Con newsletter si intende una comunicazione inviata per email ad una lista di utenti che hanno manifestato un esplicito consenso a ricevere tali informazioni. E’ un mezzo prezioso per consolidare le relazioni con i propri clienti, ma è possibile incorrere in sanzioni salate se non si rispettano le normative previste dal GDPR. Quali step seguire per non essere sanzionati?

Chi sono i titolari del trattamento?

Nel momento in cui accediamo alle e-mail e altre informazioni personali (quali ad esempio nome e cognome, tasso di apertura delle email o lettura delle newsletter) stiamo trattando dati personali, essendo considerati tali tutte le informazioni che:

“identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..” 

Chiunque raccolga questo tipo di dati, definito titolare del trattamento, è tenuto a rispettare il GDPR. La normativa non verrà applicata solamente alle attività domestiche (ad esempio la propria cerchia di amici), ma si applicherà anche laddove si tratti di un’associazione, anche senza scopo di lucro.

Come rendere conforme la tua newsletter in 5 step

Per rendere la tua newsletter conforme alle normative devi:

• Definire gli scopi della newsletter

Come ribadisce il provvedimento del Garante del 4 luglio 2013 è importante avere chiaro i motivi per cui si intende fornire il servizio e quali siano i dati necessari, così come il tipo di newsletter che si intende realizzare.

• Predisporre l’informativa privacy

La raccolta di dati personali presuppone un obbligo imprescindibile da parte del titolare del trattamento, ovvero quello di fornire un’informativa chiara e completa relativa al trattamento dei dati. L'interessato deve essere informato oralmente o per iscritto riguardo a una serie di elementi. Fra questi:

• i dati trattati;
• le modalità del trattamento;
• le finalità del trattamento (ricerca statistica, marketing, proliferazione ecc.);
• servizi di terze parti utilizzati;
• diritti degli utenti in relazione ai loro dati;
• come gestisci le richieste degli utenti in merito ai loro diritti;
• quali strumenti verranno utilizzati per le comunicazioni (email, SMS, ecc);
• le misure di sicurezza che adotta la tua azienda.

Per saperne di più > Informativa privacy: dove, come, quando, perché

• Raccogliere il consenso al trattamento dei dati

Il consenso deve essere: esplicito (espresso mediante una dichiarazione o altro gesto indubbio), informato, specifico (deve essere fornito per ogni finalità perseguita) e libero (non vincolato a condizioni).

Quest’ultimo punto significa che l’utente deve poter scegliere di iscriversi al servizio in maniera autonoma e attiva e non trovarsi in una condizione in cui la formula è già selezionata. Inoltre, l’utente non deve subire alcuna pressione che lo costringa ad accettare. Per fare un esempio, se gli utenti fossero costretti ad accettare l’iscrizione alla newsletter per navigare sul sito non si gestirebbe il consenso a norma.

Nel consenso per l’invio della newsletter va specificato:

1. il soggetto che manderà la comunicazione;
2. il mezzo tramite il quale sarà inviata (email, SMS, ecc);
3. la tipologia di comunicazione (newsletter, comunicazioni commerciali).

• Assicurare il diritto di opposizione al trattamento dei dati

Gli utenti hanno il diritto di cancellarsi dalla newsletter in qualsiasi momento. 

Il tasto "unsubscribe" deve essere chiaramente visibile, semplice da capire e presente nella newsletter stessa.

Se l’utente chiede di essere cancellato, l’eliminazione deve essere fatta il prima possibile. L’utente potrebbe anche voler ricevere newsletter solo tramite un mezzo e non riceverne più da un altro. In questo caso, a seguito della disiscrizione, andrà impedito l’invio di newsletter tramite mezzi non richiesti.

• Tenere un registro dei consensi raccolti (altrimenti i consensi non saranno validi)

Il GDPR afferma che il consenso raccolto deve essere dimostrabile. Per farlo, è importante tenere traccia di tutti i consensi acquisiti, altrimenti questi non risulteranno validi. 

Di seguito le informazioni che devono essere incluse nel registro:

• quando e come è stato prestato il consenso;
• da chi;
• il modulo del consenso presentato all’interessato;
• le informative in vigore nel momento in cui il consenso è stato raccolto.

Rischi e sanzioni

La non conformità può portare a sanzioni salate, con multe che vanno da decine di migliaia a milioni di euro. Oltre a queste, possono presentarsi altre sanzioni preoccupanti che comprendono rimproveri ufficiali, valutazioni periodiche della protezione dei dati e responsabilità per i danni.

Tra gli aspetti maggiormente sanzionati troviamo la violazione dell’informativa e dei diritti degli interessati e la mancanza di validità del consenso. Violazioni queste che rientrano nello scaglione più alto e che possono portare a sanzioni fino a 20 milioni di euro o al 4% del fatturato annuale globale.

Ci possono essere ulteriori conseguenze, quali interruzione dei servizi di terze parti (sospensione del servizio o divieti permanenti) e danno alla reputazione (gli utenti possono percepire la tua attività come poco affidabile).