Il nuovo regolamento europeo sulla protezione dei dati ha imposto delle misure di sicurezza anche per ciò che riguarda la sfera della posta elettronica, sia dal punto di vista della gestione degli account di posta che dello svolgimento delle attività di email marketing.
L’obiettivo è sempre lo stesso: la tutela del dato personale, cioè di tutti quei dati o informazioni che, utilizzati da soli o in combinazione con altri, possono servire ad identificare uno specifico individuo.
Ma come si applicano le direttive del regolamento alle varie attività che implicano l’utilizzo della posta elettronica? Scopriamolo insieme!
Che mail aziendale utilizzi?
Come viene spiegato sul sito della Commissione Europea:
“(…) le informazioni relative alle imprese individuali possono costituire dati personali se consentono l’identificazione di una persona fisica. Le norme si applicano anche a tutti i dati personali relativi a persone fisiche nel corso di un’attività professionale, quali ad esempio i dipendenti di un’azienda/organizzazione, come gli indirizzi e-mail aziendali del tipo «nome.cognome@azienda.it» o i numeri telefonici aziendali dei dipendenti.”
In parole più semplici, questo significa che anche le email aziendali vanno considerate come un dato personale quando sono nominative. Infatti, pur essendo relativa all’ambito aziendale, da una mail del tipo nome.cognome@nomeazienda è possibile identificare la persona che scrive: dal nome e cognome e dall’azienda per cui lavora possiamo infatti risalire in modo preciso ad uno specifico individuo. In questo caso la mail rientra nell’ambito della regolamentazione della privacy e va quindi tutelata.
Ciò non significa che usando mail di questo tipo si rischi una sanzione, ma semplicemente che anche la mail rappresenta un dato da trattare con cura. Per evitare possibili rischi per la privacy e conseguenti sanzioni, una soluzione potrebbe essere quella di rendere le mail non nominative e sostituire nome e cognome con un termine più generico, ad esempio relativo all’ambito di operatività (marketing, sales, support, ecc).
Ma di preciso, come vanno tutelate le mail aziendali?
- Innanzitutto dovrebbe essere garantito l’accesso all’account solo al titolare della mail, che dovrebbe essere anche l’unico autorizzato a verificarne il contenuto. Il datore di lavoro può controllare le mail solo previo consenso.
- Occorre prestare attenzione anche alla diffusione della mail a terzi, proprio per i motivi esposti poco sopra riguardanti l’identificazione dell’individuo. Secondo la normativa, per un pieno consenso occorrerebbe l’autorizzazione verbale, anche se nella realtà dei fatti questa è molto spesso implicita.
- Ultimo ma non per importanza, bisogna scegliere un provider di posta adatto all’utilizzo aziendale, che sia funzionale e in linea con le linee di condotta segnalate dal Regolamento.
Attualmente, GSuite può essere considerato come l’unico provider di posta veramente GDPR compliant: la suite di web app a pagamento creata da Google per le aziende è infatti la sola a permettere di gestire i dispositivi da remoto tramite l’account. Una funzionalità particolarmente utile nel caso di smarrimento di dispositivi mobili aziendali (smartphone, tablet), perché permette di eliminare l’account e tutti i dati ad esso correlati ed evitare così il data breach.
E i provider di posta gratuiti? Non sono in regola con il GDPR. I provider di posta non a pagamento come ad esempio Libero, Alice o lo stesso Gmail (da non confondersi con la versione a pagamento inclusa in GSuite che può essere personalizzata con il nome dell’azienda) non garantiscono questo livello di controllo sulla sicurezza in caso di necessità e sono quindi meno idonei dal punto di vista della protezione dei dati.
Inoltre, mentre nel caso di Gsuite è Google il titolare del trattamento dei dati, le società fornitrici dei provider di posta gratuiti non si assumono responsabilità in merito alla gestione del dato ma la lasciano al proprietario dell’account. Questo può andare bene per gli account di posta privati ma non per quelli aziendali, poiché non vi è certezza che i dati ricavati dalle email non vengano usati a scopi di profilazione per proporre annunci pubblicitari mirati.
GDPR ed email marketing: cosa è cambiato?
Il GDPR ovviamente non ha interessato solo la mail dal punto di vista delle comunicazioni aziendali ma anche per quanto riguarda le attività di email marketing: per poter inviare comunicazioni commerciali o di marketing è necessario infatti che l’utente abbia effettuato una azione positiva e proattiva per dare il suo consenso.
Per le realtà più strutturate che devono gestire una grande quantità di consensi da parte degli utenti, una soluzione è quella di adottare soluzioni che fissano l’accettazione della privacy e permettono di gestire i consensi raccolti, archiviarli e recuperarli all’occorrenza.
Il consenso per l’invio di email commerciali deve essere libero, informato e specifico per ogni attività e finalità del trattamento dei dati: invio di preventivi, newsletter, invio di proposte commerciali, ognuna di queste tipologie di invio ha bisogno di un consenso esplicito.
Va ricordato che il nuovo regolamento per la protezione dei dati non si applica solamente per i contatti raccolti a seguito del 25 maggio 2018, ma ha valenza retroattiva.
Questo significa che, se sono in possesso di contatti precedentemente raccolti per i quali non ho avuto un consenso deliberato, devo provvedere a richiederlo formalmente, informandoli delle finalità del trattamento e richiedendo loro espressamente il permesso per utilizzare il loro contatto per ciascuna di tali finalità.
Può sembrare scontato dirlo, ma le liste di contatti acquistate sono ad alto rischio di illegalità, dato che è difficile avere prove tangibili che i contatti all’interno di tali liste abbiano dato il loro espresso consenso ad essere inseriti in elenco per venire poi venduti ad altre aziende per finalità di invio di comunicazioni commerciali.
Se tutte queste direttive erano valide già da prima dell’entrata in vigore del GDPR, quello che è davvero cambiato ora con il regolamento è la granularità del consenso, cioè la necessità di un consenso specifico per ogni finalità. Il consenso dato dall’utente non è più quindi generalizzato e inconsapevole, ma è un consenso mirato ed esplicito per ogni finalità del trattamento; l’utente è libero di acconsentire all’utilizzo dei dati per determinati scopi e non per altri.
Una buona soluzione per gestire correttamente permessi e comunicazioni con i clienti è quella di dotarsi di strumenti già predisposti per funzionare in ottica GDPR compliant. Un esempio è HubSpot, la piattaforma di marketing automation che include al suo interno la funzionalità GDPR, che permette di attivare apposite caratteristiche come cookie banner, form in regola con la normativa, unsubscribe link e altre funzioni per la gestione dei consensi alle comunicazioni.
E nel caso gestisca attività di email marketing per conto del cliente?
Nel caso tu gestisca un database di contatti per fare attività di email marketing per uno dei tuoi clienti, devi essere nominato Responsabile del Trattamento Dati per poter svolgere il tuo lavoro pienamente in regola con il GDPR.
Una volta raccolti, i dati vanno trattati e archiviati secondo le best practice imposte dal regolamento:
- censimento dei trattamenti: cosa ne fai dei dati, come li tieni, per quanto tempo e chi li usa
- analisi dei rischi: devi effettuare una stima della probabilità che il dato venga rubato o utilizzato per scopi potenzialmente lesivi della privacy dell’utente
Per saperne di più, puoi approfondire consultando il Regolamento Generale sulla Protezione dei Dati messo a disposizione dal Garante della Privacy.
Ma ricorda: il 19 maggio 2019 ha sancito la fine del periodo di moratoria del GDPR. Non ci sono più sconti e chi non è a norma rischia multe fino a €20 milioni o al 4% del fatturato annuo mondiale.
Non sei sicuro che la tua azienda sia davvero in regola con il GDPR? Un nostro specialista è a disposizione per parlare con te del tuo progetto e capire come possiamo aiutarti. Contattaci!
"*" indica i campi obbligatori
