Per svolgere attività di email marketing in modo da non violare GDPR è necessario raccogliere i consensi? Mettiamocela via. In generale la risposta: è sì, bisogna raccogliere e dimostrare di aver acquisito il consenso di chi vogliamo contattare.
Per comprendere quali sono i passaggi fondamentali di un progetto di email marketing conforme alla norma, è necessario svolgere alcune premesse.
Se ci fosse stato solo il GDPR, questo avrebbe potuto consentire l’applicazione della base giuridica del legittimo interesse come alternativa al consenso. Infatti si sarebbe potuto fare riferimento al suggerimento indicato dal considerando n. 47:
“Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto.”
ma dal momento che una fonte di pari rango, ovverosia la direttiva e-privacy (Dir. 2002/58/CE), ha previsto come requisito specifico il consenso, esso al momento è da ritenere l’unica base giuridica di regola applicabile.
L’uso di sistemi automatizzati di chiamata senza intervento di un operatore (dispositivi automatici di chiamata), del telefax o della posta elettronica a fini di commercializzazione diretta è consentito soltanto nei confronti degli abbonati che abbiano espresso preliminarmente il loro consenso. (art. 13 Dir. 2002/58/CE)
Soft spam e non cheat code
L’unica eccezione è il soft spam indicato dall’art. 130 comma 4 Codice Privacy. Attenzione, però: non è un cheat code da impiegare per forzare le regole del consenso e anzi deve essere oggetto di un’attenta valutazione legale e strategica.
Questa è la situazione attuale e che resisterà almeno fino al Regolamento e-privacy, che tutt’ora però è un’opera incompiuta. E quindi tutti i destinatari delle le e-mail inviate allo scopo di svolgere comunicazioni commerciali devono provenire da un database c.d. “consensato” per il perseguimento di tale finalità.
Ma in che modo è possibile formare e alimentare quei database consensati da cui è possibile attingere? Cosa si deve controllare nel caso in cui se ne acquisti uno?
Bisogna conoscere le regole del gioco. E devono farlo non solo i titolari ma anche eventuali responsabili del trattamento, come ad esempio le agenzie di marketing e comunicazione a cui viene affidata la campagna.
Tutto ruota attorno al consenso e i suoi requisiti minimi di validità secondo il GDPR. Con le sue caratteristiche essenziali di essere un atto positivo inequivocabile dell’interessato libero, informato e specifico e che devono essere dimostrate.
Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.
(art. 7.1 GDPR)
Se manca questo tipo di consapevolezza, allora il rischio di realizzare un illecito si avvicina pericolosamente ad una certezza. E le conseguenze non si limitano soltanto una sanzione pecuniaria da parte del Garante Privacy, ma anche il divieto di trattamento e l’ordine di cancellare tutto o parte del database. Per non parlare poi delle ricaduta sul piano reputazionale nel momento in cui il provvedimento sanzionatorio viene pubblicato ed indica i soggetti e la campagna svolta.
Suggerimenti pratici per campagne di email marketing conformi al GDPR
Progettare e gestire una campagna di email marketing e i relativi consensi è complesso ma non impossibile. Tenere conto degli adempimenti in materia di protezione dei dati personali e gestire i consensi richiede dei tavoli di lavoro condivisi. Gli invitati d’onore sono sviluppatori, creativi, specialisti di marketing e professionisti della data protection.
Qualche suggerimento pratico?
(i) il DPO deve sempre essere coinvolto prima della “messa a terra” della campagna marketing e preferibilmente sin dal momento della sua progettazione;
(ii) il registro dei trattamenti deve rendicontare puntualmente ogni adempimento in questo ambito, anche con l’inserimento dei dettagli ulteriori e il riferimento alla valutazione d’impatto privacy svolta;
(iii) il CRM deve “parlare” con gli altri strumenti utilizzati e i database devono poter interagire fra loro.
Infine, se per Amleto ci sono più cose in cielo in terra di quante la filosofia di Orazio ne possa sognare, figuriamoci se il mondo del marketing digitale può limitarsi solo a considerare la compliance al GDPR. Bisogna infatti prestare attenzione ad una serie di ulteriori ambiti normativi che possono coinvolgere le campagne di email marketing.
Svolgere un assessment legale della campagna marketing può consentire di ottenere una valutazione globale dei rischi per correggere o orientare correttamente le strategie imprenditoriali. E nel caso di un’agenzia, questa può utilizzare tale strumento per dimostrare ai propri clienti che la campagna è stata progettata e svolta a norma.