• R
    User Attivo

    @Nazzareno said:

    Cavoli, è tantissima roba, ma è tutta necessaria? Io ho già un'informativa sulla privacy e l'email di conferma. Gestisco la mailing list con mailchimp e quindi loro mi "costringono" ad applicare una serie di cose, come ad esempio anche le info per la rimozione nel footer.
    Non credo però di aver mai trovato tutto quello che dici in nessun form di iscrizione alla mailing list. Sono tutti illegali?
    Registrare timestamp, IP e URL, come si fa? Sai se Mailchimp già lo fa?

    @exaurus said:

    Tutto corretto ...

    Detto questo puoi tranquillamente chiedere solo l'indirizzo eMail dell'iscritto se vuoi, o anche il nome se lo desideri e inserire due righe informative come le seguenti, sotto il form di iscrizione:

    ...

    Aspetta, in che senso è tutto corretto ma posso anche fare solo questo?
    Tra l'altro, i "problemi" da affrontare sono più d'uno:
    per la privacy basta la notifica,
    per confermare l'identità basta il double optin,
    per accettare email commerciali ?

    Grazie a entrambi.

    0
  • B
    User Attivo

    Sul fatto che l'uso del Confirmed Opt In sia una pratica da utilizzare anche per questioni di "gestione spam" concordo con Nazzareno e non con exaurus. Tale pratica è importante in italia come negli usa. I grossi provider italiani ormai utilizzano tutti sistemi antispam internazionali, e di conseguenza le tecniche sono molto similari a quelle adottate oltreoceano. Colpire una spamtrap è dannoso anche in italia. Colpirla ripetutamente lo è ancora di più.

    Di solito hanno paura di usare il COI quelli che puntano ad incrementare il più possibile il numero di indirizzi email in loro possesso e che badano al numero più che alla qualità e al consenso: questo lo sanno anche coloro che scrivono i sistemi antispam.

    Oltre a questo c'è anche la legge italiana: se non usi il COI e qualcuno inserisce al posto mio il mio indirizzo email nel tuo form di iscrizione e tu dopo un po' cominci a mandarmi email commerciali, senza prove del mio consenso, stai violando la legge. La sola email di "richiesta di conferma", con contenuti non promozionali, scatenata da una richiesta web dimostrabile, ti tutela in questo senso.

    0
  • N
    User Attivo

    Per la privacy: va resa disponibile (anche come link) vicino al form di iscrizione, non puoi darla dopo che ho compilato il form di iscrizione.

    Per confermare l'identità: per la legge italiana basta il single opt-in, salvando IP, timestamp e URL. Le best practice (v. sopra) invece prevedono il COI (confirmed opt-in). Una via di mezzo è il double opt-in, cioè chi compila il form di iscrizione, riceve una welcome email dove non c'è nulla da confermare (al massimo un "se ricevi il messaggio per errore, disiscriviti"). Sui siti americani solitamente il double opt-in è accompagnato da una doppia compilazione del campo email (per ridurre gli errori di battitura) e da un chaptcha per ridurre le compilazioni automatiche. L'orientamento delle best practice prevede in ogni caso, anche in america, l'uso del single opt-in (ad esempio un form compilato in negozio) solo per l'invio di ricevute una tantum. Se i messaggi diventano più di uno, è meglio il COI.

    In tutti i casi comunque IP e timestamp ti permettono di certificare l'identità ai fini legali, perchè in teoria con quelli puoi risalire attraverso all'ISP all'utente reale. Tutto molto teorico come sappiamo, ma per la legge italiana è così.
    Senza quei dati non ti saprei dire quanto può valere in un aula di tribunale la semplice indicazione che un qualsiasi tool americano è stato usato per registrare il dato del tuo cliente, e per la verità non so neanche se il fatto che i dati vengono archiviati fuori dalla UE vada specificato nell'informativa.

    0
  • R
    User Attivo

    Grazie delle risposte super dettagliate.
    Mi rimane un dubbio tecnico. Voi come registrate IP e timestamp?

    0
  • N
    User Attivo

    Ti metto uno screenshot di come lo registriamo noi:
    image

    Volendo se la thank you page post compilazione è sul tuo sito, potresti facilmente raccogliere il dato in autonomia, basta un piccolo codice che registra l'informazione su una tabella. Un programmatore ci mette un attimo a farlo.

    Un modo ancora più grezzo è mantenere il log del webserver nella thankyou page, dove però devi accertarti venga salvato l'indirizzo email. Alla fine è un dato che probabilmente non ti servirà mai, salvo qualche improbabile caso in cui il Garante privacy te lo chiederà. Noi per prudenza salviamo non solo l'IP/timestamp di chi ha compilato il form, ma anche di chi ha poi confermato l'iscrizione cliccando sull'email di richiesta conferma.

    0
  • R
    User Attivo

    @Nazzareno said:

    ...

    Grazie, ho verificato che MailChimp registra queste informazioni.
    Riassumendo, se io presento un form per l'iscrizione con l'indirizzo email e un link al documento sulla privacy, registro IP e timestamp, sono a posto per l'invio di email anche commerciali?

    0
  • N
    User Attivo

    Secondo me un form di raccolta indirizzi email per l'accesso ad un servizio/sito e per il successivo invio di newsletter, pubblicità, etc, deve avere anche un flag per l'accettazione della privacy, prima del bottone invia, e di default deve essere non selezionato. Se non viene flaggato, il bottone "invia" non deve essere funzionante o restituire un errore.

    Se le finalità sono diverse, in teoria dovrebbero esserci anche flag distinti e facoltativi. La normativa come sempre è un casino e il ricorso all'avvocato quasi obbligato, bisogna andare a cercare nella newsletter del Garante privacy o nei suoi Provvedimenti (es. questo http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1741998). Di sicuro in caso di ispezione vengono analizzati tutti form sui siti e le sanzioni, anche per una banale pre-selezione di un flag, sono pesantissime (ho sentito casi dai 12.000 ai 50.000 euro).
    C'è di buono che per fortuna non è più necessario riportare l'intera informativa in un textbox, ma si può mettere un link.

    0
  • B
    User Attivo

    La mia interpretazione (ma non sono un legale e quindi il consiglio è sempre quello di Nazzareno) è che se fai un semplice form di iscrizione newsletter e l'unica finalità del form è quella di raccogliere il consenso per la ricezione della newsletter allora non sia importante avere anche un flag aggiuntivo. Se invece oltre a inviare la newsletter vuoi mandare anche DEM pubblicitarie o comunicare dati a terzi o qualunque altra attività non strettamente legata alla ricezione della newsletter, allora devi aggiungere un flag opzionale e non preselezionato per ciascuna di esse.

    Se invece il form serve per iscriversi al sito e fruire di sezioni riservate del sito, allora l'eventuale ricezione della newsletter è già una finalità aggiuntiva e quindi è necessario un flag aggiuntivo.

    0
  • F
    User Newbie

    Ieri ho avuto una discussione con un collega di altra agenzia che asseriva che se raccolgo solo le email degli utenti di un sito, senza alcun abbinamento col nome, non sarei tenuto a chiedere il consenso al trattamento dei dati. A me sembra che comunque da sola l'email sia un dato sufficiente ad identificare una persona, come destinatario di comunicazioni, per cui lo vedo come obbligatorio.

    Cosa ne pensi @nazzareno?

    0
  • B
    User Attivo

    Secondo me il tuo collega sbaglia: l'email è considerato dato personale (sul sito del garante è ribadito varie volte) e necessita di un titolare del trattamento. L'unico caso in cui l'email non è dato personale è quando è un indirizzo di ruolo, tipo info@azienda, marketing@azienda, sales@azienda, etc.

    0
  • F
    User Newbie

    Io infatti la penso come te. Mai visto nessun distinguo sull'abbinamento al nome dell'utente. Grazie.

    0
Effettua l'accesso per rispondere