In questi giorni stiamo tutti ricevendo decine, se non centinaia, di email relative al GDPR, numerose delle quali chiedono di confermare la propria iscrizione entro il 25, pena la cancellazione dal loro DB.

Se grosse e famose aziende hanno usato questo approccio, dovrà pur esserci un motivo, e quindi ora tantissimi stanno emulando, senza farsi troppe domande, quell'approccio.

Abbiamo analizzato dal punto di vista normativo la questione in questo articolo, ma vogliamo spendere qualche parola in più, per tentare di spiegare il nostro approccio.

Fermiamoci un attimo e cerchiamo di capire come stanno le cose.

• Se hai già raccolto un consenso seguendo le indicazioni dell'attuale (vecchia) normativa privacy, quasi sicuramente non hai bisogno di chiederlo nuovamente, ma solo di speficicare bene i trattamenti e notificare la nuova informativa privacy ai tuoi utenti.

• Se non avevi un consenso compatibile con la vecchia normativa allora stavi (stai) probabilmente facendo trattamento illecito di dati, punito anche in era pre-GDPR.

E quindi? sono impazziti?

No, semplicemente non sono Italiani e quindi è plausibile (e lecito) che ti abbiano iscritto alla loro newsletter senza mai chiederti il consenso e senza mai farti vedere una informativa privacy.

La grossa rivoluzione introdotta dal GDPR, infatti, è che la privacy degli europei viene decisa dall'Europa e non più dalla nazione in cui ha sede l'azienda che fa il trattamento.

Le strategie di list building sono, lo sappiamo tutti, dispendiose ed difficili da progettare e mettere in campo; proprio per questo ogni singolo indirizzo raccolto ci pare spesso un tesoro inestimabile, del quale mai vorremmo privarci.

È così che spesso ci troviamo liste mastodontiche, piene di indirizzi di cui non ricordiamo l'origine e con i quali non abbiamo rapporto da anni.

In generale abbiamo sempre raccomandato operazioni di controllo e pulizia dei database, in primis per questioni legate all'efficacia stessa delle comunicazioni: sappiamo benissimo che i moderni filtri antispam tengono in considerazione anche la reattività dei destinatari nei confronti dei nostri invii.

Sta capitando a tutti: improvvisamente le nostre caselle email si sono riempite di messaggi dal tono "passivo/aggressivo" che ci invitano a cliccare un pulsante per continuare a ricevere le newsletter e i messaggi un dato sito/realtà/mittente.

Queste comunicazioni, dalla forma quanto meno varia e dall'operatività piuttosto oscura, fanno riferimento all'avvento del GDPR e alla necessità di avere traccia di un consenso affermativo dell'utente per poter continuare a trattare il dato.

Molti nostri lettori ci hanno chiesto se una comunicazione del genere sia obbligatoria e nel caso come vada gestita: cercheremo, nel nostro consueto modo, di analizzare la questione, senza preconcetti, considerando sempre che in tutti i casi particolari è bene riferirsi ad un esperto privacy o ad un avvocato per avere una risposta definitiva.

Consenso pre GDPR (D.lgs. 196/2003)

Partiamo da un dato base: anche per l'attuale normativa privacy italiana (D.lgs. 196/2003) per trattare dati personali (quindi conservarli in un database, usarli per invio email, etc) è obbligatorio un consenso liberamente espresso e informato.

Mancano davvero pochi giorni alla fatidica ora X. Sicuramente il GDPR è uno degli argomenti caldi della primavera.
Molti in queste settimane ci stanno contattando per chiederci cosa devono fare, in particolare in riferimento alla raccolta dei dati ai fini dell'email marketing.

Abbiamo quindi deciso di approntare questa breve guida, con diversi esempi pratici, che speriamo possa essere utile a tutti: aspettiamo ovviamente i vostri commenti in merito e le vostre, ulteriori, domande.

I principi generali della raccolta dati

Ricordiamo che il GDPR è un regolamento generico, che deve fare da base a regolamenti specifici (come quello e-Privacy che arriverà nel 2019): per questo non è così semplice estrarre una lista di comportamenti concreti da tenere.

Articolo a cura dell'Avv. Giulia Casacci - http://avvocatogiuliacasacci.it/

Con l'entrata in vigore del GDPR (General Data Protection Regulation) e la sua prossima esecutività a partire dal 25 Maggio 2018, coloro che operano nel marketing non potranno che fare i conti sulle novità introdotte, ben potendo però contare sulla coerenza delle normative privacy in tutta Europa a differenza di quanto accadeva in passato.

E' vero: il GDPR è un testo particolarmente corposo, composto da 173 considerando, premesse esplicative, e 99 articoli.

Tuttavia, i professionisti del marketing dovranno in particolar modo tenere presente alcuni principi chiave, il cui rispetto sarà fondamentale per lo svolgimento di un'attività marketing oriented legittima e conforme alla normativa.

Google ha annunciato, con un post sul blog ufficiale datato 23 giugno, un cambiamente radicale per quel che riguarda la pubblicità sulla versione free di Gmail.

Curiosamente l'annuncio pare piuttosto "fuorviante": il titolo stesso dice che prossimamente la versione free di Gmail diventerà "più simile" a quella contenuta in Gsuite (dunque la versione a pagamento "aziendale").

In realtà la questione gira tutta attorno al tema dell'advertising personalizzato e dell'uso del contenuto della posta privata per profilare l'utente.

Google dunque dichiara che, a partire da una data non meglio specificata, ma entro la seconda parte dell'anno, non userà più il contenuto delle email che transitano nel nostro account Gmail free per selezionare gli annunci proposti all'interno dello stesso.

In questo senso la piattaforma Gmail free si avvicinerà a quella di Gsuite, cioè in nessuna delle due verrà effettuato un'analisi del testo delle email a fini advertising; c'è da dire che attualmente la versione a pagamento non ha proprio spazi pubblicitari - e né li avrà nel breve.

La sensazione è dunque quella che l'annuncio sia stato "girato" tentando di spostare l'attenzione da una pratica che molti ritengono invasiva; ora la pubblicità di Gmail free verrà proposta sulla base delle impostazioni e dei comportamenti previsti per l'advertising Google su siti terzi, in pratica raccogliendo dati di navigazione attraverso cookie di terza parte.

All'inizio di questa settimana il Garante per la protezione dei dati personali ha presentato la relazione sul lavoro svolto dall'autorità nel corso del 2016.

Il documento è sicuramente di vivo interesse per avere un'idea precisa dello stato dell'arte della protezione dei dati personali nel nostro paese.

L'attività del Garante è davvero multiforme e sfaccettata: i campi di intervento nel 2016 sono stati il crimine informatico e la cybersicurezza, la profilazione on line e i social media, i rischi della Rete e il cyberbullismo, la lotta al terrorismo e la sorveglianza di massa, i Big Data, l'uso delle nuove tecnologie nel mondo del lavoro, la trasparenza della Pa on line e le garanzie da assicurare ai cittadini, il fisco e la tutela della riservatezza dei contribuenti, il telemarketing, le intercettazioni e la protezione dei dati contenuti negli atti processuali, la tutela dei minori da parte dei media, i diritti dei consumatori, le grandi banche dati pubbliche, il mondo della scuola, il diritto all'oblio, le garanzie per il trasferimento dei dati negli Usa, la sanità.

La campagna elettorale USA è sempre una macchina affascinante e, a partire dalla prima elezione di Obama, la rete ne è diventata protagonista assoluta, capace di variare equilibri consolidati e spazzare via previsioni date per certe. La quantità di denaro messo in campo dai due partiti maggiori è tale da giustificare la nascita di aziende e startup: la competizione serrata e i tempi stretti sono sicuramente terreno fertile per idee nuove e spregiudicate. In particolare in questo ultimo turno presidenziale sembra che le email siano state le vere protagoniste, sia dal punto di vista sicurezza (ricordiamo lo scandalo delle email di Hillary Clinton), sia da quello strettamente marketing.

Per muovere una grande macchina elettorale è necessario raccogliere molti soldi: il fundraising rappresenta una parte fondamentale nella campagna elettorale.

Gli approcci online di Democratici e Repubblicani sono stati nettamente diversi.

I Democratici si sono infatti affidati principalmente all'advertising online classico, display, mentre il Republican National Committee si è pesantemente affidato ad una pratica che spesso abbiamo demonizzato: l'acquisto e il noleggio di liste email da "spammare" chiedendo appunto il sostegno economico al candidato.

Dati alla mano pare che il RNC abbia speso ben 27 Milioni di dollari in indirizzi email, ottenuti gran parte da una "piccola" start up nata nel 2012, ConservativeConnector.com, la cui mission, davvero esplicita, è

"CONSERVATIVE ONLINE ACTIVISTS - DELIVERED."

Nelle ultime settimane ha destato parecchio scalpore - specie negli Stati Uniti - la vicenda che ha visto come protagonisti Uber e il servizio di disiscrizione automatica Unroll.me.

Cos'è successo di preciso? Il 23 aprile 2017 è uscito sul New York Times un esteso dossier sulle attività "border-line" di Uber, dossier che scandagliava e identificava il modus operandi del CEO di Uber Travis Kalanick.

Nell'articolo veniva dichiarato apertamente che il servizio di intelligence interna di Uber ha comprato dati relativi all'attività del proprio concorrente Lyft da Slice Intelligence, che, interrogata a tal proposito dal giornalista, ha confermato la cosa.

Il grande pubblico ha scoperto così che Slice, attraverso l'applicazione Unroll.me, servizio gratuito che si occupa di "ripulire" la vostra casella di posta da iscrizioni non gradite a newsletter et similia, utilizza l'accesso garantito alla stessa casella per ottenere quante più informazioni possibile, da impacchettare e rivendere poi al migliore offerente.

Unroll.me è un servizio molto utilizzato negli Stati Uniti (considerate che la legge statunitense in materia di invii commerciali - il CAN-SPAM - consente l'invio senza consenso, a patto che ci sia la possibilità di disiscrizione) e dunque questa scoperta ha suscitato una certa indignazione.

È ovvio che a nessuno faccia piacere scoprire che la propria casella email sia oggetto di analisi approfondita da parte di intelligenze artificiali alla ricerca di ricevute, conferme d'ordine e quant'altro, e che questi dati siano poi conservati ed utilizzati - anonimamente, ma non solo in maniera aggregata, anche puntuale - come base dati di intelligence commerciale.

Aldilà del fastidio, la pratica adottata da Unroll.me/Slice è legale?