Newsletter & GDPR: quando si configura l’illecito trattamento dei dati

Read 6 min
Possiedi un sito web o un blog? Ti piacerebbe offrire alla tua community un servizio di newsletter? Ecco qualche consiglio per agire nella legalità e non incappare in sanzioni indesiderate.

La newsletter è uno strumento di marketing molto impiegato tra gli imprenditori della rete principalmente perché fidelizza la propria utenza.

Gli operatori del digitale conoscono bene l’importanza della community, di aver un séguito e con questo utilissimo mezzo un blogger, per esempio, può consolidare il rapporto con la propria nicchia tenendola periodicamente aggiornata sulle proprie attività.

Questo servizio consente all’utente che ne faccia espressa richiesta, tramite la compilazione di un form di iscrizione, di ricevere delle comunicazioni elettroniche da parte del titolare del sito web, con una determinata cadenza temporale.

Il titolare sarà tenuto a specificare la facoltatività di tale servizio e l’internauta, se interessato, dovrà fornire i propri dati personali per registrarsi.

Come noto, per la raccolta e per il trattamento dei dati personali occorre adempiere a determinati incombenti previsti dalla legge, a pena di ingenti sanzioni pecuniarie.

Consenso

Il primo aspetto su cui occorre soffermarsi concerne il consenso dell’interessato.

La richiesta di adesione al servizio di newsletter presuppone un comportamento attivo ed esplicito dell’internauta, pertanto non è necessario un consenso ulteriore, rispetto a quello fornito nella compilazione ed invio del form di iscrizione alla newsletter.

La richiesta di adesione al servizio di newsletter presuppone un comportamento attivo ed esplicito dell’internauta, pertanto non è necessario un consenso ulteriore, rispetto a quello fornito nella compilazione ed invio del form di iscrizione alla newsletter.

A tal fine, il regolamento europeo (GDPR) vieta espressamente l’impiego di caselle prespuntate: il visitatore deve compilare di suo pugno ogni campo del modulo di iscrizione (compresa, come vedremo in seguito, la presa visione della privacy policy) con una operazione di “opt-in”.

Il consenso infatti deve essere verificabile. I titolari più scrupolosi, per onorare la prova del consenso, prevedono addirittura una doppia azione positiva diretta dell’utente cd. “double opt-in”, che prevede, ad esempio, l’invio di una mail di convalida o il click su una checkbox.

Infine il consenso perché sia efficace deve essere informato. L’utente, prima di accedere al servizio e fornire i propri dati personali, deve essere posto nelle condizioni di avere tutte le informazioni necessarie alla tutela della sua privacy.

Privacy policy

Il GDPR impone infatti la redazione di una informativa sulla privacy che consenta all’utente di conoscere la sorte dei propri dati personali.

In particolare, la privacy policy deve fornire in maniera semplice e comprensibile una serie di informazioni riguardo:

  • i dati che verranno raccolti, le modalità di acquisizione e il trattamento che si intende svolgere su di essi;
  • le finalità del trattamento (es. solo invio newsletter o anche pubblicità, etc.);
  • la durata del trattamento;
  • i servizi di terza parte che vengono eventualmente utilizzati;
  • i diritti può esercitare l’utente e le modalità di esercizio;
  • i canali che vengono impiegati per l’invio di comunicazioni;
  • le misure di sicurezza vengono adottate.

Tutte queste elementi, chiaramente nell’ambito del servizio di newsletter di cui si sta trattando, sono indispensabili affinché l’informativa possa dirsi completa e il trattamento lecito.

Il titolare non può quindi esimersi dalla redazione di questo documento che deve essere peraltro facilmente accessibile e consultabile dall’utente che intende ricevere le comunicazioni elettroniche.

Per tale ragione, il link che consente la visione della privacy policy è generalmente riportato nella newsletter stessa o allegato/posto in calce al box di iscrizione oppure nel footer del sito web.

Naturalmente più si è trasparenti – nel contenuto e nella collocazione della informativa – meno possibilità si avranno di violare disposizioni di legge.

Una piccola puntualizzazione sui partner/clienti (cd. terze parti) del titolare riguarda il fatto che anch’essi dovranno essere in linea con gli standard normativi e quindi dotarsi a loro volta di una privacy policy, dalla quale emerga chiaramente in che misura verranno coinvolti nel trattamento.

Finalità del Trattamento

Il consenso prestato dall’utente deve essere specifico ovvero strettamente connesso alla finalità di trattamento indicato dal titolare, pertanto qualora quest’ultimo intenda inviare la newsletter per finalità di marketing (o profilazione o altre finalità) dovrà ottenere un consenso aggiuntivo, all’uopo dedicato (cd. principio di finalità)

Per ciascuna finalità di trattamento infatti è richiesto un consenso ad hoc e per ogni variazione della finalità originaria rispetto a quella per la quale vengono raccolti i dati rende necessario la richiesta di un ulteriore e specifico consenso in relazione alla nuova finalità.

A ciò si aggiunga che secondo il cd. principio di minimizzazione è possibile raccogliere unicamente i dati personali necessari per raggiungere quella determinata finalità.

Per intenderci, per l’invio di una newsletter è sufficiente raccogliere l’indirizzo e-mail dell’utente (magari anche il nome), sicché la raccolta ogni altro dato (es. numero di telefono, preferenze, dati sensibili, etc.) sarebbe superflua e non pertinente, oltre ad essere chiaramente in contrasto con la normativa.

Direct e-mail marketing

La newsletter svolge principalmente la funzione di tenere gli utenti aggiornati mediante l’invio di messaggi informativi, tuttavia quando il titolare voglia trasmettere delle comunicazioni promozionali, e quindi intenda pubblicizzare prodotti o servizi via mail (cd. DEM – Direct E-mail Marketing) ma anche prodotti o servizi di terzi, è necessario che raccolga un separato consenso diretto specificamente a questo scopo.

Ne consegue che anche l’informativa sulla privacy dovrà riportare tutte le informazioni in punto a quella particolare finalità.

Naturalmente, l’utente potrà essere interessato a ricevere solo le comunicazioni informative e non quelle commerciali. In tale evenienza presterà il proprio consenso solo per la prima ipotesi, in nessun caso il titolare potrà imporre l’invio delle mail pubblicitarie e in nessun caso potrà trasmetterle in assenza del benestare del destinatario.

Revoca del consenso

Dopo essere stato iscritto alla mailing list del titolare, l’utente può naturalmente disiscriversi. Tale azione deve essere gratuita, di semplice esecuzione e realizzabile in qualsiasi momento.

Il titolare quindi non potrà in alcun modo imporre la prosecuzione del servizio, ostacolare l’esercizio di tale diritto all’utente, potrà perseverare nell’utilizzo dei suoi dati personali.

In genere, ogni newsletter è corredata di un link che consente la cancellazione dalla lista dei contatti. Il titolare deve offrire infatti la possibilità di revocare il proprio consenso e/o modificare/gestire le proprie preferenze.

In quest’ottica, il link indicato dovrà essere valido per un periodo di tempo di almeno 30 giorni successivi alla ricezione della e-mail e il titolare dovrà onorare le richieste di disiscrizione entro 10 giorni (per un tempo massimo di 30 giorni).

Lo “spamming

Un breve cenno sullo spamming in questa sede pare calzante. Trattasi di una pratica molto diffusa che consiste nell’invio reiterato e non richiesto di messaggi di posta elettronica generalmente a carattere commerciale.

Questo tipo di e-mail indesiderate generalmente vengono trasmesse senza alcun consenso da parte del destinatario del messaggio oppure con un consenso non più valido ed ha lo scopo di raggiungere un vasto numero di utenti per pubblicizzare un prodotto ma spesso anche per finalità meno legali.

Per approfondire la questione delle comunicazioni indesiderate si consiglia la lettura delle linee guida generali in materia di attività promozionale e contrasto allo spam del Garante della privacy, che anche se antecedente rispetto al GDPR, offrono un quadro completo ed attuale.

Durata del Trattamento

Una volta acquisito il consenso il titolare potrà trattare i dati raccolti per un periodo determinato che può variare tra i 12 e i 24 mesi, solo in casi particolari è possibile chiedere una proroga alla Autorità garante.

Per tale limite temporale è necessario conoscere la data in cui il consenso viene prestato, poiché da tale data decorre il suddetto termine entro il quale il dato correttamente acquisito può essere trattato.

Conclusione

L’utilizzo di un indirizzo di posta elettronica costituisce trattamento di dato personale pertanto l’invio di una newsletter presuppone una raccolta di dati personali e non può sottrarsi all’applicazione delle disposizioni del GDPR.

Per l’acquisizione e il trattamento di un dato personale è necessario che ricorra una fondata base giuridica che per la trasmissioni di comunicazioni elettroniche è rappresentata dal preventivo consenso.

In difetto di consenso, il trattamento verrà considerato illecito e sanzionabile ex art. 130 Codice in materia di Privacy (D.Lgs. 101/2018).

In ogni caso il titolare dovrà necessariamente predisporre una informativa sulla privacy che consenta all’utente di comprendere con semplicità in che modo i suoi dati verranno trattati e da chi.

Si consiglia altresì di tenere un registro dei trattamenti – anche fuori dai casi in cui non vi è l’obbligo – nel quale indicare dettagliatamente chi ha prestato il proprio consenso, quando ed in che modalità, corredato del modulo di adesione al servizio e la privacy policy vigente al tempo dell’acquisizione. Tale strumento consentirà di monitorare costantemente la liceità dei propri trattamenti.

VP

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *