Legal

E-mail marketing, rischi ed errori da evitare in campo privacy

Cosa prevede il Gdpr per l’e-mail marketing? E come richiedere il consenso all’invio dell’email? Cosa dice la legge e come agire per essere a prova di GDPR

26 Ott 2021
Marco Sebastiano Accorrà

Avvocato - Founding Partner MSÀ Law Firm

Per e-mail marketing si intende quella strategia commerciale, adottata soprattutto nel campo retail, che prevede un ampio ricorso alla posta elettronica per accrescere o fidelizzare la propria clientela. Le campagne in questione sono degli strumenti molto potenti in quanto consentono la copertura di un ampio spettro di popolazione e l’individuazione di target di riferimento strategici.

Tuttavia, l’attività in oggetto, se svolta con metodi “tradizionali”, comporterebbe importanti costi derivanti dalla pluralità delle incombenze ad essa connesse: acquisizione del consenso dei destinatari, conservazione del database (a volte anche di milioni di contatti), profilazione degli interessati, spedizione massiva delle comunicazioni.

Per rendere il processo efficiente ed economicamente sostenibile, sul mercato sono apparsi ormai da tempo strumenti di invio massivo messi a disposizione da software house.

Si tratta per lo più di servizi online, che consentono la gestione totale delle attività nonché, se necessario, il monitoraggio delle reazioni post invio.

Ovviamente, in termini puramente economici, si tratta di soluzioni molto appetibili.

Tuttavia, come facilmente immaginabile, questi strumenti sono ad altissimo rischio per quanto concerne il trattamento dei dati personali.

Cosa prevede il GDPR per l’email marketing?

Le piattaforme di email marketing richiedono, sin dalla fase precedente alla loro adozione, una corretta gestione a livello di modello organizzativo privacy aziendale (cd. MOP).

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Solo un MOP ben progettato sarà in grado di gestire la fase di selezione e adozione di questi strumenti nell’ottica di rispettare il concetto di “Privacy by design”.

Ciò premesso, in sede di trattativa, bisognerà prestare la massima attenzione ad alcuni aspetti. Il DPO, in questa fase, risulta fondamentale.

Innanzitutto, l’esternalizzazione del servizio comporterà necessariamente che il fornitore si troverà a gestire dati personali dei clienti (attuali o potenziali) dell’azienda, in nome e per conto di quest’ultima. Tecnicamente, ciò implicherà l’assunzione da parte del provider della piattaforma del ruolo di Responsabile del trattamento. Sarà quindi necessario eseguire le necessarie verifiche e valutazioni sulle garanzie offerte dal fornitore, anche in termini di sicurezza tecnica.

Lato amministrativo, sarà poi necessario verificare attentamente la presenza di un atto di nomina del Responsabile del trattamento (cd. “Data Processing Agreement” o “DPA”) ed esaminarne attentamente le clausole per procedere ad un’accurata negoziazione.

Un altro aspetto da non trascurare è quello della possibilità riconosciuta all’azienda di eseguire degli audit sul fornitore. In ambito privacy, il Titolare del trattamento è responsabile di eventuali non conformità dei propri fornitori; ecco quindi che la possibilità concreta di eseguire verifiche sugli stessi diventa irrinunciabile.

Importantissima poi è la tematica della localizzazione e circolarizzazione del database. E’ opportuno sempre accertarsi che i dati siano sempre conservati in UE o, in caso contrario, che ricorrano le condizioni previste dal GDPR. Bisogna sempre informarsi chi saranno i sub-responsabili coinvolti nel processo dal fornitore, onde verificare il mantenimento delle garanzie.

Non trascurabile è inoltre l’aspetto dei diritti degli interessati. Il fornitore deve essere sempre in condizione di dare la necessaria assistenza all’azienda nell’adempiere alle richieste dei soggetti interessati.

Da non sottovalutare, inoltre, è la modalità di gestione di eventuali violazioni di dati personali.

Devono sempre essere previste le modalità con cui il fornitore deve relazionare l’azienda, onde consentire a quest’ultima di provvedere agli adempimenti previsti dal Regolamento (segnalazione al Garante ed avviso agli interessati).

Come richiedere il consenso all’invio dell’e-mail spedita mediante le piattaforme e gestire la privacy?

La gestione del consenso al trattamento dei dati personali è parimenti importante.

Se il software prevede interazioni con il modulo autorizzazione invio newsletter presente nel nostro sito, registrando i consensi dati dagli utenti, è assolutamente fondamentale che questi siano registrati con la massima precisione, onde evitare invio di posta indesiderata.

L’invio di newsletter senza consenso è ovviamente sempre da evitare.

Insomma, le piattaforme di e-mail marketing rappresentano una valida soluzione per rendere più efficiente il processo di gestione delle comunicazioni promozionali aziendali, ma proprio questa loro altissima efficacia comporta una proporzionale crescita dei rischi connessi in termini di data protection.

Nessuna paura, il GDPR contiene tutti gli strumenti necessari per utilizzare questi servizi in modo sicuro, ma a condizione che l’azienda sia dotata di un efficace Modello Organizzativo Privacy, abbia correttamente coinvolto il proprio DPO (Data Protection Officer), se nominato, ed abbia fatto propria la cosiddetta “cultura della privacy”.

WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4