In questi giorni stiamo tutti ricevendo decine, se non centinaia, di email relative al GDPR, numerose delle quali chiedono di confermare la propria iscrizione entro il 25, pena la cancellazione dal loro DB.
Se grosse e famose aziende hanno usato questo approccio, dovrà pur esserci un motivo, e quindi ora tantissimi stanno emulando, senza farsi troppe domande, quell'approccio.
Abbiamo analizzato dal punto di vista normativo la questione in questo articolo, ma vogliamo spendere qualche parola in più, per tentare di spiegare il nostro approccio.
Fermiamoci un attimo e cerchiamo di capire come stanno le cose.
- Se hai già raccolto un consenso seguendo le indicazioni dell'attuale (vecchia) normativa privacy, quasi sicuramente non hai bisogno di chiederlo nuovamente, ma solo di speficicare bene i trattamenti e notificare la nuova informativa privacy ai tuoi utenti.
- Se non avevi un consenso compatibile con la vecchia normativa allora stavi (stai) probabilmente facendo trattamento illecito di dati, punito anche in era pre-GDPR.
E quindi? sono impazziti?
No, semplicemente non sono Italiani e quindi è plausibile (e lecito) che ti abbiano iscritto alla loro newsletter senza mai chiederti il consenso e senza mai farti vedere una informativa privacy.
La grossa rivoluzione introdotta dal GDPR, infatti, è che la privacy degli europei viene decisa dall'Europa e non più dalla nazione in cui ha sede l'azienda che fa il trattamento.
Ma questa è una novità solo per i titolari e responsabili che hanno sede fuori dall'Unione Europea, non per chi, come la maggior parte di chi ci legge, doveva già sottostare alla legge italiana per il trattamento.
Quel tipo di email, per un titolare europeo, che si suppone abbia già raccolto un consenso, sarebbe un "suicidio" visto che se chiedi di fare 3 clic per mantenere l'iscrizione (sì, 3 clic, perchè molte di quelle si appoggiano a mailchimp che ti chiede di cliccare un pulsante, flaggare un checkbox e cliccare un secondo pulsante per "aggiornare le preferenze") e dai pochi giorni di tempo per reagire molto probabilmente perderai 3/4 del database, per non dire il 95% o 99%.
Quindi, riassumendo, se sei italiano le possibili situazioni sono:
- Non hai mai raccolto il consenso: hai operato nell'illegalità fino ad ora, ben venga il GDPR se te l'ha fatto scoprire, ora cancella tutti i dati e riparti (ma non è una novità del GDPR).
- Hai raccolto il consenso e puoi documentarlo: nessun problema allora, quasi sicuramente dovrai apportare aggiornamenti alla privacy policy come richiesto dal GDPR e poi semplicemente inviare una email a tutti in cui li informi della nuova informativa e gli dai anche la possibilità di disiscriversi (come è buona norma fare in ogni comunicazione).
- Hai raccolto il consenso ma non hai tracce della cosa: in questo caso la possibilità più sicura è quella di cancellare tutto, così non corri alcun rischio, ma perdi tutto il lavoro fatto nel creare una lista consensata. Se sei sicuro che l'interlocutore è felice di ricevere le tue email (hai detto che hai il consenso, no?) allora difficilmente qualcuno farà segnalazioni al garante per lamentarsi che non hai le prove (come fa a sapere che non hai le prove se comunque ricorda di averti dato il consenso?) e il garante nei prossimi mesi sarà decisamente impegnato su questioni più importanti che andare a multare quelli che operano nel regime del consenso ma che non hanno le prove di tale consenso.
Il nostro consiglio quindi (ma non siamo avvocati, quindi verificate con il vostro legale) è quello di organizzarsi per cercare di trasformare quei "consensi non dimostrabili" in "consensi dimostrabili" ma non attraverso l'uso di operazioni drastiche come il "clicca qui entro il 25 o ti cancello" (inviata in giorni in cui ogni destinatario sta ricevendo la nuova informativa da decine di mittenti diversi) ma piuttosto con una operazione ragionata spalmata nei prossimi mesi.
Del resto il rinnovo periodico del consenso dovrà diventare la nuova routine dal momento che il consenso non può più essere "per sempre" ma deve essere rinnovato con meccanismi espliciti o impliciti.
Noi di EMB abbiamo la traccia dei consensi di tutti gli iscritti dal 2009 ad oggi, ma nel tempo abbiamo sempre e solo scritto a coloro che si erano iscritti da meno di 2 anni o che avevano aperto una newsletter nell'ultimo anno. Era una tecnica dettata dalla volontà di mantenere una lista molto attiva che fosse rilevante per i destinatari, strategia "infallibile" per evitare i filtri antispam.
Quindi ora ci siamo trovati con una lista nella quale migliaia di indirizzi risultavano presenti, iscritti, compresa prova del consenso, ma non più contattatati da lungo tempo per via dei filtri di "engagement" (coinvolgimento) di cui sopra.
Per prima cosa abbiamo aggiornato la nostra informativa privacy definendo la durata del trattamento (una delle novità del GDPR): nel nostro caso abbiamo scelto questa dicitura:
L'iscrizione e il trattamento relativo sono ritenuti validi fino alla disiscrizione da parte dell'utente, presente in ogni email, oppure dopo 12 mesi dall'ultima comunicazione di cui abbia evidenza di interazione diretta (click, apertura, risposta)
Quindi se apri/clicchi/rispondi ad una email nella quale c'è sempre la possibilità di disiscriverti allora consideriamo implicita la tua volontà di continuare a ricevere le comunicazioni (che comunque ci hai chiesto esplicitamente in passato, non dimentichiamolo), se invece per un anno non interagisci ti cancelliamo.
Così abbiamo creato due gruppi, (casualmente numericamente simili):
- Utenti iscritti da meno di 3 anni o che avevano aperto nell'ultimo anno: abbiamo semplicemente notificato la informativa aggiornata in occasione dell'invio della newsletter periodica.
- Il resto della lista (iscritti da più di 3 anni che non avevano aperto mai nell'ultimo anno): abbiamo inviato loro l'ultima newsletter, spiegando che se non cliccavano un pulsante per esprimere la loro volontà esplicita di rimanere iscritti li avremmo cancellati dopo 30 giorni.
A distanza di qualche giorno solamente il 3% (3 percento, e parliamo di una lista di utenti consensati di cui abbiamo anche la prova e raccolti senza alcuna forzatura, semplicemente una lista un po' obsoleta, visto che questo blog esiste da 9 anni) ha confermato la volontà di rimanere e quindi, senza nessuno stupore, cancelleremo i dati del rimanente 97% fra qualche settimana (ma del resto erano utenti che avevamo dato "per persi" da tempo quindi il 3% non è male, ma vi da una idea di quanto una operazione "dammi il consenso oppure addio" può incidere numericamente.
Questa operazione d'ora in poi diventerà periodica, per ottemperare a ciò che abbiamo dichiarato nell'informativa: ogni tanto ripeteremo l'email di "ultimatum" a coloro che non interagiscono con le nostre email e a meno di un loro rinnovo esplicito li cancelleremo.
Se non avessimo avuto documentazione dei consensi avremmo probabilmente operato allo stesso modo e pian piano avremmo così raccolto tracce documentabili di consenso.
Cosa ne pensate? Cosa avete fatto voi? Cosa fareste in situazione di consensi esistenti ma non dimostrabili?
Aggiungi un commento