Una delle forme di marketing più diffusa ed efficace adottata dalle aziende che intendono promuovere il proprio brand e/o prodotti e servizi, è rappresentata ancora oggi, nonostante la concorrenza dei social media, dall’email marketing.
A fronte di costi relativamente bassi, infatti, l’invio di e-mail consente alle aziende di arrivare in modo diretto agli utenti, clienti o potenziali tali, che, avendo fornito il proprio contatto, sono interessati a ricevere informazioni sulle iniziative dell’azienda, su nuovi prodotti, sconti o servizi in promozione, al fine di aumentare, attraverso contenuti mirati e studiati, le cosiddette “conversioni” (ad esempio, l’iscrizione ad un servizio o l’acquisto di un prodotto).
Le piattaforme per la gestione dell’eMail marketing
Tra gli strumenti che aiutano a definire ed implementare le strategie di e-mail marketing, vi sono oggi apposite piattaforme che con un semplice click consentono l’invio massivo di e-mail. Ma non solo; queste piattaforme offrono anche numerosi altri servizi, tra i quali la gestione delle liste dei contatti, l’automatizzazione e programmazione degli invii, l’analisi dei dati di performance delle e-mail inviate, con implicazioni di carattere privacy di vario livello.
Occhio alla contrattualistica
Capita spesso, tuttavia, che le aziende, nella scelta del fornitore, pongano maggiore attenzione ai costi e alle performance della piattaforma, trascurando di esaminare adeguatamente la disciplina contrattuale e gli aspetti privacy, esponendosi così, successivamente alla firma del contratto, a spiacevoli sorprese.
I ruoli privacy
Partiamo innanzitutto dai ruoli privacy del richiedente e fornitore del servizio generalmente i fornitori sottopongono contratti e atti di nomina a Responsabile del trattamento, senza concedere alcun potere contrattuale all’altra parte, che si troverà costretto ad accettare, con la sottoscrizione della licenza d’uso della piattaforma, sic et sempliciter tutte le previsioni ivi contenute.
Come è facile immaginare, alcune previsioni possono presentarsi particolarmente sbilanciate a favore dei fornitori, escludendo o limitando fortemente la loro responsabilità; in caso di malfunzionamento, errori, guasti o inefficienze della piattaforma e/o dei servizi ad essa collegati, di sospensione, variazione o dismissione di alcune funzionalità e/o servizi o, ancora, di danni a terzi in ragione di un loro inadempimento (fatti salvi, in alcuni casi, dolo o colpa grave) l’azienda potrebbe non essere legittimata a chiedere il risarcimento dei danni patiti, potendo, al più, recedere dal contratto o ottenendo un risarcimento, ove consentito, non superiore all’importo pagato al fornitore per i servizi fruiti. Ritorniamo all’apparente beneficio dei costi relativamente bassi.
Un’attenta lettura delle clausole
Al contrario, le clausole che disciplinano l’utilizzo della piattaforma e degli annessi servizi possono rivelarsi molto rigorose per le aziende, ad esempio con riguardo al contenuto delle e-mail inviate, alle modalità di utilizzo e sfruttamento della piattaforma o di acquisizione dei contatti (vietando, a titolo esemplificativo, l’uso di elenchi di contatti acquisiti da fornitori terzi o tramite attività di co-registrazione e/o data-sharing), e possono prevedere, in caso di loro violazione, non solo l’impegno a manlevare e tenere indenne il fornitore da eventuali richieste di risarcimento di danni da parte di terzi, ma anche, in alcuni casi, il risarcimento dei danni subiti dal fornitore stesso (per esempio, per danni all’immagine), fermo, molto spesso, il diritto di risolvere il contratto o, comunque, sospendere o limitare l’accesso alla piattaforma.
È quanto mai opportuno, quindi, prima di sottoscrivere un contratto di licenza d’uso di una piattaforma di e-mail marketing, un’attenta lettura delle clausole che ne disciplinano i termini e le condizioni d’uso, quanto meno per essere consapevoli dei “rischi” a cui ci si espone e per evitare di violare (anche in buona fede) determinate clausole da cui potrebbero scaturire responsabilità, tanto più se non preventivamente conosciute.
Analogamente, accade di frequente che i fornitori inseriscano unilateralmente, all’interno dei documenti contrattuali, le condizioni che disciplinano la protezione dei dati personali, autonominandosi Responsabili del trattamento e fornendo, spesso, l’atto di nomina ai sensi dell’art. 28 del Regolamento UE 679/2016 e dichiarando le misure di sicurezza adottate.
Viene da tutti previsto che laddove l’azienda, Titolare del trattamento, violi le prescrizioni vigenti in materia, sarà tenuta a manlevare da qualsivoglia responsabilità e tenere indenne il fornitore, che molto spesso potrà anche risolvere il contratto o, comunque, sospendere o limitare l’accesso alla piattaforma; in alcuni casi, viene anche previsto che i fornitori possano chiedere evidenza del rispetto della normativa a protezione dei dati personali (in particolare, della raccolta dei consensi).
Compliance GDPR, le verifiche da fare
A fronte di questo scenario le aziende dovranno tenere in debita considerazione nella valutazione dei fornitori di piattaforme di e-mail marketing due aspetti.
Il primo è che l’azienda, Titolare del trattamento rispetto ai dati di contatto forniti dai propri clienti o potenziali tali, prima di sottoscrivere un contratto di licenza d’uso, deve poter assicurare la propria compliance al Regolamento UE 679/2016 e, in particolare, deve essere certa di indirizzare le e-mail solo alle persone a cui sia stata fornita l’informativa e che abbiano prestato il consenso per la finalità di marketing. Ciò non solo per evitare reclami da parte degli interessati/destinatari che non abbiano prestato tale consenso, ma anche per non incorrere in inadempimenti contrattuali verso i fornitori.
Il secondo, invece, è che l’azienda, rispondendo del trattamento dei dati effettuato per suo conto dai Responsabili, deve verificare che il fornitore presenti garanzie sufficienti – ai sensi dell’art. 28 del Regolamento UE 679/2016 – per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del Regolamento stesso e garantisca la tutela dei diritti dell’interessato.
È quindi indispensabile che l’azienda verifichi preliminarmente le garanzie sufficienti dichiarate dal fornitore, anche chiedendo un estratto delle misure di sicurezza adottate, eventuali valutazioni di impatto e, ove esistenti, certificazioni sulla sicurezza informatica. Assume dunque fondamentale importanza la fase di analisi precontrattuale di qualifica del fornitore, processo che deve essere sempre adottato dai Titolari che intendano esternalizzare un trattamento.
Tra le opportune e necessarie verifiche, deve inoltre essere sempre prudentemente accertata la sede del fornitore, ovvero la localizzazione dei dati; laddove, infatti, l’uno o gli altri risiedano in un Paese non adeguato al Regolamento UE 679/2016, bisognerà prestare massima attenzione al rispetto delle condizioni previste dal Regolamento stesso per il trasferimento dei dati.
Conclusioni
Quando un’azienda decide di effettuare il trattamento di e-mail marketing, oltre alla convenienza ed efficienza dei servizi offerti, dovrà sempre esaminare con la massima cautela documenti contrattuali predisposti dai fornitori selezionati, al fine di valutare adeguatamente i pro e i contro di ciascuno e selezionare quello più affidabile, riducendo al minimo i rischi che potrebbero discendere da una non corretta gestione della compliance nella catena di approvvigionamento dei mezzi di trattamento dei dati.
