Il trattamento dei dati personali era normato anche in epoca pre-GDPR, ma il GDPR ha reso più esplicito che gli utenti europei non possono essere tracciati a loro insaputa.

Per quanto riguarda l'invio di newsletter il problema va affrontato in fase di "opt-in", ovvero quando il potenziale iscritto compila il modulo di iscrizione e vi fornisce il consenso al trattamento dei suoi dati al fine di ricevere la newsletter. In questo caso le scuole di pensiero che abbiamo incontrato sono due:

• Il tracciamento dell'apertura dell'email necessita di un consenso separato e opzionale che l'iscritto deve poter dare in fase di iscrizione.
• Il tracciamento è necessario per garantire certi standard qualitativi nell'erogazione della newsletter stessa e quindi non necessita di un consenso separato, ma deve solo essere esplicitato nella privacy policy.

In entrambi i casi, però, la privacy policy deve essere esplicita nel definire quali dati vengono raccolti tramite tracciamento, da chi, con quale scopo, per quanto tempo.

Ma come si applica questo discorso alle email transazionali?

Ovviamente, se l'email transazionale viene inviata a seguito della raccolta di un consenso, ricadiamo nel caso precedente e la situazione è del tutto similare al caso della newsletter. Ma come trattare quelle email transazionali di dialogo tra due soggetti che si stanno scambiando il primo messaggio, o la risposta a tale messaggio?

Quasi tutti gli strumenti di gestione di email commerciali o di assistenza includono infatti funzionalità di tracciamento della ricezione e della visualizzazione dell'email. Sono legali?

Partiamo da uno dei servizi più noti: Mailtrack.io, azienda Spagnola. Nelle FAQ del loro servizio troviamo:

Is email tracking legal under GDPR?
Yes, email tracking is legal under GDPR if your organization complies with GDPR. Compliance depends on your organization relationship with the recipients of your emails. For example, under new GDPR you may ask for a new consent to receive a newsletter or not, depending on the legitimate interest of this communication. The previous privacy laws and the new GDPR do not require explicit consent for email marketing activities (including email tracking) in all cases.

Alla nostra lettura il "Sì" con il quale inizia la risposta è più uno "Sni": il tracciamento è legale se hai già un rapporto con il destinatario e, ad esempio, ti ha dato il consenso a ricevere le email (e, aggiungiamo noi, nell'informativa che gli è stata mostrata era specificato il trattamento).

La loro FAQ, per come è posta, riteniamo confermare il fatto che se si manda una email a qualcuno si possono usare strumenti di tracciamento solo se precedentemente c'è stato un consenso.

Docsify, altro servizio piuttosto noto, dice

Is Email Tracking Legal Under The GDPR?
Yes, email tracking is legal under GDPR if your company complies with GDPR. Compliance depends on your organization relationship with the recipients of your emails. But email tracking requires  that recipients have opted in to the collection of tracking data.

Docsify è più esplicito nell'affermare che il tracking richiede che il destinatario abbia precedentemente fatto un opt-in (richiesto/dato il consenso) al tracciamento dei dati. Non entra nel dettaglio di come questo opt-in possa essere raccolto (se debba essere separato o possa essere incluso in un consenso più ampio), ma dice che serve.

Contextsmith.com si limita a fornire la propria privacy policy senza dare alcuna indicazione ai propri clienti su come dovranno operare e sul fatto che utilizzare il loro prodotto per tracciare utenti inconsapevoli potrebbe essere illegale. Comprensibile, visto che tale requisito parzialmente mina il loro business, ma preferiamo l'approccio di Docsify e Mailtrack che quantomeno hanno un paragrafetto che rende il requisito più esplicito.

Ma questi 3 servizi sono solo la punta dell'iceberg. Numerosi altri strumenti pongono il tracciamento come funzionalità base del proprio business, ad esempio: MixMax, Bananatag, SalesHandy, Vocus.io, Mailtag.io.

Nell'usare questi strumenti, quindi, bisognerebbe verificare innanzitutto che cosa fanno loro con i dati di tracciamento e assicurarsi che la propria privacy policy informi i propri interlocutori correttamente.

Ma a ben guardare, praticamente qualunque strumento di gestione dei lead (o gestione vendite, o CRM, o helpdesk) supporta questa funzionalità che rischia di essere utilizzata con "leggerezza" e magari inconsapevolmente in un modo inappropriato.

E i vostri consulenti come vi hanno consigliato? Usate strumenti di tracciamento delle email di vendita/helpdesk/ricerca leads? Il vostro strumento vi permette di disabilitare questa funzionalità? In maniera globale o in maniera puntuale per singolo contatto? Raccogliete il consenso specifico per il tracciamento? Con quali modalità?

Ci piacerebbe raccogliere le vostre esperienze così da poter fare un nuovo articolo, fra qualche mese, con qualche consiglio e best practices ragionevoli.