GDPR: Data base di utenti e invio di newsletter
Uno degli aspetti più controversi del GDPR è l’utilizzo degli indirizzi email raccolti attraverso il proprio sito web per finalità di marketing.
Ogni azienda ha database pieni di contatti commerciali, mail, nomi e cognomi raccolti negli anni e provenienti dalle più svariate fonti.
Ma quando l’utilizzo dei dati raccolti risponde alle regole del GDPR?
Un aspetto fondamentale che spesso viene sottovalutato è come sono stati raccolti i dati. Ogni modalità di raccolta è, infatti, diversa e l’uso che puoi fare dei dati che raccogli è diverso.
I tuoi clienti
In assenza di una definizione chiara all’interno del GDPR o da parte del Garante Privacy che possa comprendere il concetto di cliente sia per le vendite online che offline.
Può definirsi cliente chi abbia acquistato un prodotto direttamente in negozio oppure sul tuo sito e-commerce o si sia servito della tua azienda dietro la fornitura di un compenso.
Ma il GDPR specifica che il “titolare può avere un legittimo interesse a trattare dati per finalità di marketing se, per esempio, tratta i dati di clienti”.
Ma come può essere legittimato il titolare del trattamento a inviare cosa e per quanto tempo ai propri clienti?
L’Art.130 comma 4 del D.lgs. 196, poi confermato dal D.lgs. 101 del 2018 prevede che:
“…. se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente”.
Quindi si possono inviare a un cliente comunicazioni commerciali, newsletter, offerte promozionali, inviti a eventi ecc. purché in qualche modo facciano riferimento a prodotti o tipologie di prodotti affini a quelli che ha già acquistato.
Ad esempio se un cliente ha appena acquistato sul tuo e-commerce un prodotto alimentare e ha ovviamente lasciato l’indirizzo e-mail.
Puoi inviargli tramite mail comunicazioni, offerte, materiale promozionale, inviti ad eventi che però siano inerenti ad altri prodotti alimentari.
Non puoi inviargli comunicazioni che trattino di abbigliamento in quanto troppo distanti come tipologia di prodotto rispetto a quelli già acquistati.
Soggetti che hanno manifestato interesse verso i prodotti o i servizi dell’azienda
Se il potenziale cliente contatta l’azienda o chiede un preventivo lo si può tempestare di mail, telefonate, messaggi su tutti i prodotti a catalogo fino allo sfinimento?
Al di là del fatto che personalmente nutro seri dubbi sulla reale efficacia di questo tipo di approccio marketing che per quanto mi riguarda fa finire le comunicazioni direttamente nel cestino, dal punto di vista del GDPR questo è vietato.
Perché se un cliente ci ha contattato compilando il form di contatto del nostro sito web oppure ci ha mandato una mail per avere un preventivo o semplicemente informazioni su un prodotto specifico lasciandoci la sua mail non ci ha dato nessun consenso esplicito a farsi contattare per ulteriori comunicazioni.
Se il form di contatto è fatto correttamente avrà espresso il suo consenso al trattamento dei suoi dati personali ma per la finalità di ricevere le informazioni richieste. Ti chiedo il costo di un prodotto o se è disponibile e mi aspetto una risposta su quello.
Se il form è fatto bene, oltre al consenso al trattamento dei dati, ci sarà anche la possibilità di accettare l’invio di offerte, newsletter o informazioni commerciali.
E se ha dato il consenso – che è sempre facoltativo – allora l’invio è legittimo.
Se questo non avviene una volta esaudita la richiesta del potenziale cliente, sarà necessario procedere alla cancellazione dal database di tutti i suoi dati, mail compresa.
Iscritti al sito web
Se gli utenti che si iscrivono al tuo sito lo fanno per procedere all’acquisto di un tuo prodotto o per usufruire di un servizio dedicato agli iscritti, la finalità legata al trattamento è quella indicata nel form di registrazione.
Anche in questo caso se vuoi mandare comunicazioni commerciali, newsletter, offerte promozionali inviti ad eventi devi ottenere un consenso separato, esplicito e facoltativo.
E se hai ottenuto il consenso prima del 25 maggio 2018?
Non devi necessariamente chiederlo di nuovo se il consenso è stato ottenuto correttamente e in linea con il GDPR. E se il consenso è ancora valido.
Se così non è devi ottenere un nuovo consenso.
Come?
Puoi mandare una mail a tutti specificando che hai aggiornato le condizioni di protezione dei dati in funzione dell’informativa aggiornata e che è necessario confermare il consenso già dato tramite un bottone, un link o qualsiasi altra forma comunque che preveda un’azione dell’utente.
E questo vale, ovviamente, solo se il consenso lo hai ottenuto. Non per sanare l’invio di comunicazioni commerciali a quegli utenti che il consenso non lo hanno mai prestato. E a rigore non potrebbero nemmeno ricevere la tua mail.
E se qualcuno non risponde alla mail?
Non puoi più mandargli nessuna mail. Il silenzio assenso non è valido.
Se vuoi risolvere una tua questione legale o avere un parere sugli argomenti trattati prenota qui la tua consulenza.
Per tutti gli aggiornamenti segui #LexAroundMe
Lascia qui il tuo commento al blog e ai servizi di LexAround.me
#GDPR: Data base di utenti e invio di #newsletter #Privacy #datipersonali #LexAroundMe Condividi il Tweet
Chi sono:
