Mailchimp e GDPR

Mailchimp e GDPR

MailChimp è una piattaforma dell’azienda Americana Rocket Science Group LLC, con sede in Ponce de Leon Ave NE Suite 5000 Atlanta, Georgia, USA, e che fornisce un servizio dedicato all'email marketing (newsletter), il quale consente di gestire i report della campagne, le liste degli utenti con le segmentazioni e, ovviamente, permette di comporre le mail in maniera semplice ed intuitiva. 

Trattandosi di una azienda con sede negli USA il problema che si pone è se sia conforme alle norme vigenti in Europa. MailChimp, infatti, tratta i dati negli USA, ma nel momento in cui tratta dati di soggetti presenti sul territorio dell'Unione, deve comunque rispettare il regolamento europeo in materia di protezione dei dati personali. MailChimp infatti, attraverso il suo servizio non si limita a raccogliere i dati dei suoi clienti (cioè le persone che utilizzano il servizio per la newsletter, che sono i titolari del trattamento), ma raccoglie anche dati dei soggetti che si iscrivono alla newsletter, e sono gli interessati. MailChimp, invece, assume il ruolo di responsabile esterno del trattamento, in quanto elabora dati per conto del titolare. 

I dati vengono raccolti anche tramite un identificatore (pixel gif) inserito nelle mail, al fine di verificare l'uso della newsletter (se viene aperta) e per creare i rapporti sulle campagne di newsletter. L'identificatore raccoglie dati, quali la mail, l'indirizzo IP, la data e l’orario associati con l’apertura della mail e il click sui link. 

Occorre premettere che il trattamento dei dati (la mail per lo più) deve avvenire in base al consenso (es. raccolto tramite il modulo di iscrizione alla newsletter), il quale consenso deve poter essere documentato. Ricordiamo che il consenso deve essere specifico, cioè deve riguardare proprio l'invio di comunicazioni promozionali, per cui non si può inviare la newsletter se l'utente ha semplicemente chiesto delle informazioni oppure un preventivo (senza procedere all'acquisto). In alcuni casi (soft spam) è possibile trattare i dati anche in base ai legittimi interessi del titolare del trattamento. E' essenziale tenere presente che il consenso non è valido per sempre, ma deve avere una limitazione temporale. In genere è attiva la possibilità di revocare il consenso tramite l'apposito link ("disiscrivimi dalla newsletter"), ma se si vuole essere più pignoli si può procedere con la cancellazione dalle liste dei contatti che per un certo periodo di tempo (es. 1 anno) non hanno aperto la newsletter o comunque cliccato sui link in essa contenuti (categoria inactive subscribers). In questa prospettiva è utile tenere presente che se l'invio della newsletter non è gradito, molto probabilmente verrà etichettata come "spam" dal ricevente, azione che potrebbe comportare alla lunga l'etichettatura dello stesso mittente come spammer, con le conseguenze del caso (i messaggi sono inseriti direttamente nella cartella spam) sicuramente negative per chi fa la newsletter. 

 

Rendere conforme l'uso di MailChimp

Il titolare del trattamento, cioé colui che usa MailChimp per l'invio della newsletter, al momento della stipula del contratto con MailChimp (apertura dell'account) riceverà il contratto che regola i rapporti tra lui e il responsabile esterno del trattamento, cioè il Data Processing Addendum (che trovate qui). Ma per usare MailChimp conformemente alle norme europee, occorre attivare un'apposita opzione, cioè i campi GDPR (GDPR fields) nel modulo di iscrizione. E' un'opzione attivabile (e disattivabile) dalle impostazioni della lista (List -> Settings -> List name and campaign defaults).

list setting GDPR

Questo non è sufficiente, ma occorre altresì configurare correttamente i vari campi dal Form builder (Form builder -> Signup form -> General form). Sarebbe preferibile attivare solo EMAIL come modalità di contatto. Nei vari campi si possono inserire i seguenti testi (o testi equivalenti di gradimento del titolare):
- FIELD LABEL: “Consenso all’invio newsletter”;
- DESCRIPTION: “(nome del sito) userà le informazioni che fornisci al solo scopo di inviarti la newsletter”;
- LEGAL TEXT: “Puoi revocare il consenso all’invio della newsletter in ogni momento, utilizzando l’apposito link nella email. Per maggiori informazioni leggi l’informativa privacy su (nome sito)”. 

mailchimp form setting

La parte finale del testo, dove si informa che i dati verranno trasferiti a MailChimp e si linkano i relativi documenti sulle privacy di MailChimp, non è modificabile. Le opzioni GDPR (qui per i dettagli sul loro utilizzo) in realtà sono compatibili solo coi moduli ospitati sui server di MailChimp o col modulo popup configurabile (versione Modal), ma non col codice HTML da includere sul proprio sito web (embed forms). Utilizzando questi campi chi si iscrive alla newsletter indicherà espressamente per quali tipi di dati fornisce il consenso. 

gdpr popup

 

Doppio opt-in

Attivare il doppio opt-in è utile per una maggiore conformità alle norme, in quanto permette di verificare ogni indirizzo mail così impedendo il trattamento di dati non richiesto. Per attivare l'opzione occorre selezionare nella sezione Liste (List -> Opt-in Settings) il check accanto alla lista per la quale vogliomo il doppio opt-in. 

 

Dimostrare il consenso

Per dimostrare di aver ottenuto regolarmente il consenso è possibile "esportare l'audience", laddove nel file CSV sono presenti i campi OPTIN_TIME e OPTIN_IP che contengono la data, l'ora e l'indirizzo IP associati alla registrazione. E' anche possibile attivare il doppio consenso esplicito (doppio opt-in), che include un passaggio di conferma aggiuntivo che verifica ogni indirizzo mail. Esportando l'audience si otterrà un file CSV dove i campi CONFIRM_TIME e CONFIRM_IP contengono la data, l'ora e l'indirizzo IP associati alla conferma. 

  

Video Placeholder

MailChimp: attivazione pacchetto GDPR

Modificare il codice HTML di MailChimp 

La seconda soluzione, nel caso in cui non si utilizzino i campi GDPR, ad esempio quando si usa il codice HTML da embeddare nel sito web, è quella di modificare il codice HTML. Da MailChimp, in gestione della lista aggiungete un nuovo campo alla mailing list (List -> Settings -> List fields and *|MERGE|* tags) in questo modo:
- datatype Radio Button
- nome del campo “consenso all’uso dei dati”
- un’opzione sola, “acconsento”
- campo obbligatorio e visibile. 

mailchimp consent

In questo modo apparirà il box da spuntare (non preselezionato) per il consenso, sia sui form che usano i campi GDPR che nel codice embed. 

 

Opzione alternativa ai campi GDPR

Nel caso in cui si utilizzi una differente modalità, come ad esempio il codice HTML del form, fornito da MailChimp e da includere nel proprio sito web, nel quale codice non appaiono i campi GDPR, occorrerà progettare un modulo con le apposite opzioni per la registrazione del consenso. In tal caso il titolare dovrà inserire un link all'informativa privacy all'interno del form per la newsletter, inserendo anche un campo da sputare per fornire il consenso al trattamento dei dati. Nell'informativa deve essere indicato chiaramente che ci si può sempre disiscrivere dalla newsletter utilizzando l'apposito link in fondo alla mail. 

 

MailChimp e la tutela dei dati personali

L'utilizzo di MailChimp quale software per l'invio di newsletter è comunque problematico perché, nonostante il supporto sul sito sostenga che sia possibile disattivare il tracciamento (che viene realizzato tramite i pixel gif, immagini invisibili inserite nelle mail), questo non è propriamente esatto. L'impressione è che MailChimp non disattivi realmente il tracking, almeno non subito, in quanto sostengono di dover tracciare gli utenti per fini di sicurezza. 

 

MailChimp e l'invalidazione dell'US Privacy Shield

Nel luglio del 2020 la Corte di Giustizia europea ha invalidato il Privacy Shield con gli USA, la decisione della Commissione europea su cui si basava il trasferimento di dati di molte aziende americane. Con tale provvedimento il trasferimento dei dati dovrà essere basato sulle Clausole contrattuali standard (CCSs), e in tal senso MailChimp si è messo in regola, come spiegato nel Data Processing Addendum. Ma, come del resto evidenziato dall'Autorità Garante della Baviera (provvedimento del 15 marzo 2021), ciò non è sufficiente in quanto occorrono misure aggiuntive poiché comunque il trasferimento dei dati negli USA, essendo MailChimp un fornitore di servizi di comunicazione elettronica in base alla normativa americana, e quindi soggetto agli ordini FISA, sarebbe obbligato a fornire i dati al governo USA. Al momento siamo in attesa di conoscere quali misure aggiuntive MailChimp predisporrà.