La newsletter è un servizio informativo che un’impresa, una pubblica amministrazione, un professionista, un blogger o un influencer eroga nei confronti del pubblico sulla base di una semplice richiesta di adesione al servizio. È uno strumento essenziale per coltivare il rapporto con la propria audience di riferimento.
Le newsletter si caratterizzano perché non vendono o promuovono direttamente prodotti o servizi, ma si limitano a divulgare l’immagine o la professionalità dell’autore, dell’organizzazione o dell’ente che somministra il servizio agli iscritti attraverso un’opera di divulgazione di contenuti informativi.
È importante, però, gestire correttamente l’elenco dei destinatari della newsletter per evitare di incorrere nei rischi sanzionatori previsti dalla normativa in materia di protezione dei dati personali e, in particolare, dal GDPR.
Per capire quando rientriamo nel campo di applicazione della normativa privacy è necessario fare una premessa.
Nel momento in cui raccogliamo delle e-mail e altre informazioni dal pubblico (ad esempio, il nome e il cognome degli iscritti) o altre metriche come i tassi di apertura e lettura delle newsletter, stiamo trattando dati personali. Infatti, l’articolo 4 GDPR definisce come dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile (il c.d. interessato del trattamento).
Il Regolamento precisa che “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Il soggetto che raccoglie questi dati è il Titolare del trattamento, ovvero la persona fisica o giuridica che determina le finalità e i mezzi del trattamento. In altre parole, un professionista, un ente pubblico o una società sono tutti titolari del trattamento nel momento in cui decidono di aprire una newsletter nell’ambito della propria attività.
Occorre ricordare, infatti, che il GDPR non si applica alle attività domestiche e pertanto una newsletter indirizzata alla propria cerchia di amici non rientrerà nel campo di applicazione del Regolamento, mentre laddove la newsletter sia di un’associazione anche senza scopo di lucro (ad esempio un canile di quartiere) vi rientrerà.
Nel caso in cui si rientri nel campo di applicazione del Regolamento sulla protezione dei dati personali, allora sarà necessario seguire i seguenti passi:
- Definire gli scopi della newsletter
- Predisporre l’informativa
- Cautele se si raccoglie anche il consenso per le comunicazioni commerciali
- Ricordarsi del diritto di opposizioni al trattamento
- Ricordarsi della normativa sul commercio elettronico
Una volta considerati tutti questi aspetti, predisposta l’informativa e raccolti i consensi sarà possibile partire con il piano editoriale e inviare le newsletter informative agli iscritti e le comunicazioni commerciali a coloro che hanno prestato il consenso.
L’impostazione corretta del processo consente di evitare di incorrere nei rischi sanzionatori previsti dalla normativa in materia di protezione dei dati personali e, in particolare, delle sanzioni previste dall’art. 83 GDPR. La violazione dell’informativa e dei diritti degli interessati, nonché la mancanza dei requisiti di validità del consenso sono tra gli aspetti maggiormente sanzionati e rientrano nello scaglione più alto, quello previsto dall’art. 83 GDPR con sanzioni fino a 20 milioni di euro o il 4% del fatturato annuo globale, se più alto.