GDPR e trattamento dei dati personali
Il Regolamento Europeo 2016/679 conosciuto come GDPR, ovvero il General Data Protection Regulation è uno strumento normativo che si propone di regolare il trattamento dei dati personali per gli stati parte dell’Unione Europea.
Il regolamento chiarisce come i dati personali debbano essere trattati, incluse le modalità di raccolta, utilizzo, protezione e condivisione al fine di rafforzare la protezione della privacy degli utenti.
Cosa sono i dati personali secondo il GDPR?
In sostanza, i dati personali definiti dal GDPR sono quelle informazioni che rendono possibile l’identificazione di una persona fisica, ad esempio un indirizzo mail personale così strutturato sergio.bianchi@xyz.com costituisce di fatto un dato sensibile, mentre una mail generica quale info@xyz.com non è oggetto della disciplina del GDPR.
Attività di marketing: come trattare le mail degli utenti
Per poter utilizzare correttamente gli indirizzi mail ai fini di marketing è necessario mettere in campo una serie di attività che sono volte al corretto trattamento dei dati personali.
Secondo il GDPR, i dati possono essere trattati solo se sussiste almeno una base giuridica del trattamento, quindi dovrai necessariamente delineare la tua base giuridica, che altro non è che la “motivazione legale” alla base della tua attività.
Infatti, al fine di effettuare un’attività di trattamento dei dati, l’organizzazione deve ottenere un consenso inequivocabile da parte degli utenti che devono esserne informati.
Come ottenere il consenso dai tuoi utenti in conformità al GDPR
- Crea una Privacy Policy
Per informare gli utenti delle tue attività di raccolta e trattamento dei dati, è necessaria una privacy policy. La privacy policy è a tutti gli effetti un documento legale che racchiude tutte le informazioni circa l’attività che si svolgerà sui dati raccolti.
In particolare la privacy policy specificherà:
- dati trattati;
- modalità del trattamento;
- finalità del trattamento (ad esempio invio di newsletter, finalità promozionali, analisi di mercato);
- servizi di terza parte utilizzati;
- diritti degli utenti in relazione ai loro dati;
- gestione delle richieste degli utenti in merito all’esercizio dei loro diritti;
- canali di comunicazione prescelti (email, posta, ecc.);
- misure di sicurezza adottate
Avere una privacy policy è essenziale perché secondo logica dell’accountability, ossia della corretta organizzazione e della tracciabilità obbligatoria delle attività di tracciamento, chi non assicura una corretta gestione e raccolta dati incorre nel rischio di sanzioni.
La privacy policy deve rimanere sempre visibile ed accessibile agli utenti, ad esempio nel caso di invii periodici di newsletter promozionali un link nel footer della mail è una soluzione pratica e veloce.
Tale link può essere inserito anche nei pop up che invitano ad iscriversi alla newsletter.
- Ottieni il consenso
Secondo il GDPR, il consenso deve essere “libero, specifico, informato e revocabile”.
Prima di inviare comunicazioni ai tuoi utenti è necessario ottenerlo tramite una sua azione affermativa, come il flag di un apposito modulo.
- indicare la natura della email a cui si sta acconsentendo: non puoi ottenere il consenso per l’invio di una newsletter e poi inviare email di tutt’altra natura;
- specificare che l’azione è facoltativa;
- non preselezionare caselle per l’utente, poiché non costituirebbe una scelta libera, il regolamento, infatti, vieta espressamente le checkbox preselezionate.
- Setta il doppio opt-in
Il gold standard per la gestione degli indirizzi email è il doppio opt-in. Tramite il doppio opt-in si richiede una doppia verifica degli indirizzi stessi. In sostanza, gli utenti dovranno confermare la loro volontà di iscriversi alla tua newsletter dopo aver compilato il form d’iscrizione.
Potrebbe sembrare macchinoso, ma questo meccanismo ti aiuterà a proteggere le tue liste d’invio e a rispettare il GDPR.
- Inserisci sempre un link di unsubscribe
Abbiamo già visto che secondo il GDPR il consenso deve essere revocabile. Tale operazione deve essere semplice ed immediata almeno quanto l’iscrizione. Gli utenti devono avere sempre a disposizione un mezzo per annullare la ricezione delle comunicazioni in qualsiasi momento, perciò ad ogni mail che invii va aggiunto l’apposito link di unsuscribe, anche questo in footer dedicato.
- Registra e gestisci correttamente i consensi
Per il GDPR il consenso è una componente fondamentale nella gestione dei dati personali: è, infatti, obbligatorio registrare in modo puntuale i consensi ottenuti affinché sia dimostrabile che l’utente abbia effettivamente prestato il consenso; in caso di problemi, l’onere della prova è a carico del titolare del trattamento, quindi la tenuta di un registro accurato è vitale.
Il registro dei consensi deve includere:
- chi ha fornito il consenso;
- quando e come è stato acquisito il consenso del singolo utente;
- il modulo di raccolta del consenso presentato all’utente in fase di raccolta dello stesso;
- un riferimento ai documenti legali e alle condizioni in essere nel momento in cui il consenso è stato acquisito.
Per esempio, non è sufficiente annotare in una lista di chi ha dato il consenso, corredandolo di data e ora, ma serve una vera e propria copia del modulo che dimostri l’azione intrapresa.
Conclusioni
Secondo Statista nel 2022 oltre il 90% delle persone di età compresa tra i 15 e i 64 anni utilizza regolarmente l’email e il 99% degli utenti controlla la casella di posta elettronica ogni giorno, senza dubbio dunque, l’email è un un importante leva a tua disposizione e perciò non può prescindere dai requisiti normativi, soprattutto perché loro violazione potrebbe portare a pesanti sanzioni ed alla sospensione della tua attività.