GDPR UE e Regno Unito: 5 cose che devi sapere sul consenso e-mail

Pubblicato: 2021-03-09

La legge sulla privacy dell'Unione Europea, il Regolamento generale sulla protezione dei dati (GDPR), è entrata in vigore il 25 maggio 2018. All'epoca, molti si chiedevano cosa significasse il GDPR per gli e-mail marketer. E fortunatamente, il GDPR non ha ucciso le e-mail come previsto dai profeti di sventura. Ma una cosa che potrebbe ancora causarti mal di testa? Come raccogliere e archiviare il consenso alla posta elettronica.

Il GDPR alza l'asticella a uno standard più elevato di consenso per gli abbonati con sede nell'Unione Europea (UE), il che significa che il modo in cui hai raccolto il consenso dagli abbonati dell'UE in passato potrebbe non essere più conforme.

E anche adesso che il Regno Unito (UK) ha formalmente lasciato l'Unione europea, dopo GDPR Brexit non è cambiato troppo. Il Regno Unito ha creato il proprio GDPR del Regno Unito, che è essenzialmente lo stesso del GDPR dell'UE, tranne per il fatto che si applica solo ai residenti nel Regno Unito. I dettagli sono trattati nella Guida al GDPR del Regno Unito dell'Information Commissioner's Office (ICO) del Regno Unito. Per semplicità, mi riferirò a entrambi solo come GDPR, a meno che non ne faccia riferimento a uno specifico.

Quindi la vera domanda è: cosa significa tutto questo per il consenso e-mail dei tuoi abbonati UE e Regno Unito?

Come mantenere il consenso e-mail conforme al GDPR

Il GDPR richiede che i marchi raccolgano un consenso affermativo che sia "liberamente fornito, specifico, informato e non ambiguo" per essere conformi. L'ICO ha anche fornito una guida completa sul consenso ai sensi del GDPR. Se non sei ancora pronto per immergerti nella guida completa di 39 pagine, ecco un'analisi delle cinque cose più importanti che devi sapere sul consenso e-mail ai sensi del GDPR, con molti esempi di come li mettiamo in pratica qui su Litmus .

1. Ottieni il consenso da un opt-in positivo, non da caselle preselezionate

E-mail di attivazione GDPR

Affinché il consenso sia valido ai sensi del GDPR, un cliente deve confermare attivamente il proprio consenso, ad esempio spuntando una casella di attivazione deselezionata. Le caselle preselezionate che presuppongono il consenso se le persone non le deselezionano non sono valide ai sensi del GDPR.

Considerando 32:
“Silenzio, caselle preselezionate o inattività non devono costituire consenso”.

Esempio

Nello screenshot qui sopra, mostriamo un esempio di come utilizziamo le caselle di attivazione non selezionate su Litmus per ottenere il consenso. Se la casella fosse stata preselezionata, ciò non sarebbe conforme al GDPR.

2. Mantieni le richieste di consenso separate da altri termini e condizioni

Il consenso all'e-mail deve essere dato liberamente, e questo è il caso solo se una persona ha veramente la possibilità di scegliere se iscriversi o meno ai messaggi di marketing. Se, ad esempio, è necessario iscriversi a una newsletter per scaricare un whitepaper, tale consenso non viene concesso liberamente.

Ai sensi del GDPR, il consenso e-mail deve essere separato . Non associare mai il consenso ai tuoi termini e condizioni, alle informative sulla privacy o ai tuoi servizi (a meno che non sia necessario il consenso e-mail per completare tale servizio).

Articolo 7, paragrafo 4:
“Nel valutare se il consenso è prestato liberamente, si tiene nella massima considerazione se […] l'esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso al trattamento dei dati personali che non è necessario per l'esecuzione del quel contratto».

Esempio

Nello stesso screenshot qui sopra: quando qualcuno scarica un ebook o altri contenuti da Litmus, c'è una casella deselezionata per entrare nella nostra lista di e-mail. Ma l'iscrizione alle e-mail è facoltativa: puoi sempre scaricare l'ebook senza iscriverti alle nostre e-mail.

Tuttavia, in questo esempio di seguito, abbiamo un modulo di iscrizione via e-mail nel piè di pagina del sito Web di Litmus. La casella è ancora deselezionata, ma l'asterisco rosso indica che è necessario il consenso .

Modulo di iscrizione via e-mail GDPR

Come mai? Perché il consenso alla posta elettronica è necessario per completare il servizio. In altre parole, questo servizio specifico consiste nell'inviarti le nostre e-mail e non possiamo farlo a meno che tu non accetti.

3. Rendi più facile per le persone revocare il consenso e spiega loro come farlo​

E-mail GDPR Revoca il consenso

Articolo 7, paragrafo 3:​
"L'interessato ha il diritto di revocare il proprio consenso in qualsiasi momento […] Revocare il consenso deve essere semplice quanto concederlo."​

Tutte le principali leggi sulla posta elettronica, tra cui CASL in Canada e CAN-SPAM negli Stati Uniti, richiedono ai marchi di offrire ai propri abbonati l'opportunità di rinunciare alla ricezione di e-mail. Ogni email promozionale che invii deve includere un'opzione per annullare l'iscrizione.

Se sei già conforme alle attuali leggi canadesi, americane o europee sulla posta elettronica, potresti non dover cambiare molto quando si tratta di questo requisito per la conformità al GDPR. Tuttavia, questo è il momento perfetto per rivedere il tuo attuale processo di disattivazione per assicurarti di seguire le migliori pratiche di annullamento dell'iscrizione:

  • Non addebitare una commissione.
  • Non richiedere altre informazioni oltre a un indirizzo email.
  • Non richiedere agli abbonati di accedere.
  • Non chiedere agli iscritti di visitare più di una pagina per inviare la loro richiesta.

Esempio

Nel piè di pagina di ogni e-mail promozionale di Litmus, includiamo un'opzione per disattivare la ricezione di e-mail. Ciò semplifica l'annullamento dell'iscrizione nel caso in cui un abbonato dovesse perdere interesse.

Vale anche la pena sottolineare che un'esperienza di annullamento dell'iscrizione ostile è anche un importante fattore di denunce di spam. Secondo il nostro report Adapting to Consumers' New Definition of Spam, la metà dei consumatori statunitensi afferma di aver segnalato le e-mail di un marchio come spam perché non potevano facilmente rinunciare. Quindi, mettere barriere di opt-out non solo mette a rischio la tua conformità legale, ma può anche danneggiare la tua consegna.

4. Conserva le prove di chi ha acconsentito, quando e come

esempio di consenso conforme al GDPR da parte di Litmus

Il GDPR stabilisce le regole su come raccogliere il consenso e richiede anche alle aziende di tenere un registro di tali consensi.

Articolo 7, paragrafo 1:​
"Laddove il trattamento si basi sul consenso dell'interessato, il responsabile del trattamento dovrebbe essere in grado di dimostrare che l'interessato ha prestato il consenso all'operazione di trattamento".

In alcuni paesi, l'onere di dimostrare il consenso è sempre stato responsabilità della società che ha raccolto l'opt-in. Per molti altri professionisti del marketing, tuttavia, questo requisito rappresenta una nuova sfida da affrontare.

Conservare la prova del consenso significa che devi essere in grado di fornire la prova di:

  • Chi ha acconsentito?
  • Quando hanno acconsentito
  • Cosa gli è stato detto al momento del consenso
  • Come hanno acconsentito (ad es. al momento del pagamento o tramite il modulo di Facebook)
  • Se hanno ritirato il consenso

Esempio

Se qualcuno si iscrive per ricevere aggiornamenti da Litmus, riceve un'e-mail che chiede loro di confermare la propria iscrizione (leggi di più sui pro e contro del double opt-in qui). Se quindi fanno clic sul collegamento nell'e-mail di richiesta di conferma dell'attivazione, il nostro provider di servizi di posta elettronica registra tale azione. Con ciò, possiamo guardare ogni singolo abbonato, vedere quando ha aderito e quale forma ha usato per farlo.

5. Rivedi le tue pratiche di consenso e gli opt-in esistenti

Rivedi la tua pratica di consenso

Sono passati alcuni anni da quando il GDPR è entrato in vigore, ma se la tua lista di e-mail sta uscendo dall'ibernazione, dovrai controllare le tue pratiche di consenso e i dati di consenso esistenti.

Considerando 171:​
“Laddove il trattamento sia basato sul consenso ai sensi della direttiva 95/46/CE, non è necessario che l'interessato conferisca nuovamente il proprio consenso se le modalità con cui il consenso è stato prestato è in linea con le condizioni del presente Regolamento.”​

Anche se sei conforme da tempo, è sempre bene rivedere regolarmente il tuo processo e il consenso degli abbonati.

Il GDPR si applica a tutti gli abbonati esistenti nell'UE e nel Regno Unito sulla tua lista di e-mail, indipendentemente da quando sono stati aggiunti, anche se era prima che il GDPR fosse in circolazione. Se i tuoi abbonati esistenti ti hanno dato il consenso in un modo già conforme al GDPR e se hai tenuto traccia di tali opt-in, non è necessario che tu raccolga nuovamente il consenso da tali abbonati.

Se i tuoi record esistenti non soddisfano i requisiti GDPR, tuttavia, devi agire:

  1. Controlla la tua lista di email esistente. Scopri chi nella tua mailing list ha già fornito il consenso conforme al GDPR e assicurati di avere un registro chiaro di tali consensi.
  2. Implementare un programma di riautorizzazione. Per tutti i tuoi contatti per i quali non disponi del consenso a prova di GDPR o se non sei sicuro che il loro consenso sia conforme o meno, dovrai eseguire una campagna di riautorizzazione per aggiornare tale consenso. Oppure rimuovi quegli iscritti dalla tua mailing list.

E mentre il consenso non scade, è probabile che si degradi nel tempo. Dipende anche dal contesto: se qualcuno dà il consenso a ricevere un'e-mail di ritorno in magazzino, ad esempio, l'aspettativa è che il consenso scada una volta ricevuta tale notifica. Niente più email a quella persona.

Esempio

In Litmus, utilizziamo periodicamente un programma di re-autorizzazione per aiutare a mantenere puliti i nostri elenchi di e-mail. Include un linguaggio molto esplicito che chiede all'abbonato di confermare che vorrebbe ancora ricevere le nostre e-mail facendo clic su un collegamento di conferma nell'e-mail.

Le campagne di re-autorizzazione sono un modo efficace per aggiornare i record dei contatti esistenti per garantire il consenso conforme al GDPR, ma richiedono una pianificazione e un'esecuzione dettagliate. Ricorda: se hai bisogno di un consenso aggiornato per la conformità al GDPR, ma il tuo abbonato non riesce a interagire con la tua campagna di riautorizzazione, devi rimuoverlo dalla tua lista di e-mail.

Il consenso dei tuoi abbonati dovrebbe essere sempre apprezzato

I tuoi abbonati e-mail sono il tuo pubblico più prezioso: trattali in questo modo. Sebbene queste misure di consenso GDPR debbano essere adottate per i tuoi abbonati dell'UE e del Regno Unito, ogni abbonato merita di essere trattato con rispetto. Stabilisci e continua a creare fiducia con i tuoi abbonati. E se mai volessero andarsene? Lasciali andare.

Disclaimer

Questo post fornisce una panoramica di alto livello sul consenso alla posta elettronica ai sensi del GDPR, ma non è inteso e non deve essere preso come consulenza legale. Si prega di contattare il proprio avvocato per consigli sulle normative sull'email marketing o su eventuali problemi legali specifici.

Pubblicato originariamente il 22 gennaio 2018 da Bettina Specht. Ultimo aggiornamento l'8 marzo 2021, per chiarezza e con nuove informazioni.