L’email marketing è diventato uno strumento essenziale per le aziende che desiderano raggiungere un pubblico target in modo rapido ed efficace. Con un solo clic, le aziende possono inviare comunicazioni a migliaia di destinatari, aumentando la visibilità del marchio e promuovendo i loro prodotti o servizi. Inoltre, l’email marketing consente di personalizzare – e anche di automatizzare – le comunicazioni in base alle preferenze e ai comportamenti dei destinatari. Questa personalizzazione può aumentare l’engagement e migliorare la conversione delle vendite.
Tuttavia, per non incorrere in sanzioni e in multe particolarmente gravose, è necessario conoscere e rispettare i numerosi aspetti legali che regolano questa pratica in relazione al trattamento dei dati personali degli utenti: analizziamoli insieme.
INDICE
In questo articolo ci concentreremo su:
1.Che cos’è e a cosa serve l’email marketing?
2.Email marketing, GDPR e consenso
3.È possibile fare email marketing senza consenso?
4. Un caso pratico: legittimo interesse e cross-selling
5.Le differenze tra spam e soft spam
6.Quali sanzioni sono previste per lo spam?
7.Conclusioni
1. Che cos’è e a cosa serve l’email marketing?
L’email marketing è una delle numerose declinazioni del marketing digitale, e probabilmente una di quelle di maggiore successo. Si basa sull’utilizzo strategico e mirato delle comunicazioni via email per comunicare con un determinato pubblico target. Consiste nell’invio di messaggi promozionali, informativi o relazionali agli utenti che hanno espresso il consenso a riceverli.
L’obiettivo principale dell’email marketing è stabilire e mantenere una relazione con il pubblico di destinazione, creando un canale di comunicazione diretto e personalizzato. Le email possono essere utilizzate per diversi scopi, tra cui la promozione di prodotti o servizi, l’invio di contenuti educativi o informativi, la gestione delle relazioni con i clienti o del customer care.
Una delle principali ragioni per cui l’email marketing è così popolare è la sua efficacia nel raggiungere un’audience precisa. Infatti, l’email marketing consente un alto grado di personalizzazione, consentendo alle aziende di inviare messaggi mirati e rilevanti in base alle preferenze e al comportamento degli utenti.
L’email marketing può essere utilizzata all’interno di una strategia digitale in diverse modalità. Ecco alcuni esempi:
- lead generation: le email possono essere utilizzate per raccogliere informazioni di contatto dagli utenti interessati attraverso moduli di iscrizione o landing page. Questo permette alle aziende di costruire liste di contatti qualificati da utilizzare per futuri sforzi di marketing.
- lead nurturing: le email possono essere utilizzate per nutrire e coltivare i lead nel loro percorso di acquisto e nelle varie fasi del funnel. Invio di contenuti pertinenti e informativi, come consigli, guide o studi di caso, per aiutare gli utenti a prendere decisioni informate e a sviluppare fiducia nel marchio.
- promozione di prodotti o servizi: mediante le email si possono promuovere nuovi prodotti, offerte speciali, sconti o promozioni.
- fidelizzazione dei clienti: l’email marketing è uno strumento efficace per mantenere un rapporto con i clienti esistenti. Invio di messaggi di ringraziamento, aggiornamenti sugli ordini, suggerimenti per l’utilizzo dei prodotti o servizi acquistati, promuovendo programmi di fedeltà o offrendo contenuti esclusivi.
L’email marketing offre inoltre la possibilità di monitorare e misurare l’efficacia delle campagne. Attraverso l’analisi dei tassi di apertura, dei clic, dei tassi di conversione e di altre metriche, le aziende possono valutare l’efficacia delle proprie strategie e apportare modifiche per ottimizzare i risultati, contribuendo così in modo significativo alla crescita e al successo di un’azienda.
2. Email marketing, GDPR e consenso
Il rapporto tra email marketing e il Regolamento Generale sulla Protezione dei Dati (GDPR) riveste un’importanza cruciale dal punto di vista legale. Il GDPR è entrato in vigore il 25 maggio 2018 e il suo obiettivo principale è proteggere e garantire la privacy dei cittadini europei regolamentando il trattamento dei dati personali. Pertanto, ha introdotto nuove regole e requisiti riguardanti la protezione dei dati personali, inclusi quelli raccolti attraverso attività di email marketing, che le aziende devono rispettare per garantire la conformità alla legge delle proprie comunicazioni elettroniche.
Il GDPR definisce il concetto di dati personali come qualsiasi informazione relativa a una persona identificata o identificabile. Questo può includere l’indirizzo email di una persona, che viene comunemente utilizzato come mezzo di contatto per le campagne di email marketing. Pertanto, l’invio di email commerciali o promozionali a destinatari europei rientra nel campo di applicazione del GDPR.
In questo contesto, una delle disposizioni fondamentali del GDPR è il riconoscimento del consenso come unica base giuridica per fare email marketing. Il regolamento, infatti, identifica la necessità di ottenere un consenso esplicito ed inequivocabile dal destinatario prima di inviare comunicazioni di marketing via email.
La procedura preferibile, per ottenere un consenso dalle caratteristiche appena descritte, è mediante il double opt-in. Tale procedura prevede, di fatto, una doppia conferma da parte dell’utente, che riceve un’ulteriore email di conferma contenente un link o un codice di verifica. In questo modo, il consenso è anche verificabile.
Ma non solo: il consenso deve essere specifico e revocabile in qualsiasi momento. Specifico, in quanto deve seguire le disposizioni relative alla cosiddetta granularità del consenso, cioè è necessario richiedere un consenso separato per ognuna delle finalità delle comunicazioni che si intende inviare. Revocabile, perché in ogni momento l’utente deve avere a disposizione la possibilità di revocare il consenso precedentemente concesso, e per attuare la disiscrizione la procedura deve essere agevole e immediata anche per un utente poco esperto. La disiscrizione attiva il diritto alla cancellazione – o diritto all’oblio – dei dati personali raccolti fino a quel momento, salvo non vi sia una base giuridica differente per la conservazione di alcuni dati.
Il consenso, inoltre, deve essere informato: il GDPR richiede che le aziende forniscano informazioni chiare e trasparenti sul trattamento dei dati personali nelle comunicazioni di marketing via email. Queste informazioni devono essere facilmente accessibili e comprensibili per il destinatario tramite un’apposita informativa, dove sono incluse anche le finalità per cui i dati personali vengono trattati e per quanto tempo saranno conservati.
Le aziende devono infine garantire la sicurezza dei dati personali raccolti per l’email marketing. Ciò significa adottare misure tecniche e organizzative adeguate per prevenire la perdita, l’accesso non autorizzato, la divulgazione o l’alterazione dei dati personali. In caso di violazione dei dati, le aziende sono tenute a notificare l’autorità di controllo competente e, in alcuni casi, anche i soggetti interessati. Pertanto, è fondamentale implementare processi e procedure per rilevare e rispondere tempestivamente alle violazioni dei dati.
Solo attraverso l’adeguamento a queste disposizioni, le aziende possono condurre attività di email marketing in conformità con il GDPR e preservare la fiducia dei clienti.
3. È possibile fare email marketing senza consenso?
Come abbiamo visto, il GDPR ha introdotto una serie di norme rigorose per garantire la protezione dei dati personali e la privacy dei cittadini. Se, da un lato, esso identifica nella richiesta di un consenso esplicito l’unica base giuridica per l’invio di comunicazioni commerciali, dall’altro introduce anche un altro concetto, quello del legittimo interesse, sul quale è opportuno un approfondimento per evitare fraintendimenti della norma che possono portare a gravi violazioni.
Sul punto, il GDPR all’articolo 6 lett. f) afferma che «il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore».
Tuttavia, l’interpretazione del concetto di interesse legittimo può variare tra le diverse giurisdizioni, e va applicato con molta prudenza. Per ciò che concerne l’Italia e per ciò che riguarda strettamente l’email marketing, il Garante per la protezione dei dati personali – nel provvedimento del 15 gennaio 2020 – ha chiarito che il legittimo interesse costituisce un’eccezione alla regola e «non può surrogare in via generale il consenso dell’interessato quale base giuridica del marketing» a meno che non siano verificate le seguenti condizioni previste dall’art. 130 comma 4 del D.lgs 30 giugno 2003, n. 196:
- il destinatario della comunicazione deve essere un cliente o un ex cliente – dunque ha già acquistato in quel negozio/sito – del titolare del trattamento;
- l’invio delle comunicazioni a scopo di marketing deve riguardare prodotti o servizi analoghi a quelli oggetto di vendita;
- è necessario esplicitare chiaramente nell’informativa (che il cliente deve avere già accettato in precedenza) che i dati potranno essere usati a scopo di soft spam;
- il destinatario della comunicazione deve essere informato e messo nelle condizioni di rifiutare e interrompere – anche subito – l’invio di tali messaggi.
Dunque, a queste condizioni, l’interesse legittimo consente alle imprese di trattare i dati personali senza richiedere un ulteriore consenso esplicito, offrendo così un equilibrio tra le esigenze delle imprese e la privacy dei cittadini.
Grazie a questa impostazione è possibile proporre offerte commerciali al proprio database, per prodotti affini a quelli già acquistati senza necessità di ottenere un ulteriore consenso esplicito
4. Un caso pratico: legittimo interesse e cross-selling
Proviamo a rendere concreti questi riferimenti normativi applicandoli in un caso reale in modo da chiarire eventuali dubbi.
Ipotizziamo che un negozio di informatica abbia venduto tramite il proprio e-commerce uno scanner: il cliente, al momento della vendita, ha letto l’informativa e ha accettato di essere contattato per comunicazioni elettroniche di tipo commerciale, tra cui anche soft spam.
Ora, il rivenditore intende lanciare due promozioni: una riguardante uno sconto del 50% sulle stampanti, e una in merito ad un “fuori tutto” sui libri dedicati a come diventare web developer: si tratta di operazioni comunemente definite di cross-selling, cioè di proposta di vendita di prodotti e servizi aggiuntivi a quelli già acquistati. Tuttavia, quale di queste due promozioni il rivenditore è legittimato a inviare tramite email al suo ex cliente?
La risposta corretta è che il rivenditore è legittimato ad inviare solo la promozione riguardante le stampanti, poiché si tratta di un prodotto correlato a quello già acquistato. Se intende inviare anche il “fuori tutto” sui libri, deve obbligatoriamente richiedere un altro consenso – in linea con tutti i requisiti previsti dal GDPR – dedicato a questo tipo di comunicazione.
Inviare comunicazioni commerciali di cross-selling senza consenso o non in linea con quanto previsto dalla normativa sul legittimo interesse possono comportare sanzioni amministrative significative.
5. Quali sono le differenze tra spam e soft spam?
Alla luce di quanto abbiamo visto in merito al rapporto tra email marketing e legittimo interesse, possiamo ora completare la nostra prospettiva andando a confrontare spam e soft spam, identificando le principali differenze.
Lo spam si riferisce, in generale, all’invio di messaggi indesiderati o di massa attraverso canali di comunicazione, come e-mail, messaggi di testo, chat o social media. L’aspetto più rilevante da considerare è che tali messaggi vengono inviati senza alcun consenso o autorizzazione da parte del destinatario, e rappresentano una violazione della legge. Il soft- spam, al contrario, seppur sia talvolta indesiderato dal destinatario, trova in Italia la sua base giuridica nell’art. 130 comma 4 del Codice Privacy purché vengano rigorosamente soddisfatti i requisiti previsti dalla norma.
Oltre all’assenza del consenso, molto spesso una comunicazione di spam presenta altre gravi lacune strutturali dal punto di vista legale. Ad esempio, non viene identificato in modo chiaro il titolare del trattamento dei dati, o presenta opzioni di opt-out particolarmente macchinose che non consentono ai destinatari di bloccare immediatamente la ricezione di futuri messaggi. Lo spam, spesso, manca di queste informazioni o le include in modo non conforme alle norme. Il soft spam di solito include queste informazioni, ma potrebbe comunque essere considerato indesiderato o invadente dal destinatario, pertanto va sempre adeguatamente contestualizzato all’interno di una strategia di email marketing ragionata e ponderata.
Proprio in virtù di questo aspetto, a distinguere lo spam e il soft spam è l’ampiezza dei database di invio. Lo spam si basa spesso su di una pratica di invio di massa, non di rado priva di una logica di targeting, avente come obiettivo un’audience molto ampia, ma poco profilata. Al contrario il soft spam, poiché raggiunge clienti o ex clienti del titolare del trattamento dei dati, ha un’audience più ridotta e più mirata, tanto che può essere una pratica complementare ad operazioni di retargeting.
Infine, va poi ricordato che lo spam spesso può includere contenuti potenzialmente ingannevoli pubblicità, contenuti promozionali, richieste di vendita, ma soprattutto truffe, phishing o contenuti potenzialmente dannosi per la sicurezza informatica. Lo spam è generalmente considerato una pratica indesiderata e poco etica, e può compromettere la reputazione del mittente e l’efficacia dell’email marketing legittimo. Molti provider di servizi email hanno meccanismi per filtrare lo spam e spostarlo automaticamente nella cartella di posta indesiderata o eliminarlo del tutto.
6. Quali sanzioni sono previste per lo spam?
In Italia, le sanzioni per l’email marketing non a norma di legge sono disciplinate principalmente dal Regolamento Generale sulla Protezione dei Dati (GDPR) e dal Codice in materia di protezione dei dati personali (D.Lgs. 196/2003). Le sanzioni possono variare a seconda della gravità delle violazioni, del danno causato, delle dimensioni dell’azienda coinvolta e di altri fattori specifici del caso.
L’Autorità Garante per la Protezione dei Dati Personali (AGPD) ha facoltà di infliggere multe amministrative in caso di violazione del GDPR. Le multe possono essere suddivise in due categorie:
- multe fino al 4% del fatturato globale annuo dell’azienda o 20 milioni di euro (la cifra più alta tra le due). Questa categoria di multe è riservata per le violazioni più gravi, come la violazione dei principi fondamentali del trattamento dei dati, l’assenza di consenso valido, la violazione dei diritti degli interessati, ecc.
- multe fino al 2% del fatturato globale annuo dell’azienda o 10 milioni di euro (la cifra più alta tra le due). Questa categoria di multe si applica per violazioni meno gravi, come la mancata nomina di un Responsabile della Protezione dei Dati (RPD), la mancata notifica di una violazione dei dati, ecc.
L’Autorità Garante può imporre inoltre:
- il divieto di trattamento dei dati personali all’organizzazione che viola le leggi sulla protezione dei dati. Questo divieto può avere un impatto significativo sull’attività dell’organizzazione e sulla sua capacità di inviare email commerciali.
- provvedimenti correttivi, come misure correttive ad una azienda per assicurare il rispetto delle leggi sulla protezione dei dati. Queste misure possono includere la revisione delle politiche e delle procedure interne, l’implementazione di misure di sicurezza adeguate.
Infine, non dobbiamo dimenticare le azioni legali dei destinatari: i destinatari delle email non a norma di legge, infatti, possono intraprendere azioni legali contro l’organizzazione che le invia per ottenere risarcimenti danni o altre forme di riparazione.
7. Conclusioni
Come abbiamo visto, l’email marketing può rappresentare un’opzione vincente all’interno di una digital strategy. Tuttavia, è necessario rispettare in maniera rigorosa le disposizioni previste delle normative vigenti, affinché le comunicazioni commerciali non si rivelino un boomerang per il successo del tuo business. Affidati ad un professionista per non rischiare di incorrere in sanzioni molto gravi.
Sono Alberto Caschili, consulente legale per il mondo digitale.