Il nuovo regolamento europeo sulla protezione dei dati entrerà in vigore il 25 maggio 2018 e sarà direttamente efficace in tutti i Paesi UE, a beneficio dei 750 milioni di cittadini europei.
Il regolamento sostituirà quindi anche le leggi dei singoli Paesi relative all’email marketing e avrà effetti su qualsiasi impresa UE o extra UE che utilizzi i dati personali di clienti o utenti dell’UE. Il regolamento riguarda diversi aspetti riconducibili al diritto dell’internet, tra cui l’email marketing, con particolare riferimento alla ricerca, raccolta, conservazione dei dati.
Qui di seguito, si forniscono alcune linee guida utili per l’email marketing.
1. Come raccogliere il consenso all’uso dei dati
Con l’entrata in vigore del regolamento, chi fa email marketing potrà inviare email soltanto a persone che hanno espresso il consenso all’invio di messaggi. Non è necessario che il consenso sia in forma scritta, ma deve essere liberamente dato, specifico, informato e inequivocabile e riguardare uno o più trattamenti chiaramente individuati. Per raccogliere il consenso, possono essere usate caselle da barrare, mentre è vietato l’uso di caselle prebarrate.
Inoltre, bisogna raccogliere solo dati necessari al trattamento, evitando richieste eccessive. Se l’esecuzione di un contratto è condizionata ad un consenso non necessario, questo potrebbe considerarsi non liberamente prestato.
La violazione delle norme privacy (ad es. l’invio di mail a soggetti che non hanno prestato consenso o che si siano opposti) può comportare sanzioni fino a 20 milioni di euro o il 4% del fatturato.
1.a Consenso già prestato
Nelle sue linee guida, il Garante per la privacy italiano, precisa che: “il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento…”
In particolare, occorre verificare che all’interno della modulistica la richiesta di consenso sia chiaramente distinguibile da altre dichiarazioni dell’interessato riguardanti altre materie. Inoltre, la richiesta di consenso deve essere formulata in maniera comprensibile, semplice, chiara (art. 7.2). Nel considerando del Regolamento, è precisato altresì che la richiesta di consenso attraverso mezzi elettronici deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.
2. L’informativa: cosa cambia
Il Regolamento attribuisce agli interessati il controllo sulla raccolta e sull’uso dei dati, inclusa la rimozione degli stessi ed il diritto all’oblio.
Chi fa marketing deve assicurare agli interessati l’accesso, la rettifica e la rimozione dei dati personali, ad es. attraverso un link di cancellazione o ad una pagina del profilo personale, per la modifica dei dati.
Il Regolamento indica in maniera più ampia il contenuto dell’informativa (artt. 13 e 14). Il titolare DEVE SEMPRE:
- Specificare i dati di contatto del titolare e del responsabile (ove esistente)
- Indicare se i dati sono trasferiti in un Paese terzo
- Specificare il periodo di conservazione dei dati, o i criteri per stabilire tale periodo
- La possibilità di revoca del consenso
- Il diritto di reclamo ad un’autorità nazionale di controllo
Se il trattamento comporta processi automatizzati (profilazione on line), l’informativa deve precisarlo, unitamente alla logica di tali processi decisionali e alle conseguenze per l’interessato.
Per i minori di 16 anni, deve essere approntata un’informativa specifica mirata al consenso del genitore.
Credits immagine: Yogas Design da Unsplash