Molte persone sono confuse quando si parla di marketing e legge sulla privacy dell'UE. Non li biasimiamo, perché le regole sono complicatissime.
Questo perché il marketing diretto rientra in diverse leggi: il GDPR e la vecchia direttiva ePrivacy. Considerare ogni legge nel suo insieme è insufficiente: è necessario capire come interagiscono tra loro.
Per rendere le cose ancora più complicate, gli Stati membri dell'UE hanno attuato la direttiva in modi diversi, in particolare per quanto riguarda le comunicazioni business-to-business (B2B). Di conseguenza, alcune regole cambiano da Paese a Paese.
Questo blog non può che scalfire la superficie: per garantire che il vostro marketing diretto sia conforme al 100%, dovete esaminare la legislazione di ogni Stato membro. Solo perché siete conformi alla legge olandese non significa che lo siate anche in Italia o in Croazia!
Immergiamoci in questa storia!
- Quali sono le leggi?
- Quale legge si applica?
- Quali sono le regole?
- Da azienda a consumatore (B2C)
- Business-to-business (B2B)
- Cos'altro devo sapere?
- Conclusioni
Quali sono le leggi?
Sia il GDPR che la Direttiva ePrivacy si applicano al marketing diretto.
Probabilmente avrete sentito parlare del GDPR: si tratta di un regolamento molto importante e del pilastro centrale del quadro normativo dell'UE in materia di protezione dei dati. Trattandosi di un regolamento, le regole sono le stesse per tutti gli Stati membri.
La direttiva ePrivacy è una vecchia legge dell'UE del 2002. In quanto direttiva, non si applica direttamente. Ogni Stato membro la attua attraverso la propria legislazione. Per questo motivo le regole sono simili ma non uguali in tutta l'UE.
Quale legge si applica?
Le regole del marketing diretto dipendono dalla legge applicabile. Qui le cose si complicano, perché il GDPR e la Direttiva utilizzano criteri diversi.
La direttiva distingue le comunicazioni tra imprese e consumatori (B2C) da quelle tra imprese (B2B). La direttiva regolamenta le comunicazioni B2C ma lascia un certo margine agli Stati membri per regolamentare le comunicazioni B2B. Di conseguenza, le regole per il B2C sono (per lo più) le stesse in tutta Europa, mentre per il B2B gli Stati hanno regole diverse.
D'altra parte, l'applicabilità del GDPR dipende dalla distinzione tra dati personali e non personali. Il GDPR si applica a tutto il marketing B2C e ad alcuni casi di marketing B2B.
In sintesi, abbiamo tre possibili scenari:
- Le comunicazioni B2C (come l'invio di e-mail a johndoe@emailprovider.com) rientrano sia nel GDPR che nella direttiva.
- Le comunicazioni B2B (come l'invio di e-mail a purchases@business.com) rientrano nelle norme specifiche adottate dagli Stati membri.
- le comunicazioni B2B rientrano nel GDPR e nelle norme degli Stati membri quando le informazioni di contatto sono dati personali (ad esempio, inviando un'e-mail a johndoe@business.com).
Quali sono le regole?
Come abbiamo spiegato, le regole dipendono dal tipo di comunicazione. Ecco una panoramica:
Da azienda a consumatore:
è opt-in o soft-opt-in per la maggior parte degli Stati membri (per saperne di più, più avanti!)
Quando non viene raccolto il consenso, l'interesse legittimo deve essere correttamente bilanciato per essere conforme al GDPR. Se ciò non è possibile, il consenso è comunque necessario!Business-to-business con dati personali:
Idiversi Stati hanno regole diverse. Il consenso può essere richiesto o meno per il marketing, a seconda dello Stato e della situazione.
Quando il consenso non viene raccolto, l'interesse legittimo deve essere correttamente bilanciato per essere conforme al GDPR. Se ciò non è possibile, il consenso è comunque necessario!Business-to-business senza dati personali:
Idiversi Stati hanno regole diverse. Il consenso può essere richiesto o meno per il marketing, a seconda dello Stato e della situazione.
il GDPR non si applica. Pertanto, non è necessaria alcuna base giuridica per il trattamento dei dati.
Vediamo come funziona!
Da azienda a consumatore (B2C)
Opt-in e soft opt-it
Ai sensi della Direttiva ePrivacy, il consenso è obbligatorio per il marketing B2C. Questo sistema viene tipicamente definito " opt-in".
Esiste un'eccezione per i clienti esistenti, la cosiddetta regola del soft opt-in. In base alla regola del soft opt-in, non è necessario il consenso se sono soddisfatte cinque condizioni cumulative:
- avete raccolto l'indirizzo e-mail del consumatore nel contesto di una vendita
- state promuovendo un vostro prodotto o servizio
- il servizio è simile a quello che il consumatore ha già acquistato da voi
- al momento della raccolta dell'e-mail avete fornito al consumatore l'opzione di rinunciare al marketing
- ogni e-mail inviata include un'opzione di rinuncia.
Ad esempio, lo sconosciuto acquista un abbonamento al vostro giornale online e vi fornisce il suo indirizzo e-mail. Durante il processo di sottoscrizione potete fornirgli un'opzione per rinunciare al marketing diretto durante il processo di sottoscrizione. Se non si rifiuta, è possibile contattarlo in seguito all'indirizzo johndoe@emailprovider.com per pubblicizzare un'altra delle vostre pubblicazioni, ma è necessario includere un'opzione di opt-out in ogni comunicazione.
Inoltre, non potete pubblicizzare la vostra linea di shampoo o un giornale di un altro editore o la vostra pubblicazione tramite telefonate o messaggi SMS.
Si noti che questa spiegazione è corretta per la maggior parte dei Paesi, ma non per tutti. L'attuazione della direttiva varia da uno Stato membro all'altro: ad esempio, alcuni paesi richiedono ulteriori passaggi perché un soft opt-in sia valido, mentre altri non consentono affatto il soft opt-in.
Anche il concetto di vendita varia da un Paese all'altro. In alcune giurisdizioni è necessario che sia stato venduto un prodotto o un servizio, mentre in altre è sufficiente aver avviato un rapporto commerciale nel contesto di una vendita, anche se alla fine non è stato venduto nulla.
Il GDPR: consenso e interesse legittimo
La direttiva è solo a metà: anche il GDPR richiede una base giuridica. In pratica, questa può essere il consenso o il legittimo interesse.
Quando la direttiva richiede il consenso, le cose sono relativamente semplici: la direttiva "prevale" sul GDPR e si può utilizzare il consenso come base giuridica per il marketing diretto.
Quando la direttiva non richiede il consenso, è possibile scegliere tra consenso e interesse legittimo, e qui le cose si complicano.
L'interesse legittimo può essere utilizzato per il marketing diretto, ma ci sono alcune limitazioni; l'interesse legittimo richiede un bilanciamento tra interessi e diritti contrastanti, in questo caso il diritto alla privacy del consumatore e l'interesse dell'azienda a promuovere il proprio prodotto o servizio.
Il bilanciamento è una valutazione complessa, caso per caso, che non prevede risposte univoche. Ci possono essere scenari in cui è possibile utilizzare il legittimo interesse e scenari in cui non è possibile. In questi casi, avrete bisogno del consenso, indipendentemente dal fatto che la direttiva lo richieda o meno!
In altre parole, il requisito del consenso per il marketing diretto è complicato perché dipende sia dalla Direttiva che dal GDPR. Se ci si limita a considerare la direttiva, si perde metà del quadro!
Business-to-business (B2B)
Il marketing business-to-business si rivolge direttamente alle aziende; ad esempio, un'e-mail inviata a purchases@business.com o johndoe@business.com conta come marketing B2B.
Come abbiamo spiegato, la direttiva non prevede regole per il marketing B2B, ma lascia agli Stati membri la possibilità di regolamentare la comunicazione come meglio credono.
Le regole dipendono interamente da ciascuno Stato membro. Alcune giurisdizioni richiedono il consenso per il marketing B2B, altre lo consentono senza consenso, altre ancora richiedono il consenso ma consentono un soft opt-in in determinati scenari. Infine, alcune giurisdizioni distinguono tra marketing di prima e di terza parte.
Per complicare ulteriormente le cose, alcune comunicazioni B2B rientrano nel GDPR, altre no.
Nel nostro esempio, le comunicazioni a purchases@business.com non rientrano nel GDPR perché l'ufficio acquisti di Business non è una persona. D'altra parte, le comunicazioni a johndoe@business.com rientrano nel GDPR perché l'indirizzo e-mail dell'azienda si riferisce al membro del personale di Business John Doe. Questo potrebbe anche essere il caso in cui si utilizza l'indirizzo e-mail di un'azienda individuale.
Se si applica il GDPR, è necessaria una base giuridica per il trattamento dei dati. E se volete utilizzare il legittimo interesse, dovete valutare il bilanciamento, come spiegato sopra. Se l'interesse legittimo non può essere bilanciato, è necessario il consenso se la direttiva lo richiede.
Cos'altro devo sapere?
Fate attenzione all'analisi dei dati!
Le aziende che si occupano di marketing diretto spesso analizzano dati personali come l'età, l'indirizzo, gli interessi e la storia degli acquisti per determinare chi potrebbe essere interessato a un'offerta.
Tutti questi dati rientrano nel GDPR e richiedono una base giuridica per essere elaborati. Solo perché il sistema di soft opt-in della direttiva vi consente di trattare i dati di contatto senza consenso, non significa che possiate trattare anche altri dati senza consenso!
In termini pratici, è utile pensare a due distinte operazioni di trattamento dei dati:
- in una prima fase, analizzate alcuni dati personali del vostro pubblico per indirizzare meglio i vostri sforzi di marketing. Questa fase deve essere conforme al GDPR.
- in una seconda fase, si inviano le comunicazioni di marketing utilizzando le informazioni di contatto. Questa fase deve essere conforme sia al GDPR che alla Direttiva ePrivacy.
Identificare la propria azienda nelle e-mail
Indipendentemente dal fatto che il marketing sia basato sul consenso o meno, la direttiva richiede che le e-mail identifichino la vostra azienda come mittente.
Inoltre, il GDPR richiede di fornire informazioni a fini di trasparenza. Supponiamo che vogliate tenere in ordine le vostre e-mail. In questo caso, potete linkare a una nota sulla privacy (purché contenga informazioni specifiche per il marketing diretto - non indirizzate gli utenti alla nota sulla privacy del vostro sito web aziendale o a qualcosa di simile).
In questo caso, vi suggeriamo di identificare chiaramente la vostra azienda come mittente all'interno dell'e-mail per assicurarvi di non violare la direttiva.
Opt-out e consenso
Si tenga presente che il consenso può essere revocato e che, ai sensi del GDPR, la revoca del consenso deve essere altrettanto semplice quanto il suo rilascio.
Per conformarsi al GDPR, fornire un link per la revoca del consenso nelle vostre e-mail è probabilmente una buona idea.
In pratica, ciò significa che tutte le comunicazioni rivolte agli individui dovrebbero includere un'opzione per terminare definitivamente le comunicazioni, sia che si tratti dell'opt-out richiesto dalla Direttiva, sia che si tratti di un'opzione per revocare il consenso ai sensi del GDPR.
Conclusioni
Le norme sul marketing diretto sono confuse e frammentate. Il GDPR e la Direttiva ePrivacy possono essere un punto di partenza per la comprensione delle regole, ma alla fine dei conti la maggior parte dei casi non ha una risposta univoca per tutte le giurisdizioni dell'UE.
Questo pdf del sito web dell'Associazione internazionale dei professionisti della privacy offre una pratica panoramica di alto livello delle norme applicabili. A volte è possibile trovare informazioni più dettagliate sulla legislazione specifica sul sito web delle autorità nazionali per la protezione dei dati.
Anche con queste risorse, può essere complicato comprendere tutte le regole. Potreste rivolgervi a un professionista legale con conoscenze specifiche delle giurisdizioni in cui svolgete la vostra attività, a maggior ragione se fate marketing senza consenso, rendendo più complicata la conformità al GDPR.
Perché ci interessa?
Crediamo nel modo etico di fare business. Ecco perché abbiamo creato Simple Analytics, un'alternativa a Google Analytics rispettosa della privacy. Simple Analytics vi fornisce tutte le informazioni di cui avete bisogno senza utilizzare cookie, tracker o impronte digitali degli utenti. Non tracciamo i vostri visitatori e non raccogliamo alcun dato personale!
Se vi sembra una buona idea, non esitate a provarci!