10 Mag 2019

Relazione del Garante Privacy 2018 e Marketing

A poco meno di 1 anno dall'entrata in vigore del GDPR, lo scorso 7 maggio il Garante Privacy ha pubblicato la relazione sulle attività svolte nel 2018. Il 2018 è stato un anno "unico" dovendo gestire anche la transizione dal "vecchio" regolamento sul trattamento dei dati personali ed il "nuovo" GDPR. Sappiamo inoltre che nei primi mesi di applicazione del GDPR l'uso delle sanzioni è stato piuttosto moderato, per dar modo ad aziende ed operatori di recepire il cambiamento portato dal GDPR (o meglio, la consapevolezza che ha portato su temi spesso precedentemente esistenti).

Il report di 259 pagine analizza in dettaglio tutti gli aspetti di cui si è occupato il garante: in questo articolo abbiamo estrapolato le parti che riteniamo più interessanti per chi gestisce liste di contatti per fini di marketing.

Data-breach, Segnalazioni e Reclami, Sanzioni riscosse

Dal 1° marzo al 31 dicembre 2018 sono pervenute all’Autorità 650 notifiche di data breach di cui 630 dal 25 maggio al 31 dicembre 2018 [...].

14 Feb 2019

50 milioni di multa per raccolta del consenso "impropria"

Il 21 Gennaio 2019, lo CNIL (l'equivalente Francese del nostro "Garante Privacy") ha comminato una multa da 50 milioni di euro a GOOGLE LLC per mancanza di trasparenza, informativa inadeguata e mancanza di un consenso valido a proposito di personalizzazione delle promozioni.

In pratica viene contestato a Google che chiunque si trovi ad attivare uno smartphone Android viene messo di fronte quasi all'obbligo di creare un account Google e in quell'occasione gli viene data una informativa estremamente generica che include una molteplicità di consensi dietro ad un singolo "Accetto", cosa esplicitamente vietata dal GDPR. La procedura di Google permette poi di fare "opt out" da alcuni di questi consensi ma per farlo è necessario spulciare tra le opzioni e leggere attentamente i contenuti, che, sempre secondo lo CNIL, sono comunque incompleti e non spiegano in dettaglio quali saranno i dati trattati ai fini della personalizzazione degli annunci.

12 Dic 2018

Usare una email gratuita per scopi professionali o aziendali: si può?

Dall'introduzione del GDPR ci si interroga su quali servizi si possano o non possano utilizzare e a quali condizioni, per non violare i requisiti del GDPR.

Una delle domande che più spesso ci è stata rivolta è se la "casella di posta" aziendale sia coinvolta dal regolamento GDPR e se ci sia differenza tra una casella gratuita (tipo gmail.com o libero.it) ed una aziendale su proprio dominio.

E che cosa c'entra una casella di posta con il trattamento dei dati personali?

Fondamentalmente una casella di posta tratta due tipi di dati personali:

30 Nov 2018

GDPR: Scelta dei fornitori e nomina dei responsabili del trattamento dei dati

Il GDPR, regolamento generale sulla protezione dei dati, entrato in vigore in tutta Europa lo scorso 24 maggio, detta vincoli ben precisi sulle metodologie con le quali una azienda può gestire dati personali, la tipologia di aziende alle quali può trasferire o far gestire tali dati e la tipologia di contrattualizzazione che deve legare un Titolare (l'azienda/professionista) quando si avvale di un Responsabile (fornitore) per trattare dati personali.

Ma la mia azienda fa B2B e quindi non tratta dati personali

Probabilmente falso. Vediamo la definizione di Dato personale fornita dal GDPR:

Articolo 4 - Definizioni

«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

22 Nov 2018

GDPR e tracciamento delle aperture delle email

Il trattamento dei dati personali era normato anche in epoca pre-GDPR, ma il GDPR ha reso più esplicito che gli utenti europei non possono essere tracciati a loro insaputa.

Per quanto riguarda l'invio di newsletter il problema va affrontato in fase di "opt-in", ovvero quando il potenziale iscritto compila il modulo di iscrizione e vi fornisce il consenso al trattamento dei suoi dati al fine di ricevere la newsletter. In questo caso le scuole di pensiero che abbiamo incontrato sono due:

  • Il tracciamento dell'apertura dell'email necessita di un consenso separato e opzionale che l'iscritto deve poter dare in fase di iscrizione.
  • Il tracciamento è necessario per garantire certi standard qualitativi nell'erogazione della newsletter stessa e quindi non necessita di un consenso separato, ma deve solo essere esplicitato nella privacy policy.

In entrambi i casi, però, la privacy policy deve essere esplicita nel definire quali dati vengono raccolti tramite tracciamento, da chi, con quale scopo, per quanto tempo.

Ma come si applica questo discorso alle email transazionali?

21 Ago 2018

Il report 2017 del Garante per la Protezione de Dati Personali: telemarketing, spam e molto altro

Anche il 2017 è stato, per il Garante per la protezione dei Dati personali, un anno intenso.

Nell'annuale e davvero interessante report, uscito qualche settimana fa, il Garante fa il punto, quantitativo e qualitativo dell'attività 2017.

report

Il report completo, unitamente al discorso di presentazione del presidente Antonello Soro, sono liberamente consultabili a questa pagina.

13 Giu 2018

Email Marketing e GDPR al Web Marketing Festival

Il Web Marketing Festival è definitivamente il punto di riferimento per la formazione e l'aggiornamento per chi si occupa di Marketing Digitale.
L'edizione 2018 è la più grande di sempre: 3 giorni di incontri, speech, networking, con oltre 40 sale e 400 speaker.
Come sapete in questi mesi abbiamo pubblicato diverse riflessioni sulla questione, che hanno incontrato il vostro interesse e apprezzamento. Abbiamo dunque pensato di raccogliere, nella maniera più organica possibile, i concetti, le idee, le analisi fatte in queste settimane in un intervento da proporre al WMF 2018 a Rimini.
24 Mag 2018

GDPR: conferma l'iscrizione o il 25 maggio ti cancelliamo: "americanata"?

In questi giorni stiamo tutti ricevendo decine, se non centinaia, di email relative al GDPR, numerose delle quali chiedono di confermare la propria iscrizione entro il 25, pena la cancellazione dal loro DB.

Se grosse e famose aziende hanno usato questo approccio, dovrà pur esserci un motivo, e quindi ora tantissimi stanno emulando, senza farsi troppe domande, quell'approccio.

Abbiamo analizzato dal punto di vista normativo la questione in questo articolo, ma vogliamo spendere qualche parola in più, per tentare di spiegare il nostro approccio.

Fermiamoci un attimo e cerchiamo di capire come stanno le cose.

  • Se hai già raccolto un consenso seguendo le indicazioni dell'attuale (vecchia) normativa privacy, quasi sicuramente non hai bisogno di chiederlo nuovamente, ma solo di speficicare bene i trattamenti e notificare la nuova informativa privacy ai tuoi utenti.
  • Se non avevi un consenso compatibile con la vecchia normativa allora stavi (stai) probabilmente facendo trattamento illecito di dati, punito anche in era pre-GDPR.

E quindi? sono impazziti?

No, semplicemente non sono Italiani e quindi è plausibile (e lecito) che ti abbiano iscritto alla loro newsletter senza mai chiederti il consenso e senza mai farti vedere una informativa privacy.

La grossa rivoluzione introdotta dal GDPR, infatti, è che la privacy degli europei viene decisa dall'Europa e non più dalla nazione in cui ha sede l'azienda che fa il trattamento.

17 Mag 2018

GDPR e periodo di conservazione dei dati per l'email marketing

Le strategie di list building sono, lo sappiamo tutti, dispendiose ed difficili da progettare e mettere in campo; proprio per questo ogni singolo indirizzo raccolto ci pare spesso un tesoro inestimabile, del quale mai vorremmo privarci.

durata del trattamento

È così che spesso ci troviamo liste mastodontiche, piene di indirizzi di cui non ricordiamo l'origine e con i quali non abbiamo rapporto da anni.

In generale abbiamo sempre raccomandato operazioni di controllo e pulizia dei database, in primis per questioni legate all'efficacia stessa delle comunicazioni: sappiamo benissimo che i moderni filtri antispam tengono in considerazione anche la reattività dei destinatari nei confronti dei nostri invii.

11 Mag 2018

Arriva il GDPR! Email per la conferma del consenso, sì o no?

Sta capitando a tutti: improvvisamente le nostre caselle email si sono riempite di messaggi dal tono "passivo/aggressivo" che ci invitano a cliccare un pulsante per continuare a ricevere le newsletter e i messaggi un dato sito/realtà/mittente.

Queste comunicazioni, dalla forma quanto meno varia e dall'operatività piuttosto oscura, fanno riferimento all'avvento del GDPR e alla necessità di avere traccia di un consenso affermativo dell'utente per poter continuare a trattare il dato.

gdpr

Molti nostri lettori ci hanno chiesto se una comunicazione del genere sia obbligatoria e nel caso come vada gestita: cercheremo, nel nostro consueto modo, di analizzare la questione, senza preconcetti, considerando sempre che in tutti i casi particolari è bene riferirsi ad un esperto privacy o ad un avvocato per avere una risposta definitiva.

Consenso pre GDPR (D.lgs. 196/2003)

Partiamo da un dato base: anche per l'attuale normativa privacy italiana (D.lgs. 196/2003) per trattare dati personali (quindi conservarli in un database, usarli per invio email, etc) è obbligatorio un consenso liberamente espresso e informato.