Come inviare email conformi al GDPR da WordPress

Come inviare email conformi al GDPR da WordPress (Guida completa)

Aggiornato: Divulgazione del lettore
LinkedIn
Riassumi:ChatGPTPerplexity
Visualizza Markdown

Se il tuo sito WordPress ha visitatori dall'UE, sei soggetto al GDPR, che tu lo sappia o no, e indipendentemente dal fatto che la tua attività abbia sede in Europa o meno.

La maggior parte delle guide sul GDPR e WordPress si concentra sui banner dei cookie e sulle informative sulla privacy. Quelle cose contano, ma c'è un intero lato della conformità che riceve molta meno attenzione: le email che il tuo sito invia.

Ogni volta che WordPress invia un reset della password, una conferma d'ordine WooCommerce o una newsletter, sta elaborando dati personali. Ciò significa che il GDPR si applica.

La buona notizia è che la maggior parte di ciò che devi fare è semplice una volta comprese le regole. Questa guida copre tutto: cosa richiede il GDPR per le email, la differenza tra email transazionali e di marketing, il consenso, la gestione dei dati, la scelta del mailer e la configurazione tecnica che ti mantiene conforme, incluso come configurare WP Mail SMTP per ogni requisito.

Nota: Questo non è un parere legale. La conformità al GDPR dipende dalla tua situazione specifica. Se hai dubbi, parla con un avvocato qualificato.

Breve riepilogo: cosa richiede il GDPR per le email di WordPress

Le email di marketing richiedono un consenso esplicito e attivo di opt-in

Le email transazionali (conferme d'ordine, reset password) non necessitano di consenso — ma mantienile prive di contenuti promozionali

Gli indirizzi email sono dati personali ai sensi del GDPR

È necessario un accordo di elaborazione dati con qualsiasi mailer di terze parti

Le email devono essere inviate tramite connessioni crittografate (TLS)

Devi essere in grado di rispondere alle richieste di cancellazione dati entro un mese

Le violazioni dei dati che interessano dati personali devono essere segnalate alla tua autorità di vigilanza entro 72 ore

Le multe raggiungono i 20 milioni di euro o il 4% del fatturato globale — l'applicazione è attiva e in aumento

Il GDPR si applica alle tue email di WordPress?

Sì, se alcuni visitatori del tuo sito sono residenti nell'UE o nello SEE, il GDPR si applica a come gestisci i loro dati, incluso il loro indirizzo email.

Questo non è limitato alle aziende dell'UE. Un negozio WooCommerce negli Stati Uniti, un sito di appartenenza in Australia, un'azienda di plugin in Canada: se hai clienti UE, il GDPR copre come elabori i loro dati personali.

Un indirizzo email è un dato personale ai sensi del GDPR. Così come un nome. Così come un indirizzo IP. Quando il tuo sito invia un'email a un cliente o a un iscritto, sta elaborando tali dati.

Detto questo, il GDPR non ti impedisce di inviare email. Significa che hai bisogno di una base giuridica per farlo, e le regole differiscono a seconda del tipo di email che stai inviando.

L'applicazione della legge è reale e in aumento. La sola autorità spagnola per la protezione dei dati ha emesso oltre 1.000 multe da quando il GDPR è entrato in vigore, e le violazioni del marketing via email sono un obiettivo costante. Google è stata multata di 50 milioni di euro in Francia per fallimenti nel consenso. Un servizio postale austriaco è stato multato di 9,5 milioni di euro per non aver gestito correttamente le richieste dei diritti degli interessati. Questi non sono casi limite, ma piuttosto il tipo di violazioni che si verificano quando la gestione dei dati non è stata al passo con le regole.

Se sei un proprietario di sito web con sede negli Stati Uniti, vale anche la pena sapere che il GDPR è significativamente più severo del CAN-SPAM, la legge federale degli Stati Uniti che regola le email commerciali. Il CAN-SPAM consente il marketing opt-out (puoi inviare email alle persone finché non si disiscrivono). Il GDPR richiede il consenso opt-in prima dell'invio. Se hai visitatori dall'UE, la sola conformità statunitense non è sufficiente.

I due tipi di email che il tuo sito invia

Il tuo sito WordPress invia due tipi di email fondamentalmente diversi, e il GDPR li tratta in modo diverso.

Email transazionali

Le email transazionali sono attivate da qualcosa che l'utente fa. Conferme d'ordine, notifiche di spedizione, reset password, avvisi account, risposte ai moduli di contatto. Queste email sono attese e gli utenti le desiderano.

Secondo il GDPR, generalmente non è necessario un consenso separato per inviare email transazionali. La base giuridica è o "esecuzione di un contratto" (l'utente ha acquistato qualcosa, quindi stai completando quella transazione) o "legittimo interesse" (l'invio di un reset password è chiaramente nell'interesse dell'utente).

Ma c'è un intoppo. Nel momento in cui aggiungi contenuti promozionali come raccomandazioni di prodotti, codici sconto e sezioni "potrebbe interessarti anche", hai cambiato la natura dell'email e potresti aver bisogno del consenso per quella parte.

L'approccio più sicuro è mantenere le email transazionali strettamente transazionali. Se vuoi fare marketing ai clienti dopo un acquisto, usa un'email separata con il consenso appropriato.

Per uno sguardo più approfondito alle regole relative alle email transazionali, consulta la nostra guida completa alle migliori pratiche GDPR per le email transazionali.

Suggerimento per gli utenti WooCommerce

WooCommerce ha impostazioni GDPR integrate che vale la pena controllare. Vai su WooCommerce > Impostazioni > Account e Privacy per configurare i periodi di conservazione dei dati personali e degli ordini in sospeso, abilitare le richieste di cancellazione dell'account e aggiungere collegamenti all'informativa sulla privacy alle pagine di checkout e registrazione. Gestisci qui il lato WooCommerce della conformità prima di affrontare la configurazione SMTP.

Email di marketing

Le email di marketing sono diverse. Se stai inviando newsletter, campagne promozionali o qualsiasi email il cui scopo principale è vendere o promuovere, hai bisogno del consenso esplicito del destinatario prima di inviarla.

Le caselle pre-selezionate non contano. Il consenso raggruppato (nascondere il permesso di marketing via email all'interno dei termini e delle condizioni) non conta. Il consenso deve essere liberamente dato, specifico e facile da revocare.

Se invii email di marketing a iscritti dell'UE, ottenere il consenso fin dall'inizio è da dove tutto il resto si costruisce.

L'abbonato deve accettare attivamente selezionando una casella non selezionata, non pre-selezionata. Il consenso deve essere specifico per il marketing via email, non sepolto in un accordo generale sulla privacy. E deve essere spiegato chiaramente: da chi si iscrivono per ricevere notizie e che tipo di email riceveranno.

Devi anche essere in grado di dimostrare che il consenso è stato dato. Ciò significa registrare quando è successo, cosa diceva il modulo e dove si è iscritto l'abbonato. Se non puoi produrre registri di consenso durante un audit, è come se il consenso non fosse mai esistito.

Doppio opt-in

Il doppio opt-in non è legalmente richiesto dal GDPR, ma è l'approccio più difendibile. Quando qualcuno si iscrive, riceve un'email di conferma e viene aggiunto alla tua lista solo dopo aver cliccato per confermare. Questo crea una chiara traccia di controllo e filtra gli indirizzi falsi o digitati in modo errato.

La disiscrizione deve essere facile

Il ritiro del consenso deve essere facile come darlo. Ogni email di marketing deve avere un link di disiscrizione funzionante. Quando qualcuno si disiscrive, elabora la richiesta tempestivamente: i ritardi sono sia un rischio di conformità che un problema di fiducia.

Moduli sul tuo sito

Ogni modulo che raccoglie un indirizzo email deve essere chiaro su come verrà utilizzato tale indirizzo. I moduli di contatto e i moduli di iscrizione alla newsletter hanno scopi diversi, quindi necessitano di un linguaggio di consenso diverso.

Modulo di consenso GDPR in WPForms

Se stai usando WPForms, puoi aggiungere un campo di consenso GDPR direttamente a qualsiasi modulo, disabilitare il tracciamento IP e disattivare la raccolta di cookie, tutto dalle impostazioni del modulo, senza bisogno di codice.

E la tua lista email esistente?

Se hai creato la tua lista prima che il GDPR entrasse in vigore nel 2018 (o hai raccolto indirizzi senza un chiaro opt-in) potresti avere un problema. Il consenso raccolto senza un linguaggio standard GDPR (casella non selezionata, chiara spiegazione per cosa si iscrivevano gli abbonati) non conta.

Il percorso più sicuro è una campagna di ri-permesso: invia un'email alla tua lista esistente chiedendo alle persone di ri-accettare attivamente, e rimuovi chiunque non lo faccia. È scomodo perché la tua lista si ridurrà. Ma è meglio di una multa, e le persone che riconfermano sono molto più coinvolte dei contatti legacy che ricordano a malapena di essersi iscritti.

Liste email acquistate

Non usarle. Il consenso GDPR deve essere specifico per la tua organizzazione e le persone che acconsentono a sentire da un'azienda non hanno acconsentito a sentire da te. Non puoi comprare la tua strada verso una mailing list valida secondo il GDPR.

Diritti dell'interessato e tempi di risposta

Secondo il GDPR, i tuoi abbonati e clienti hanno il diritto di accedere, correggere o eliminare i dati che detieni su di loro. Quando qualcuno fa una richiesta, hai un mese per rispondere. Documenta ogni richiesta e come è stata gestita, poiché questo è il tipo di cosa che emerge negli audit.

Cosa conta come dati personali nelle tue email

Secondo il GDPR, i dati personali sono qualsiasi informazione che possa identificare una persona, direttamente o indirettamente. Ai fini dell'email, ciò include:

  • Nomi e indirizzi email
  • Indirizzi IP
  • Cronologia acquisti collegata a un account
  • Dettagli dell'account nel corpo dell'email

Questi dati esistono nei log delle tue email, nel tuo database e potenzialmente sui server del tuo provider di posta elettronica di terze parti. Tutto ciò rientra nel GDPR.

Minimizzazione dei dati

Il principio di minimizzazione dei dati del GDPR significa che dovresti raccogliere ed elaborare solo i dati di cui hai effettivamente bisogno. Se il tuo modulo di contatto non necessita di un numero di telefono, non raccoglierlo. In termini di email, non includere più informazioni personali nei tuoi messaggi rispetto a quanto richiesto dalla transazione. Una conferma d'ordine non ha bisogno di ripetere la cronologia completa dell'account del cliente.

Periodi di conservazione

Non puoi conservare i dati personali a tempo indeterminato. Il GDPR richiede di decidere per quanto tempo conserverai i dati ed eliminarli quando non ti servono più.

Per le liste di email marketing, ciò significa rivedere periodicamente gli iscritti inattivi e rimuovere le persone che non interagiscono da molto tempo. Per i log delle email, significa non conservarli più a lungo del necessario per i tuoi scopi aziendali. (Maggiori informazioni nella sezione sui log delle email qui sotto.)

Scelta di un mailer conforme al GDPR

Questo è l'aspetto che la maggior parte dei proprietari di siti WordPress trascura. Quando invii email tramite un servizio esterno come SendLayer, Amazon SES, Mailgun, Gmail o qualsiasi altro provider SMTP, stai condividendo dati personali con una terza parte.

Ai sensi del GDPR, se trasferisci dati personali a una terza parte per l'elaborazione, è necessario disporre di un accordo di elaborazione dei dati (DPA) con loro. Un DPA è un contratto che stabilisce come la terza parte gestirà tali dati, quali misure di sicurezza hanno in atto e cosa accade in caso di violazione.

La maggior parte dei provider di servizi email affidabili offre DPA, solitamente nella loro documentazione sulla privacy o legale. Se un provider non ne offre uno, è un segnale d'allarme da prendere sul serio.

Dove vengono archiviati i dati?

Se i tuoi dati email sono archiviati su server al di fuori dell'UE o del Regno Unito, il trasferimento deve essere legalmente coperto. Alcuni provider dispongono di data center nell'UE a cui puoi scegliere di aderire. Altri si affidano a Clausole Contrattuali Standard (SCC) per legittimare i trasferimenti di dati. Verifica le opzioni di residenza dei dati del tuo provider se questa è una preoccupazione per i tuoi utenti.

Quali provider di posta elettronica conservano i log?

Molti provider di posta elettronica esterni conservano log delle email inviate tramite il loro servizio. Questi log contengono dati personali. Ai sensi del diritto alla cancellazione del GDPR, se un utente ti chiede di eliminare i propri dati, devi essere in grado di gestirlo su ogni sistema, compreso il tuo provider di posta elettronica.

Sapere quali dei tuoi provider di posta elettronica conservano i log e come eliminarli se necessario. La nostra documentazione sulla conformità GDPR di WP Mail SMTP copre i principali provider e il loro comportamento di logging.

Requisiti tecnici: crittografia, autenticazione e notifica delle violazioni

Il GDPR richiede che i dati personali siano mantenuti sicuri, anche quando sono in transito. Per le email, ciò significa due cose.

Crittografia TLS

Le tue email dovrebbero essere inviate tramite connessioni TLS (Transport Layer Security). Questo crittografa l'email in transito in modo che non possa essere intercettata.

La funzione predefinita wp_mail() di WordPress non garantisce la crittografia TLS. Quando utilizzi WP Mail SMTP con un provider di posta elettronica affidabile, le email vengono inviate tramite connessioni sicure e crittografate per impostazione predefinita.

Autenticazione email: SPF, DKIM e DMARC

L'autenticazione delle email non è solo una funzionalità di recapito, ma anche di sicurezza e conformità. Questi tre protocolli verificano che le email che affermano di provenire dal tuo dominio provengano effettivamente da te, proteggendo il tuo dominio dallo spoofing.

  • SPF indica ai server di posta riceventi quali server sono autorizzati a inviare email per conto del tuo dominio.
  • DKIM aggiunge una firma crittografica a ogni email, dimostrando che non è stata alterata durante il transito.
  • DMARC imposta una policy su cosa succede quando le email non superano i controlli SPF o DKIM e ti invia report in modo da poter monitorare cosa viene inviato a tuo nome.

Senza un'autenticazione adeguata, qualcuno potrebbe inviare email che sembrano provenire dal tuo dominio, effettuando phishing ai tuoi clienti usando il tuo brand. Questa è una violazione della sicurezza e una potenziale violazione del GDPR, perché mette a rischio i dati dei tuoi utenti.

Verifica record DMARC

Per una guida completa all'impostazione, consulta la nostra guida a DMARC, SPF e DKIM.

Notifica di violazione dei dati

Se il tuo sistema di posta elettronica viene compromesso ed esposti dati personali, il GDPR ti impone di notificare la tua autorità di vigilanza nazionale entro 72 ore dalla consapevolezza della violazione. Se la violazione è suscettibile di causare un rischio elevato per le persone interessate, devi anche notificarle direttamente.

Ecco perché la sicurezza tecnica non è facoltativa. Autenticazione debole, connessioni non crittografate e plugin obsoleti creano responsabilità, non solo problemi di recapito. Mantieni aggiornati WP Mail SMTP e il tuo provider di posta elettronica scelto, e usa il test email integrato per verificare che la tua autenticazione funzioni correttamente.

Perché l'email predefinita di WordPress fallisce su entrambi i fronti

WordPress utilizza per impostazione predefinita la funzione mail() di PHP. Questa invia email direttamente dal tuo server web, senza autenticazione garantita e spesso senza TLS. Le email inviate in questo modo non arrivano più spesso di quanto si pensi, il che significa che le tue email transazionali legalmente richieste (reset password, ordini WooCommerce) potrebbero non raggiungere mai i tuoi utenti.

WP Mail SMTP sostituisce questo con una connessione SMTP adeguata tramite il tuo provider di posta elettronica scelto, con crittografia e autenticazione configurate correttamente.

Correggi subito le tue email WordPress

Log delle email e diritto alla cancellazione

Il GDPR conferisce alle persone il diritto di far cancellare i propri dati personali: il "diritto all'oblio".

Se un utente richiede la cancellazione dei propri dati, è necessario gestirla in tutta la configurazione della posta elettronica:

  • Il tuo database WordPress (account cliente, inserimenti moduli, record ordini)
  • La tua lista di email marketing
  • Log delle email memorizzati da WP Mail SMTP
  • Log conservati dal tuo servizio di posta elettronica

WP Mail SMTP Pro include un registro email che registra cosa è stato inviato, quando e a chi. Questo è utile per la documentazione di conformità in quanto crea una traccia di controllo, ma significa anche che è necessaria una policy di conservazione per i dati del registro stessi.

Puoi configurare WP Mail SMTP per eliminare automaticamente i log dopo un certo periodo, o eliminare manualmente i record durante la gestione delle singole richieste di cancellazione.

Come configurare WP Mail SMTP per la conformità al GDPR

Ecco una guida passo passo alle impostazioni di WP Mail SMTP che contano per la conformità al GDPR.

I passaggi 1 e 2 di seguito per collegare un provider di posta e inviare un'e-mail di prova sono disponibili nella versione gratuita di WP Mail SMTP. I passaggi da 3 a 6 (registrazione delle e-mail, eliminazione dei dati, controlli delle e-mail e routing intelligente) richiedono WP Mail SMTP Pro.

Ottieni WP Mail SMTP Pro

Passaggio 1: Collega un provider di posta conforme al GDPR

Se stai ancora utilizzando la posta PHP predefinita di WordPress, il primo passo è collegare un provider di posta appropriato. WP Mail SMTP supporta tutti i principali provider: SendLayer, Amazon SES, Mailgun, Brevo, Gmail, Outlook e altri.

Dal tuo pannello di controllo WordPress, vai su WP Mail SMTP > Impostazioni > Generali.

Scelta di un mailer conforme al GDPR

Sotto Connessione primaria, seleziona il tuo provider di posta e segui i passaggi di configurazione. Ogni provider si collega tramite API o credenziali SMTP, e WP Mail SMTP ti guida attraverso il processo.

Una volta connessa, le tue e-mail passeranno attraverso una connessione SMTP appropriata e autenticata invece che tramite la posta PHP.

Prima di scegliere il tuo provider di posta: Verifica che il tuo provider offra un accordo di elaborazione dei dati. La maggior parte dei principali provider (SendLayer, Amazon SES, Mailgun, Brevo) lo fa. Se stai utilizzando Gmail o Google Workspace, si applicano i termini di elaborazione dei dati di Google.

Passaggio 2: Invia un'e-mail di prova e verifica la tua configurazione

Dopo aver collegato il tuo provider di posta, vai su WP Mail SMTP > Strumenti > Test e-mail e invia una prova al tuo indirizzo e-mail.

scheda email di prova

Verifica che l'e-mail arrivi, quindi apri le intestazioni dell'e-mail (in Gmail: tre puntini > Mostra originale; in Outlook: File > Proprietà) e cerca:

  • DKIM-Signature — conferma che DKIM sta passando
  • spf=pass — conferma che SPF sta passando
  • dmarc=pass — conferma che DMARC sta passando

Se uno di questi manca o non supera il test, la pagina dei risultati del Test e-mail di WP Mail SMTP segnalerà il problema e ti dirà cosa correggere.

Passaggio 3: Configura la registrazione delle e-mail

Funzionalità di WP Mail SMTP Pro. La registrazione delle e-mail è disponibile nei piani Pro e superiori. Aggiorna a Pro →

Il registro e-mail di WP Mail SMTP Pro ti fornisce un record completo di ogni e-mail inviata dal tuo sito, essenziale per la documentazione di conformità.

Vai su WP Mail SMTP > Registro e-mail per visualizzare il registro. Da WP Mail SMTP > Impostazioni > Registri, puoi configurare:

  • Registra e-mail — attiva per iniziare la registrazione
  • Registra contenuto e-mail — registra il corpo completo dell'e-mail (utile per la conformità, ma considera i tuoi obblighi di minimizzazione dei dati)
  • Periodo di conservazione — imposta per quanti giorni vengono conservati i registri prima dell'eliminazione automatica
log email di WP Mail SMTP

Imposta un periodo di conservazione che rifletta le tue reali esigenze aziendali. Conservare i registri a tempo indeterminato non è conforme: scegli un periodo, documentalo nella tua informativa sulla privacy e attieniti ad esso.

Passaggio 4: Gestisci le richieste di eliminazione dei dati

Richiede la registrazione delle e-mail (Pro). Puoi cercare ed eliminare i record delle e-mail solo se la registrazione è abilitata.

Quando un utente esercita il proprio diritto all'oblio, dovrai eliminare i suoi record e-mail dal registro di WP Mail SMTP.

In WP Mail SMTP > Registro email, cerca l'indirizzo email dell'utente, seleziona i relativi record e utilizza l'opzione di eliminazione in blocco per rimuoverli.

Elimina in blocco i log delle email

Assicurati di gestire l'eliminazione anche a livello del tuo provider di posta. Controlla la documentazione del tuo provider per sapere come eliminare i record delle email inviate.

Passaggio 5: Rivedi i controlli delle tue email

Funzionalità di WP Mail SMTP Pro. I Controlli email sono disponibili nei piani Pro e superiori. Aggiorna a Pro →

La funzionalità Controlli email di WP Mail SMTP Pro ti consente di gestire quali tipi di email WordPress invia dal tuo sito e tramite quale connessione.

Vai su WP Mail SMTP > Impostazioni > Controlli email per vedere un elenco dei tipi di email per plugin e core di WordPress: email degli ordini di WooCommerce, notifiche dei commenti, registrazione utente e altro ancora.

Controlli email

Questo è utile per la conformità in due modi:

  1. Puoi disabilitare i tipi di email di cui il tuo sito non ha bisogno (minimizzazione dei dati, ad es. se non stai utilizzando una funzionalità, non inviare le sue email).
  2. Puoi instradare diversi tipi di email attraverso diversi provider, ad esempio, le email transazionali di WooCommerce tramite SendLayer e le notifiche separate dell'account tramite una connessione diversa.

Passaggio 6: Imposta una connessione di backup

Funzionalità di WP Mail SMTP Pro. Lo Smart Routing e le connessioni di backup sono disponibili nei piani Pro e superiori. Aggiorna a Pro →

Lo Smart Routing di WP Mail SMTP Pro ti consente di impostare una connessione di backup che si attiva automaticamente se il tuo provider principale non funziona. Questo è importante per il GDPR perché se l'email di reimpostazione della password non arriva, gli utenti non possono accedere al proprio account, e questo è un fallimento del servizio con implicazioni sulla privacy.

Vai su WP Mail SMTP > Impostazioni > Connessioni per aggiungere una connessione di backup e configurare lo Smart Routing.

Impostazione di una connessione di backup WP Mail SMTP

Passaggio 7: Controlla la documentazione GDPR del tuo provider di posta

Una volta connesso il tuo provider di posta, prenditi 10 minuti per individuare e rivedere la sua documentazione GDPR/DPA. Devi confermare:

  • È disponibile un accordo di elaborazione dei dati (e accettalo se richiesto)
  • Sai dove vengono archiviati i dati e se escono dall'UE/Regno Unito
  • Comprendi le sue impostazioni di conservazione dei log e come eliminare i log se necessario

I provider più diffusi e dove trovare la loro documentazione DPA:

ProviderDocumentazione DPA
SendLayerDisponibile nella loro documentazione sulla privacy
Amazon SESAddendum all'elaborazione dei dati AWS
MailgunDisponibile nei termini legali di Sinch/Mailgun
BrevoDisponibile nella loro documentazione GDPR
Google WorkspaceDPA di Google Workspace (accettato automaticamente con i termini di Workspace)

Checklist di conformità delle email al GDPR

Usa questo per controllare la tua configurazione attuale.

Consenso e liste

  • ☐ Le email di marketing vanno solo a persone che hanno dato il consenso attivo
  • ☐ I registri del consenso sono archiviati (quando, dove, a cosa hanno acconsentito)
  • ☐ Ogni email di marketing ha un link di annullamento dell'iscrizione funzionante
  • ☐ Le richieste di annullamento dell'iscrizione vengono elaborate tempestivamente
  • ☐ Gli iscritti inattivi vengono rivisti periodicamente

Gestione dei dati

  • ☐ L'informativa sulla privacy è aggiornata e collegata nelle tue email
  • ☐ Raccogli solo i campi dati di cui hai effettivamente bisogno
  • ☐ Hai una politica di conservazione dei dati definita e la segui
  • ☐ Puoi rispondere alle richieste di accesso e cancellazione dei dati entro un mese

Configurazione tecnica

  • ☐ Le email di WordPress passano attraverso WP Mail SMTP (non PHP mail)
  • ☐ Le email vengono inviate tramite crittografia TLS
  • ☐ I record SPF, DKIM e DMARC sono impostati e superati
  • ☐ La conservazione dei log delle email è configurata in WP Mail SMTP
  • ☐ Sai quali provider di posta elettronica conservano i log e come eliminare i record

Provider di posta elettronica di terze parti

  • ☐ Hai un DPA con il tuo fornitore di servizi di posta elettronica
  • ☐ Sai dove il tuo provider di posta elettronica archivia i dati e se questi lasciano l'UE/Regno Unito
Ottieni WP Mail SMTP

FAQ

Il GDPR si applica se non ho sede nell'UE?

Sì. Se hai visitatori o clienti residenti nell'UE o nello SEE, il GDPR si applica a come gestisci i loro dati, indipendentemente da dove si trova la tua attività.

No, di solito no. Le email transazionali come conferme d'ordine, reset password e notifiche di spedizione sono coperte da "interesse legittimo" o "esecuzione di un contratto". Non hai bisogno di un consenso separato per il marketing per queste. Ma mantienile strettamente transazionali perché l'aggiunta di contenuti promozionali cambia la situazione.

Un indirizzo email è un dato personale secondo il GDPR?

Sì. Un indirizzo email che può identificare un individuo è un dato personale. Lo stesso vale per un nome, un indirizzo IP e qualsiasi cronologia degli acquisti associata a un account.

Cos'è un accordo di elaborazione dei dati?

Un DPA è un contratto tra te e qualsiasi terza parte che elabora dati personali per tuo conto. Se utilizzi un servizio SMTP esterno o una piattaforma di posta elettronica per inviare email, hai bisogno di un DPA con loro. La maggior parte dei provider affidabili offre questi accordi nella loro documentazione legale o sulla privacy.

WP Mail SMTP memorizza dati personali sui server di Awesome Motive?

No. WP Mail SMTP memorizza tutti i dati del plugin sul tuo sito. Awesome Motive non detiene i tuoi dati di posta elettronica.

Cosa succede se non rispetto il GDPR?

Le multe possono raggiungere i 20 milioni di euro o il 4% del fatturato annuo globale, a seconda di quale sia maggiore. In pratica, l'applicazione inizia tipicamente con un avvertimento o un rimprovero prima di passare a sanzioni finanziarie. Il rischio più immediato per la maggior parte delle piccole imprese è il danno alla fiducia dei clienti.

Non strettamente necessario per le email puramente transazionali, poiché non vengono inviate sulla base del consenso. Si raccomanda di includere un link alla tua informativa sulla privacy in tutti i piè di pagina delle email.

Posso usare Gmail come mio gestore di posta WordPress?

Sì, ma controlla i termini di elaborazione dei dati di Google se hai utenti UE. Gmail e Google Workspace elaborano i dati sui server di Google. Per l'invio di grandi volumi, un servizio di email transazionali dedicato come SendLayer è più affidabile e più facile da documentare secondo il GDPR.

Il GDPR si applica alle email B2B?

Sì. Gli indirizzi email di lavoro come [email protected] identificano un individuo, quindi contano come dati personali. Le regole sono leggermente più sfumate per il B2B. L'interesse legittimo è più difendibile quando si inviano email a contatti aziendali su prodotti o servizi pertinenti, ma il consenso è ancora l'approccio più sicuro. In caso di dubbio, ottieni un opt-in esplicito.

Posso usare una lista email acquistata?

No. Il consenso GDPR deve essere specifico per la tua organizzazione e le persone che acconsentono a ricevere email da un'altra azienda non hanno acconsentito a ricevere email da te. Non puoi acquistare una lista di distribuzione valida secondo il GDPR.

Cosa devo fare con una vecchia lista email raccolta prima del GDPR?

Se la tua lista è stata creata senza un consenso conforme agli standard GDPR (casella di opt-in non selezionata, spiegazione chiara per cosa le persone si stavano iscrivendo), ti trovi in un territorio incerto. L'opzione più sicura è una campagna di ri-permesso: invia un'email alla lista spiegando cosa invii e chiedendo alle persone di riattivare attivamente l'iscrizione, quindi rimuovi chiunque non risponda. La tua lista si ridurrà, ma i contatti rimanenti saranno conformi e significativamente più coinvolti.

Qual è la differenza tra GDPR e CAN-SPAM?

CAN-SPAM è la legge federale degli Stati Uniti che regola le email commerciali. Permette il marketing opt-out: puoi inviare finché qualcuno non ti chiede di smettere. Il GDPR richiede il consenso opt-in prima di inviare la prima email di marketing. Se hai visitatori UE, la sola conformità USA non è sufficiente. Il GDPR si applica in aggiunta.

Cosa succede se il mio provider di posta elettronica viene hackerato?

Se una violazione espone dati personali, il GDPR richiede di notificare la tua autorità di vigilanza nazionale entro 72 ore. Se c'è un rischio elevato per le persone interessate, devi notificare anche loro direttamente. Questo è il motivo per cui mantenere aggiornato il tuo plugin e il tuo gestore di posta, e avere un DPA in atto con il tuo provider, è importante: il DPA dovrebbe definire gli obblighi di ciascuna parte in caso di violazione.

Questa guida copre il lato dell'invio di email della conformità GDPR. Per la completa conformità GDPR di WordPress, inclusi cookie, analytics e informative sulla privacy, consulta la guida definitiva di WPBeginner alla conformità di WordPress e GDPR.

Successivamente, Massimizza la tua deliverability delle email

Rendere le tue email conformi al GDPR è una metà del quadro. L'altra metà è assicurarsi che raggiungano effettivamente la casella di posta. La stessa configurazione tecnica che protegge la tua conformità (autenticazione corretta, un provider di posta affidabile, connessioni crittografate) ha anche un grande impatto sul fatto che le tue email finiscano nella casella di posta o nella cartella spam. Se vuoi approfondire, la nostra guida alle migliori pratiche per la recapitalità delle email di WordPress copre tutto, dalla reputazione del mittente e l'igiene delle liste alla segmentazione e ai sottodomini.

Pronto a risolvere i tuoi problemi di posta elettronica? Inizia oggi stesso con il miglior plugin SMTP per WordPress. Se non hai tempo per risolvere i tuoi problemi di posta elettronica, puoi ottenere assistenza completa per la configurazione White Glove come acquisto aggiuntivo, e c'è una garanzia di rimborso di 14 giorni per tutti i piani a pagamento.

Se questo articolo ti è stato d'aiuto, seguici su Facebook e Twitter per altri suggerimenti e tutorial su WordPress.

Disclosure: Il nostro contenuto è supportato dai lettori. Ciò significa che se fai clic su alcuni dei nostri link, potremmo guadagnare una commissione. Scopri come WPForms è finanziato, perché è importante e come puoi supportarci.

Rachel Adnyana

Rachel scrive di WordPress da un decennio e costruisce siti web da molto più tempo. Oltre allo sviluppo web, è affascinata dall'arte e dalla scienza della SEO e del marketing digitale. Scopri di più

Prova il nostro plugin gratuito WP Mail SMTP

Utilizza il tuo provider SMTP preferito per inviare in modo affidabile le tue email WordPress.