L’argomento è importante in tutte le situazioni che riguardano il trattamento dei dati personali. Ma – in particolare – è nell’email marketing che la conformità GDPR si fa sentire come preponderante. Bisogna rispettare le norme attuali in materia di privacy e assicurare la protezione dati degli utenti. Altrimenti si rischiano multe salate o peggio.
La legge sulla privacy GDPR è in vigore dal 2018. Si applica ai Paesi europei e a quanti maneggiano i dati appartenenti ai cittadini del Continente. Questo significa che anche Meta, pur essendo un’azienda collocata negli USA, deve sottostare a tali norme relative.
Vediamo meglio di cosa si tratta e come aggiornare la conformità al GDPR nel 2024.
Cosa prevede la conformità GDPR: i principi
Per quanto sia complesso analizzare una legge è fondamentale conoscere a fondo la conformità al GDPR se lavori sul web (suggeriamo infatti di leggere il testo completo).
Sì, perché sicuramente riceverai una quantità molto elevata di dati. Basta pensare a quelli di chi visita il tuo sito. Insomma hai bisogno di adeguare la protezione dati in modo da non compromettere la privacy degli utenti. Qual è il pericolo? Quello di incappare in una multa salata e di perdere la fiducia e la credibilità che hai conquistato negli anni. Per evitare tutto ciò impara a conoscere i principi del GDPR.
Minimizzazione dei dati
La trasparenza è uno dei principi base del GDPR. In sostanza non ti viene vietato di utilizzare i dati degli utenti, ma loro devono esserne assolutamente al corrente. Dovrai quindi avere una pagina specifica dedicata alla privacy policy e richiamarla ogni volta che un utente compila un formIl form è una parte di una pagina web che consente all'utente di digitare informazioni... Leggi. Nel testo saranno presenti le finalità specifiche dei dati che stai raccogliendo.
GDPR e chiarezza in conformità al GDPR
La trasparenza è uno dei principi base del GDPR. In sostanza non ti viene vietato di utilizzare i dati degli utenti, ma loro devono esserne assolutamente al corrente. Dovrai quindi avere una pagina specifica dedicata alla privacy policy e richiamarla ogni volta che un utente compila un form. Nel testo saranno presenti le finalità specifiche dei dati che stai raccogliendo.
La protezione dati già acquisiti
La tua pagina sulla privacy policy dovrà dichiarare apertamente anche tutte le azioni che metti in campo per proteggere i dati degli utenti dai malintenzionati. Ciò significa che tutti i luoghi, fisici e virtuali, in cui sono raccolte tali informazioni vanno protetti nel miglior modo possibile. In caso di data breach (violazione dei dati), il Titolare e il Responsabile del Trattamento saranno ritenuti direttamente responsabili.
Limitazioni nella conservazione dei dati
Per una totale conformità GDPR, non ti basta conservare i dati in modo sicuro e corretto. Devi anche tenerli per te per il minor tempo possibile. Come si calcola questo tempo? Sulla base delle necessità e delle finalità per cui raccogli e tratti le informazioni.
Conformità GDPR e aggiornamenti recenti
Nel 2024 sono state aggiunte alcune importanti specifiche in merito alla privacy e la protezione dati degli utenti da parte di colossi della comunicazione Google e Yahoo. Queste riguardano soprattutto i siti web. Ma contengono anche risvolti legati all’email marketing. In conformità al GDPR il double opt-inLa parola OPT-IN è abbreviazione dell'espressione inglese option in. Indica l'azione con cui l'utente acconsente... Leggi diventa praticamente quasi obbligatorio. Dopo aver compilato il form, l’utente deve compiere un’azione chiara, volontaria e specifica per confermare la sua scelta. Di solito si tratta di cliccare sul button di un’email automatica.
A cosa serve la protezione dati degli utenti nell’email marketing
Tra le tendenze emergenti dell’email marketing c’è una crescente attenzione degli utenti alla conformità al GDPR. Sempre più consapevoli dei rischi che si corrono quando i propri dati non vengono protetti correttamente, i naviganti del web non concedono le loro informazioni facilmente. Una privacy policy poco chiara ti farà perdere la loro fiducia. E lo stesso accadrà se la funzione di double opt-in non è messa in atto.
Conformità GDPR: cosa fare se non sei a norma?
Tutto dipende da come hai lavorato fino ad adesso. Come hai ottenuto i dati degli utenti e come pensi di attuare d’ora in avanti la protezione degli stessi. Vediamo i diversi casi.
Protezione dati ottenuti con il consenso e il double opt-in
In questo caso dovresti essere in regola. Hai raccolto i dati correttamente, ti sei assicurato che l’utente leggesse la privacy policy e hai ottenuto la sua conferma. Puoi procedere liberamente con l’invio di email connesse alla finalità specifica. Per esempio, se il cliente si è abbonato solo alla newsletter, non puoi inviargli email promozionali e viceversa.
Dati trovati online e conformità al GDPR
Ecco un errore grave, che ti farebbe perdere enormi punti agli occhi degli utenti. Hai raccolto gli indirizzi email su LinkedIn e li hai trasferiti nel tuo databaseIl database (abbreviato DB) è una sorta di schedario digitale super-evoluto. Cioè, un contenitore elettronico... Leggi? Sei punibile perché non in conformità al GDPR. Infatti l’utente ha messo il suo indirizzo su LinkedIn per ottenere contatti privati di tipo lavorativo. Non ti ha mai dato l’esplicito consenso a usarlo per la tua newsletter. ATTENZIONE.
Conformità al GDPR se i dati sono ottenuti offline
Facciamo un esempio pratico. Ad una fiera scambi il biglietto da visita con alcuni potenziali clienti. Puoi inserire i loro contatti nel tuo database? La norma GDPR dice di no. Non ti è stato dato il consenso scritto ed esplicito a usarli per finalità promozionali o commerciali.
Che succede se fai un errore: la protezione dati postuma
Lo possiamo capire: hai una piccola attività, non conosci ancora bene le norme e ti sei fatto prendere dall’entusiasmo. Magari qualcuno ha risposto con rabbia alla tua email o ti ha fatto notare lo sbaglio commesso. Oppure te ne sei reso conto da solo, leggendo questa guida. Cosa fare adesso? Noi consigliamo di ammettere l’errore. Capita… è stato fatto in buona fede e i tuoi clienti apprezzeranno l’onestà. Invia a tutti loro una mail di scuse e inserisci la possibilità di disiscrizione secondo conformità GDPR. Potrebbero perdonarti, apprezzando la tua sincerità. O disiscriversi e chiudere la questione senza troppi strascichi.
La protezione dati da oggi è una priorità
Se hai sbagliato, e nessuno ti ha denunciato alle autorità competenti, potresti cavartela semplicemente ammettendo il tuo errore. Ma d’ora in poi presta attenzione. Rischi una segnalazione e una multa. Tutte le tue comunicazioni dovranno avvenire in conformità al GDPR e prevedere la protezione dati in ogni fase del loro trattamento. Questo riguarda la loro raccolta, la loro conservazione, il trattamento fino allo smaltimento.
Come creare una privacy policy in conformità al GDPR
La protezione dati deve essere, secondo la legge in materia, “by design”. Cioè ogni parte della tua comunicazione digitale (dalle newsletter al carrello di acquisto) va pensata già con le regole corrette di trattamento. In ogni form dovrai inserire la casella da spuntare, un richiamo alla policy estesa e il sistema di verifica double opt-in.
La protezione dati ottenuti da terzi
Hai presente quella spunta che spesso appare nei form di iscrizione? Una dice “Accetto che i miei dati vengano trattati dalla società bla bla bla…“. Un’altra inizia con “Accetto che i miei dati vengano trasferiti a terzi bla bla bla…“. Ecco, in quest’ultimo caso l’azienda può trasferire o più spesso vendere pacchetti di dati. Questi però conterranno solo i dati di coloro che hanno spuntato la seconda casella. Anche in tale situazione, la chiarezza è al primo posto: scrivi apertamente a chi cederai i dati e per quali finalità.
Esempi di conformità al GDPR
Come spesso facciamo, abbiamo raccolto degli esempi pratici di email double opt-in che possono darti l’ispirazione per creare la tua.
- Il modello tenero. Come quello di Hover, società di hosting di siti web che invia un cagnolino triste e il copy “Non vogliamo perderti: conferma la tua iscrizione”.
- La conformità GDPR legata a uno sconto. Quando la legge è entrata in vigore, Coast and County Cottages ha offerto il 5% di sconto per il prossimo soggiorno a chi confermava l’iscrizione.
- Tono di voce coerente. McDonald’s ha parlato ai suoi clienti come fa abitualmente. Una mail minimale ma colorata e un tono di voce amichevole.
Ci sono email che non richiedono la protezione dati?
Posto che i dati del tuo cliente attuale o potenziale dovrebbero sempre esserti a cuore, c’è un solo caso in cui il GDPR non è obbligatorio. Si tratta delle email transazionali. Per esempio, quando si inviano mail si:
- conferma di un ordine;
- spedizione di un ordine;
- reso.
Queste email prevedono la conservazione dei dati soltanto per avvisare il cliente sulle novità che riguardano il suo acquisto. Per inserirlo nel database delle newsletter o in quello delle email promozionali, invece, dovrai chiedere il suo consenso esplicito.
Conclusioni sulla conformità al GDPR
Per essere in conformità al GDPR nel 2024, devi chiedere esplicitamente il trattamento dei dati del tuo utente. Potrai, poi, usarli solo per le finalità espresse e per il tempo necessario. Secondo le nuove direttive di Google e Yahoo, la doppia conferma è sempre auspicabile. Assicurati quindi di nominare un responsabile del trattamento. Così la protezione dati sarà sempre controllata da un dipendente di tua fiducia o da te stesso, in conformità GDPR.
Se hai dubbi, consulta un legale esperto in materia di privacy.
