GDPR - l'informativa privacy per l'invio di newsletter

Dal 25 maggio entrerà in vigore il nuovo Regolamento Generale per la Protezione dei Dati (GDPR).

VOXmail sta rilasciando in questi giorni, oltre all'aggiornamento della privacy policy e delle condizioni di servizio, una serie di strumenti di piattaforma utili per ottemperare agli obblighi sanciti dal nuovo regolamento.

Per chi invia newsletter e raccoglie i dati degli iscritti, un cambiamento da affrontare è sicuramente quello della privacy policy.

Il nuovo GDPR da alcuni punti di vista si è fatto più stringente e l'informativa non può più essere semplicemente frutto di un copia e incolla senza criterio, con l'accortezza di citare alcuni riferimenti di legge, ma un documento utile all'utente per capire i trattamenti effettuati, i suoi diritti, dove, come e con che finalità verranno usati i suoi dati.

Fino ad ora, in caso di mancanza di un documento privacy, VOXmail proponeva un auto-composer, in grado di fornire una informativa privacy minimale; abbiamo deciso di eliminare questo tipo di servizio, perché riteniamo importante che ogni realtà si doti, se non ne è già provvista, di una propria informativa, studiata sulle necessità e sulla realtà dei trattamenti effettuati.

Nel contempo sappiamo quanto questo sia difficile per le piccole realtà, dove le risorse e il tempo sono un bene assai prezioso: abbiamo comunque predisposto un "template" che può essere usato come base per le vostre policy, fermo restando la necessità di considerare con attenzione i punti proposti e procedere alle dovute personalizzazioni.

Vi ricordiamo che è possibile impostare il testo dell'informativa privacy, all'interno del vostro pannello, alla voce Impostazioni > Minisito.

Il template proposto è questo (lo troverete presto anche all'interno del vostro pannello):

PRIVACY POLICY

La presente informativa viene resa in ossequio all'art. 13 del Regolamento 2016/679 (GDPR), ai sensi dell'art. 13 del d.lgs. n. 196/2003 (Codice in materia di protezione dei dati personali) ed è relativa a tutti i dati personali trattati secondo le modalità di seguito indicate.

IL TITOLARE DEL TRATTAMENTO

Il Titolare del trattamento dei dati personali raccolti è [inserire dati del titolare del trattamento, unitamente a ogni contatto e recapito]

I dati di natura personale forniti potranno essere comunicati a destinatari opportunamente nominati che tratteranno i dati in qualità di responsabili per il trattamento e/o in qualità di incaricati, al fine di ottemperare ai contratti o finalità connesse.

L’elenco completo dei responsabili del trattamento e degli incaricati al trattamento dei dati personali può essere richiesto inviando apposita richiesta all’indirizzo mail [inserire email]

TRASFERIMENTO DEI DATI

Nel caso in cui i dati personali siano trasferiti al di fuori dell’Unione Europea, per finalità di carattere tecnico operativo e per garantire un’elevata continuità del servizio, il Titolare assicura che il trasferimento sia fondato su una decisione di adeguatezza della Commissione, al fine di assicurare che il livello di protezione delle persone fisiche garantito dalla normativa vigente e in particolare dal Regolamento UE 2016/679 non sia pregiudicato.

DATI RACCOLTI

I dati personali trattati sono raccolti in quanto forniti direttamente dall’interessato o raccolti automaticamente.

I dati forniti direttamente dall’interessato sono tutti i dati personali che siano forniti al Titolare del Trattamento con qualsiasi modalità, direttamente dall'interessato.

I dati raccolti automaticamente sono i dati di navigazione. Tali dati, pur non essendo raccolti al fine di essere associati all’identità dell’utente, potrebbero indirettamente, mediante elaborazione e associazioni con dati raccolti dal Titolare, consentire la sua identificazione.

In seguito all'invio di newsletter, la piattaforma utilizzata consente di rilevare l’apertura di un messaggio e i clic effettuati all'interno della newsletter stessa, unitamente a dettagli relativi all'ip e al browser/device utilizzati . La raccolta di questi dati è fondamentale per il funzionamento dei sistemi di rinnovo implicito del trattamento (vedi la voce Modalità del Trattamento) e parte integrante dell'operatività della piattaforma di invio.

FINALITA’ DEL TRATTAMENTO

Il conferimento dei dati personali ha come base giuridica del trattamento esigenze contrattuali o precontrattuali o l’adempimento di obblighi legali ai quali il Titolare del trattamento è soggetto. Per tale ragione l’eventuale rifiuto al trattamento ovvero il mancato, inesatto o parziale conferimento dei dati potrebbe avere come conseguenza l’impossibilità di una corretta erogazione del servizio o l’impossibilità, per il Titolare, di rispondere alle richieste di informazioni inviate dall’interessato.

Il conferimento dei dati per le finalità di invio newsletter per scopi promozionali, commerciali informativi o di ricerca è facoltativo ed il rifiuto a prestare il relativo consenso al Trattamento darà luogo all’impossibilità di essere aggiornati circa iniziative commerciali e/o campagne promozionali, di ricevere offerte o altro materiale promozionale.

REVOCA DEL CONSENSO

L'interessato può revocare il proprio consenso alla ricezione di comunicazioni promozionali e commerciali immediatamente, inviando richiesta all'indirizzo mail [inserire email] oppure cliccando sull'apposito link di disiscrizione che potrà trovare nel footer di ogni mail promozionale e commerciale ricevuta.

DESTINATARI

I dati di natura personale forniti potranno essere comunicati a destinatari opportunamente nominati che tratteranno i dati in qualità di responsabili per il trattamento e/o in qualità di incaricati.

Il Titolare del trattamento non comunica a terzi nessuna delle informazioni degli interessati senza il loro consenso, salvo ove richiesto dalla legge. È in ogni caso esclusa la diffusione dei dati personali trattati. L’elenco completo dei responsabili del trattamento, dei contitolari e degli incaricati al trattamento dei dati personali può essere richiesto inviando apposita richiesta all’indirizzo mail [inserire email]

MODALITA’ DEL TRATTAMENTO

I dati personali sono trattati con strumenti automatizzati per il tempo strettamente necessario a conseguire gli scopi per cui sono stati raccolti, prevedendo in ogni caso la verifica annuale dei dati conservati al fine di cancellare quelli ritenuti obsoleti, salvo che la legge non preveda obblighi di archiviazione.

Il trattamento dei dati avviene di norma presso la sede del Titolare, da personale o collaboratori esterni debitamente designati quali responsabili del trattamento. L’elenco completo dei responsabili del trattamento e degli Incaricati al trattamento dei dati personali può essere richiesto inviando apposita richiesta all’indirizzo mail [inserire email].

Specifiche misure di sicurezza sono osservate per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati.

L'iscrizione e il trattamento relativo sono ritenuti validi fino alla disiscrizione da parte dell'utente, presente in ogni email, oppure dopo 12 mesi dall'ultima comunicazione di cui abbia evidenza di interazione diretta (click, apertura, risposta).

DIRITTI DELL’INTERESSATO

Ai sensi degli artt. 15 – 21 del Regolamento UE 2016/679 a ciascun interessato vengono riconosciuti una serie di diritti.

  • Diritto di Accesso: l’interessato, ai sensi dell’art. 15, ha diritto di ottenere la conferma che sia in corso un trattamento di dati personali che lo riguardano e, se del caso, di ottenerne copia. Ha inoltre il diritto di ottenere l’accesso ai dati personali che lo riguardano e a ulteriori informazioni quali la finalità del trattamento, le categorie di destinatari, il periodo di conservazione dei dati e i diritti esercitabili.
  • Diritto di rettifica: l’interessato, ai sensi dell’art. 16, ha diritto di ottenere la rettifica dei dati personali inesatti che lo riguardano o l’integrazione degli stessi.
  • Diritto alla cancellazione: l’interessato ha diritto di ottenere la cancellazione dei dati personali che lo riguardano, senza ingiustificato ritardo, qualora sussista una dei motivi previsti dall’art. 17.
  • Diritto di limitazione di trattamento: l’interessato ha diritto, nei casi previsti dall’art 18 del Regolamento 2016/679, di ottenere la limitazione del trattamento.
  • Diritto alla portabilità dei dati: l’interessato ha diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali che lo riguardano e ha il diritto di trasmettere tali dati a un altro titolare senza impedimento, secondo quanto previsto dall’art. 20 del Regolamento 2016/679;
  • Diritto di opposizione al trattamento: l’interessato ha diritto di opporsi al trattamento dei dati personali che lo riguardano secondo quanto previsto dall’art. 21 del Regolamento 2016/679.
  • L’interessato ha altresì diritto di proporre reclamo all’Autorità di controllo competente, il Garante della Privacy.

Le richieste di cui ai punti precedenti dovranno essere rivolte per iscritto al Titolare del trattamento. Il Titolare del trattamento provvederà, nei limiti temporali stabiliti dalla vigente normativa, a fornire tempestiva risposta alle richieste di esercizio dei diritti degli interessati.

Ogni delucidazione o richiesta di chiarimenti può essere rivolta per iscritto al Titolare del trattamento.

AGGIORNAMENTI E MODIFICHE

Il Titolare del trattamento si riserva il diritto di modificare, integrare o aggiornare periodicamente la presente Informativa in ossequio alla normativa applicabile o ai provvedimenti adottati dal Garante per la Protezione dei dati personali.

Le suddette modifiche o integrazioni saranno portate a conoscenza degli interessati. Invitiamo gli utenti a prendere visione della Privacy Policy con regolarità, per verificare l’Informativa aggiornata e decidere se continuare o meno ad usufruire dei servizi offerti.

I nodi fondamentali da tenere presente, sia nella stesura del documento, sia nell'operatività continua sono

  • La notifica del processo di raccolta automatica dati in seguito ad un invio di newsletter
  • La specifica della durata del trattamento
  • La descrizione di eventuali processi automatici di profilazione

Elenco dei dati raccolti

Per il nuovo GDPR è fondamentale che nella descrizione del trattamento contenuta nell'informativa privacy vengano elencati i dati personali raccolti direttamente dall'utente e anche quelli raccolti automaticamente (ad esempio in seguito ad una visita dell'utente al sito internet).

Il principio di minimizzazione dei dati sancito dal GDPR richiede che i dati raccolti siano unicamente quelli utili al trattamento in oggetto, per cui, rivedendo i propri moduli di iscrizione, è necessario pensare a quali dati siano effettivamente importanti per il trattamento e perché.
Buona norma è comunicare, sia in forma abbreviata nel modulo stesso di iscrizione, sia in forma estesa nell'informativa, il perché questi dati vengano chiesti e come poi verranno utilizzati.

Tracciamento Link e Aperture

Tutti i sistemi di invio massivo di email, come VOXmail, utilizzano sistemi di tracciamento, che consentono al mittente di verificare chi abbia interagito con la newsletter inviata, aprendola o cliccando su uno dei link contenuti.

Questa raccolta dati, effettuata in maniera automatica, deve essere esplicitata nell'informativa privacy, in maniera che l'utente sia cosciente del trattamento di questi dati specifici. Come vedremo oltre, la raccolta di questi dati è funzionale anche alla determinazione della durata del trattamento, così come chiesto dal GDPR stesso. La dicitura che abbiamo inserito è questa:

In seguito all'invio di newsletter, la piattaforma utilizzata consente di rilevare l’apertura di un messaggio e i clic effettuati all'interno della newsletter stessa, unitamente a dettagli relativi all'ip e al browser/device utilizzati. La raccolta di questi dati è fondamentale per il funzionamento dei sistemi di rinnovo implicito del trattamento (vedi la voce Modalità del Trattamento) e parte integrante dell'operatività della piattaforma di invio.

Durata del trattamento

Il GDPR richiede che il trattamento abbia una durata specifica, oppure che siano indicati i criteri utilizzati per la determinazione di tale durata. Questo significa che non possiamo giù considerare i nostri utenti come iscritti a tempo indeterminato.
Nel template di informativa privacy che proponiamo, abbiamo inserito questa dicitura:

L'iscrizione e il trattamento relativo sono ritenuti validi fino alla disiscrizione da parte dell'utente, presente in ogni email, oppure dopo 12 mesi dall'ultima comunicazione di cui abbia evidenza di interazione diretta (click, apertura, risposta).

VOXmail consente facilmente di individuare chi non abbia aperto email negli ultimi 12 mesi; questi utenti inattivi rappresentano comunque un peso per gli invii, in quanto i filtri antispam spesso considerano negativamente la mancata interazione da parte di gruppi cospicui di destinatari.

Consigliamo dunque di utilizzare logiche di questo genere, unitamente a invii ad hoc prima della scadenza, con la richiesta specifica di rinnovare il proprio interesse per continuare a ricevere la newsletter.

Questa pratica, oltre a ottemperare gli obblighi previsti dal GDPR, è utilissima per mantenere in salute le nostre liste.

Processi automatici di profilazione

Per profilazione il GDPR intende qualsiasi processo automatico che possa portare ad identificare aspetti personali relativi ad una persona fisica. Va da sé che, qualora esistesse un sistema che in base ai clic o alle aperture effettuate portasse ad una categorizzazione dei nostri destinatari, questo potrebbe definirsi come profilazione ai sensi del GDPR.
VOXmail, per scelta, pur avendo a disposizione filtri completi per l'individuazione di gruppi di utenti in base ai loro comportamenti, non ha automatismi in tal senso.

Se comunque operate un trattamento che potrebbe ricadere in questa definizione, dovete citarlo nell'informativa, descrivendone il funzionamento:

l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.

Categoria: 

Commenti

Grazie, articolo molto esaustivo, utile per confrontarsi con le procedure già attuate.

Speriamo vivamente che tra le funzionalità che state implementando, ci siano anche:
nel caso di contatti esistenti:  poter inserire un link nella mail tramite il quale l'utente possa esprimere in maniera diretta e semplice (basta un click) il suo consenso, ossia aggiornare la sua scheda utente con l'inserimento della conferma della  volontà di continuare a ricevere le mail.
nel caso di contatti nuovi: sia in inserimento a mano, sia da importazione, fare in modo che venga spedita una mail (magari personalizzabile) nella quale si annuncia l'inserimento e si richiede quindi il consenso (ora dobbiamo spuntare noi la dichiarazione.)

Spero proprio che possiate implementare una cosa del genere.

Grazie

Grazie 

Veramente un ottimo servizio, bravi, competenza e professionalità, complimenti!

Grazie per la chiarezza delle spiegazioni. Come Associazione deli Amici del Museo Civico di Lovere che da tempo utilizza VoxMail con molta soddisfazione e riconoscenza, e che non persegue scopi commerciali, si augura di non trovare difficoltà su come operare secondo la nuove regole.

Coordinatore Scientifico dell'Associazione

Buonasera

vorrei chiedervi se per essere il regola con le disposizioni emanate dal GDPR, è sufficente inserire nella propria pagina della privacy il teso che avete allegato.

Grazie

Giovanni

Grazie mille per aver reso disponibile la base del testo da poter inserire con le dovute modifiche. Ho una domanda:"è possibile inserire questo testo nella stessa pagina dove vengono spiegati quali cookie utilizza il sito?"

Grazie sono riuscita a fare tutto con i vostri consigli

Grazie. In merito ai dati che raccogliamo sul voxmail, chi è il responsabile del trattamento? (Un gestionale che utilizzo mi ha rilasciato un documento in merito per esempio)

grazie mille

Bravi! Ottimo lavoro e di grande aiuto. Grazie. 

Ottimo articolo, grazie. E' utile, completo e non clickbait. 

Aggiungi un commento

Cliccando su "Salva" accetti che i tuoi dati siano registrati con l'unico scopo di pubblicazione e gestione dei commenti (Leggi l'informativa completa)