Posta elettronica ed email marketing il GDPR è chiaro

Scritto da Alfredo Visconti Presidente ANDIP _____________________________________________________________

E’ bene partire da un assunto chiaro, il GDPR 679/2016 è denominato “Regolamento generale sulla Protezione dei dati”, il nostro D.lgs 196/2003 era ed è conosciuto come “Codice in materia di protezione dei dati personali”, si evince che ambedue hanno lo scopo di proteggere i dati (anche e forse soprattutto quando sono riferiti al business) e non di vietarne l’utilizzo.

Per quanto riguarda, il mondo del marketing e la gestione delle attività afferenti alle politiche di mail marketing, il GDPR non vieta in alcun modo questa prassi, in molti forse in troppi hanno cavalcato il concetto di divieto per poter tacciare il concetto di privacy e di tutela dei dati personali come lo strumento anti-business che avrebbe mortalmente colpito il mercato in nome di una difesa del consumatore, blanda e senza nessun presupposto valido.

Il vero problema che ci troviamo ad affrontare e che sarà di portata ancora maggiore con l’ingresso in vigore del nuovo registro delle opposizioni sta nel fatto che il mondo del marketing e lo stesso dicasi per le mail professionali, è stato gestito in modo decisamente poco serio, non essendo riusciti ad organizzare il momento con adeguata professionalità.

Il tutto ha portato ad un irrigidimento sia lato normativo, dove è prevalsa la convinzione che tutto si poteva fare se la mail era di pubblico dominio, sia lato mercato, dove l’utenza si è sentita assediata senza nessuna possibilità di uscita.

Del resto è bene ricordare che lo spam è sempre stato vietato o contrario ai termini di utilizzo della maggior parte dei provider di posta elettronica.

Comunque da questo primo passaggio emerge forte il concetto che in ambito privacy i dati si possono usare se adeguatamente protetti ed utilizzati attraverso opportuno rilascio di consenso

Tanto ciò detto per chiarire che il GDPR non vieta questa pratica ma ne “norma” la raccolta del consenso e quindi dell’utilizzo, richiedendo alle organizzazioni di chiedere un consenso affermativo per poter inviare comunicazioni, e subito dopo prevedendo in modo chiaro ed esplicito la possibilità di cambiare il consenso ed eventualmente di eliminare lo stesso.

Riassumendo per le pratiche di mail marketing è necessario

• Il consenso – che deve essere esplicito per quella determinata attività, quindi non generico
• La revoca – si deve rendere fruibile in modo semplice e diretto la possibilità di annullare il consenso
• La gestione – come per l’annullo si deve rendere possibile gestire e quindi eventualmente modificare il proprio consenso

In mancanza di questi tre elementi si viola apertamente il GDPR.

Quanto fin qui detto e scritto ricade almeno per la parte delle email marketing nel concetto di opt out e opt in che in questo caso specifico si differenziano in singol opt in e double opt in. Sono questi i termini informatici usati per prevenire lo spam essendo soprattutto allo stesso tempo in regola con le “norme” previste sulla privacy.

Questi concetti li troviamo espressi e spesso presenti nella gestione delle newsletter, ed è bene capire le differenze in termini di regole tra i due sistemi

Opt-Out
l’iscritto riceve le newsletter fino a quando, in modo esplicito, non dichiari di non voler ricevere più messaggi dalla lista, e fin tanto che non si esprime questo volere negativo o di cancellazione le email continueranno a viaggiare senza nessuna restrizione.

Single Opt-In

L’email marketing basato sul single Opt-In prevede un’iscrizione ad una lista che quindi a sua volta prevede un consenso esplicito del destinatario a ricevere quelle newsletter e/o comunicazioni via email o appunto newsletter. Nella pratica, corretta, il passaggio informatico avviene tramite una form di registrazione  che però non prevede la verifica dell’indirizzi del destinatario, quindi è possibile ci si iscriva alla lista utilizzando una email di altri senza l’autorizzazione di queste;

Double Opt-in

Sistema che garantisce un livello di sicurezza maggiore, richiedendo non solo l’iscrizione, ma anche la conferma a tale iscrizione tramite una successiva email di notifica, cosi facendo si elimina il problema della falsa iscrizione visto in precedenza. Per nostra fortuna questo sistema ha preso piede e quindi nella tutela dei dati personali abbiamo raggiunto un livello molto più aderente alle regole del GDPR.

Ma lo scettro dello sfruttamento dei dati che viaggiano via mail, il marketing lo divide con le normali attività di posta elettronica, aprendo molti versanti relativi alla sicurezza dei dati completamente scoperti.

Forse non tutti ci siamo resi conto che quanto fin qui scritto rappresenta i principi di protezione dei dati stabiliti all’art. 5 che sono “liceità, correttezza e trasparenza”.

Volendo quindi riassumere è ormai chiaro che i dati si possono utilizzare solo se siamo in presenza e nel rispetto di adeguate giustificazioni legali ed il loro utilizzo deve essere basato su una comunicazione trasparente e inequivocabile con l’interessato, che ne abbia rilasciato opportuno e adeguato consenso.

Naturalmente non stiamo parlando in modo astratto, perché l’art. 6 ci spiega in modo specifico le  “basi legali” per gestire, raccogliere, archiviare, utilizzare, … i dati delle persone, e naturalmente non si poteva non partire dal concetto del consenso che deve essere ottenuto in modo inequivocabile e dopo una chiara esplicazione completa di ciò che si intende fare con i dati. Quindi volendo riportare cose dette ridette ormai da tutti, specifichiamo che:

• Il consenso deve essere “liberamente dato, specifico, informato e inequivocabile”.
• Le richieste di consenso devono essere “chiaramente distinguibili dalle altre materie” e presentate in “un linguaggio chiaro e semplice”.
• Gli interessati possono revocare il consenso precedentemente prestato
• I minori di 13 anni possono dare il consenso solo previa autorizzazione dei genitori.
• È necessario conservare le prove documentali del consenso.

e dobbiamo tra le altre sicuramente aggiungere il “legittimo interesse”.

Tuttavia, come riportato direttamente dal Garante “in particolare l’art. 13 offre alle organizzazioni un altro modo di utilizzare i dati di una persona per scopi di marketing che deriva dalla base contrattuale. Nel contesto di una vendita di un bene o servizio, un’organizzazione “può utilizzare questi dati di contatto elettronici per la commercializzazione diretta di propri prodotti o servizi simili a condizione che ai clienti sia data in modo chiaro e distinto la possibilità di opporsi, gratuitamente e in modo semplice”, secondo l’articolo 13, parte 2. In sostanza, ciò significa che un’organizzazione può inviarti legalmente e-mail di marketing sul servizio che ti fornisce purché ti informi che puoi rinunciare in qualsiasi momento e che vi sia il possibilità di disiscriversi in ogni comunicazione.”

Cominciamo a non pensare in modo univoco ai messaggi ma cerchiamo di capire in quale mondo un messaggio inviato va a finire, quanti lo leggono e di conseguenza quanti lo possono usare, ma soprattutto rendiamoci conto che in assoluto oggi quando si parla di dato sarebbe più corretto parlare di dati in movimento. Volendo fare un esempio esplicativo ma non esaustivo dell’ampia tematica che stiamo aprendo basti pensare ad un semplice messaggio di posta che una volta inviato viene ricevuto almeno su:

• Pc di lavoro
• Portatile
• Tablet/i-pad
• Smartphone

Creando quindi una proliferazione del dato e dell’informazione su cui difficilmente si può operare un serio controllo di protezione. Se agli esempi appena fatti aggiungiamo poi che molto spesso un messaggio viene  inoltrato o gestito tramite minimo

• whatsapp
• social network

capite da soli che la protezione diventa un algoritmo protettivo da vero esperto informatico, in quanto in questo giro, ripeto veramente minimale, il dato e l’informazione che porta con se si è salvato da più parti e su più supporti aprendo una fonte d’attacco molto ampio per prelevarli.

A questo problema si può ovviare attraverso il rispetto del GDPR e l’osservanza delle necessarie regole aziendali, quindi come contrasto avremo sicuramente

Una metodologia di consultazione e conservazione che deve essere opportunamente edotta ai dipendenti avendo da una parte la consultazione che esplicita le regole con cui si scaricano le mail e dall’altro affronta le regole della cancellazione di questo mondo di dati.

La cancellazione dei dati è una parte importante del GDPR, e delle tecniche di protezione, più volte richiamata e sulla quale il Garante ha posto una attenzione notevole, fino a chiedere che i termini di cancellazione dei dati fossero dichiarati nell’informativa pubblica e come campo obbligatorio nel registro del trattamento. La conservazione è un principio di protezione dei dati, esplicitato all’articolo 5, lettera e), dove si afferma che i dati personali possono essere conservati per “non più di quanto necessario per le finalità per le quali i dati personali sono trattati”. Sempre il concetto di cancellazione viene poi ripreso anche all’art. 17 dove è normato il principio all’oblio aprendo una grossa problematica sul concetto di cancellazione e deindicizzazione quando il dato è presente anche sul mondo internet.

Certo diciamoci la verità questo della cancellazione è uno scoglio molto duro, perché quasi esclusivamente culturale, e sicuramente è più facile che un cammello passi per la cruna di un ago, piuttosto che qualcuno di noi (me compreso) cancelli una mail ritenuta “fondamentale”.

Non si cancellano la mail per svariato motivi e per le più raffinate raccomandazioni, ma dobbiamo  far conto con la problematica per cui più dati si conservano, maggiore sarà la responsabilità in caso di violazione.

Per altro ricordiamoci che la cancellazione dei dati personali non necessari è ora richiesta dalla legge europea. Secondo il GDPR, dovremo rivedere periodicamente la politica di conservazione della posta elettronica con l’obiettivo di ridurre la quantità di dati e di informazioni che archiviamo. Il regolamento richiede di dimostrare di avere una politica in atto che bilancia i legittimi interessi commerciali con i gli obblighi di protezione dei dati ai sensi del GDPR.

Sia ben chiaro nel GDPR, non viene espressamente indicato per quanto tempo le società devono conservare le e-mail, pertanto, come già detto in precedenza, spetta alle organizzazioni creare le proprie policies e dimostrare che è stata, di conseguenza, implementata una metodologia specifica, anche perché le novità apportate dal Regolamento Europeo n. 679/2016 sulla protezione dei dati personali vi è l’esplicita previsione del divieto di conservare gli stessi per un tempo superiore a quello necessario al perseguimento dello scopo del trattamento.

Se vogliamo un riferimento pseudo normativo potremmo dire che il trattamento dei dati personali delle persone fisiche è sempre stato improntato  ai principi di necessità e finalità del trattamento, secondo i quali i dati raccolti non possono essere trattati per un tempo ulteriore rispetto a quello strettamente necessario allo scopo della raccolta stessa.

Quanto appena scritto non può che tradursi nell’obbligo per il titolare del trattamento di provvedere alla cancellazione dei dati raccolti una volta perseguito lo scopo, non potendo essere conservati per periodi ulteriori, infatti l’art. 5, comma 1, lett. e), del GDPR cita che i dati personali devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.

In un solo caso il GDPR  consente di trattenere i dati per periodi più lunghi di quelli strettamente necessari, quando i dati  sono trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, previa attuazione di adeguate misure tecniche e organizzative a tutela dei diritti e delle libertà dell’interessato (cd. principio di “limitazione della conservazione”).

Naturalmente nel perimetro della sicurezza della posta non possiamo pensare solo alla gestione delle procedure di cancellazione, ma dobbiamo porre l’accento anche su tecniche informatiche importanti ed esistenti da sempre, stiamo parlando di crittografia, anonimizzazione, pseudonimizzazione, dati sintetici di ci abbiamo già scritto in un precedente articolo, e tutte le classiche casistiche di attacco ormai conosciute dai più ma che ancora danno risultati importanti.

Il novantuno percento degli attacchi informatici inizia con un’e-mail di phishing, attraverso la quale si tenta di accedere a un account o dispositivo utilizzando l’inganno o il malware, in questi casi, o comunque nel dubbio, si tenga sempre presente che è buona norma che collegamenti e allegati da account sconosciuti non debbano mai essere cliccati o scaricati, perché diversamente si potrebbe ottenere l’accesso a un account o dispositivo, dal quale è possibile accedere ad altri dispositivi e alla rete, con il risultato  che un errore umano potrebbe compromettere grandi quantità di dati.

Per evitare responsabilità, e sanzioni è importante educare alla sicurezza della posta elettronica, anche e soprattutto scrivendo le policies opportune per la gestione. Una buona procedura di policies aziendali per la gestione della posta deve assolutamente prevedere ad esempio una regola che imponga di non aprire mail sospette se non con l’autorizzazione del titolare o dell’amministratore di rete

Con il termine Crittografia o Cifratura si intende il processo volto a impedire la leggibilità in chiaro di un testo a chi non abbia il sistema di cifratura e la chiave per decifrare il testo stesso e nel nostro mondo l’articolo 32 del Regolamento UE 2016/679 relativo alla Sicurezza del Trattamento recita

“1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il Titolare del trattamento e il Responsabile del trattamento mettono in atto misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

1. a) la pseudonimizzazione e la cifratura dei dati personali”

Il Regolamento non entra nel dettaglio di quando applicare la misura (infatti il testo preciso è: “che comprendono, tra le altre, se del caso”), né specifica quale livello o metodologia di cifratura applicare; si limita semplicemente ad indicare una misura che è molto importante e significativa in un sistema di protezione dei dati. Questo in perfetto accordo al principio cardine del Regolamento che prevede che sia il Titolare del trattamento a valutare quali misure di sicurezza adottare per proteggere i dati trattati (Responsabilità del Titolare, nel testo originale Accountability).

Abbiamo già detto che l’attuale quadro normativo, affida al titolare il compito e la responsabilità di decidere quali misure di sicurezza possano e devono essere considerate idonee al fine di garantire un’adeguata protezione ai dati personali trattati. In questo ambito decisionale il mercato ha deciso di considerare la cifratura quale misura specifica e forte per  garantire riservatezza, integrità e disponibilità dei sistemi e dei servizi di trattamento.

Infatti all’interno del testo del Regolamento UE, il concetto di cifratura viene spesso citato basti pensare al Considerando 83 ove è previsto che i titolari o i responsabili del trattamento dovrebbero valutare i rischi delle loro varie attività di trattamento dei dati e attuare misure per mitigare tali rischi, come la cifratura, in modo da:

• mantenere la sicurezza;
• impedire trattamenti non conformi al GDPR

contestualmente l’art. 32, annovera la cifratura tra le misure tecniche e organizzative a disposizione del titolare, per garantire un livello di sicurezza adeguato al rischio, e  l’art. 34, focalizzato sulla comunicazione di un’eventuale violazione di dati ai soggetti interessati, menziona nuovamente la cifratura come esimente per il titolare che abbia implementato misure adeguate a rendere i dati, oggetto della violazione, incomprensibili a chiunque non sia autorizzato ad accedervi.

In linea generale, possiamo dunque considerare questo come uno strumento certamente utile ma, di certo, non l’unico da implementare. Pur non essendo una misura “obbligata”, rimane comunque “caldamente consigliata” per limitare i rischi impattanti sui dati personali. Il ricorso alla cifratura viene dunque rimesso all’iniziativa dei titolari del trattamento, in forza di quel principio di accountability che sta alla base del nuovo approccio promosso dalla normativa.

Dopo la cifratura o crittografia vediamo brevemente la pseudonimizzazione che è: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile; è una misura che da un punto di vista informatica non offre un grande livello di sicurezza, anche perché chi dovesse accedere ai dati avrebbe comunque la visibilità di una parte dell’intero set di dati, mentre la crittografia o cifratura è sicuramente molto più performante in termini di sicurezza informatica.