1. Home
  2. GDPR e periodo di conservazione dei dati per l'email marketing
17 Mag 2018

GDPR e periodo di conservazione dei dati per l'email marketing

Permission marketing, privacy, etica

Le strategie di list building sono, lo sappiamo tutti, dispendiose ed difficili da progettare e mettere in campo; proprio per questo ogni singolo indirizzo raccolto ci pare spesso un tesoro inestimabile, del quale mai vorremmo privarci.

durata del trattamento

È così che spesso ci troviamo liste mastodontiche, piene di indirizzi di cui non ricordiamo l'origine e con i quali non abbiamo rapporto da anni.

In generale abbiamo sempre raccomandato operazioni di controllo e pulizia dei database, in primis per questioni legate all'efficacia stessa delle comunicazioni: sappiamo benissimo che i moderni filtri antispam tengono in considerazione anche la reattività dei destinatari nei confronti dei nostri invii.

GDPR e periodo di conservazione dati

Negli ultimi giorni però abbiamo analizzato la questione anche dal punto di vista "legale".
Il GDPR infatti, oltre a prevedere concetti come la "minimizzazione dei dati", cita espressamente, in due distinti punti, il periodo di conservazione dei dati.

Articolo 5

  1. I dati personali sono:
    [...]
    e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato («limitazione della conservazione»);

Di seguito negli Articoli 13 e 14 (relativi all'informativa), il GDPR specifica ancor meglio la questione:

artt. 13 e 14, comma 2:

  • “…il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente: a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo“.

Dunque per qualsiasi trattamento dobbiamo indicare un periodo di conservazione dei dati, oppure i criteri utilizzati per determinare tale periodo. Questo significa che anche un iscritto alla nostra newsletter, non può essere considerato iscritto per sempre.

Come determinare la durata del trattamento, nel caso di iscritti alle nostre newsletter?

La presenza stessa del link di disiscrizione in ogni newsletter non ci pare sufficiente ad ottemperare la richiesta del regolamento. In questo caso una ipotetica informativa dovrebbe riportare una dicitura del tipo

  • L'iscrizione alla newsletter e il relativo trattamento sono ritenuti validi fino alla disiscrizione dell'utente, tramite clic sul link presente in ogni invio.

Nei fatti questa dicitura non fornisce informazioni sulla durata. Mettiamo il caso in cui i nostri invii siano irregolari, o addirittura vengano sospesi per oltre un anno, due, tre, per poi riprendere: il trattamento sarebbe ancora lecito?

Come fa l'utente, dall'informativa, a capire la durata prevista del trattamento?

Ci viene il aiuto un considerando, a corollario del GDPR:

considerando n. 39:

  • “… i dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto a quanto necessario per le finalità del loro trattamento. Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario (…). Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica. E’ opportuno adottare tutte le misure ragionevoli affinché i dati personali inesatti siano rettificati o cancellati“;

È quindi necessario prevedere una "verifica periodica": nel caso dell'email marketing questo potrebbe semplicemente significare che sia necessario (e sufficiente) inviare periodicamente una email dove si ricordi la possibilità di disiscrizione.

Nell'informativa dunque andrebbe inserita una dicitura che specifichi questa periodicità:

  • "L'iscrizione e il trattamento relativo sono ritenuti validi fino alla disiscrizione da parte dell'utente, possibile tramite link presente in ogni email. Qualora la frequenza di invio sia minore, almeno ogni sei mesi verrà inviata a tutti gli utenti una comunicazione di verifica, contenente il link di disiscrizione."

Questo orientamento è in linea anche con la bozza di regolamento ePrivacy, attualmente in discussione al parlamento Europeo:

Article 4.a

  • End-users who have consented to the processing of electronic communications data as set out in point (c) of Article 6(2) and points (a) and (b) of Article 6(3) shall be reminded of the possibility to withdraw their consent at periodic intervals of [no longer than 12 months], as long as the processing continues, unless the end-user requests not to receive such reminders.

In pratica il regolamento ePrivacy dice che almeno ogni 12 mesi dobbiamo ricordare agli utenti la possibilità di disiscriversi e dunque recedere dal consenso.

Unire best practice e rispetto della normativa

Come spesso accade in ambito Email Marketing, la normativa in realtà ci dà indicazioni minime da ottemperare: nella pratica occorre essere più stringenti della stessa norma, se vogliamo ottenere risultati tangibili e duraturi.

I filtri antispam infatti hanno politiche enormemente più severe ed efficaci.

Sappiamo che, ad esempio, spedire email poco rilevanti per i nostri destinatari, ottenendo percentuali di apertura basse, significa stimolare l'attenzione dei filtri, con effetti di respiro medio/lungo.

Per questo altre volte abbiamo suggerito di isolare gli utenti che non interagiscono con le nostre email da un lungo periodo, sospendendo le comunicazioni.

Probabilmente, specie in caso di newsletter con periodicità piuttosto serrata (almeno una volta al mese), questo meccanismo potrebbe rappresentare un buon metodo di identificazione del periodo di ritenzione dei dati.

L'informativa potrebbe ad esempio riportare

  • L'iscrizione e il trattamento relativo sono ritenuti validi fino alla disiscrizione da parte dell'utente, presente in ogni email, oppure dopo 12 mesi dall'ultima comunicazione di cui abbia evidenza di interazione diretta (click, apertura, risposta).

Chiaramente si potrebbe poi programmare, prima della scadenza, un'ultima comunicazione di recupero, sul modello delle email di conferma consenso che vanno tanto di moda in queste settimane.

Ancora una volta il GDPR (o più in generale questa nuova consapevolezza dei diritti e dei doveri legati al trattamento dati) ci dà l'occasione di rivedere la nostra operatività periodica, attivando una serie di best practice spesso ignorate o giudicate, a torto, irrilevanti.

gdpr
privacy
consenso

Aggiungi un commento

Cliccando su "Salva" accetti che i tuoi dati siano registrati con l'unico scopo di pubblicazione e gestione dei commenti (Leggi l'informativa completa)