Menu
Newsletter Protezione dei dati e GDPR

Inviare newsletter in conformità al GDPR: Come avere successo nell’email marketing a norma di legge

Joana Rüdebusch
SEO Managerin & Content Creator
Sending Out GDPR-Compliant Newsletters

Siete ancora all'oscuro della protezione dei dati delle newsletter? Vi forniamo una panoramica dei principi di base delle newsletter legalmente conformi al GDPR.

Le newsletter sono a ragione uno strumento di marketing indispensabile. Aiutano le aziende a raggiungere i propri clienti, a mantenere le relazioni e ad aumentare le vendite. Tuttavia, c’è un argomento che suscita sempre incertezza: newsletter e protezione dei dati. Con l’introduzione del Regolamento generale sulla protezione dei dati (GDPR) nel 2018, i requisiti per l’invio di newsletter sono aumentati. E con essi, la preoccupazione dei mittenti di fare accidentalmente qualcosa di sbagliato.

In questo articolo vi forniamo una panoramica degli aspetti più importanti dell’email marketing conforme al GDPR.

Contenuti

In breve: Cos’è il GDPR?

Il GDPR è un regolamento dell’Unione Europea che disciplina la protezione dei dati personali. È stato introdotto per rafforzare e standardizzare la protezione dei dati delle persone fisiche. Da allora, le aziende devono seguire linee guida rigorose quando raccolgono ed elaborano i dati personali. Questo include naturalmente anche i dati utilizzati per l’invio di newsletter.

Perché la conformità al GDPR e la protezione dei dati sono importanti per le newsletter?

La mancata conformità al GDPR può avere gravi conseguenze, tra cui multe salate e danni significativi alla reputazione. È quindi fondamentale che le aziende europee che inviano newsletter soddisfino tutti i requisiti per guadagnare la fiducia dei loro abbonati ed evitare conseguenze legali. Newsletter e GDPR dovrebbero quindi sempre andare di pari passo.

Ma non preoccupatevi: abbiamo una panoramica delle linee guida per rendere l’email marketing in linea con il GDPR e inviare newsletter in conformità con le norme sulla protezione dei dati.

I principi di base delle newsletter conformi al GDPR

1. Scelta di un programma per newsletter conforme al GDPR

Il primo passo per la creazione di newsletter conformi al GDPR è la scelta di una piattaforma di email marketing conforme alla legge. Prestate attenzione ai seguenti punti:

  • Ubicazione del server UE:

Verificare se il fornitore soddisfa tutti i requisiti di protezione dei dati e se gestisce i propri server all’interno dell’UE.

In conformità con i requisiti del GDPR (art. 44 e segg.), l’elaborazione dei dati personali al di fuori dell’UE non è possibile senza ulteriori interventi. I dati personali possono essere trasferiti a un Paese terzo non sicuro solo sulla base di una decisione di adeguatezza.

  • Conclusione di un contratto di elaborazione degli ordini (contratto AV):

Un contratto di elaborazione dei dati è necessario se i dati personali vengono elaborati da un fornitore di servizi, in questo caso un programma per newsletter. Questo contratto garantisce che anche il fornitore di servizi si attenga a tutte le norme sulla protezione dei dati.

Buono a sapersi:
CleverReach soddisfa i requisiti di un programma per newsletter conforme alla protezione dei dati. Tutti i dati sono archiviati su server in Germania o nell’UE, in conformità al GDPR. È possibile creare e stipulare il contratto AV in modo semplice e digitale direttamente nel proprio account CleverReach.

2. Invio newsletter conforme al GDPR solo con consenso

Un elemento chiave dell’email marketing conforme al GDPR è l’ottenimento del consenso esplicito dei destinatari a ricevere newsletter. L’invio di e-mail pubblicitarie non richieste è considerato “molestia irragionevole” e costituisce una violazione della legge sulla concorrenza (Sezione 7 (2) N. 3 UWG) e del GDPR.

Per ottenere il consenso esplicito dei destinatari è stata istituita la procedura double opt-in:

  • Double opt-in (DOI):

Il modo più semplice e sicuro per ottenere il consenso per la newsletter è la procedura double opt-in. Dopo aver inserito l’email nel modulo di iscrizione, la persona interessata riceve un’email di conferma in cui deve confermare nuovamente i destinatari della newsletter. In questo modo si evitano abusi e si garantisce che il consenso provenga effettivamente dall’email.

  • Protocollo e obbligo di verifica:

Documentare l’intero processo di registrazione, compresi l’indirizzo IP, la data e l’ora della registrazione e della conferma. Queste informazioni servono come prova in caso di verifica o reclamo.

  • Divieto di abbinamento:

In base al divieto di abbinamento (disciplinato dall’art. 7 par. 4 del GDPR), il consenso a ricevere la newsletter deve essere volontario e non può essere imposto. Ciò significa che non è possibile far dipendere la fornitura di un servizio o la conclusione di un contratto dalla contemporanea registrazione alla newsletter.

A volte un link può essere consentito a determinate condizioni (ad esempio, “dati in cambio di un servizio”). In questo caso, il link deve essere comunicato in modo molto trasparente e l’utente deve essere informato che sta pagando il servizio con i suoi dati. È meglio chiedere consiglio al vostro responsabile della protezione dei dati per il vostro caso specifico.

  • Nessuna pubblicità nella posta DOI:

L’email di conferma può essere utilizzata solo per confermare il processo di registrazione e non deve contenere alcun contenuto pubblicitario aggiuntivo; c’è spazio per questo nell’email di benvenuto.

Buono a sapersi:
Il processo DOI è standard in tutti i moduli di iscrizione di CleverReach. È possibile personalizzare e progettare il double opt-in e la pagina di conferma in un processo chiaramente strutturato. Il double opt-in riuscito viene documentato automaticamente e può essere scaricato se necessario.

3. Modulo di iscrizione conforme al GDPR

Ci sono anche alcuni aspetti da considerare nel modulo di iscrizione per garantire che la registrazione alla vostra newsletter sia conforme al GDPR e alla legge.

  • Minimizzazione dei dati:

L’indirizzo email dovrebbe essere l’unico campo obbligatorio del modulo di iscrizione. Ulteriori informazioni come il nome o la data di nascita possono essere raccolte volontariamente, ma non devono essere obbligatorie.

  • Note sulla raccolta dei dati:

Spiegare in modo trasparente perché e quali dati vengono raccolti, quali opzioni di cancellazione sono disponibili e per quanto tempo i dati vengono conservati.

È consigliabile includere una casella di controllo che deve essere attivata prima dell’invio del modulo di iscrizione.

Testo di esempio (da verificare):
La nostra newsletter gratuita vi informa regolarmente via email su nuovi prodotti e offerte speciali. I dati inseriti saranno utilizzati solo per personalizzare la newsletter e non saranno trasmessi a terzi. È possibile annullare l’iscrizione alla newsletter in qualsiasi momento o revocare il proprio consenso in qualsiasi momento inviando un’email a muster@beispiel.com. I vostri dati saranno cancellati entro XX mesi dalla cessazione della ricezione della newsletter, a condizione che la cancellazione non sia in contrasto con gli obblighi di conservazione previsti dalla legge. Inviando i dati inseriti, si acconsente al trattamento dei dati e si conferma la nostra politica sulla privacy.
  • Link all’informativa sulla privacy:

Link all’informativa sulla privacy nel modulo di iscrizione e nell’e-mail di double opt-in. Questo dovrebbe fornire informazioni chiare e comprensibili sul trattamento dei dati nella newsletter:

  • programma per newsletter utilizzato e contratto AV in essere
  • Scopo e tipo di raccolta dei dati
  • Durata e luogo di conservazione dei dati
  • eventuali misure di tracciamento se le aperture/click sono analizzati in modo personalizzato
  • Possibilità di revocare il consenso
  • Diritti degli interessati: diritto di accesso ai dati e di cancellazione/blocco, ecc.
Suggerimento: per ulteriori spunti e consigli, leggete il nostro articolo sulla registrazione della newsletter conforme al GDPR.

4. Semplice cancellazione della newsletter

Secondo il GDPR, gli iscritti devono poter revocare il proprio consenso al trattamento dei dati e annullare l’iscrizione alla newsletter in qualsiasi momento.

  • Link di disiscrizione:

Ogni newsletter deve contenere un link di disiscrizione ben visibile. Questo deve rendere possibile l’annullamento dell’iscrizione senza alcun ostacolo o passaggio aggiuntivo.

  • Cancellazione semplice:

La cancellazione non deve essere più complicata della sottoscrizione. Non deve essere obbligatorio indicare i motivi della cancellazione.

  • Efficacia immediata della cancellazione:

Non appena un abbonato clicca sul link di disiscrizione, la cancellazione deve avere effetto immediato e non devono essere inviate altre newsletter.

Buono a sapersi: Tutti i modelli di CleverReach contengono già un link di disiscrizione nel piè di pagina. È possibile creare facilmente un modulo di disiscrizione conforme al GDPR nel modulo.

5. Contenuto della newsletter

Il contenuto della newsletter deve corrispondere al consenso dato dai destinatari al momento della registrazione alla newsletter. Utilizzate i dati solo per gli scopi specificati. Rivedete regolarmente il contenuto delle vostre campagne di newsletter per assicurarvi che continuino a essere conformi al consenso dato dagli iscritti.

Suggerimento aggiuntivo: obbligo di informativa

L’obbligo di informativa legale non fa parte del GDPR, ma è disciplinato dalla Legge sui servizi digitali (DDG). Tuttavia, è un obbligo di legge per chi invia newsletter fornire un’informazione legale nelle pubblicazioni digitali.

La vostra newsletter dovrebbe quindi sempre contenere un’informazione legale completa che includa dettagli come il nome dell’azienda, l’indirizzo, le informazioni di contatto e il numero di identificazione IVA (se disponibile).

Buono a sapersi: CleverReach non vi permette di inviare newsletter senza informazioni legali; questo vi protegge da conseguenze legali. Ogni modello di newsletter contiene anche un segnaposto per le informazioni legali gestite a livello centrale.

Lista di controllo: Inviare newsletter in conformità al GDPR

La conformità ai requisiti del GDPR per l’invio di newsletter è essenziale per evitare conseguenze legali e rafforzare la fiducia dei vostri abbonati.

Scegliendo un programma conforme al GDPR per l’invio di newsletter, come CleverReach, ottenendo il consenso necessario (DOI) e implementando linee guida trasparenti sulla protezione dei dati, si crea una solida base per un email marketing di successo e conforme alla legge.

CleverReach vi supporta con funzioni complete e assistenza per progettare e inviare le vostre newsletter in conformità al GDPR.

Suggerimento: utilizzate WordPress come sistema CMS per il vostro sito web? Vi spieghiamo come funziona il newsletter marketing conforme al GDPR per WordPress.

Scaricate gratuitamente la lista di controllo GDPR

Abbiamo creato una chiara lista di controllo per le newsletter conformi al GDPR, in modo da non dimenticare nulla. Scaricatela subito gratuitamente e spuntatela punto per punto!

Per scaricare

Domande frequenti sulla protezione dei dati nell’email marketing

Consultazione sul GDPR con il Dr. Gerrit Mesch

L’avvocato Gerrit Mesch risponde alle domande più frequenti sul GDPR nell’email marketing.

Nota importante: “Il consumo di questo testo generale non sostituisce la necessaria consulenza legale nei singoli casi. A questo proposito, agite a vostro rischio e pericolo. In caso di dubbio, rivolgetevi sempre a un avvocato per conoscere il vostro caso specifico”

Il GDPR si applica anche al di fuori dell’UE?

  • L’art. 3 del GDPR si basa sull’Unione Europea.
  • L’UE non ha il potere di regolamentare la protezione dei dati in Asia o in Nord America, ad esempio.
  • L’art. 3 del GDPR contiene un principio di mercato: in base a questo principio, il GDPR si applica anche alle aziende dei Paesi terzi se offrono beni o servizi ai cittadini dell’UE.

Posso utilizzare email pubbliche?

In linea di principio, il consenso deve essere dato per il caso specifico. Ciò non significa che il consenso debba essere dato nuovamente per ogni singolo invio pubblicitario. Tuttavia, il consenso deve riguardare (anche) lo specifico invio pubblicitario. Non c’è consenso per il caso specifico, ad esempio, se una squadra di calcio ha pubblicato il proprio indirizzo email sul proprio sito web (BGH, NJW 2008, 2999 – FC Troschenreuth). Al massimo, il club si aspetta richieste di informazioni sulle operazioni di gioco o sulle attività del club, ma non sui servizi non del club.

È lecito inviare email non richieste se sono inviate esclusivamente a indirizzi di posta elettronica impersonali come “info@…”? O anche in questo caso è necessaria un’autorizzazione preventiva, ad esempio tramite double opt-in?

No, l’invio non è consentito in quanto non è stato dato il consenso per il caso specifico. È sempre necessario un double opt-in.

I biglietti da visita costituiscono automaticamente un consenso per il contatto con la newsletter?

Anche in questo caso manca la certezza del consenso espresso se il biglietto da visita viene consegnato nell’ambito di un evento (LG Baden-Baden, WRP 2012, 612 (613)). Tuttavia, è possibile predisporre una scatola con la chiara dicitura “Newsletter” in cui depositare il biglietto da visita. In questo caso, la verificabilità è peggiore rispetto al double opt-in.

Nei seminari di comunicazione sottopongo i destinatari a un sondaggio. Loro accettano o meno selezionando una casella di controllo. È consentito nell’email marketing ai sensi del GDPR?

Il consenso non viene dato nemmeno se il partecipante a un seminario ha inserito la propria email nell’elenco dei partecipanti (LG Gera, WRP 2012, 1468). In questo caso, non hanno dato il loro consenso. D’altra parte, la visualizzazione di un elenco di seminari con la richiesta di iscriversi per ricevere la newsletter è sufficientemente specifica se è chiaro quale azienda invierà la newsletter.

Posso generare iscrizioni alla newsletter anche nel processo di acquisto, utilizzando una semplice casella di controllo, o ho sempre bisogno di un DOI?

Questo sarebbe sufficiente come consenso se il cliente clicca attivamente sulla casella e non è preselezionato – cioè opt-in e non opt-out (BGH, MMR 2008, 731 – Payback). Tuttavia, non sarebbe possibile provare che il proprietario dell’indirizzo email abbia effettivamente effettuato l’inserimento, poiché non si possono escludere errori o abusi (AG Berlin, MMR 2009, 144). Anche l’indirizzo IP registrato non è sufficiente come prova. Il gestore del sito web non ha modo di dedurre il titolare di uno specifico account email da un indirizzo IP dinamico. I fornitori di accesso, che potrebbero almeno determinare il proprietario della connessione (anche se non il titolare dell’account), non sono obbligati né autorizzati a divulgare tali dati.

Anche il cosiddetto opt-in confermato non è sufficiente come prova. In questo caso, viene inviata un’email di conferma, ma non viene integrato alcun link di conferma. Al contrario, viene fatto solo un riferimento esplicito alla possibilità di annullare l’iscrizione. In assenza di risposta, l’email in questione viene aggiunta alla mailing list. Tuttavia, non è possibile dimostrare che il titolare dell’email si sia iscritto alla newsletter in questo modo.

Ho raccolto destinatari alcuni anni fa. Posso scrivere loro nell’email marketing in conformità con il GDPR? Esiste un periodo di limitazione?

BGH, sentenza del 01.02.2018 – III ZR 196/17: “Né la direttiva 2002/58/CE né l’articolo 7 UWG prevedono un limite di tempo per il consenso una volta che è stato dato. Ne consegue che questo – proprio come il consenso ai sensi dell’articolo 183 BGB – non si estingue solo per il trascorrere del tempo”. Di conseguenza, ritengo che la pubblicità via e-mail sia lecita se non c’è motivo di dubitare del consenso originariamente espresso dal consumatore. Tale motivo potrebbe essere il fatto che il consenso è stato dato più di un anno e mezzo fa e che in questo periodo non è stata inviata alcuna pubblicità. Questa era l’opinione del Tribunale regionale di Berlino prima dell’introduzione del GDPR (LG Berlino, sentenza del 09.12.2011 – 15 O 343/11). È discutibile se questo sia ancora il caso ora. Si tratta di una decisione isolata in prima istanza, non di una giurisprudenza consolidata di ultima istanza. Anche se si volesse seguire questa decisione, non ci sarebbe decadenza se la pubblicità fosse inviata regolarmente. L’affermazione che la regola secondo cui il consenso scade dopo due anni non esiste nell’intero sistema giuridico è difficile, in quanto non posso esaminare l’intero sistema giuridico. Tuttavia, i regolamenti pertinenti del GDPR e dell’UWG non contengono tale disposizione legale.

Non dispongo di prove di consenso DOI. Tuttavia, i destinatari non si sono cancellati da anni: posso continuare a scrivere loro?

No, non c’è un consenso esplicito.

Un cliente richiede informazioni su un prodotto sul sito web. Posso inviargli un’e-mail solo su questo o più volte su questo e su prodotti simili?

Non si può ipotizzare una molestia irragionevole nel caso di pubblicità tramite posta elettronica se:

  1. un imprenditore ha ricevuto l’indirizzo di posta elettronica del cliente in relazione alla vendita di un prodotto o servizio,
  2. l’impresa utilizza l’indirizzo per la pubblicità diretta di propri prodotti o servizi simili,
  3. il cliente non si è opposto all’utilizzo e
  4. il cliente viene chiaramente informato, al momento della raccolta dell’indirizzo e ogni volta che viene utilizzato, della possibilità di opporsi al suo utilizzo in qualsiasi momento senza dover sostenere alcun costo oltre a quelli di trasmissione secondo le tariffe di base.

L’eccezione riguarda solo la pubblicità di beni o servizi propri. Questo esclude inizialmente l’invio di email pubblicitarie a favore di altre aziende. In particolare, le newsletter non possono essere inviate in riferimento al paragrafo 3. La KG richiede l'”intercambiabilità” dei prodotti o che i prodotti servano alla stessa o almeno simile necessità o scopo. L’OLG Jena richiede un “identico scopo tipico”.

Che tipo di contenuti posso inviare ai “non clienti” senza un opt-in?

Anche a questa domanda si può rispondere rapidamente. Non è possibile inviare newsletter in conformità con le norme sulla protezione dei dati se non c’è né consenso né ordine.

L’email pubblicitaria non richiesta senza il previo consenso esplicito dei destinatari è da considerarsi una molestia irragionevole ai sensi dell’art. 7 (2) n. 3 dell’UWG (la cosiddetta soluzione opt-in) (BGH, sentenza del 2.2011, Rif. 10.2.2011, rif. I ZR 164/09, MMR 2011, 662 ss.; OLG Celle, Urt. v. 15.5.2014). Il legislatore tedesco si astiene dal distinguere tra consumatori e commercianti in quanto l’email advertising ha un carattere molto molesto, soprattutto nei rapporti commerciali. (BT-Drucks. 15/1487, pag. 21)

Posso acquistare indirizzi, ad esempio da “wer-zu-wem”?

È sempre necessario il consenso per il caso specifico. Pertanto, purtroppo, non è possibile effettuare acquisti.

Se cambio il mio email service provider, ho bisogno di un nuovo DOI?

Se avete già ottenuto il consenso tramite una procedura double opt-in con un altro fornitore di servizi di newsletter, non è necessario ottenere nuovamente il consenso. Il consenso dei destinatari riguarda la ricezione delle vostre email e non il fornitore di servizi utilizzato per inviarle. Potete quindi utilizzare i dati raccolti correttamente con la procedura double opt-in direttamente con CleverReach.

Non siete ancora clienti CleverReach? Passate subito ad altro!

Approfittate del nostro programma per newsletter conforme al GDPR e ottimizzate la comunicazione con i vostri clienti.

Nota: il contenuto di questa pagina non costituisce una consulenza legale e non può sostituirla nei singoli casi. Non ci assumiamo alcuna responsabilità per l’accuratezza, la completezza o la tempestività delle informazioni fornite.

CleverReach Newsletter
Consigli e trucchi per un email marketing di successo!
Articolo Successivo
Ispirazione per le newsletter di Natale: come rendere la vostra campagna festiva il momento clou della stagione