Come promesso, eccoci arrivati a uno degli argomenti più caldi per chi, come me, gestisce una newsletter con migliaia di indirizzi in mailing list. Prima di tutto voglio avvertirti che non sono un avvocato (nonostante abbia chiesto varie consulenze a riguardo, non posso averne le competenze) e quindi quello che leggi sono semplicemente consigli nati dalla mia esperienza in materia di adeguamento al nuovo GDPR. Per essere sicuri di fare le scelte giuste è sempre meglio rivolgersi ad un professionista del settore.
Come ormai sappiamo tutti dal 25 maggio 2018 sono entrate in vigore le nuove norme previste dalla comunità europea in materia di GDPR (General Data Protection Regulation). All’interno del nuovo regolamento non si fa menzione delle newsletter, quindi la materia è piuttosto controversa e instabile, diciamo che occorre interpretare la normativa per applicarla anche a questo campo.
Cosa cambia?
La nuova normativa europea prevede che il consenso al trattamento dei dati personali (non solo quelli sensibili, ma anche quelli personali come nome, cognome, domicilio, indirizzo email etc) sia rilasciato in maniera attiva e non “supposto” (in realtà non avrebbe dovuto esserlo neanche prima) e che debba rimanere traccia verificabile del consenso. Inoltre i dati registrati devono poter essere estrapolati, modificati, trasportati e cancellati a seguito della richiesta dell’interessato (o del Garante della Privacy). Infine l’informativa sulla Privacy Policy deve essere modificata in modo che sia snella e immediatamente comprensibile (addio quindi a quei testi infinitamente lunghi e pieni di richiami a norme e leggi che ognuno di noi ha sempre evitato di leggere per non perdere tempo) e comunicata agli utenti che ne saranno influenzati.
Il nuovo regolamento è valido per tutti i privati e le attività che raccolgono e trattano dati personali.
Quindi cosa devo fare?
Per essere a norma occorre fare diverse cose, molte delle quali rischiano di far crollare il numero degli iscritti alle nostre newsletter in maniera disastrosa. Ma per essere in regola ed evitare problemi (segnalazioni, multe salate etc) occorre rispettare il GDPR in tutti i suoi aspetti.
Cosa fare con gli utenti che si sono iscritti prima del 25 Maggio 2018?
Nel caso in cui i dati riferiti a questi utenti siano stati raccolti rispettando la precedente normativa (quindi avete informative firmate o traccia dei moduli online compilati di tutti gli iscritti) non devi far altro che inviare una comunicazione chiara ed esplicita che rassicuri il destinatario in merito all’utilizzo e alle finalità dei dati. Dovrai comunicare la modifica della tua Privacy Policy (fornendo accesso alla sua versione completa), la possibilità di cancellarsi dalla mailing list (ma questo era obbligatorio per legge anche prima) e l’indirizzo reale dell’azienda o realtà che tratterà i dati.
Nel caso in cui invece tu abbia raccolto indirizzi in maniera “non ufficiale” la faccenda si complica: occorre ottenere subito il consenso personale e diretto dei tuoi utenti, che devono manifestare in maniera attiva l’interesse a restare nella tua mailing list e ricevere la newsletter (NON VALE IL TACITO ASSENSO). Ed ecco la magagna: come avrai notato in questo periodo fioccano mail sull’adeguamento al GDPR e quindi il rischio che gli utenti cestinino o ignorino l’ennesima mail è molto alto, e per noi significa dover cancellare TUTTI i relativi indirizzi dalle nostre mailing list.
Come creare la mail di adeguamento al GDPR e richiedere conferma attiva del consenso?
La cosa migliore è mandare una mail breve e semplice alla vostra mailing-list dove spieghi che vi state adeguando alla nuova normativa sulla Privacy e che tratterete i dati personali in vostro possesso in modo rispettoso, senza diffonderli e proteggendoli da eventuali tentativi di frode. Dopo di che specifica la finalità con la quale utilizzate i dati personali degli utenti e chiedi loro di restare in contatto con voi, andando ad aggiornare i dati in vostro possesso (do per scontato che usi uno strumento di gestione di newsletter come MailChimp, MailUp o affini e che quindi questa funzionalità sia gestita automaticamente). Inserire frasi tipo “se non rispondete vuol dire che intendete restare in contatto con noi” è assolutamente illegale e, a mio parere, anche fastidioso: sembra che tu voglia prenderli in giro.
Dovrai inoltre fornire la possibilità di cancellarsi dalla vostra mailing list, l’accesso alla versione completa della vostra nuova Privacy Policy e l’indirizzo reale dell’azienda o realtà che tratterà i dati. In questo caso chi accetterà di restare in contatto con voi manifesterà in modo non equivoco attraverso comportamenti concludenti e positivi l’intenzione libera, specifica e informata di accettare il trattamento (questo il testo del GDPR).
Se nella tua email manca una di queste componenti (ad esempio la richiesta di manifestare l’interesse a rimanere in contatto con voi), il consenso al trattamento dei dati sarà da considerarsi, purtroppo, non regolare e per questo sanzionabile, anche se in un certo modo potrebbe dimostrare una tua buona fede nel tentativo di seguire una normativa ancora poco chiara e difficilmente comprensibile.
Cosa fare per le nuove iscrizioni alla newsletter?
Occorre fare due cose: adeguare la propria Privacy Policy alla nuova normativa (e renderla accessibile ai tuoi utenti) e modificare l’informativa all’interno del form di iscrizione, inserendo qualche accorgimento in più. Dopo di che qualsiasi nuova iscrizione alla newsletter deve prevedere la compilazione di questo form.
L’informativa sul trattamento dei dati personali nel form di iscrizione alla nostra newsletter dovrà comprendere:
- finalità dell’utilizzo dei dati;
- informazione sul titolare del trattamento;
- modalità di accesso ai dati personali e di comunicazione della rettifica o la cancellazione degli stessi o la limitazione del trattamento che li riguarda o di opporsi al trattamento stesso;
- per quanto tempo i dati resteranno nei vostri archivi (la normativa non dà un limite di tempo ma impone di scrivere qual’è, potete semplicemente scrivere che resteranno registrati fino alla richiesta esplicita di cancellazione);
- modalità di reclamo (richiamo al titolare o alle opportuni sedi giudiziarie).
Personalmente ho preso spunto dal form di iscrizione alla newsletter del Garante della Privacy italiano (meglio di lui…).
Per fortuna MailChimp ha attivato una funzione che permette di modificare il form in accordo alla nuova normativa.
Nonostante non sia legalmente necessario più persone mi hanno consigliato di utilizzare per i form di iscrizione il Il double opt-in che prevede un doppio step di conferma, da parte dell’utente, circa la volontà di ricevere le comunicazioni.
La nuova Privacy Policy
Ovviamente non c’è un modo unico di scriverla, il GDPR chiede che l’informativa sia semplice, trasparente, comprensibile, senza riferimenti normativi e scritta in linguaggio corrente. Deve consentire di comprendere, a colpo d’occhio, che fine fanno i dati forniti, come vengono protetti e chi se ne occupa. Deve inoltre chiarire agli utenti che in qualsiasi momento possono controllare, modificare, aggiornare o cancellare i propri dati e come fare nel caso in cui volessero fare un reclamo.
Per chi ha un sito internet o un blog e una newsletter può creare un’unica Privacy Policy nella quale si dichiarano i vari aspetti del trattamento dei dati personali. Anche qui ho preso spunto dalla Privacy Policy del sito del Garante della Privacy italiano.
E’ tutto, se avete domande lasciatele nei commenti 😉
Se volete approfondire ecco alcuni riferimenti che potrebbero esservi utili: l’ Avv. Marco Maglio, Presidente dell’Osservatorio Europeo sulla Data Protection e fondatore di Lucerna Iuris, che risponde ad alcune domande sul GDPR, o una interessante guida targata Ninja Academy. |