Busta blu con l'icona di uno scudo sul lato destro, accanto al titolo «Come inviare e-mail conformi al GDPR da WordPress» su uno sfondo azzurro (immagine di copertina).

Come inviare e-mail conformi al GDPR da WordPress (Guida completa)

Aggiornato: Divulgazione dei lettori
LinkedIn
Riassumere:ChatGPTPerplessità

Se il tuo sito WordPress ha visitatori provenienti dall'UE, sei soggetto al GDPR, che tu lo sappia o meno e indipendentemente dal fatto che la tua attività abbia sede in Europa o meno.

La maggior parte delle guide sul GDPR e su WordPress si concentra sui banner relativi ai cookie e sulle informative sulla privacy. Questi aspetti sono importanti, ma c'è un intero aspetto della conformità che riceve molta meno attenzione: le e-mail inviate dal tuo sito.

Ogni volta che WordPress invia una richiesta di reimpostazione della password, una conferma d'ordine di WooCommerce o una newsletter, sta trattando dati personali. Ciò significa che si applica il GDPR.

La buona notizia è che, una volta comprese le regole, la maggior parte delle operazioni da eseguire è piuttosto semplice. Questa guida tratta tutti gli aspetti: i requisiti del GDPR in materia di e-mail, la differenza tra e-mail transazionali e di marketing, il consenso, il trattamento dei dati, la scelta del servizio di invio e-mail e la configurazione tecnica necessaria per garantire la conformità, compreso come configurare WP Mail SMTP per soddisfare ogni requisito.

Nota: il presente documento non costituisce un parere legale. La conformità al GDPR dipende dalla tua situazione specifica. In caso di dubbi, rivolgiti a un avvocato qualificato.

Breve sintesi: cosa prevede il GDPR per le e-mail su WordPress

Le e-mail di marketing richiedono un consenso esplicito e attivo

Le e-mail transazionali (conferme d'ordine, reimpostazione della password) non richiedono il consenso, ma assicurati che non contengano contenuti promozionali

Gli indirizzi e-mail sono dati personali ai sensi del GDPR

È necessario stipulare un accordo sul trattamento dei dati con qualsiasi fornitore di servizi di posta elettronica esterno

Le e-mail devono essere inviate tramite connessioni crittografate (TLS)

È necessario rispondere alle richieste di cancellazione dei dati entro un mese

Le violazioni che riguardano i dati personali devono essere segnalate all'autorità di controllo competente entro 72 ore

Le sanzioni raggiungono i 20 milioni di euro o il 4% del fatturato globale: l'applicazione delle norme è rigorosa e in aumento

Il GDPR si applica alle tue e-mail di WordPress?

Sì, se alcuni dei visitatori del tuo sito sono residenti nell'UE o nel SEE, il GDPR si applica al modo in cui tratti i loro dati, compreso il loro indirizzo e-mail.

Questo non vale solo per le aziende dell'UE. Che si tratti di un negozio WooCommerce negli Stati Uniti, di un sito a iscrizione in Australia o di un'azienda produttrice di plugin in Canada: se hai clienti nell'UE, il GDPR disciplina il modo in cui tratti i loro dati personali.

Un indirizzo e-mail è un dato personale ai sensi del GDPR. Lo stesso vale per un nome. E lo stesso vale per un indirizzo IP. Quando il tuo sito invia un'e-mail a un cliente o a un iscritto, sta trattando tali dati.

Detto questo, il GDPR non ti impedisce di inviare e-mail. Significa semplicemente che devi disporre di una base giuridica per farlo, e le norme variano a seconda del tipo di e-mail che invii.

I provvedimenti sanzionatori sono una realtà e stanno aumentando. La sola autorità spagnola per la protezione dei dati ha comminato oltre 1.000 sanzioni dall’entrata in vigore del GDPR, e le violazioni nell’ambito dell’email marketing sono un bersaglio ricorrente. Google è stata multata di 50 milioni di euro in Francia per carenze relative al consenso. Un servizio postale austriaco è stato multato di 9,5 milioni di euro per non aver gestito correttamente le richieste relative ai diritti degli interessati. Non si tratta di casi isolati, ma piuttosto del tipo di violazioni che si verificano quando il trattamento dei dati non è al passo con le norme.

Se sei il proprietario di un sito con sede negli Stati Uniti, è bene sapere che il GDPR è notevolmente più rigoroso rispetto al CAN-SPAM, la legge federale statunitense che disciplina la posta elettronica commerciale. Il CAN-SPAM consente il marketing di tipo «opt-out» (è possibile inviare e-mail agli utenti finché non si cancellano dalla mailing list). Il GDPR richiede invece il consenso esplicito («opt-in») prima dell'invio. Se hai visitatori provenienti dall'UE, la conformità alle norme statunitensi non è sufficiente.

I due tipi di e-mail inviate dal tuo sito

Il tuo sito WordPress invia due tipi di e-mail sostanzialmente diversi, e il GDPR li tratta in modo diverso.

Email transazionali

Le e-mail transazionali vengono inviate in seguito a un'azione compiuta dall'utente. Conferme d'ordine, notifiche di spedizione, reimpostazione della password, avvisi relativi all'account, risposte ai moduli di contatto. Queste e-mail sono attese e gli utenti le desiderano.

Ai sensi del GDPR, in genere non è necessario ottenere un consenso specifico per inviare e-mail transazionali. La base giuridica è rappresentata dall’«esecuzione di un contratto» (l’utente ha effettuato un acquisto, quindi si sta portando a termine tale transazione) oppure dall’«interesse legittimo» (l’invio di un link per reimpostare la password è chiaramente nell’interesse dell’utente).

Ma c'è un problema. Nel momento in cui si aggiungono contenuti promozionali come consigli sui prodotti, codici sconto e sezioni del tipo "potrebbe interessarti anche", si modifica la natura dell'e-mail e potrebbe essere necessario ottenere il consenso per quella parte.

L'approccio più sicuro consiste nel limitare le e-mail transazionali esclusivamente alle operazioni commerciali. Se desideri inviare comunicazioni di marketing ai clienti dopo un acquisto, utilizza un'e-mail separata, previa acquisizione del consenso appropriato.

Per approfondire le norme relative alle e-mail transazionali, consulta la nostra guida completa alle migliori pratiche GDPR per le e-mail transazionali.

Consiglio per gli utenti di WooCommerce

WooCommerce dispone di impostazioni GDPR integrate che vale la pena controllare. Vai su WooCommerce > Impostazioni > Account e privacy per configurare i periodi di conservazione dei dati personali e degli ordini in sospeso, abilitare le richieste di cancellazione degli account e aggiungere i link all'informativa sulla privacy nelle pagine di checkout e di registrazione. Occupati qui degli aspetti relativi a WooCommerce prima di passare alla configurazione SMTP.

Email di marketing

Le e-mail di marketing sono un caso a parte. Se invii newsletter, campagne promozionali o qualsiasi altra e-mail il cui scopo principale sia vendere o promuovere, devi ottenere il consenso esplicito del destinatario prima di inviarla.

Le caselle preselezionate non sono valide. Il consenso in blocco (ovvero nascondere l'autorizzazione all'invio di e-mail di marketing all'interno dei termini e delle condizioni) non è valido. Il consenso deve essere prestato liberamente, essere specifico e facile da revocare.

Se invii e-mail di marketing a destinatari residenti nell'UE, ottenere il consenso fin dall'inizio è il punto di partenza su cui si basa tutto il resto.

L'utente deve dare il proprio consenso in modo attivo, selezionando una casella non preselezionata, non una già spuntata. Il consenso deve riguardare specificatamente l'email marketing e non essere nascosto in un accordo generale sulla privacy. Inoltre, deve essere spiegato chiaramente: da chi riceverà comunicazioni e che tipo di email riceverà.

Devi inoltre essere in grado di dimostrare che il consenso è stato prestato. Ciò significa documentare quando è avvenuto, cosa riportava il modulo e dove l'iscritto ha apposto la propria firma. Se durante una verifica non sei in grado di esibire la documentazione relativa al consenso, è come se il consenso non fosse mai esistito.

Doppia conferma

Il doppio opt-in non è obbligatorio per legge ai sensi del GDPR, ma rappresenta l'approccio più sicuro. Quando un utente si iscrive, riceve un'e-mail di conferma e viene aggiunto alla tua lista solo dopo aver cliccato per confermare. Questo crea una chiara traccia di controllo ed elimina gli indirizzi falsi o digitati erroneamente.

Disiscriversi deve essere facile

Revocare il consenso deve essere facile quanto darlo. Ogni e-mail di marketing deve contenere un link di cancellazione funzionante. Quando qualcuno si cancella, occorre gestire la richiesta tempestivamente: i ritardi rappresentano sia un rischio in termini di conformità che un problema di fiducia.

Moduli sul tuo sito

Ogni modulo che richiede l'inserimento di un indirizzo e-mail deve indicare chiaramente a quale scopo verrà utilizzato tale indirizzo. I moduli di contatto e quelli per l'iscrizione alla newsletter hanno finalità diverse, pertanto richiedono formulazioni diverse per il consenso.

Modulo di consenso GDPR in WPForms

Se utilizzi WPForms, puoi aggiungere un campo per il consenso ai sensi del GDPR direttamente a qualsiasi modulo, disattivare il tracciamento dell'IP e disabilitare la raccolta dei cookie, il tutto dalle impostazioni del modulo, senza bisogno di scrivere codice.

E la tua mailing list attuale?

Se hai creato la tua lista prima dell'entrata in vigore del GDPR nel 2018 (o hai raccolto indirizzi senza un chiaro consenso esplicito), potresti trovarti in difficoltà. Il consenso raccolto senza utilizzare la formulazione prevista dal GDPR (casella non spuntata, spiegazione chiara di ciò a cui gli iscritti stavano acconsentendo) non è valido.

La soluzione più sicura è una campagna di riconferma del consenso: invia un'e-mail alla tua lista esistente chiedendo alle persone di riconfermare attivamente il proprio consenso e rimuovi chiunque non lo faccia. È una situazione spiacevole perché la tua lista si ridurrà. Ma è meglio che ricevere una multa, e le persone che riconfermano il consenso sono molto più coinvolte rispetto ai contatti storici che ricordano a malapena di essersi iscritti.

Elenchi di indirizzi e-mail acquistati

Non utilizzarle. Il consenso ai sensi del GDPR deve essere specifico per la tua organizzazione e chi acconsente a ricevere comunicazioni da un’altra azienda non ha dato il proprio consenso a ricevere comunicazioni da te. Non è possibile ottenere una mailing list valida a pagamento ai sensi del GDPR.

Diritti degli interessati e tempi di risposta

Ai sensi del GDPR, i tuoi iscritti e clienti hanno il diritto di accedere, rettificare o cancellare i dati che li riguardano in tuo possesso. Quando qualcuno presenta una richiesta, hai un mese di tempo per rispondere. Documenta ogni richiesta e le modalità con cui è stata gestita, poiché si tratta di aspetti che vengono solitamente esaminati durante gli audit.

Cosa si intende per "dati personali" nelle tue e-mail

Ai sensi del GDPR, per «dati personali» si intende qualsiasi informazione che consenta di identificare una persona, direttamente o indirettamente. Per quanto riguarda le e-mail, ciò include:

  • Nomi e indirizzi e-mail
  • Indirizzi IP
  • Cronologia degli acquisti associata a un account
  • Dettagli dell'account nel corpo dell'e-mail

Questi dati sono presenti nei registri delle tue e-mail, nel tuo database e, potenzialmente, nei server del tuo servizio di posta elettronica di terze parti. Tutti questi dati rientrano nell'ambito di applicazione del GDPR.

Riduzione al minimo dei dati

Il principio di minimizzazione dei dati previsto dal GDPR implica che dovresti raccogliere e trattare solo i dati di cui hai effettivamente bisogno. Se il tuo modulo di contatto non richiede il numero di telefono, non richiederlo. Per quanto riguarda le e-mail, non includere nei tuoi messaggi più informazioni personali di quelle necessarie per la transazione. Una conferma d'ordine non deve riportare l'intera cronologia dell'account del cliente.

Periodi di conservazione

Non è possibile conservare i dati personali a tempo indeterminato. Il GDPR impone di stabilire per quanto tempo conservare i dati e di cancellarli quando non sono più necessari.

Per quanto riguarda le liste di email marketing, ciò significa controllare periodicamente gli iscritti inattivi ed eliminare coloro che non interagiscono da molto tempo. Per quanto riguarda i registri delle email, significa non conservarli più a lungo di quanto sia necessario ai fini aziendali. (Maggiori informazioni al riguardo nella sezione dedicata ai registri delle email qui sotto.)

Scegliere un servizio di posta elettronica conforme al GDPR

Questo è l'aspetto che la maggior parte dei proprietari di siti WordPress tende a trascurare. Quando invii e-mail tramite un servizio esterno come SendLayer, Amazon SES, Mailgun, Gmail o qualsiasi altro provider SMTP, condividi dati personali con una terza parte.

Ai sensi del GDPR, se si trasferiscono dati personali a un soggetto terzo per il loro trattamento, è necessario stipulare con quest'ultimo un accordo sul trattamento dei dati (DPA). Un DPA è un contratto che definisce le modalità con cui il soggetto terzo gestirà tali dati, le misure di sicurezza adottate e le procedure da seguire in caso di violazione.

La maggior parte dei fornitori di servizi di posta elettronica affidabili mette a disposizione accordi sui dati personali (DPA), solitamente nella propria informativa sulla privacy o nella documentazione legale. Se un fornitore non ne offre uno, è un campanello d'allarme da prendere sul serio.

Dove vengono archiviati i dati?

Se i dati delle tue e-mail sono archiviati su server al di fuori dell'UE o del Regno Unito, il trasferimento deve essere regolamentato dal punto di vista legale. Alcuni provider dispongono di data center nell'UE a cui puoi scegliere di affidarti. Altri si avvalgono delle clausole contrattuali standard (SCC) per legittimare i trasferimenti di dati. Verifica le opzioni di residenza dei dati offerte dal tuo provider se questo aspetto è fonte di preoccupazione per i tuoi utenti.

Quali programmi di posta elettronica conservano i registri?

Molti servizi di posta elettronica esterni conservano registri delle e-mail inviate tramite la loro piattaforma. Questi registri contengono dati personali. In base al diritto alla cancellazione previsto dal GDPR, se un utente ti chiede di cancellare i propri dati, devi essere in grado di provvedere a tale cancellazione su tutti i sistemi, compreso il tuo servizio di posta elettronica.

Scopri quali dei tuoi client di posta elettronica conservano i registri e come eliminarli, se necessario. La nostra documentazione sulla conformità al GDPR di WP Mail SMTP tratta i principali client di posta elettronica e le loro modalità di registrazione.

Requisiti tecnici: crittografia, autenticazione e notifica delle violazioni

Il GDPR impone che i dati personali siano protetti anche durante il loro trasferimento. Per quanto riguarda le e-mail, ciò comporta due aspetti.

Crittografia TLS

Le tue e-mail dovrebbero essere inviate tramite connessioni TLS (Transport Layer Security). In questo modo, le e-mail vengono crittografate durante il trasferimento, impedendone l'intercettazione.

Impostazioni predefinite di WordPress wp_mail() Questa funzione non garantisce la crittografia TLS. Quando si utilizza WP Mail SMTP con un client di posta affidabile, le e-mail vengono inviate di default tramite connessioni sicure e crittografate.

Autenticazione delle e-mail: SPF, DKIM e DMARC

L'autenticazione delle e-mail non è solo una funzione che garantisce la consegna dei messaggi, ma anche una misura di sicurezza e conformità. Questi tre protocolli verificano che le e-mail che dichiarano di provenire dal tuo dominio siano effettivamente state inviate da te, proteggendo così il tuo dominio dal rischio di spoofing.

  • L'SPF indica ai server di posta in arrivo quali server sono autorizzati a inviare e-mail per conto del tuo dominio.
  • Il DKIM aggiunge una firma crittografica a ogni e-mail, dimostrando che non è stata alterata durante il trasferimento.
  • DMARC definisce una politica relativa a cosa succede quando le e-mail non superano i controlli SPF o DKIM e ti invia dei rapporti per consentirti di monitorare ciò che viene inviato a tuo nome.

Senza un'adeguata autenticazione, qualcuno potrebbe inviare e-mail che sembrano provenire dal tuo dominio, cercando di truffare i tuoi clienti sfruttando il tuo marchio. Si tratta di una falla nella sicurezza e di una potenziale violazione del GDPR, poiché mette a rischio i dati dei tuoi utenti.

Controllare il record DMARC

Per una guida completa alla configurazione, consulta la nostra guida su DMARC, SPF e DKIM.

Notifica di violazione dei dati

Se il vostro sistema di posta elettronica viene compromesso e i dati personali vengono divulgati, il GDPR vi impone di informare l'autorità di controllo nazionale entro 72 ore dal momento in cui venite a conoscenza della violazione. Se la violazione è suscettibile di comportare un rischio elevato per le persone interessate, dovete informarle anche direttamente.

Ecco perché la sicurezza tecnica non è facoltativa. Un'autenticazione debole, connessioni non crittografate e plugin obsoleti comportano rischi, non solo problemi di consegna. Mantieni aggiornati WP Mail SMTP e il client di posta che hai scelto, e utilizza il test di posta integrato per verificare che l'autenticazione funzioni correttamente.

Perché l'e-mail predefinita di WordPress non soddisfa nessuno dei due requisiti

WordPress utilizza i tag PHP mail() funzione predefinita. Questa invia le e-mail direttamente dal tuo server web, senza alcuna garanzia di autenticazione e spesso senza TLS. Le e-mail inviate in questo modo spesso non arrivano a destinazione, più spesso di quanto si possa pensare — il che significa che le tue e-mail transazionali obbligatorie per legge (reimpostazione delle password, ordini WooCommerce) potrebbero non arrivare mai ai tuoi utenti.

WP Mail SMTP sostituisce questa impostazione con una connessione SMTP corretta tramite il client di posta elettronica scelto, con crittografia e autenticazione configurate correttamente.

Correggete subito le vostre e-mail di WordPress

Registri delle e-mail e diritto alla cancellazione

Il GDPR garantisce alle persone il diritto alla cancellazione dei propri dati personali: il «diritto all’oblio».

Se un utente richiede la cancellazione dei propri dati, è necessario provvedere in tutto il sistema di posta elettronica:

  • Il database di WordPress (account dei clienti, dati inseriti nei moduli, registrazioni degli ordini)
  • La tua lista di indirizzi e-mail per l'email marketing
  • Registri delle e-mail archiviati da WP Mail SMTP
  • I log conservati dal tuo servizio di posta elettronica

WP Mail SMTP Pro include un registro delle e-mail che registra cosa è stato inviato, quando e a chi. Ciò è utile ai fini della documentazione di conformità, poiché crea una traccia di controllo, ma implica anche la necessità di una politica di conservazione dei dati del registro stesso.

È possibile configurare WP Mail SMTP in modo che cancelli automaticamente i registri dopo un determinato periodo di tempo, oppure eliminare manualmente i record quando si gestiscono singole richieste di cancellazione.

Come configurare WP Mail SMTP per la conformità al GDPR

Ecco una guida dettagliata alle impostazioni di WP Mail SMTP necessarie per la conformità al GDPR.

I passaggi 1 e 2 riportati di seguito, relativi alla configurazione di un client di posta e all'invio di un'e-mail di prova, sono disponibili nella versione gratuita di WP Mail SMTP. I passaggi da 3 a 6 (registrazione delle e-mail, cancellazione dei dati, controlli delle e-mail e instradamento intelligente) richiedono WP Mail SMTP Pro.

Ottenere WP Mail SMTP Pro

Passaggio 1: collegare un servizio di posta elettronica conforme al GDPR

Se stai ancora utilizzando il servizio di posta PHP predefinito di WordPress, il primo passo è configurare un servizio di posta esterno adeguato. WP Mail SMTP supporta tutti i principali provider: SendLayer, Amazon SES, Mailgun, Brevo, Gmail, Outlook e molti altri.

Dalla dashboard di WordPress, vai su WP Mail SMTP > Impostazioni > Generale.

Scegliere un servizio di posta elettronica conforme al GDPR

Nella sezione " Connessione principale", seleziona il tuo client di posta e segui la procedura di configurazione. Ogni client di posta si connette tramite API o credenziali SMTP, e WP Mail SMTP ti guida passo passo attraverso il processo.

Una volta stabilita la connessione, le tue e-mail vengono inviate tramite una connessione SMTP corretta e autenticata, anziché tramite PHP Mail.

Prima di scegliere il tuo servizio di invio e-mail: verifica che il tuo provider offra un accordo sul trattamento dei dati. La maggior parte dei principali provider (SendLayer, Amazon SES, Mailgun, Brevo) lo offre. Se utilizzi Gmail o Google Workspace, si applicano i termini di trattamento dei dati di Google.

Passaggio 2: invia un'e-mail di prova e verifica la configurazione

Dopo aver configurato il tuo client di posta, vai su WP Mail SMTP > Strumenti > Test e-mail e invia un messaggio di prova al tuo indirizzo e-mail.

scheda e-mail di prova

Verifica che l'e-mail sia stata ricevuta, quindi apri le intestazioni dell'e-mail (in Gmail: tre puntini > Mostra originale; in Outlook: File > Proprietà) e cerca:

  • Firma DKIM — conferma che il controllo DKIM ha esito positivo
  • spf=pass — conferma che l'SPF è valido
  • dmarc=pass — conferma che DMARC è conforme

Se uno di questi elementi manca o non funziona correttamente, la pagina dei risultati del test e-mail di WP Mail SMTP segnalerà il problema e ti indicherà come risolverlo.

Passaggio 3: Configurare la registrazione delle e-mail

Funzionalità di WP Mail SMTP Pro. La registrazione delle e-mail è disponibile nei piani Pro e superiori. Passa al piano Pro →

Il registro delle e-mail di WP Mail SMTP Pro fornisce una cronologia completa di tutte le e-mail inviate dal tuo sito: un elemento essenziale per la documentazione di conformità.

Vai su WP Mail SMTP > Registro e-mail per visualizzare il registro. Da WP Mail SMTP > Impostazioni > Registri, puoi configurare:

  • Registra le e-mail — attiva questa opzione per avviare la registrazione
  • Registra il contenuto delle e-mail: salva il testo completo del corpo dell'e-mail (utile ai fini della conformità, ma tieni conto dei tuoi obblighi in materia di minimizzazione dei dati)
  • Periodo di conservazione: imposta per quanti giorni i registri vengono conservati prima della cancellazione automatica
WP Mail - Registri email SMTP

Stabilisci un periodo di conservazione che rispecchi le tue effettive esigenze aziendali. Conservare i registri a tempo indeterminato non è conforme alle norme: scegli un periodo, documentalo nella tua informativa sulla privacy e rispettalo.

Fase 4: Gestire le richieste di cancellazione dei dati

Richiede la registrazione delle e-mail (versione Pro). È possibile cercare ed eliminare i record delle e-mail solo se la registrazione è abilitata.

Quando un utente esercita il proprio diritto alla cancellazione, dovrai eliminare i relativi record e-mail dal registro di WP Mail SMTP.

In WP Mail SMTP > Registro e-mail, cerca l'indirizzo e-mail dell'utente, seleziona i relativi record e utilizza l'opzione di eliminazione in blocco per rimuoverli.

Eliminazione in blocco dei registri delle e-mail

Assicurati di gestire l'eliminazione anche a livello del tuo client di posta. Consulta la documentazione del tuo client di posta per sapere come eliminare i record delle email inviate.

Passaggio 5: Verifica le impostazioni della posta elettronica

Funzionalità di WP Mail SMTP Pro. Le opzioni di gestione delle e-mail sono disponibili nei piani Pro e superiori. Passa al piano Pro →

La funzione "Controlli e-mail" di WP Mail SMTP Pro ti permette di gestire quali tipi di e-mail WordPress invia dal tuo sito e tramite quale connessione.

Vai su WP Mail SMTP > Impostazioni > Controlli e-mail per visualizzare un elenco dei tipi di e-mail generati dal plugin e dal core di WordPress: e-mail relative agli ordini di WooCommerce, notifiche dei commenti, registrazione degli utenti e altro ancora.

Impostazioni e-mail

Ciò è utile ai fini della conformità sotto due aspetti:

  1. Puoi disattivare i tipi di email che il tuo sito non necessita (riduzione al minimo dei dati: in altre parole, se non utilizzi una determinata funzionalità, non inviare le relative email).
  2. È possibile indirizzare diversi tipi di e-mail tramite diversi servizi di invio; ad esempio, le e-mail transazionali di WooCommerce tramite SendLayer le notifiche relative agli account tramite un altro servizio.

Passaggio 6: Configurare una connessione di backup

Funzionalità di WP Mail SMTP Pro. Lo Smart Routing e le connessioni di backup sono disponibili nei piani Pro e superiori. Passa al piano Pro →

La funzione Smart Routing di WP Mail SMTP Pro ti consente di impostare una connessione di backup che entra in funzione automaticamente in caso di malfunzionamento del client di posta principale. Questo aspetto è importante ai fini del GDPR perché, se l'e-mail di reimpostazione della password non viene recapitata, gli utenti non possono accedere al proprio account — e ciò costituisce un'interruzione del servizio con implicazioni in materia di privacy.

Vai su WP Mail SMTP > Impostazioni > Connessioni per aggiungere una connessione di backup e configurare lo Smart Routing.

Impostazione di una connessione di backup SMTP di WP Mail

Passaggio 7: Controlla la documentazione relativa al GDPR del tuo provider di posta elettronica

Una volta che il tuo provider di posta elettronica è stato collegato, dedica 10 minuti a individuare e consultare la sua documentazione relativa al GDPR/DPA. Devi verificare quanto segue:

  • È disponibile un accordo sul trattamento dei dati (da accettare se richiesto)
  • Sai dove vengono archiviati i dati e se escono dall'UE/dal Regno Unito
  • Conosci le impostazioni relative alla conservazione dei log e sai come eliminarli, se necessario

I fornitori più popolari e dove trovare la loro documentazione relativa al DPA:

FornitoreDocumentazione DPA
SendLayerDisponibile nella loro documentazione sulla privacy
Amazon SESAddendum sul trattamento dei dati di AWS
Pistola postaleDisponibile nei termini legali di Sinch/Mailgun
BrevoDisponibile nella loro documentazione relativa al GDPR
Spazio di lavoro GoogleAccordo sui dati personali (DPA) di Google Workspace (accettato automaticamente con i termini di Workspace)

Lista di controllo per la conformità delle e-mail al GDPR

Utilizza questo strumento per verificare la tua configurazione attuale.

Consenso ed elenchi

  • ☐ Le e-mail di marketing vengono inviate solo alle persone che hanno espressamente acconsentito a riceverle
  • ☐ Vengono conservati i registri relativi ai consensi (quando, dove e su cosa è stato dato il consenso)
  • ☐ Ogni e-mail di marketing contiene un link funzionante per annullare l'iscrizione
  • ☐ Le richieste di cancellazione vengono elaborate tempestivamente
  • ☐ Gli iscritti inattivi vengono controllati periodicamente

Trattamento dei dati

  • ☐ L'informativa sulla privacy è aggiornata e il link è presente nelle tue e-mail
  • ☐ Raccogli solo i campi di dati di cui hai effettivamente bisogno
  • ☐ Hai definito una politica di conservazione dei dati e la rispetti
  • ☐ È possibile rispondere alle richieste di accesso ai dati e di cancellazione entro un mese

Configurazione tecnica

  • ☐ Le e-mail di WordPress vengono inviate tramite WP Mail SMTP (non tramite PHP Mail)
  • ☐ Le e-mail vengono inviate tramite crittografia TLS
  • ☐ I record SPF, DKIM e DMARC sono configurati e superano i controlli
  • ☐ La conservazione dei log delle e-mail è configurata in WP Mail SMTP
  • ☐ Sai quali programmi di posta elettronica conservano i registri e come eliminare i dati

Programmi di posta elettronica di terze parti

  • ☐ Hai stipulato un accordo sul trattamento dei dati (DPA) con il tuo fornitore di servizi di posta elettronica
  • ☐ Sai dove il tuo servizio di posta elettronica archivia i dati e se questi escono dall'UE/dal Regno Unito
Ottenere WP Mail SMTP

Domande frequenti

Il GDPR si applica anche se non ho sede nell'UE?

Sì. Se hai visitatori o clienti residenti nell'UE o nel SEE, il GDPR si applica al modo in cui tratti i loro dati, indipendentemente dalla sede della tua azienda.

No, di solito no. Le e-mail transazionali, come le conferme d’ordine, le reimpostazioni della password e le notifiche di spedizione, rientrano nella categoria del «legittimo interesse» o dell’«esecuzione di un contratto». Non è necessario ottenere un consenso separato per finalità di marketing per queste comunicazioni. Tuttavia, è importante che rimangano strettamente transazionali, poiché l’aggiunta di contenuti promozionali cambia la situazione.

Un indirizzo e-mail è considerato un dato personale ai sensi del GDPR?

Sì. Un indirizzo e-mail che permette di identificare una persona costituisce un dato personale. Lo stesso vale per un nome, un indirizzo IP e qualsiasi cronologia degli acquisti associata a un account.

Che cos'è un accordo sul trattamento dei dati?

Un accordo sui dati personali (DPA) è un contratto stipulato tra te e qualsiasi soggetto terzo che tratti dati personali per tuo conto. Se utilizzi un servizio SMTP esterno o una piattaforma di posta elettronica per inviare e-mail, devi stipulare un DPA con tale soggetto. La maggior parte dei fornitori affidabili lo include nella propria documentazione legale o relativa alla privacy.

WP Mail SMTP memorizza dati personali sui server di Awesome Motive?

No. WP Mail SMTP memorizza tutti i dati del plugin sul tuo sito. Awesome Motive non conserva i tuoi dati e-mail.

Cosa succede se non rispetto il GDPR?

Le sanzioni possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale, a seconda di quale dei due importi sia maggiore. In pratica, l'applicazione delle norme inizia solitamente con un avvertimento o un richiamo, prima di passare a sanzioni pecuniarie. Il rischio più immediato per la maggior parte delle piccole imprese è la perdita di fiducia da parte dei clienti.

Non è strettamente necessario per le e-mail puramente transazionali, poiché non vengono inviate sulla base di un consenso. È buona norma includere un link alla propria informativa sulla privacy in tutti i piè di pagina delle e-mail.

Posso usare Gmail come client di posta per WordPress?

Sì, ma controlla le condizioni di trattamento dei dati di Google se hai utenti nell'UE. Gmail e Google Workspace trattano i dati sui server di Google. Per l'invio di grandi volumi, un servizio di posta elettronica transazionale dedicato come SendLayer più affidabile e più facile da gestire in conformità con il GDPR.

Il GDPR si applica alle e-mail B2B?

Sì. Gli indirizzi e-mail aziendali come [email protected] identificano una persona fisica, quindi sono considerati dati personali. Le regole sono leggermente più complesse nel contesto B2B. Il trattamento per legittimo interesse è più giustificabile quando si inviano e-mail a contatti commerciali riguardo a prodotti o servizi pertinenti, ma il consenso rimane comunque l'approccio più sicuro. In caso di dubbio, richiedete un consenso esplicito.

Posso utilizzare una lista di indirizzi e-mail acquistata?

No. Ai sensi del GDPR, il consenso deve essere specifico per la vostra organizzazione e le persone che acconsentono a ricevere e-mail da un'altra azienda non hanno acconsentito a ricevere e-mail da voi. Ai sensi del GDPR, non è possibile acquistare una mailing list valida.

Cosa devo fare con una vecchia lista di indirizzi e-mail raccolta prima dell'entrata in vigore del GDPR?

Se la tua lista è stata creata senza un consenso conforme al GDPR (casella di opt-in non selezionata, spiegazione chiara di ciò a cui le persone si stavano iscrivendo), ti trovi in una situazione incerta. L'opzione più sicura è una campagna di rinnovo del consenso: invia un'e-mail alla lista spiegando cosa invii e chiedendo alle persone di confermare attivamente il loro consenso, quindi elimina chiunque non risponda. La tua lista si ridurrà, ma i contatti rimanenti saranno conformi e notevolmente più coinvolti.

Qual è la differenza tra il GDPR e il CAN-SPAM?

Il CAN-SPAM è la legge federale statunitense che disciplina la posta elettronica commerciale. Consente il marketing con opzione di rinuncia: è possibile inviare messaggi finché qualcuno non chiede di smettere. Il GDPR richiede il consenso esplicito prima di inviare la prima e-mail di marketing. Se si hanno visitatori provenienti dall'UE, la conformità alle norme statunitensi non è sufficiente. Il GDPR si applica in aggiunta.

Cosa succede se il mio provider di posta elettronica viene hackerato?

Se una violazione comporta la divulgazione di dati personali, il GDPR impone di informare l'autorità di controllo nazionale entro 72 ore. Se sussiste un rischio elevato per le persone interessate, è necessario informarle direttamente. Ecco perché è importante mantenere aggiornati il plugin e il sistema di invio delle e-mail e stipulare un accordo sul trattamento dei dati (DPA) con il proprio fornitore: il DPA dovrebbe definire gli obblighi di ciascuna parte in caso di violazione.

Questa guida tratta gli aspetti relativi all'invio di e-mail nell'ambito della conformità al GDPR. Per informazioni complete sulla conformità di WordPress al GDPR, inclusi cookie, strumenti di analisi e informative sulla privacy, consulta la guida definitiva di WPBeginner su WordPress e la conformità al GDPR.

Passo successivo: ottimizza la deliverability delle tue e-mail

Rendere le tue e-mail conformi al GDPR è solo metà del lavoro. L'altra metà consiste nell'assicurarti che arrivino effettivamente nella casella di posta in arrivo. La stessa configurazione tecnica che garantisce la tua conformità (autenticazione corretta, un client di posta affidabile, connessioni crittografate) influisce notevolmente sul fatto che le tue e-mail finiscano nella casella di posta in arrivo o nella cartella dello spam. Se vuoi approfondire l'argomento, la nostra guida alle migliori pratiche per la deliverability delle e-mail su WordPress tratta tutti gli aspetti, dalla reputazione del mittente e la pulizia delle liste ai sottodomini e alla segmentazione.

Siete pronti a sistemare le vostre e-mail? Iniziate oggi stesso con il miglior plugin SMTP per WordPress. Se non avete il tempo di sistemare le vostre e-mail, potete ottenere l'assistenza completa di White Glove Setup come acquisto aggiuntivo e c'è una garanzia di rimborso di 14 giorni per tutti i piani a pagamento.

Se questo articolo vi è stato utile, seguiteci su Facebook e Twitter per altri consigli e tutorial su WordPress.

Divulgazione: I nostri contenuti sono sostenuti dai lettori. Ciò significa che se fate clic su alcuni dei nostri link, potremmo guadagnare una commissione. Scoprite come WPForms viene finanziato, perché è importante e come potete sostenerci.

Rachel Adnyana

Rachel scrive su WordPress da un decennio e costruisce siti web da molto più tempo. Oltre allo sviluppo web, è affascinata dall'arte e dalla scienza del SEO e del marketing digitale.Per saperne di più

Provate il nostro plugin gratuito WP Mail SMTP

Utilizzate il vostro provider SMTP preferito per inviare in modo affidabile le e-mail di WordPress.