• User Attivo

    Quali conferme necessarie per inserire email in lista?

    Non mi è mai stato chiaro quali siano le conferme necessarie, per legge, da chiedere ad un utente quando si iscriva ad una lista email per poter poi inviargli eventuali offerte commerciali.
    Sui siti al di fuori dell'Italia (e non siti qualunque) non mi è mai stato chiesto nulla più che l'email, al massimo il nome.
    In Italia, come funziona? Intendo ovviamente le cose da fare assolutamente, non quelle da fare tanto per essere sicuri.


  • User Attivo

    Quando raccogli un indirizzo email dal tuo sito devi:

    1. fornire l'informativa
    2. fargliela accettare con un flag (non pre-selezionato!). Se le finalità (es. newsletter informativa, promozioni commerciali, promozioni di terze parti) sono diverse, ci vogliono più flag.
    3. registrare IP, timestamp e URL del form per ogni richiesta di iscrizione.

    Se poi attivi un meccanismo di confirmed-optin (COI) ancora meglio: chi compila il form riceverà un'email dove dovrà confermare con un click la sua iscrizione. Questa è una barriera in più, che ti limiterà il numero di iscritti ma premia: avrai una lista più pulita e sopratutto sicura, ad esempio priva di spamtrap. E' buona pratica in questo caso raccogliere IP e timestamp anche della conferma. Su questo ultimo punto c'è un nostro articolo tecnico piuttosto dettagliato che spiega il perchè di questa best practice: http://assistenza.mailup.it/KB/a80/si-pu-evitare-linvio-dellemail-di-richiesta-conferma.aspx


  • User Attivo

    Giusto di ieri: Spamhaus ha blacklistato l'IP del server invio email di macys.com (un colosso negli USA) perchè ha inviato email a spamtrap. Le email erano ripetute e di tipo transazionale, ma probabilmente digitate male all'atto della registrazione e raccolte senza COI (dettagli qui: http://www.spamhaus.org/sbl/query/SBL168921).


  • User Attivo

    Tutto corretto, ma io aggiungerei che il doppio optin non è tanto importante ai fini di SPAM (in realtà questo concetto dall'America dove è obbligatorio per la mole di SPAM esistente lì) ma sopratutto per verificare l'identità di chi si iscrive. In teoria senza un doppio optin chiunque può iscriversi lasciando un indirizzo Mail qualunque.

    Dunque, sarebbe bene impostare una pagina di ringraziamento dove l'utente viene direzionato subito dopo la sua iscrizione, tramite un Autoresponder e lì dirgli che per confermare la sua iscrizione (e magari ricevere i contenuti che gli hai promesso in cambio dell'iscrizione) dovrà verificare la sua casella di posta e confermare cliccando sul link al suo interno.

    Detto questo puoi tranquillamente chiedere solo l'indirizzo eMail dell'iscritto se vuoi, o anche il nome se lo desideri e inserire due righe informative come le seguenti, sotto il form di iscrizione:

    "Rispetto la tua Privacy, I tuoi dati non saranno mai ceduti a terzi.
    Potrai cancellarti in qualsiasi momento con un click".

    e magari direttamente da lì, linkare alla pagina completa o allo specchietto della Privacy (da aprire in una nuova finestra). 🙂


  • User Attivo

    @Nazzareno said:

    Cavoli, è tantissima roba, ma è tutta necessaria? Io ho già un'informativa sulla privacy e l'email di conferma. Gestisco la mailing list con mailchimp e quindi loro mi "costringono" ad applicare una serie di cose, come ad esempio anche le info per la rimozione nel footer.
    Non credo però di aver mai trovato tutto quello che dici in nessun form di iscrizione alla mailing list. Sono tutti illegali?
    Registrare timestamp, IP e URL, come si fa? Sai se Mailchimp già lo fa?

    @exaurus said:

    Tutto corretto ...

    Detto questo puoi tranquillamente chiedere solo l'indirizzo eMail dell'iscritto se vuoi, o anche il nome se lo desideri e inserire due righe informative come le seguenti, sotto il form di iscrizione:

    ...

    Aspetta, in che senso è tutto corretto ma posso anche fare solo questo?
    Tra l'altro, i "problemi" da affrontare sono più d'uno:
    per la privacy basta la notifica,
    per confermare l'identità basta il double optin,
    per accettare email commerciali ?

    Grazie a entrambi.


  • User Attivo

    Sul fatto che l'uso del Confirmed Opt In sia una pratica da utilizzare anche per questioni di "gestione spam" concordo con Nazzareno e non con exaurus. Tale pratica è importante in italia come negli usa. I grossi provider italiani ormai utilizzano tutti sistemi antispam internazionali, e di conseguenza le tecniche sono molto similari a quelle adottate oltreoceano. Colpire una spamtrap è dannoso anche in italia. Colpirla ripetutamente lo è ancora di più.

    Di solito hanno paura di usare il COI quelli che puntano ad incrementare il più possibile il numero di indirizzi email in loro possesso e che badano al numero più che alla qualità e al consenso: questo lo sanno anche coloro che scrivono i sistemi antispam.

    Oltre a questo c'è anche la legge italiana: se non usi il COI e qualcuno inserisce al posto mio il mio indirizzo email nel tuo form di iscrizione e tu dopo un po' cominci a mandarmi email commerciali, senza prove del mio consenso, stai violando la legge. La sola email di "richiesta di conferma", con contenuti non promozionali, scatenata da una richiesta web dimostrabile, ti tutela in questo senso.


  • User Attivo

    Per la privacy: va resa disponibile (anche come link) vicino al form di iscrizione, non puoi darla dopo che ho compilato il form di iscrizione.

    Per confermare l'identità: per la legge italiana basta il single opt-in, salvando IP, timestamp e URL. Le best practice (v. sopra) invece prevedono il COI (confirmed opt-in). Una via di mezzo è il double opt-in, cioè chi compila il form di iscrizione, riceve una welcome email dove non c'è nulla da confermare (al massimo un "se ricevi il messaggio per errore, disiscriviti"). Sui siti americani solitamente il double opt-in è accompagnato da una doppia compilazione del campo email (per ridurre gli errori di battitura) e da un chaptcha per ridurre le compilazioni automatiche. L'orientamento delle best practice prevede in ogni caso, anche in america, l'uso del single opt-in (ad esempio un form compilato in negozio) solo per l'invio di ricevute una tantum. Se i messaggi diventano più di uno, è meglio il COI.

    In tutti i casi comunque IP e timestamp ti permettono di certificare l'identità ai fini legali, perchè in teoria con quelli puoi risalire attraverso all'ISP all'utente reale. Tutto molto teorico come sappiamo, ma per la legge italiana è così.
    Senza quei dati non ti saprei dire quanto può valere in un aula di tribunale la semplice indicazione che un qualsiasi tool americano è stato usato per registrare il dato del tuo cliente, e per la verità non so neanche se il fatto che i dati vengono archiviati fuori dalla UE vada specificato nell'informativa.


  • User Attivo

    Grazie delle risposte super dettagliate.
    Mi rimane un dubbio tecnico. Voi come registrate IP e timestamp?


  • User Attivo

    Ti metto uno screenshot di come lo registriamo noi:
    image

    Volendo se la thank you page post compilazione è sul tuo sito, potresti facilmente raccogliere il dato in autonomia, basta un piccolo codice che registra l'informazione su una tabella. Un programmatore ci mette un attimo a farlo.

    Un modo ancora più grezzo è mantenere il log del webserver nella thankyou page, dove però devi accertarti venga salvato l'indirizzo email. Alla fine è un dato che probabilmente non ti servirà mai, salvo qualche improbabile caso in cui il Garante privacy te lo chiederà. Noi per prudenza salviamo non solo l'IP/timestamp di chi ha compilato il form, ma anche di chi ha poi confermato l'iscrizione cliccando sull'email di richiesta conferma.


  • User Attivo

    @Nazzareno said:

    ...

    Grazie, ho verificato che MailChimp registra queste informazioni.
    Riassumendo, se io presento un form per l'iscrizione con l'indirizzo email e un link al documento sulla privacy, registro IP e timestamp, sono a posto per l'invio di email anche commerciali?


  • User Attivo

    Secondo me un form di raccolta indirizzi email per l'accesso ad un servizio/sito e per il successivo invio di newsletter, pubblicità, etc, deve avere anche un flag per l'accettazione della privacy, prima del bottone invia, e di default deve essere non selezionato. Se non viene flaggato, il bottone "invia" non deve essere funzionante o restituire un errore.

    Se le finalità sono diverse, in teoria dovrebbero esserci anche flag distinti e facoltativi. La normativa come sempre è un casino e il ricorso all'avvocato quasi obbligato, bisogna andare a cercare nella newsletter del Garante privacy o nei suoi Provvedimenti (es. questo http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1741998). Di sicuro in caso di ispezione vengono analizzati tutti form sui siti e le sanzioni, anche per una banale pre-selezione di un flag, sono pesantissime (ho sentito casi dai 12.000 ai 50.000 euro).
    C'è di buono che per fortuna non è più necessario riportare l'intera informativa in un textbox, ma si può mettere un link.


  • User Attivo

    La mia interpretazione (ma non sono un legale e quindi il consiglio è sempre quello di Nazzareno) è che se fai un semplice form di iscrizione newsletter e l'unica finalità del form è quella di raccogliere il consenso per la ricezione della newsletter allora non sia importante avere anche un flag aggiuntivo. Se invece oltre a inviare la newsletter vuoi mandare anche DEM pubblicitarie o comunicare dati a terzi o qualunque altra attività non strettamente legata alla ricezione della newsletter, allora devi aggiungere un flag opzionale e non preselezionato per ciascuna di esse.

    Se invece il form serve per iscriversi al sito e fruire di sezioni riservate del sito, allora l'eventuale ricezione della newsletter è già una finalità aggiuntiva e quindi è necessario un flag aggiuntivo.


  • User Newbie

    Ieri ho avuto una discussione con un collega di altra agenzia che asseriva che se raccolgo solo le email degli utenti di un sito, senza alcun abbinamento col nome, non sarei tenuto a chiedere il consenso al trattamento dei dati. A me sembra che comunque da sola l'email sia un dato sufficiente ad identificare una persona, come destinatario di comunicazioni, per cui lo vedo come obbligatorio.

    Cosa ne pensi @nazzareno?


  • User Attivo

    Secondo me il tuo collega sbaglia: l'email è considerato dato personale (sul sito del garante è ribadito varie volte) e necessita di un titolare del trattamento. L'unico caso in cui l'email non è dato personale è quando è un indirizzo di ruolo, tipo info@azienda, marketing@azienda, sales@azienda, etc.


  • User Newbie

    Io infatti la penso come te. Mai visto nessun distinguo sull'abbinamento al nome dell'utente. Grazie.