La newsletter è uno strumento di email marketing incredibilmente potente. È un mezzo conveniente per costruire e consolidare le relazioni con i propri clienti, ma potrebbe anche costarti caro se non osservi gli obblighi di legge. Se stai pensando o stai già effettuando attività di invio di newsletter, hai l’obbligo legale di dotarti di una privacy policy completa, dal momento che raccogli dati personali dei tuoi utenti.
La newsletter è un tipo di comunicazione via email che viene inviata a una lista di contatti per tenerli aggiornati sulle ultime novità. È uno strumento molto utilizzato dalle aziende all’interno di una strategia di email marketing.
Secondo la stragrande maggioranza delle legislazioni, se si trattano dati personali si è tenuti ad informare l’utente delle attività di trattamento effettuate (tipicamente tramite una privacy policy) e – a seconda della normativa applicabile – potrebbe inoltre rendersi necessaria la raccolta di un consenso da parte dell’utente e/o la predisposizione di un metodo attraverso cui l’utente possa facilmente revocare il consenso.
In genere queste disposizioni si applicano a tutti i servizi rivolti agli utenti di uno specifico Paese, con la conseguenza che una normativa locale può essere applicata alla tua attività indipendentemente dal fatto che essa si basi o meno nella medesima area. Si tratta di un aspetto ancora più importante se si utilizza un elenco di email acquistate: in tal caso, infatti, potrebbe non essere possibile conoscere il Paese di residenza del destinatario.
Per questo motivo è sempre consigliabile che le attività di trattamento dei dati vengano svolte tenendo presente le normative applicabili più severe. Per maggiori informazioni sulla normativa applicabile, consulta questa guida o leggi la nostra Panoramica generale sui requisiti di legge.
Nella maggior parte dei casi, la normativa richiede che la tua privacy policy informi gli utenti sulle attività di trattamento dati effettuate con un linguaggio semplice da comprendere e privo di ambiguità.
La tua policy dovrà includere dettagli su:
Anche le applicazioni e i servizi di terza parte devono rispettare la legge. Per questo motivo, spesso è obbligatorio che tutti i partner e i clienti che utilizzano i loro servizi rispettino gli standard normativi. Gran parte delle più rinomate piattaforme di gestione delle newsletter e email marketing hanno reso obbligatorio per gli utilizzatori dei loro servizi dotarsi di una privacy policy completa che chiarisca il loro coinvolgimento e che sia conforme alle normative.
Ecco alcuni esempi:
Descriverai chiaramente per iscritto come intendi utilizzare i dati raccolti, anche per l’utilizzo di Mailchimp. Otterrai il consenso espresso a trasferire i dati a Mailchimp come parte di questo processo, e comunque ti atterrai a qualsiasi privacy policy tu abbia pubblicato.
Adotterai e rispetterai una policy che sia conforme a tutte le leggi sulla privacy applicabili e che sia rigorosa almeno quanto la nostra Privacy Policy (così come di tanto in tanto modificata da Campaign Monitor). L’utente riconosce che tutti i dati personali che ci fornisce sono stati raccolti con il consenso della persona interessata, che ha informato tale persona delle finalità per le quali i dati sono stati raccolti e che può fornirci queste informazioni ai fini dell’utilizzo del Servizio. L’utente è consapevole che i dati personali forniti possono essere archiviati su server situati negli Stati Uniti d’America e garantisce di aver ottenuto il consenso delle persone interessate alla memorizzazione e alla trasmissione dei propri dati personali secondo le modalità indicate.
In generale, le normative stabiliscono che la tua privacy policy debba essere chiaramente visibile e facilmente accessibile in tutto il tuo sito web o app, e a tal scopo potrebbe essere sufficiente anche inserire un semplice link all’informativa direttamente all’interno del footer.
Se ti stai chiedendo come inserire la dicitura privacy nelle tue email sappi che, in un contesto di trasparenza (che di solito è uno dei fini principali delle leggi sulla privacy), è consigliabile che tu renda la tua privacy policy contestualmente disponibile, ad esempio inserendo anche un link sia in calce al form di iscrizione che nella newsletter stessa.
Assisti a demo dal vivo e ricevi risposta alle tue domande in tempo reale partecipando a uno dei nostri webinar gratuiti in italiano. Sono tutti pratici e progettati per aiutarti a comprendere e raggiungere la conformità per i tuoi siti e le tue applicazioni.
Partecipa ai nostri webinar gratuitiNo, non è illegale. Tuttavia, ci sono degli obblighi che devi rispettare quando aggiungi qualcuno alla tua mailing list e dipendono da dove risiedono i tuoi utenti. Qui di seguito spieghiamo la legge degli Stati Uniti e dell’Unione Europea.
👉 Vai subito a Come rendere la tua newsletter conforme alle normative
Ai sensi del CAN-SPAM Act, non è necessario il consenso prima di aggiungere alla propria mailing list utenti situati negli Stati Uniti o di inviare loro messaggi commerciali, fermo restando che è obbligatorio fornire loro un sistema chiaro per interrompere ulteriori contatti.
Poiché i moduli di iscrizione alla newsletter sono strumenti di raccolta dei dati, ai sensi della normativa europea (vale a dire il GDPR) è obbligatorio ottenere il consenso informato dell’utente prima di sottoscriverlo al servizio. Ai sensi della normativa europea, l’acquisizione del consenso può configurarsi come un processo in due fasi che comprende informare l’utente e ottenere il consenso esplicito e verificabile attraverso un’azione positiva.
Per informare l’utente è necessario:
Se si desidera quindi aggiungere alla newsletter anche le persone che scaricano un e-book, occorre inserire nel form di download dell’e-book un messaggio:
Come si evince dall’esempio, gli utenti devono essere consapevoli del fatto che il consenso è in realtà facoltativo e non obbligatorio.
Il consenso deve essere esplicito e verificabile. È pertanto necessario che il processo per ottenere il consenso dell’utente sia semplice e implichi una chiara azione di “opt-in”. Ciò significa che non sono ammessi meccanismi come checkbox di iscrizione alla newsletter pre-selezionate, in quanto il regolamento europeo vieta espressamente le caselle pre-selezionate ed altri metodi alternativi di “opt-out”.
Si può, tuttavia, utilizzare qualsiasi altro metodo che richieda all’utente di intraprendere un’azione positiva diretta (che può includere una qualsiasi azione di consenso verificabile, compreso l’invio di un’email o il click su una checkbox).
Gli utenti devono avere la possibilità di revocare il consenso. Ai sensi del GDPR, gli utenti hanno infatti il diritto di revocare il consenso con la stessa facilità con cui lo hanno prestato. Tale requisito può essere facilmente soddisfatto inserendo un link di cancellazione visibile e valido in ogni newsletter inviata. Idealmente, gli utenti dovrebbero avere la possibilità di gestire le proprie preferenze email anche da un proprio account.
Il consenso acquisito deve essere specifico rispetto alla tipologia di contenuti inviati. Ciò significa che la newsletter deve contenere solo informazioni che l’utente ha acconsentito di ricevere. Ad esempio, se l’utente acconsente solo a ricevere email sui nuovi prodotti, non è consentito inviare loro email promozionali relative a offerte di partner terzi.
Nei casi in cui si desideri inviare diversi tipi di email ai propri utenti, è necessario quindi ottenere un consenso aggiuntivo, specifico per tali usi, in quanto è necessario avere un consenso per ogni finalità di trattamento.
Non è necessario che tale consenso sia fornito tramite un form aggiuntivo. In pratica, è sufficiente aggiungere diverse checkbox per informare l’utente di ogni ulteriore finalità e consentirgli di prestare il proprio consenso specifico per tali scopi.
Questo è particolarmente importante per il Direct Email Marketing (DEM) (ovvero per l’invio di email il cui scopo è quello di pubblicizzare direttamente prodotti o servizi). Nel caso di invio di DEM, è necessario ottenere un ulteriore consenso se si inviano email su prodotti/servizi di terzi oltre a quelle relative ai propri prodotti/servizi.
Esistono alcune eccezioni al requisito del consenso esplicito di cui sopra. Diamo un’occhiata al soft opt-in e al modulo esplicito.
Il soft opt-in può permetterti di aggirare il requisito del consenso preventivo. Il soft opt-è consentito quando un utente ha indicato il suo indirizzo email al momento dell’acquisto di un tuo prodotto o servizio. In particolare, il soft-opt-in si può applicare nei seguenti casi:
💡 Scopri dove si applica il soft opt-in con la nostra Tabella riassuntiva sull’email marketing internazionale.
Nel caso del modulo esplicito, la finalità perseguita è indicata all’interno del modulo di iscrizione in modo inequivocabile. Ad esempio, se il tuo sito ha una finestra di pop-up che invita gli utenti ad iscriversi alla newsletter utilizzando una frase chiara come: “Iscriviti alla nostra newsletter per accedere a buoni sconto e aggiornamenti sui nostri prodotti“. L’azione positiva che l’utente esegue digitando il proprio indirizzo email, in questo caso, è considerata un valido consenso.
Poiché il consenso ai sensi del GDPR è una questione di primaria importanza, è obbligatorio registrare in modo puntuale i consensi ottenuti. Il registro dei consensi deve contenere almeno le seguenti informazioni:
Mantenere un registro conforme, per quanto obbligatorio, può rivelarsi una sfida dal punto di vista tecnico. La nostra Consent Solution semplifica questo processo permettendoti di registrare, gestire ed esportare facilmente le prove del consenso per ogni tuo utente. Qui trovi tutti i dettagli.
Se il “single opt-in” richiede unicamente che gli utenti inseriscano le loro informazioni per essere aggiunti alla tua mailing list, il “double opt-in” richiede che gli utenti convalidino il proprio indirizzo email prima di essere aggiunti. La validazione avviene quando l’utente fa click su uno specifico link contenuto in un messaggio di “conferma” inviato al suo indirizzo email.
Con questo metodo, è possibile garantire che l’indirizzo email che riceve la comunicazione appartenga effettivamente alla persona che presta il consenso, con l’ulteriore garanzia di evitare tassi di cancellazione elevati, di preservare l’integrità della mailing list e la reputazione del proprio indirizzo email. Questo metodo di registrazione è considerato una best practice in molti Paesi dell’Unione Europea, in particolare in Germania.
In diversi casi, i tribunali tedeschi hanno addirittura stabilito che la procedura di single opt-in non costituisce una prova sufficiente del consenso. Un esempio è rappresentato da OLG Celle, sentenza del 15/05/2014:
In linea di principio, il mittente di una pubblicità (per email) deve dichiarare che esiste un consenso in tal senso, che deve provenire in particolare dal destinatario. Il mittente di email pubblicitarie può soddisfare questo requisito con la cosiddetta “procedura del doppio opt-in” … in modo adeguato per ogni singolo indirizzo email.
Prova Newsletter Opt-in Booster 👉 Con il nostro widget puoi inserire nel tuo sito un modulo di iscrizione personalizzabile per raccogliere e gestire i consensi tramite double opt-in e assicurarti così un pubblico più interessato.
Attiva oraA seconda del luogo in cui vivono i tuoi utenti, potrebbero essere applicate leggi specifiche relative allo spam. Negli Stati Uniti il CAN-SPAM Act stabilisce le regole per l’invio di messaggi commerciali, email incluse.
Alcune tipologie di email sono esenti dalla maggior parte dei requisiti del CAN-SPAM Act e sono soggette solo al requisito delle informazioni di routing veritiere. Queste esenzioni includono le email in cui lo scopo primario è:
Nell’Unione Europea, la Direttiva ePrivacy stabilisce delle linee guida generali che sono recepite individualmente dagli Stati Membri, sebbene alcuni elementi (come la possibilità di revocare il consenso) rientrino nell’ambito di applicazione del GDPR.
Alcune legislazioni (ad esempio Germania e Australia) possono inoltre richiedere che tu inserisca informazioni su come contattare il mittente. È sempre meglio seguire semplicemente le legislazioni più severe, o controllare i requisiti anti-spam specifici del luogo in cui si trovano i destinatari.
Di seguito è riportato un esempio di una comunicazione commerciale che contiene tutti gli elementi di base. Nell’esempio, elementi come il nome e l’indirizzo sono inclusi nella parte superiore dell’email. Tuttavia, il posizionamento è interamente a tua discrezione, a condizione che le informazioni siano visibili e facilmente reperibili.
Il Tuo Store Srl
[indirizzo] – [ZIP] [città], [Stato]
[Indirizzo email di ritorno] (ad esempio, info@iltuostore.com)
[Oggetto] Nuovi arrivi per la primavera! – [Nome del sito web]
[Tipo di email] (ad esempio, Messaggio promozionale)“Gentile cliente,
siamo lieti di presentarti i nostri ultimi arrivi per la primavera. C’è qualcosa che ti piace? Acquista uno qualsiasi di questi articoli facendo click direttamente sui prodotti presentati in questa email e sarai subito reindirizzato al nostro sito web, dove è possibile concludere l’acquisto in modo sicuro.“[Opt-out] Se non desideri più ricevere comunicazioni da noi, annulla l’iscrizione.
Le condizioni qui descritte si applicano anche ad altri strumenti di marketing che utilizzano messaggi elettronici, tra cui messaggi di Direct Email Marketing (DEM) e di viral marketing (ad esempio, messaggi in cui si chiede agli utenti di inoltrare una comunicazione di marketing ai loro amici).
Le implicazioni legali della non conformità comprendono sanzioni salate sia nell’UE che negli Stati Uniti, con multe che variano da decine di migliaia a milioni di euro. Ma forse altrettanto preoccupanti sono le altre potenziali sanzioni che potrebbero essere attuate contro le organizzazioni che risultano essere in violazione. Queste sanzioni comprendono rimproveri ufficiali (per la prima violazione), valutazioni periodiche della protezione dei dati e responsabilità per i danni.
Il GDPR, in particolare, offre agli utenti il diritto esplicito di sporgere denuncia presso un’autorità di vigilanza se ritengono che il trattamento dei loro dati personali sia stata effettuato in violazione delle norme. Pertanto, ad esempio, se viene presentata un’istanza di violazione normativa all’autorità, questa può scegliere di eseguire una verifica delle operazioni di trattamento. Se si scopre che alcune attività di trattamento sono state eseguite illegalmente, non solo viene comminata una sanzione, ma è possibile che venga anche interdetto l’utilizzo sia dei dati oggetto dell’indagine che di quelli acquisiti con meccanismi simili. Ciò significa che se la violazione riguarda, ad esempio, la raccolta di indirizzi di posta elettronica, si rischia di non poter più utilizzare l’intera mailing list.
💡 Per quanto riguarda la responsabilità per danni, sia la legislazione UE che quella statunitense attribuiscono ai singoli utenti il diritto al risarcimento per i danni derivanti dall’inosservanza delle normative da parte di un’organizzazione. Ciò significa che violare le normative può esporti al rischio di potenziali contenziosi.
Alcuni servizi di terza parte possono rendere la conformità alle normative parte integrante delle proprie condizioni d’uso. In tali casi, una violazione dei requisiti legali può anche essere considerata una violazione dei loro termini; tali violazioni possono portare pertanto alla sospensione del servizio o, potenzialmente, a divieti permanenti.
Il mancato rispetto degli obblighi legali può portare gli utenti a percepire la tua attività come malevola. Ciò può portare a danni significativi e duraturi all’immagine pubblica e alla reputazione della tua organizzazione.
Quando si tratta di conformità, è sempre consigliabile approcciare le proprie attività di trattamento dei dati tenendo conto delle più severe normative applicabili. Per quanto riguarda le newsletter e l’email marketing, la conformità dovrebbe includere almeno i seguenti passaggi:
✅ 1. Definisci:
✅ 2. Informa gli utenti:
Se fai attività di Direct Email Marketing (DEM) per il mercato tedesco, devi aggiungere una dichiarazione nella privacy policy in cui specifichi quali società e tipi di beni e servizi saranno promossi attraverso la newsletter.
✅ 3. Ottieni un consenso preventivo (in base alla normativa locale) che sia:
✅ 4. Offri la possibilità di revocare il consenso. Questa opzione dev’essere:
✅ 5. Tieni un registro dei consensi raccolti. Se rientri nell’ambito di applicazione del GDPR (cosa molto probabile), devi registrare in modo chiaro tutti i consensi acquisiti. Senza registro, i consensi raccolti non sono validi. Il registro dei consensi deve includere queste informazioni:
Con l’entrata in vigore del GDPR, molte aziende hanno subissato i propri clienti di richieste di rinnovo del consenso per le comunicazioni commerciali e il trattamento dei dati. Tuttavia, quella delle mail di conferma del consenso è una pratica da gestire con molta attenzione.
Innanzitutto, va detto che il consenso è solo una delle sei basi giuridiche per il trattamento dei dati personali. Le altre sono: obbligo legale, contratto, interessi vitali, interesse pubblico e legittimo interesse.
Se stai già trattando (raccogliendo, accedendo, archiviando o interagendo in altro modo) legittimamente i dati dei tuoi utenti sulla base di una di queste altre cinque basi legali, non c’è alcun bisogno di inviare email di conferma del consenso. Assicurati però che questa base giuridica sia indicata nella tua privacy policy e che quest’ultima sia facilmente accessibile agli utenti.
Qualora, per quanto applicabile, tale base giuridica non sia stata indicata nella tua informativa, dovrai assicurarti di soddisfare i requisiti legali, così da poter trattare i dati dei tuoi utenti in conformità alle normative.
La possibilità di “trasferire” il consenso – eliminando quindi la necessità di chiederlo nuovamente o di fare affidamento su un’altra base giuridica – dipende da due condizioni: deve essere stato raccolto in modo conforme al GDPR e deve essere possibile dimostrarlo.
Alcune domande da porsi:
Anche se in passato ti sei appoggiato al consenso come base giuridica, non significa che tu debba continuare in futuro. Anzi, potrebbe anche essere sconsigliato, soprattutto se non sei sicuro sulle modalità di acquisizione di quei contatti, o se non puoi dimostrare di aver agito nel rispetto del GDPR.
Per essere chiari, se contatti un utente per chiedere il suo consenso, e non c’è nessuna base giuridica che ti permetta di avere le sue informazioni di contatto, stai violando – oltre al GDPR – anche la direttiva europea sulla protezione dei dati.
Un motivo in più per valutare se c’è una base giuridica alternativa applicabile, è che “tecnicamente” parlando, se non disponi del consenso necessario a contattare un utente, probabilmente non avrai neppure il consenso per inviare una mail di richiesta del consenso stesso.
Se non puoi fare leva su nessun’altra base giuridica, potresti aver bisogno di raccogliere nuovamente il consenso. Un avviso sul tuo sito web e/o un post sui social media sono alcuni dei modi con cui puoi avvisare gli utenti che dovranno (re)iscriversi se vogliono continuare a ricevere la tua newsletter.
La base giuridica deve essere legittimamente applicabile alla tua situazione, non puoi “sceglierne” una a piacimento. Trattandosi di una questione delicata e di primaria importanza, il nostro consiglio è quello di rivolgersi a un legale: quest’ultimo saprà certamente individuare la base giuridica corretta e consigliarti in merito.
L’email marketing consiste nell’invio di email di diverso tipo a un database di utenti. Tra le varie strategie marketing, è quella che registra uno dei più alti tassi di conversione, perché permette di instaurare un contatto diretto con l’utente e di personalizzare il messaggio per renderlo più efficace. Inoltre, attraverso la segmentazione, si può scegliere di inviare le proprie email a un gruppo specifico di utenti, aumentando le possibilità di conversione.
Una strategia di email marketing efficace si compone di diversi passaggi.
È difficile stabilire esattamente il costo di una campagna di newsletter email marketing. Ci sono diversi fattori che ne influenzano il prezzo, come il software utilizzato, il numero di email inviate, i professionisti coinvolti e la complessità della campagna. Tuttavia, l’email marketing rimane uno dei canali con il ROI (Ritorno sull’investimento) piú alto, con una media di 38:1. Questo significa che per ogni euro investito nella campagna, ne rientrano 38.
Il DEM, Direct Email Marketing, si riferisce a una strategia di comunicazione via mail che ha principalmente finalità commerciali. Proprio per questa finalità, non ha una cadenza specifica, ma viene utilizzato quando necessario. Al contrario la newsletter ha come obiettivo quello di informare e coltivare la relazione con i propri utenti. Solitamente, ha una cadenza prestabilita, ad esempio mensile o settimanale. DEM e newsletter non si escludono a vicenda e anzi vengono spesso utilizzati in modo complementare.
Il nostro Generatore di Privacy e Cookie Policy può aiutarti facilmente a predisporre un’informativa atta a soddisfare l’obbligo di informare i tuoi utenti secondo quanto previsto dalla legge.
Il processo di generazione è semplice e intuitivo: bastano alcuni click per aggiungere i servizi, definire il titolare del sito web o dell’app e i suoi dettagli di contatto, nonché per integrare il documento nel proprio sito web o app.
Ora che la tua privacy policy è stata creata, verifica che tutti i dettagli siano corretti. Poi:
Le privacy e cookie policy di iubenda sono create e continuamente monitorate da un team internazionale di avvocati e vengono ospitate direttamente sui server di iubenda per assicurarti che siano sempre aggiornate con gli ultimi requisiti legali e delle terze parti. Prevedono inoltre la possibilità di includere una cookie policy (obbligatoria se il tuo sito web o la tua app utilizzano i cookie).
Visita la pagina delle funzionalità per maggiori dettagli.
Il nostro Consent Database semplifica il processo di raccolta e archiviazione dei consensi permettendoti di memorizzare facilmente la prova del consenso per ogni tuo utente. La Consent Solution ti aiuta infatti a tracciare ogni aspetto del consenso (inclusi documenti o note legali e moduli di consenso presentati all’utente al momento della raccolta del consenso), nonché le preferenze espresse dall’utente.
Per attivarla e ottenere la tua chiave API basta un click. Una volta conclusa la configurazione via HTTP API o widget JS potrai recuperare i consensi salvati e tenerli aggiornati.
Scopri le funzionalità del Consent Database, leggi la guida introduttiva o, se preferisci un esempio pratico, dai un’occhiata all’implementazione con Contact Form 7, popolare plugin WordPress per la creazione di form di contatto.
Ricorda che questi passaggi sono relativi specificamente ai requisiti per la newsletter. Se desideri maggiori informazioni sui requisiti generali per un sito web, consulta la nostra guida introduttiva.
