La conformità delle email è uno di quei argomenti che le persone ignorano finché non costa loro denaro. E può costare molto denaro.
L'ambiente normativo per l'email marketing varia drasticamente da paese a paese. Quello che è perfettamente legale negli Stati Uniti potrebbe comportare multe enormi in Canada o in Australia. Se stai inviando a livello internazionale, come fa la maggior parte delle aziende, devi comprendere le regole in ogni giurisdizione dove vivono i tuoi iscritti.
Non si tratta solo di evitare le multe. La conformità costruisce fiducia. E in un'era in cui i consumatori sono più attenti alla privacy che mai, la fiducia si traduce direttamente in coinvolgimento e fatturato.
Questo capitolo copre le principali normative, i passi pratici per rimanere conformi e i requisiti tecnici emergenti che interessano ogni mittente.
GDPR (UE)
Il Regolamento Generale sulla Protezione dei Dati rimane la legge sulla privacy delle email più severa e influente a livello mondiale. Se hai iscritti nell'UE, il GDPR si applica a te, indipendentemente da dove ha sede la tua azienda.
Il consenso ai sensi del GDPR deve essere liberamente dato, specifico, informato e inequivocabile. Questo è un criterio elevato. Le caselle pre-selezionate non contano. Il consenso raggruppato ("iscriviti e accetta il marketing") non conta, a meno che il consenso al marketing non sia separato dall'iscrizione al servizio. Il silenzio non conta. L'inattività non conta.
Devi dire alle persone esattamente per cosa si stanno iscrivendo. "Iscriviti alla nostra newsletter" è accettabile. "Creando un account accetti di ricevere comunicazioni promozionali" sepolto nel paragrafo 47 dei tuoi termini di servizio non lo è.
Il diritto all'oblio significa che devi eliminare i dati di qualcuno "senza indebito ritardo" quando lo richiedono. In pratica, ciò significa entro 30 giorni. Questo include tutti i dati personali in tutti i tuoi sistemi, non solo il tuo ESP. Dati CRM, cronologia degli acquisti legata alla loro email, dati analitici, tutto. Costruisci un processo documentato per gestire queste richieste prima di riceverle, perché le riceverai.
La protezione dei dati fin dalla progettazione e per impostazione predefinita significa che devi costruire i tuoi sistemi tenendo conto della privacy fin dall'inizio, non aggiungerla in seguito. Raccogli solo ciò di cui hai bisogno. Conservalo in modo sicuro. Eliminalo quando non è più necessario.
Per i registri del consenso, mantieni la documentazione per 3-7 anni dopo il tuo ultimo invio a quell'iscritto. Registra quando hanno dato il consenso, come l'hanno dato, per cosa l'hanno dato e quali informazioni sono state loro presentate in quel momento. Se un regolatore chiede, devi dimostrare che il consenso era valido. Gli screenshot dei tuoi moduli di iscrizione al momento del consenso, con timestamp e archiviati, sono la tua migliore difesa.
Rinnova il consenso ogni 2 anni. Invia una campagna di ri-autorizzazione agli iscritti di cui non hai avuto notizie negli ultimi 24 mesi. Chi riconferma è genuinamente interessato. Chi non lo fa dovrebbe essere rimosso. È meglio avere una lista più piccola e conforme che una grande e giuridicamente discutibile.
Le sanzioni del GDPR possono raggiungere il 4% del fatturato globale annuo o 20 milioni di euro, a seconda di quale sia il valore più elevato. Sanzioni importanti sono state emesse in tutti i settori. Questo non è un rischio teorico.
CAN-SPAM (USA)
CAN-SPAM è la normativa principale sulle email più permissiva. È anche la più fraintesa.
Le regole chiave sono semplici. Non utilizzare intestazioni, nomi mittente o oggetti ingannevoli. Il tuo nome "Da:" deve rappresentare accuratamente chi sta inviando l'email. L'oggetto non deve essere ingannevole riguardo al contenuto dell'email. "Re: Il tuo ordine" quando non c'era alcun ordine è una violazione.
Ogni email commerciale deve includere un indirizzo postale fisico. Una casella postale o un indirizzo di ufficio virtuale è accettabile. Non devi pubblicare il tuo indirizzo di casa. Servizi come Earth Class Mail o iPostal1 offrono indirizzi commerciali virtuali che soddisfano questo requisito per meno di $15 al mese.
Devi rispettare le richieste di rinuncia entro 10 giorni lavorativi. Il tuo meccanismo di annullamento dell'iscrizione deve continuare a funzionare per almeno 30 giorni dopo l'invio dell'email. Non costringere le persone ad accedere per annullare l'iscrizione. Non addebitare una tariffa. Non richiedere loro di fornire informazioni oltre al loro indirizzo email. Non farli cliccare attraverso cinque pagine per completare il processo.
Ecco la parte che la maggior parte delle persone sbaglia: CAN-SPAM ti consente tecnicamente di inviare email a chiunque non si sia cancellato. Non hai bisogno di consenso previo. Ma "legalmente consentito" e "buona idea" sono cose diverse. Inviare email a persone che non hanno chiesto di sentire da te distrugge la tua reputazione del mittente, genera reclami e affossa la consegnabilità delle email. Solo perché puoi non significa che dovresti.
Le violazioni comportano sanzioni fino a $51.744 per email. Questo è per singola email, non per campagna. Una campagna di 10.000 persone potrebbe teoricamente risultare in oltre $500 milioni di multe. Raramente raggiunge quel livello, ma la FTC ha perseguito casi risultanti in milioni di sanzioni.
Lo stato di Washington ha un livello aggiuntivo: $500 per destinatario per oggetti ingannevoli. Se stai inviando email ai residenti di Washington (e probabilmente lo fai), i tuoi oggetti devono essere accurati.
CASL (Canada)
La legislazione antispam canadese è significativamente più severa di CAN-SPAM. Se hai iscritti canadesi, presta molta attenzione.
CASL richiede il consenso espresso o implicito prima di inviare messaggi elettronici commerciali. Il consenso espresso significa che qualcuno ha attivamente accettato di ricevere le tue email. Il consenso implicito è più ristretto di quanto sembri.
Il consenso implicito esiste in due situazioni. Primo, se hai una relazione commerciale esistente (qualcuno ha acquistato da te, ha stipulato un contratto o ha fatto una richiesta), puoi inviargli email. Ma il consenso implicito derivante da un acquisto scade 2 anni dopo la transazione. Il consenso implicito derivante da una richiesta scade 6 mesi dopo la richiesta. Dopo che quelle finestre si chiudono, hai bisogno del consenso espresso o smetti di inviare.
Questo significa che hai bisogno di un sistema per tracciare le date di scadenza del consenso. Se qualcuno ha acquistato da te il 15 marzo 2024, il tuo consenso implicito scade il 15 marzo 2026. Dovresti eseguire una campagna di rinnovo del consenso ben prima di quella data, convertendo il consenso implicito in espresso mentre hai ancora il diritto di inviargli email.
Le sanzioni sono severe. Fino a $10 milioni CAD per violazione per le aziende. CASL include anche un diritto di azione privata, il che significa che gli individui possono farti causa direttamente. L'impatto pratico è che le aziende con un pubblico canadese significativo spesso si affidano all'opt-in espresso per tutti i contatti canadesi, perché il rischio di sbagliare con il consenso implicito è troppo alto.
CCPA (California)
Il California Consumer Privacy Act non è una legge specifica per le email, ma riguarda i professionisti dell'email marketing che detengono dati sui residenti californiani.
Devi fornire un avviso al momento della raccolta che elenca le categorie di informazioni personali che raccogli e gli scopi della raccolta. Questo si applica ai tuoi moduli di iscrizione e all'informativa sulla privacy.
I residenti californiani hanno il diritto di sapere quali informazioni personali hai raccolto, il diritto di eliminarle e il diritto di rinunciare alla vendita delle loro informazioni personali. Se vendi o condividi i dati degli iscritti con terzi (per pubblicità, arricchimento dei dati o noleggio liste), hai bisogno di un meccanismo "Non vendere le mie informazioni personali".
Le sanzioni sono di $2.500 per violazione non intenzionale e $7.500 per violazione intenzionale. Sia il procuratore generale della California che la California Privacy Protection Agency hanno autorità di applicazione.
La CPRA (California Privacy Rights Act) ha ampliato la CCPA, aggiungendo il diritto di correggere informazioni inaccurate e creando una nuova categoria di "informazioni personali sensibili" con protezioni aggiuntive. Se raccogli geolocalizzazione precisa, origine razziale o etnica, dati sanitari o categorie sensibili simili nel tuo email marketing (tramite sondaggi, centri delle preferenze o dati di acquisto), si applicano i requisiti aggiuntivi della CPRA.
Legge Australiana sullo Spam
Dato che scrivo questo da una prospettiva australiana, questa merita particolare attenzione.
Lo Spam Act 2003 richiede tre cose per ogni messaggio elettronico commerciale: consenso, identificazione del mittente e un'opzione di annullamento dell'iscrizione funzionale.
Il consenso può essere espresso (qualcuno ha aderito) o dedotto (esiste una relazione commerciale esistente). Ma a differenza di CAN-SPAM, non puoi inviare email a qualcuno che non ha aderito o che non ha una relazione esistente con la tua azienda. Le email a freddo a liste acquistate sono illegali in Australia. Senza eccezioni.
Ogni email commerciale deve identificare chiaramente chi l'ha inviata e includere dettagli di contatto accurati. E ogni email deve includere un meccanismo di annullamento dell'iscrizione che funzioni e venga rispettato entro 5 giorni lavorativi.
Le sanzioni sono sostanziali. L'Australian Communications and Media Authority (ACMA) può imporre multe fino a $2,22 milioni AUD al giorno per violazioni gravi. Hanno perseguito casi contro aziende australiane e società internazionali che inviano a destinatari australiani. L'ACMA è stata sempre più attiva nell'applicazione della legge e si coordina con i regolatori internazionali.
Per le aziende australiane che inviano a livello internazionale, devi comunque conformarti allo Spam Act per tutti i messaggi inviati dall'Australia, indipendentemente da dove si trova il destinatario. E se sei un'azienda internazionale che invia a destinatari australiani, lo Spam Act si applica a te.
Conformità delle Email a Freddo
La conformità delle email a freddo è un mosaico di regole diverse a seconda di dove si trovano i tuoi destinatari. Fai un errore e ti esporrai a un rischio legale significativo.
Stati Uniti (CAN-SPAM): La giurisdizione più permissiva per le email a freddo B2B. Non è necessario il consenso previo. Devi includere un meccanismo chiaro di opt-out, il tuo indirizzo fisico e informazioni accurate sul mittente. Questo è il motivo per cui la maggior parte degli strumenti e delle strategie di email a freddo provengono da aziende con sede negli USA. Gli Stati Uniti sono l'unico mercato importante in cui le email a freddo B2B sono esplicitamente legali senza consenso previo.
Regno Unito (PECR): Le email a freddo B2B sono consentite secondo il principio del "soft opt-in". Puoi inviare un'email a qualcuno al suo indirizzo aziendale se il messaggio è rilevante per il suo ruolo professionale. Devi includere un chiaro opt-out in ogni messaggio. Le email a freddo B2C richiedono il consenso previo. Dopo la Brexit, il Regno Unito ha il suo regime di protezione dei dati (UK GDPR) che rispecchia da vicino il GDPR dell'UE ma è applicato dall'ICO.
Unione Europea (Direttiva ePrivacy): Questo varia da paese a paese perché ogni Stato membro dell'UE ha implementato la direttiva in modo diverso. La Germania è la più severa, richiedendo il consenso opt-in per praticamente tutte le email commerciali, incluse le B2B. Francia, Italia e Paesi Bassi sono più permissive per il B2B secondo le disposizioni sull'interesse legittimo. La maggior parte dei paesi dell'UE consente le email a freddo B2B con un chiaro opt-out e una legittima ragione commerciale. Il prossimo Regolamento ePrivacy (che è in sviluppo da anni) potrebbe armonizzare queste regole in tutta l'UE.
Canada (CASL): È richiesto il consenso. Puoi usare il consenso implicito da una relazione commerciale esistente, ma la prospezione a freddo con persone con cui non hai mai interagito richiede prima il consenso espresso. Alcuni professionisti sostengono che un'email aziendale pubblicata crei consenso implicito, ma questo non è stato chiaramente testato nell'applicazione. Non mi affiderei a quell'argomento.
Australia (Spam Act): È richiesto il consenso. Nessuna email a freddo senza una relazione precedente. Questa è la principale giurisdizione più restrittiva per la prospezione a freddo.
La conclusione pratica: mantieni liste separate per giurisdizione. Etichetta ogni iscritto con il suo paese. Applica le regole della sua giurisdizione, non le tue. In caso di dubbio, applica lo standard più severo. Strumenti come Instantly, Lemlist e Apollo ti consentono di filtrare i prospect per paese, rendendo la conformità basata sulla giurisdizione gestibile su scala.
Gestione Pratica del Consenso
La teoria è una cosa. Implementare la raccolta del consenso conforme su scala è un'altra.
Il double opt-in rimane il gold standard. Qualcuno si iscrive, riceve un'email di conferma e clicca su un link per verificare la propria iscrizione. Questo ti dà una prova chiara e documentata del consenso ed elimina iscrizioni false, errori di battitura e trappole spam. Sì, perderai il 15-20% delle iscrizioni che non confermano. Quelle persone comunque non sarebbero state iscritti coinvolti.
Le email di consenso personalizzate ottengono circa il 15% in più di opt-in rispetto a quelle generiche. Includere il nome dell'iscritto, fare riferimento a ciò per cui si è iscritto e spiegare cosa riceverà rende più probabile che clicchi su quel pulsante di conferma.
I promemoria periodici del consenso aumentano i tassi di consenso del 25%. Se qualcuno non ha confermato dopo 24 ore, invia un promemoria. Se non ha confermato dopo 72 ore, inviane un altro. Dopo di che, lascia perdere. Tre tentativi è il punto ottimale. Più di questo comincia a sembrare aggressivo.
Per le organizzazioni che gestiscono il consenso in più giurisdizioni e linee di prodotto, una piattaforma di gestione del consenso (CMP) vale l'investimento. Strumenti come OneTrust, Cookiebot o TrustArc automatizzano la raccolta del consenso, mantengono le piste di controllo e gestiscono la complessità di diverse normative in diversi mercati.
Ann Handley sottolinea che rispettare i dati del pubblico non è solo un obbligo legale, è un vantaggio competitivo. In un mondo in cui i consumatori sono sempre più consapevoli di come vengono utilizzati i loro dati, i brand che trattano i dati con cura guadagnano fiducia. La fiducia guadagna attenzione. L'attenzione guadagna fatturato.
Annullamento dell'Iscrizione con Un Clic (RFC 8058)
Questo è il cambiamento di conformità tecnica più significativo degli ultimi anni.
Google e Yahoo ora richiedono intestazioni List-Unsubscribe per i mittenti in blocco (chiunque invii più di 5.000 email al giorno a indirizzi Gmail o Yahoo). Non è opzionale. Se non includi le intestazioni appropriate, le tue email verranno filtrate sempre più allo spam o rifiutate completamente.
RFC 8058 specifica come funziona l'annullamento dell'iscrizione con un clic. L'email include due intestazioni: List-Unsubscribe (contenente un URL HTTPS e/o un indirizzo mailto) e List-Unsubscribe-Post (contenente List-Unsubscribe=One-Click). Quando un destinatario clicca su annulla iscrizione nel suo client di posta, viene inviata una singola richiesta POST all'URL. Nessuna landing page richiesta. Nessun passaggio aggiuntivo. Nessuna conferma "sei sicuro?".
Devi rispettare l'annullamento dell'iscrizione entro 2 giorni. Non 10 giorni lavorativi come il requisito generale di CAN-SPAM. Due giorni per l'annullamento dell'iscrizione con un clic.
La buona notizia è che la maggior parte degli ESP ora gestisce questo automaticamente. Klaviyo, Mailchimp, ActiveCampaign, Brevo e altri includono le intestazioni corrette per impostazione predefinita. Se stai usando un'infrastruttura di invio personalizzata, dovrai implementare le intestazioni da solo. L'implementazione è semplice ma deve essere testata accuratamente.
Se non sei sicuro che le tue email includano le intestazioni corrette, controlla. Inviati un'email di test, visualizza il codice sorgente grezzo del messaggio e cerca le intestazioni List-Unsubscribe e List-Unsubscribe-Post. Se mancano, parla con il tuo ESP o con il tuo team di sviluppo.
Una sfumatura importante: l'annullamento dell'iscrizione con un clic dovrebbe annullare l'iscrizione dalla lista di mailing specifica, non necessariamente da tutte le tue comunicazioni. Se qualcuno annulla l'iscrizione alle tue email promozionali tramite un clic, dovrebbe comunque ricevere le sue email transazionali (conferme d'ordine, ricevute, aggiornamenti di spedizione). Configura il tuo endpoint di annullamento dell'iscrizione per gestire correttamente questa distinzione.
Privacy e Gestione dei Dati
Oltre alla conformità con normative specifiche, c'è un principio più ampio: raccogli solo ciò di cui hai bisogno e proteggi ciò che raccogli.
La minimizzazione dei dati non è solo un requisito del GDPR. È una buona pratica. Ogni dato che raccogli è un dato che devi conservare in modo sicuro, mantenere accuratamente ed eliminare quando appropriato. Se stai raccogliendo la data di nascita, il genere, la posizione e la dimensione dell'azienda di un iscritto, chiediti se utilizzi davvero tutti quei dati nella personalizzazione delle email. Se la risposta è no, smetti di raccoglierli. Ogni campo del tuo modulo di iscrizione riduce il tasso di conversione, e ogni dato non utilizzato aumenta la tua responsabilità.
Il consenso ai cookie interagisce con il tracciamento delle email in modi che la maggior parte dei professionisti del marketing non considera. Quando un iscritto clicca dalla tua email al tuo sito web, il tuo sito deposita cookie per analisi e retargeting. Se quell'iscritto è nell'UE e non ha dato il consenso ai cookie sul tuo sito, potresti essere conforme dal lato email ma non conforme dal lato web. Assicurati che il tuo banner di consenso ai cookie gestisca correttamente il traffico proveniente da clic email.
La Mail Privacy Protection (MPP) di Apple ha cambiato fondamentalmente il tracciamento delle aperture. MPP precarica i contenuti dell'email (inclusi i pixel di tracciamento) quando l'email viene consegnata, indipendentemente dal fatto che il destinatario la apra effettivamente. Per gli utenti di Apple Mail, i tuoi tassi di apertura sono artificialmente gonfiati. A seconda del tuo pubblico, il 40-60% della tua lista potrebbe essere composto da utenti di Apple Mail.
Questo non significa che i tassi di apertura siano inutili. Significa che sono meno affidabili di prima. Usa il tasso di clic e il tasso di conversione come principali metriche di coinvolgimento. Usa il tasso di apertura come indicatore direzionale, non come misura precisa. Se il tuo tasso di apertura scende di 15 punti durante la notte, qualcosa probabilmente non va. Ma non ottimizzare per piccole variazioni del tasso di apertura quando una grande parte di quelle aperture sono generate da macchine.
La tendenza alla privacy si muove in una direzione: più protezione, meno tracciamento. Il Regolamento ePrivacy dell'UE, quando arriverà finalmente, probabilmente stringerà ulteriormente le regole. Altre giurisdizioni stanno seguendo l'esempio dell'Europa. Costruisci il tuo programma email attorno ai dati di prima parte (ciò che gli iscritti ti dicono e ciò che fanno sulle tue proprietà) piuttosto che al tracciamento di terze parti. I programmi che si adattano a questa realtà supereranno quelli che vi si oppongono.