esclusivamente da parte di…

Oppure:

Acconsento all’invio di comunicazioni commerciali provenienti esclusivamente da parte di…

Puoi implementare una o entrambe le caselle di controllo nel tuo modulo.

L’ideale è un consenso per ogni fine.

La casella di controllo deve essere spuntata dall’utente e non già spuntata.

Le nuove normative inoltre prevedono che i responsabili del trattamento dei dati siano in grado di fornire una prova del consenso.

È quindi indispensabile poter provare come e quando il consenso è stato raccolto (data, ora, metodo).

GetResponse può essere configurato per inviare delle email di ricevuta ogni volta che abbiamo un nuovo iscritto ad una lista (o campagna).

All’interno di questa email è possibile trovare tutti i dati relativi all’iscrizione: data, ora, consenso e pagina di origine dell’iscrizione.

Ti consiglio quindi di attivare questa funzione e di archiviare tutte le mail relative ad ogni iscritto. Recati nelle impostazioni della lista e attiva l’impostazione “Invia notifiche di iscrizione”.

GetResponse conserva in automatico questi dati insieme a quelli dell’utente fino a quando quest’ultimo non cancella la sua iscrizione. Tuttavia potresti dover dimostrare la validità di un utente che si è già cancellato dalla tua lista. In questo caso, la mail che hai archiviato ti tornerà utile.

Implementare la conferma della registrazione

Altro punto saliente delle nuove disposizioni è l’obbligo di conferma dopo la registrazione.

Hai presente quando ricevi una mail che ti chiede di cliccare sul link al suo interno per confermare la registrazione?

Si tratta proprio di questa pratica. Con il GDPR diventa obbligatoria.

In questo modo si eviterà l’uso improprio di email appartenenti ad altri.

Se usi GetResponse, recati nelle impostazioni della lista e attiva l’impostazione “Messaggio di conferma”, scegliendo tra i vari modelli già pronti.

Prepararsi in caso di furto dei dati

In caso di violazioni dei dati, provenienti dall’interno o dall’esterno dell’azienda, è necessario segnalare l’incidente alle autorità di vigilanza entro 72 ore dopo la scoperta.

La segnalazione deve essere effettuata dal titolare del trattamento in modo chiaro e specifico, nel più breve tempo possibile, e deve riportare la natura della violazione, le circostanze ad essa relative, le sue probabili conseguenze e i provvedimenti adottati (o che si intendono adottare) per porvi rimedio e attenuare i possibili effetti negativi.

Ti invito a leggere questo articolo per approfondire l’argomento.

Non cedere i dati a terzi senza autorizzazione.

Questa non è una novità, ma è bene ribadire che in nessun caso puoi cedere i dati raccolti ad altri servizi o persone senza il consenso esplicito dei tuoi utenti (o clienti).

Qualora avessi l’autorizzazione, è tua responsabilità accertarti che i partners che gestiranno i dati da te raccolti siano conformi a loro volta al regolamento europeo.

Se i tuoi partners commerciali non sono conformi, rischi multe. Cambia partners!

Anche il tuo AutoResponder fa parte dei servizi ai quali cedi i dati raccolti. Se il tuo AutoResponder non è conforme e non ti permette di essere in regola con il GDPR, allora cambia AutoResponder.

Non puoi prendere rischi a causa di altri servizi che non si sono ancora messi a norma.

Tutela dei minori di 16 anni

Il nuovo Regolamento europeo prescrive l’obbligo di non consentire l’offerta diretta di servizi informatici a soggetti minori di 16 anni, a meno che non sia raccolto il consenso dei genitori.

In questo caso occorre accertare che il consenso sia dato da chi detiene la patria potestà. La normativa semba essere ancora in discussione e non è chiaro se sia da implementare solo per i servizi di messaggistica e di social network oppure sull’insieme dei servizi offerti online.

Intanto, personalmente ho preferito negare la registrazione alla mia newsletter ai minori di 16 anni.

Ho scritto esplicitamente nel mio modulo d’iscrizione che bisogna avere almeno 16 anni per registrarsi. Certo, non c’è nessun tipo di controllo ulteriore e chiunque può inserire i suoi dati nel modulo, ma in questo caso è l’iscritto a dichiarare il falso fornendo dei dati non corretti. Questo dovrebbe bastare per mettermi al sicuro ma non ho finito le ricerche riguardo all’argomento.

Gestione dei cookie

Per quanto riguarda i cookies, restano in vigore le stesse leggi valide dal 2 Giugno 2015.

Per quanto concerne l’installazione dei cookie tecnici non è richiesto il consenso degli utenti, quindi nemmeno per quelli di Google Analytics se opportunamente anonimizzati.

I cookie di profilazione, invece, possono essere installati sul computer dell’utente che visita il sito, soltanto dopo l’espressione del suo consenso.

Trovi maggiori info nell’articolo su come adeguare il tuo blog alla nuova legge sui cookie.

Come conformare una lista già esistente

Come ti ho già accennato all’inizio dell’articolo, la GDPR è retroattiva.

È quindi necessario, fin da oggi, chiedere i consensi specifici ad ogni trattamento nel caso non siano mai stati raccolti.

Potrebbe sembrarti una cattiva notizia ma è piuttosto una buona opportunità per aggiornare la tua lista esistente e per eliminare gli indirizzi vecchi e non più attivi.

Rappresenta inoltre un’occasione per ristrutturare il tuo funnel e preparare una corretta segmentazione dei tuoi contatti secondo fasce di interessi, età, livello di coinvolgimento.

È un lavoro di sicuro impegnativo ma che aumentarà di parecchio la qualità della tua lista, la sua interazione e le conversioni nel breve termine.

Personalmente ho preparato una campagna di riconferma dei miei iscritti dopo aver messo a punto GetResponse con tutti gli accorgimenti del caso.

Nella pratica ho creato una nuova lista (campagna2018) e ho inviato una mail a tutti gli iscritti all’anziana lista (campagna2014-2017) invitando i lettori a inserire i loro dati nel nuovo modulo di registrazione.

Allo stesso tempo, ho invitato i followers della mia pagina Facebook a fare altrettanto, attraverso un post sponsorizzato visualizzato per 4 giorni solo agli iscritti della pagina.

Due giorni dopo la prima mail, ne ho inviata una seconda per sollecitare di nuovo tutti i lettori che non avevano aperto il primo messaggio. Cinque giorni dopo il primo messaggio ho eliminato completamente la vecchia lista (campagna2014-2017).

Ho perso più della metà dei miei abbonati ma sono consapevole della scelta fatta e credo che mi ripagherà nel breve termine.

Detto questo, credo di aver fatto una panoramica completa sull’argomento. Se vuoi approfondire ulteriormente le tue conoscenze, ti invito a leggere la Guida in PDF del Garante della Privacy.

GDPR, non solo inconvenienti

Per quanto tutte queste regole possano sembrare limitanti per le strategie di marketing, personalmente sono convinto che non tutti i mali vengano per nuocere.

Sono davvero convinto che, una volta che tutti si saranno adeguati, il mail marketing tornerà ad essere uno strumento apprezzato dalle persone.

Da tempo tutti speriamo nella fine del marketing selvaggio e aggressivo, del quale tutti siamo vittime quotidianamente.

In molti continuano ad ignorare che non è la quantità di contenuti offerti che conta, ma è il modo in cui ci si pone per essere la scelta perfetta per una certa nicchia di persone.

Il mantra di chi fa marketing diretto dovrebbe essere “meno contenuto, migliore esperienza”.

Un comportamento civile e strategie di marketing “pulite” produrranno di sicuro delle community più coinvolte e che guardano alle aziende (o ai blog) con maggiore fiducia. E più fiducia vuol dire, percentuali di apertura delle mail più alte e anche maggiori conversioni.

L’obbligo di mantenere le nostre liste pulite e di cancellare i dati degli utenti inattivi è inoltre un’abitudine che tutti dovrebbero avere e che porta anche ad un certo risparmio nella gestione dell’automazione (meno iscritti, minori costi).

L’email è ancora uno degli strumenti di marketing più potenti e proteggere questo tipo di marketing dagli abusi è una scelta oculata.

In altre parole, i soldi sono e saranno ancora nella tua mailing list anche grazie a queste nuove norme.

E tu cosa ne pensi? Fammelo sapere nei commenti.

About Francesco Panico

Autore e fondatore di blogfacile.net. Appassionato di Web Marketing e copywriting, mi occupo di strategie di blogging e di lead-generation.
4 commenti
  1. Regina
    Regina dice:

    Ciao, anche io mi unisco ai complimenti sulla trattazione dell’argomento, hai chiarito molti miei dubbi. Dato che sei molto esperto sulla questione ti chiedo questo per chiarezza anche se temo di aver ben compreso già la risposta:
    Ho una mailing list esistente da anni e devo regolarizzarmi rispetto al gdpr: invio loro una campagna devo chiedere loro “se vuoi cancellarti clicca qui” oppure al contrario per essere regolare è necessario che io chieda ” se vuoi continuare a rimanere iscritto e ricevere comunicazioni commerciali clicca qui per conferma”? temo che sia la seconda ma attendo tua conferma dato che sei molto ferrato!

    • Francesco Panico
      Francesco Panico dice:

      Ciao Regina, tutto dipende da come hai raccolto i dati fino ad oggi. Puoi provare di avere un consenso per ogni iscritto? I dati in tuo possesso sono recenti (hanno meno di 3 anni)?
      Se la risposta è no dovresti riconfermare la tua lista.Soprattutto se sei una grande azienda.

I commenti sono chiusi.