02 Mag 2018

Raccogliere consensi all'epoca del GDPR

Mancano davvero pochi giorni alla fatidica ora X. Sicuramente il GDPR è uno degli argomenti caldi della primavera.
Molti in queste settimane ci stanno contattando per chiederci cosa devono fare, in particolare in riferimento alla raccolta dei dati ai fini dell'email marketing.

Abbiamo quindi deciso di approntare questa breve guida, con diversi esempi pratici, che speriamo possa essere utile a tutti: aspettiamo ovviamente i vostri commenti in merito e le vostre, ulteriori, domande.

I principi generali della raccolta dati

Ricordiamo che il GDPR è un regolamento generico, che deve fare da base a regolamenti specifici (come quello e-Privacy che arriverà nel 2019): per questo non è così semplice estrarre una lista di comportamenti concreti da tenere.

Parlando di raccolta dati, con lo scopo di creare un database per le nostre azioni di email marketing, dobbiamo tenere conto di alcuni comportamenti da evitare

e di altre pratiche da seguire sempre

Come costruire un form GDPR-Ready: esempi pratici

L'iscrizione diretta alla newsletter

Per creare un semplice form di iscrizione alla newsletter, dobbiamo tenere a mente il principio di minimizzazione richiesto dal GDPR: per inviare la newsletter abbiamo bisogno dell'indirizzo email, chiedere altre informazioni, specie se non giustificate dal trattamento previsto, non è consentito:

Form di iscrizione Newsletter - CORRETTO

Iscriviti alla nostra Newsletter


Cliccando su "iscriviti" accetti di ricevere la newsletter settimanale del nostro sito (Leggi l'informativa completa)

Potrai disiscriverti in ogni momento grazie al link presente in ciascuna newsletter che ti invieremo

La chiarezza è fondamentale: più che il link ad una privacy policy lunga e completa (che comunque è sempre necessario avere), il GDPR punta tutto sulla chiarezza e sulla semplicità. L'utente ad un primo sguardo deve sapere come verranno usati i suoi dati, perché e come far valere i suoi diritti (ad esempio come cancellarsi).
In questo caso non è previsto nessun checkbox: il modulo ha un unico scopo, l'iscrizione ad un database per ricevere la newsletter settimanale. Un checkbox non è quindi di alcuna utilità, in quanto il trattamento previsto è uno solo e il click sul tasto iscriviti è da considerarsi un atto positivo e volontario.

Ricordiamo, come detto sopra, il concetto di minimizzazione dei dati: dovremo richiedere unicamente dati utili al singolo trattamento effettuato:

Form di iscrizione Newsletter - ERRATO - Richiesta di dati non necessari

Iscriviti alla nostra Newsletter



Cliccando su "iscriviti" accetti di ricevere la newsletter settimanale del nostro sito (Leggi l'informativa completa)

Potrai disiscriverti in ogni momento grazie al link presente in ciascuna newsletter che ti invieremo

In questo caso la richiesta dell'indirizzo di residenza è inappropriata: non è chiaro in che modo un riferimento di questo genere potrebbe essere relativo al trattamento proposto (l'uso dei dati per l'invio di una newsletter settimanale).
Se anche volessimo segmentare la nostra lista, ad esempio, per provincia, dovremmo informare l'utente e chiedere unicamente la provincia di residenza.

Form di iscrizione Newsletter - CORRETTO - Giustificazione dati richiesti

Iscriviti alla nostra Newsletter



Cliccando su "iscriviti" accetti di ricevere la newsletter settimanale del nostro sito. Indicando la provincia, riceverai unicamente le notizie relative alla provincia selezionata. (Leggi l'informativa completa)

Potrai disiscriverti in ogni momento grazie al link presente in ciascuna newsletter che ti invieremo


Raccogliere il consenso per l'invio di newsletter e di email automatizzate

Un trattamento, un consenso.

Non si scappa: il GDPR, fumoso sotto molti aspetti, su questo è estremamente chiaro.
Se stiamo usando un singolo modulo per chiedere all'utente il permesso di inviare una newsletter alla settimana e contemporaneamente iscriverlo ad una serie di email promozionali automatizzate in base alla sua navigazione e al suo comportamento, dovremo prevedere un doppio checkbox.

Form di iscrizione Newsletter/Automation - CORRETTO - Consensi separati

Ricevi le nostre Email


Potrai disiscriverti in ogni momento grazie al link presente in ciascuna newsletter che ti invieremo

Non è considerato invece corretto aggregare i due consensi, in questo modo:

Form di iscrizione Newsletter/Automation - ERRATO - Consensi aggregati

Ricevi le nostre Email


Cliccando su "Iscriviti" accetti di ricevere la newsletter settimanale del nostro sito e di ricevere email promozionali automatiche, create in base alla tua navigazione sul sito. (Leggi l'informativa completa)

Potrai disiscriverti in ogni momento grazie al link presente in ciascuna newsletter che ti invieremo

In questo caso i due consensi vengono a mischiarsi, invalidandosi l'uno con l'altro: come detto sopra, un trattamento, un consenso.


Iscrizione ad un sito/servizio e invio newsletter

Anche in questo caso siamo di fronte ad una doppia richiesta di consenso, per due trattamenti completamente diversi.

La situazione è un po' dissimile dalla precedente, in quanto prima potevamo liberamente scegliere se prestare il consenso per uno dei due trattamenti, oppure per entrambi.

Nel caso invece di un modulo il cui scopo primario sia la registrazione ad un servizio/sito, bisogna presupporre che il trattamento specifico per questo scopo non sia facoltativo: in parole povere, se ti vuoi iscrivere al sito, devi acconsentire per forza che i tuoi dati siano trattati.

Negli anni precedenti si è fatto un abuso di checkbox "obbligatori", che dovevano venir spuntati per forza per iscriversi ad un qualunque sito; questo abuso, oltre ad essere inutile ai fini dell'ottemperanza alla normativa, ha avuto l'effetto di assuefare l'utente a selezionare qualunque checkbox, pur di non correre il rischio di ricompilare il modulo o parte di esso.

Questo significa che, nei fatti, questo abuso ha avuto lo stesso effetto anestetizzante del cookie banner, per cui la gente non si domanda neppure più cosa significhino le varie spunte.

Con l'avvento del GDPR sarebbe opportuno aggiustare questa pratica. Il modulo corretto, nel caso volessimo usare il form di iscrizione al sito per raccogliere consensi per la nostra newsletter, è questo:

Form di creazione Account - CORRETTO - Consensi separati

Crea il tuo account



Cliccando su "Iscriviti" creerai un account per l'accesso alle funzionalità complete del sito (Leggi l'informativa completa).

Potrai disiscriverti in ogni momento grazie al link presente in ciascuna email che ti invieremo

Come è facile vedere, non è prevista alcuna spunta per la creazione dell'account: sarebbe un controsenso, il trattamento dei dati per la creazione è esplicitato e non c'è maniera di creare un account opponendosi al trattamento specifico e minimo.

Diverso il discorso per i due trattamenti "opzionali", quello relativo all'iscrizione alla newsletter e quello specifico per gli automatismi.

In questo caso vengono proposti tutti e due senza spunta preventiva (altro concetto fondamentale del GDPR è la Privacy by Default, quindi di base diamo per scontato che l'utente non acconsenta al trattamento).

Non è possibile invece usare le "spunte in opposizione", usate spesso nei siti statunitensi: l'azione richiesta deve essere diretta e positiva, per cui giri di parole come questo, non sono ammessi:

Form di creazione Account - ERRATO - Spunta "in opposizione"

Crea il tuo account



Cliccando su "Iscriviti" creerai un account per l'accesso alle funzionalità complete del sito (Leggi l'informativa completa).

Potrai disiscriverti in ogni momento grazie al link presente in ciascuna email che ti invieremo


Scarica ora l'Ebook, ovvero gioie e dolori di Lead Magnet e GDPR

Uno degli strumenti più rapidi per rimpinguare velocemente le proprie liste di email è quello, oramai stra-abusato, dei cosiddetti Lead Magnet, ovvero "dammi l'email, in cambio ti do un regalo".

La versione più diffusa di questo approccio è quella dell'ebook; sono migliaia, anche in Italia, i siti di ogni genere, soprattutto legati al mondo dei consulenti marketing e delle vendite online, ma non solo, che basano la propria strategia di list building su questo semplice espediente: mi dai l'email, ti mando il link dell'ebook da scaricare, poi comincio a scriverti (quasi) quotidianamente.

Abbiamo detto che per il GDPR è fondamentale che ad un trattamento corrisponda un consenso.

Un ipotetico modulo per la ricezione dell'ebook di base deve prevedere che il consenso prestato riguardi solo e unicamente la ricezione dello specifico ebook.

Questo significa che, una volta inviata l'email con l'ebook, o il link all'ebook, non potrò in nessun caso inviarne altre (escludendo, probabilmente, eventuali aggiornamenti dello stesso ebook, fermo restando che per il GDPR il trattamento, oltre ad essere specifico, deve avere un termine temporale preciso, per cui è ipotizzabile che il trattamento dati per il download di un ebook termini quando questo compito è stato portato a termine).

Dunque, anche in questo caso, per raccogliere il consenso per eventuali ulteriori comunicazioni oltre quelle necessarie al download dell'ebook, dovremo prevedere spunte separate.

Form di download Ebook - CORRETTO - Consensi separati

Scarica Gratis l'Ebook


Cliccando su "Scarica ora l'ebook" riceverai nella casella indicata le istruzioni per accedere al contenuto selezionato. (Leggi l'informativa completa).

Potrai disiscriverti in ogni momento grazie al link presente in ciascuna email che ti invieremo

Chiaramente, come già detto, non è possibile invece accorpare trattamenti diversi:

Form di download Ebook - ERRATO - Consensi aggregati

Scarica Gratis l'Ebook


Cliccando su "Scarica ora l'ebook" riceverai nella casella indicata le istruzioni per accedere al contenuto selezionato, inoltre accetti di ricevere anche la newsletter settimanale del nostro sito e eventuali email promozionali automatiche, create in base alla tua navigazione sul sito. (Leggi l'informativa completa)

Potrai disiscriverti in ogni momento grazie al link presente in ciascuna newsletter che ti invieremo

Anche in questo caso, il form non soddisfa le caratteristiche minime richieste dal GDPR (consenso libero, non vincolato, espresso con azione positiva inequivocabile).

Allora è proprio un inferno!

No, non lo è, nella maniera più assoluta. Le regole espresse sopra non sono in alcun modo novità: nella maggior parte dei casi sono best practice ben conosciute e consigliate da anni.

Da queste pagine abbiamo sempre predicato la massima chiarezza e trasparenza nella creazione delle proprie liste, non tanto (o forse sarebbe meglio dire non solo) per questioni legali, quanto per efficacia e valore della lista stessa.

L'email marketing è marketing di relazione, per iniziare una relazione correttamente, la chiarezza è fondamentale.

Ricevere email da parte di mittenti non conosciuti, o che non siamo in grado di riconoscere, perché magari il nostro consenso è stato raccolto nell'ambito di un concorso che non riconducibile al mittente delle email successive, non può portare a nulla di costruttivo, anzi, spesso porta a segnalazioni di abuso, con conseguenze pesanti sulla nostra deliverability.

Il concetto è semplice: se raccoglievate i consensi in maniera corretta secondo la vecchia normativa (e con un po' di buon senso), gli aggiustamenti che dovrete operare saranno minimali, e riguarderanno i riferimenti di legge, la riscrittura di alcune frasi, perché siano più chiari e comprensibili i termini base dei vari trattamenti e nulla di più.

In caso contrario sarà un'ottima occasione per fare piazza pulita di contatti reperiti alla meno peggio e cominciare a costruire una vera lista di valore.

Commenti

Articolo super chiaro e molto utile! Erano esattamente le informazioni che andavo cercando.

In questo articolo (https://optinmonster.com/what-you-need-to-know-about-gdpr-and-optinmonster/), sotto il titolo di paragrafo "Using a Required Checkbox to Get Consent", viene presentata una soluzione per la quale, nell'esempio, ricevo il coupon ma solo se spunto anche il checkbox che autorizza il trattamento del dato per l'invio di email di marketing. Rifacendomi ad uno dei primissimi passaggi del vostro articolo ([...]Preselezionare i checkbox, oppure renderli obbligatori per la registrazione[...], tra i comportamenti da non fare), arrivo però alla conclusione che quanto suggerito da OptinMonster è errato.
Sono giunto alla conclusione errata?
Grazie mille!
Saluti,Marco 

Salve, l'approccio di Optin Monster è interessante, ma quanto meno "border line".  Diciamo che esistono gli estremi per considerarlo legale nell'ambito del GDPR, anche se mancano molti pezzi:il concetto delicato è il prevedere un "premio" a fronte di una iscrizione ad una newsletter, oppure, al contario, prevedere come "pagamento" per il coupon l'iscrizione stessa. Siamo abbastanza certi che il primo scenario sia più plausibile in termini legali e più premiante dal punto di vista del rapporto con l'iscritto. Dire "Iscriviti alla nostra newsletter, riceverai un coupon in omaggio", espicitando bene che il trattamento dati è fatto con lo scopo dell'iscrizione alla newsletter, è piuttosto diverso dal mettere un flag obbligatorio per l'iscrizione per ottenere il vantaggio. Riteniamo per altro che il secondo approccio, e lo abbiamo sempre detto, sia poi problematico dal punto di vista delle segnalazioni di abuso e delle disiscrizioni. Se la molla fondamentale che mi porta ad iscrivermi è il premio (magari un premio che nulla centra con la newsletter), l'acquisizione del mio indirizzo ha davvero pochissimo valore. 
 

Ciao.
Complimenti per l'articolo, semplice e chiaro.
Purtroppo, messa così, il lead magnet perde sostanzialmente di significato.
Nel senso.
Il lead magnet serve a far iscrivere i contatti alla lista. Ma se poi posso solo inviare l'email con il link all'ebook, che me ne faccio della lista???
Il mio funnel finisce lì...
Quindi, secondo me, sempre seguendo il principio di chiarezza, potremmo dire:
Iscriviti alla Newsletter e riceverai l'ebook PincoPallo in regalo.
...oppure
Iscriviti alla Newletter e riceverai in regalo il Corso con 3 Lezioni quotidiane.
In questi casi potrebbe andar bene iscrizione diretta senza check box.
Oppure, è possibile rendere NON facoltativa l'iscrizione alla Newsletter? Quindi obbligo di check e in caso contrario niente lead magnet?
Credo che queste soluzioni siano un po' border line.
Forse la più semplice è fare l'ooposto di quello che hai indicato nell'ultimo esempio (senza automazioni)
Cioè, il concenso principale è l'iscrizione alla newsletter e il check box è per il lead magnet.
Inoltre, io ho circa 20 email già pronte per essere inviate. All'inizio 1 al giorno. Poi ogni 2, 3 ,4 e così via fino a una a settimana. Sono obbligato ad indicare una definizione temporale della newsletter? Se sì come posso fare?
Spero di essere stato chiaro :)
A presto,
Massimo

Come risposto al commento relativo all'approccio di Optin Monster, la strada che reputiamo migliore è sempre quella della chiarezza. Secondo noi dire "Iscriviti alla newsletter, riceverai un omaggio" è plausibile, a patto che l'omaggio sia coerente con i contenuti della newsletter e che sia esplicitato molto bene che la raccolta dati riguarda l'iscrizione alla newsletter. Riguardo all'ultima domanda, no, non è obbligato: è una buona norma dare all'utente quante più informazioni possibile sulla scansione temporale della newsletter, in maniera da rendere informato e consapevole il suo consenso

È il primo articolo con un contenuto realmente informativo che leggo su questo argomento. In giro è pieno di roba fumosa messa lì al solo scopo di spaventarti per proporti qualche costoso servizio a pagamento. 

Sistema un poco complesso, ma vedremo di sopravvivere

Come ci dobbiamo comportare invece con gli utenti già iscritti?
è necessario inviare a tutti una newsletter che specifichi di riacconsentire?
Grazie!

Qui trova alcuni ragionamenti sulla moda delle email per il "rinnovo del consensohttps://emailmarketingblog.it/blog/2018/05/11/arriva-il-gdpr-email-la-co...

finalmente un articolo che ti fa capire qualcosa! Grazie

Grazie per questo articolo utilissimo, mi ha chiarito un sacco di cose.
Avrei due domande:
1. cosa si intende per email promozionali automatiche? Se non le mando il checkbox non è obbligatorio, giusto?
2. Nel mio caso ho una "libreria delle risorse gratuite", che vuol dire che se si iscrivono alla newsletter possono accedere e trovare lì i contenuti free, invece di scaricare il singolo pdf di volta in volta.
Questo è esplicitato bene nella pagina di iscrizione alla newsletter ma mi viene il dubbio che non sia sufficiente... forse è un po' borderline come situazione. Avete qualche consiglio? Grazie infinite!

Ma quindi non esiste modo di mandare una mail diretta a un possibile nuovo cliente ? Non parlo di servizi specifici, ma semplicemente mail di marketing dove si informa un azienda che esistiamo pure noi e che svolgiamo servizi specifici che magari gli possono interessare. Si potrebbe improntare come mail informativa ?

Risposta breve: no, non esiste. Risposta lunga: dal punto di vista strettamente legale, se l'invio è effettuato verso un indirizzo generico (info@, marketing@ etc) esce dal campo della protezione dei dati personali, per cui POTREBBE essere possibile. Il punto è che esistono i filtri antispam e invii di questo genere sono puniti in maniera pesante, proprio perché chi riceve queste email spesso le segnala (giustamente) come spam, con tutto quello che ne consegue. L'email marketing è "permission marketing", per cui prima di iniziare un processo di invio email è necessario ottenere il consenso, non solo per questioni legali o tecniche, ma perché i veri frutti di una relazione via email si hanno appunto attraverso l'instaurazione di una fiducia verso il mittente. Quindi è importante partire dalla costruzione del database, come notato anche qui https://emailmarketingblog.it/blog/2017/01/18/email-marketing-strumenti-...

Grazie, davvero esaustivo !

Grazie e complimenti per l'articolo! C'e un altro punto che non ho per nulla compreso nel GDPR: la possibilità all'utente/iscritto alla newsletter o comunque alla bancadati di ACCEDERE, MODIFICARE o CANCELLARE i propri dati. Sul punto di "cancellare" nessun problema. Ma per Accedere e Modificare? Significa che l'iscritto deve poter entrare nel ns. database, vedere quali sono le informazioni e modificarle autonomamente? Come è possibile?

Salve, il GDPR indica che l'accesso, la modifica e la cancellazione sono un diritto dell'utente, ma non fornisce indicazioni su modalità in cui questo debba avvenire. In sostanza l'utente può semplicemente chiedervi via email se avete dei suoi dati e nel caso richiedere modifica e cancellazione degli stessi, sempre via email. Tenete comunque presente che, per quel che riguarda gli ESP (email service provider), tutti forniscono strumenti per dare all'utente la possibilità di accesso e modifica dei propri dati.

Grazie!
Il vostro articolo è stato davvero utile.
Avete descrito l'argomento in maniera molto esaustiva.
Avete fatto buon lavoro.

Aggiungi un commento

Cliccando su "Salva" accetti che i tuoi dati siano registrati con l'unico scopo di pubblicazione e gestione dei commenti (Leggi l'informativa completa)