GDPR e Newsletter: vademecum per evitare i guai

DEM Server GDPR e Newsletter vademecum per evitare i guai
GDPR e newsletter: ti serve un avvocato!
Sei alle prime armi con l'invio delle tue DEM e vuoi evitare qualsiasi problema legale in merito alla gestione dati delle tue liste? DEMServer e l'Avvocato Silvia Di Virgilio ti spiegano come fare!
Spesso, chi si approccia al mondo DEM o ha appena iniziato a lavorarci sorvola su aspetti legali fondamentali circa GDPR e Newsletter. Il più delle volte, infatti, il focus di chi decide di inviare newsletter ai propri clienti si concentra sul contenuto, più o meno agguerrito, del messaggio, o magari sulla Call to Action, più o più catchy, o ancora sul piano editoriale stabilito con l'agenzia marketing che gestisce il tutto.

Al fine di realizzare una campagna DEM sicura ed efficace però, ci sono aspetti legali che è meglio conoscere sin da subito per assicurarsi che il provider scelto sia davvero all'altezza delle aspettative, e non il solito asganaway che sul più bello (o brutto in questo caso) vi molla a piedi.

In questo articolo DEMServer e l'Avv. Silvia di Virgilio, fondatrice di Lex Around Me, fanno luce sugli aspetti principali da tenere in considerazione quando si parla di GDPR e Newsletter.

A che punto siamo con GDPR e Newsletter?

Prima di entrare nel vivo, facciamo un passo indietro e vediamo insieme a Silvia cosa è cambiato a quasi 3 anni dall'entrata in vigore del GDPR per l'invio di DEM.

“Dall'entrata in vigore dell'attuale testo del Regolamento UE nell'Aprile 2016, non sono avvenute sostanziali modifiche, seppur nel Maggio 2018 sia stata pubblicata una Rettifica del regolamento.
Tuttavia, il livello di attenzione del garante della Privacy sta via via crescendo, come dimostrano i recenti fatti di cronaca

Avvocato Silvia di Virgilio
Avv. Silvia Di Virgilio
Lex Around Me
Lex Around Me Quello su cui è importante prestare attenzione, continua l'Avv. Silvia Di Virgilio, riguarda l'ottenimento, la raccolta e la detenzione dei dati, aspetti sui quali il GDPR (e il buon gusto, aggiungiamo noi) non transige.

Qui di seguito snocciolati punto per punto dall'esperta di Lex Around Me i capisaldi per affrontare le tue DEM in totale tranquillità da un punto di vista legale.

1. Come ottenere i dati

Il primo step da affrontare quando si parla di GDPR e Newsletter è capire come ottenere i dati in modo conforme alla vigente normativa.

Di sicuro l'utente deve essere informato in maniera esplicita e chiara in merito alla finalità per cui stiamo raccogliendo i suoi dati, perciò va specificato che tipo di contenuto riceverà e per quale motivo: conclusione di un contratto, ricezione di newsletter, offerte commerciali, profilazione, marketing, etc.

Spiegare in maniera chiara la finalità per cui il dato personale viene richiesto è un requisito fondamentale per ottenere un consenso libero e consapevole da parte dell’utente.

Altrettanto importante è prevedere un consenso specifico e separato per ciascun utilizzo che si fa del dato personale. All’atto pratico va prevista la possibilità, e mai l’obbligo, di prestare il consenso al trattamento per ciascun utilizzo.

Attenzione perché il titolare del trattamento deve distinguere i casi in cui per eseguire un trattamento è richiesto il (previo) consenso dell'interessato, da quelli in cui non è necessario acquisirlo.

DEM Server GDPR e Newsletter vademecum per evitare i guai

2. Come utilizzare i tuoi vecchi dati

Una volta definite le modalità con cui si ottengono i dati, è bene aver chiaro il modo in cui posso utilizzare i dati già a disposizione senza incappare in problemi legali di alcun tipo.

Hai delle vecchie liste di contatti che desideri utilizzare? Sei sicuro che siano conformi alle attuali normative del GDPR?

Il Garante ha previsto che il consenso al trattamento dei dati personali per finalità promozionali sia da ritenersi valido indipendentemente dal tempo trascorso, finché non venga revocato dall’interessato, a condizione che:

sia stato correttamente acquisito in origine
• sia ancora valido alla luce delle norme applicabili al momento del trattamento
• sia ancora valido alla luce dei tempi di conservazione stabiliti dal titolare e indicati nell’informativa (nel rispetto dell’articolo 5, par. 1, lett. e del Regolamento UE)
Ad es. se hai ottenuto il consenso da parte dell’utente a ricevere e-mail promozionali, l’utente ragionevolmente si potrà aspettare di essere contattato nei giorni immediatamente successivi alla prestazione del consenso, ma è improbabile che si aspetti di ricevere comunicazioni promozionali solo dopo alcuni anni.

Al contrario, l’utente potrebbe attendersi di iniziare a ricevere e-mail in un determinato momento.

Ad es. nel caso di consenso dato per ricevere comunicazioni relative a beni di lusso, offerte stagionali o servizi rinnovabili annualmente.

Il Garante Privacy ha precisato che il consenso al trattamento dei dati personali per finalità promozionali, in quanto massima espressione dell’autodeterminazione dell’individuo, deve innanzitutto considerarsi scisso e non condizionato dall’esistenza o meno di un rapporto contrattuale e deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall’interessato, a condizione che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento nonché dei tempi di conservazione stabiliti dal titolare, e indicati nell’informativa”.

3. Come salvare i dati 

Terzo aspetto da non sottovalutare è il modo in cui vengono salvati i dati. Uno dei punti fondamentali è proprio il salvataggio e la conservazione dei dati personali.

Quando per un trattamento è necessario il consenso, il titolare deve essere in grado di dimostrare che il consenso sia stato effettivamente prestato.

Cosa vuol dire? Che il titolare deve avere cura di salvare i consensi ricevuti dall’utente, distinti per ciascuna finalità, e conservarli per tutto il tempo necessario.

Per quanto tempo è lecito conservare i dati?

Il Regolamento UE ha responsabilizzato le imprese (i titolari del trattamento) e i termini di conservazione non possono più essere stabiliti dal Garante Privacy.

Anche se, nel caso di un legittimo interesse, la valutazione del bilanciamento degli interessi deve sempre tenere conto dei provvedimenti del Garante anche precedenti al GDPR.

In sostanza, ciascun titolare del trattamento deve assumersi la responsabilità di fissare i termini di conservazione.

Naturalmente non si tratta di una scelta arbitraria, ma deve essere giustificata da motivi controllabili (ad es. il ciclo di vita di un prodotto, i tempi di reiterazione dell’acquisto, adempimenti legali, ecc…).

Il Garante non fissa, infatti, ciascun termine da applicare ma procederà con le consuete verifiche, perciò occorre essere in grado di spiegare perché si è scelto un determinato periodo.

I tempi di conservazione devono essere, ovviamente, indicati nell’informativa privacy fornita all’utente.

4. Quali diritti devi garantire all’interessato

Da un punto di vista legale - ma anche etico e professionale - l’interessato, utente o cliente, dispone di diritti che devono essergli garantiti in qualsiasi momento secondo quanto stabilito dal Garante Privacy.

I diritti fondamentali sono:

Diritto all’informazione

L’interessato può chiedere ad un’azienda informazioni su quali dei propri dati personali vengono trattati e il criterio alla base di tale trattamento. Ad es. può chiedere l’elenco dei processori con cui vengono condivisi i suoi dati personali.

Diritto di accesso

L’interessato può sempre accedere ai propri dati personali. Questa richiesta consente agli interessati di vedere i propri dati personali, nonché di richiedere copie dei dati personali.

Diritto di opporsi al trattamento automatizzato

L’interessato può opporsi a una decisione basata sul trattamento automatizzato.

Nello specifico cliente può chiedere che la propria richiesta venga esaminata manualmente, perché ritiene che il trattamento automatizzato, ad es. in caso di una richiesta di finanziamento, non possa tenere in considerazione la situazione unica di ciascun cliente.

Diritto alla portabilità dei dati

L’interessato può chiedere il trasferimento dei propri dati personali e che i propri dati personali gli siano restituiti o trasferiti a un altro titolare. I dati personali devono essere forniti o trasferiti in un formato elettronico leggibile da una macchina.

Diritto alla rettifica

L’interessato può chiedere modifiche ai propri dati personali nel caso in cui ritenga che tali dati personali non siano aggiornati o accurati.

Diritto di revoca del consenso

L’interessato ha la possibilità di ritirare un consenso precedentemente concesso per il trattamento dei propri dati personali per un determinato scopo. A seguito della richiesta l’azienda deve interrompere il trattamento dei dati personali basato sul consenso fornito in precedenza.

L’utente ha, quindi, sempre il diritto di revocare il proprio consenso. E lo può fare in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca.

Il consenso deve potere essere revocato con la stessa facilità con cui è accordato.

Il consiglio è di predisporre un apposito link, in calce alle mail se si tratta di un consenso ottenuto per l’invio di comunicazioni o newsletter, oppure nel profilo personale dell’utente in caso di operazioni commerciali, tramite il quale l’utente possa revocare il consenso fornito.

Diritto all’oblio

Questo diritto, detto anche diritto alla cancellazione, conferisce all’interessato la possibilità di chiedere la cancellazione dei propri dati. Generalmente accade nei casi in cui sia terminata una relazione con un cliente.

Non è un diritto assoluto e dipende dal periodo di conservazione dei dati in osservanza alle altre leggi applicabili.

DEM Server GDPR e Newsletter vademecum per evitare i guai

5. Cosa rischi

L'Italia vanta purtroppo un record negativo per quanto riguarda le sanzioni dovute al mancato adempimento delle normative del Garante Privacy, sintomo che la strada da fare sia ancora lunga.

In Italia sul rispetto degli adempimenti obbligatori vigila la Guardia di Finanza che collabora con il Garante Privacy.

I tre punti più caldi al centro delle ispezioni sugli adempimenti obbligatori e fondamentali:

• nomina del DPO, il responsabile della protezione dati
• controlli sulle misure previste in caso di data breach
• registro dei trattamenti

Da notare che per data breach non si intendono situazioni estreme ma tutti quei casi di perdita accidentale e occasionale di dati (ad es. il furto di un pc, di un hardisk, di un cellulare, ecc…).

Le conseguenze per imprese e professionisti che commettono violazioni sono:
• sanzioni penali
• sanzioni amministrative
• risarcimento del danno in favore dell’interessato
• divieto di trattamento dei dati personali fino a che non sia posto rimedio alla non conformità
DEM Server GDPR e Newsletter vademecum per evitare i guai

Cosa ti garantisce DEMServer

Quando scegli di avvicinarti al mondo delle DEM quindi, assicurati sempre che il provider da te scelto sia in grado di assicurarti il pieno rispetto dei punti sopra citati.

DEMServer, grazie al suo team tecnico altamente specializzato, è il partner ideale che ti assicura:
1. Form di acquisizione nuovi dati compliant con la normativa;
2. Procedure per rispettare la gestione dei dati utente da parte del titolare nell'area riservata;
3. Salvataggio protetto di tutte le informazioni per evitare un'eventuale fuoriuscita in caso di data breach;
4. Policy accurate di gestione data breach in caso di violazioni nei confronti del GDPR.

Non fare il Wannabe (o se preferisci, l'Indiana Jones del Marketing), per le tue DEM affidati agli specialisti!

Sanzioni amministrative

Le sanzioni amministrative pecuniarie ammontano a:

• 10 milioni di euro o 2% del fatturato mondiale annuo dell’anno precedente per le imprese che, ad es., non nominano il DPO, non comunicano un data breach all’Autorità garante, violano le condizioni sul consenso dei minori oppure trattano in maniera illecita i dati personali degli utenti;
• 20 milioni di euro o 4% del fatturato per le imprese nei casi, ad es., di trasferimento illecito di dati personali ad altri Paesi o di inosservanza di un ordine imposto dal Garante.

Sanzioni penali

Le sanzioni penali per la tutela della privacy sono disciplinate sulla base delle norme stabilite da ciascuno Stato.

Nel caso dell’Italia si continua a far riferimento al Codice della Privacy del 2003 che prevede la reclusione fino a 6 anni e individua le seguenti tipologie di violazioni:
• trattamento illecito dei dati
• comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala
• acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala
• falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante
• inosservanza dei provvedimenti del Garante
Desideri inviare DEM sicure e conformi alle normative GDPR?
Hai trovato interessante l'articolo “Protocollo email SPF, DKIM, DMARC 4 dummies!”?
Lascia una recensione sulla nostra scheda Google My Business
Ti è piaciuto il nostro articolo?
Condividilo sui tuoi Social