
Con la Lead Generation per un ecommerce si mira ad intercettare gli utenti, raccogliere i loro dati per presentare loro il nostro brand ed i nostri prodotti e convertirli da ‘possibili clienti’ a clienti del nostro sito ecommerce.
Ma come fare la Lead Generation a norma di GDPR e privacy?
Con questo articolo ti spiegherò come fare lead generation per ecommerce in maniera conforme al GDPR e nel rispetto della privacy degli utenti.
| Cos’è e a cosa serve la Lead Generation
La Lead Generation è quell’azione di marketing volta a generare i “lead”, ovvero una lista di contatti che possono trasformarsi in possibili clienti interessati ai prodotti offerti da un ecommerce.
Questa viene realizzata di solito attraverso un “lead magnet”, come un coupon, l’iscrizione alla newsletter con uno sconto particolare, riconosciuto in cambio del rilascio di dati personali (di solito nome, indirizzo e-mail) da utilizzare per finalità di marketing.
Con i dati personali raccolti spesso si creano liste, automazioni, campagne di email marketing e funnel per “riscaldare” gli utenti e convincerli ad acquistare i prodotti.
La raccolta di questi dati personali, così come il loro trattamento, richiede il rispetto delle norme in materia di privacy e GDPR.
Vediamo quali.
| Lead Generation a norma di GDPR
Vediamo insieme quali sono i presupposti e le procedure per fare una Lead Generation a norma.
> La finalità di marketing e la base giuridica
Un primo obbligo derivante dal GDPR è quello di definire:
– la base giuridica, senza la quale ogni trattamento dati sarebbero illecito;
– la finalità del trattamento: il marketing e le comunicazioni commerciali.
La base giuridica per il marketing e le comunicazioni pubblicitarie è il consenso dell’interessato.
Per essere valido il consenso deve essere liberamente espresso attraverso una manifestazione di
volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso [l’interessato] manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento (art. 4 n. 11 GDPR).
ATTENZIONE: non è possibile raccogliere dati da registri pubblici, albi, elenchi, siti web senza un previo consenso.

> Profilazione e retargeting: il cookie banner
Nelle campagne di Lead Generation si usano spesso pixel e altri strumenti di profilazione di terze parti (esempio classico: pixel di facebook), facendo anche il ‘retargeting’ ed incrociando i dati.
Anche qui è necessario che il consenso per l’attività di marketing e profilazione venga raccolto prima dell’utilizzo di questi cookie e dallo loro installazione sul browser degli utenti.
Il consenso deve essere raccolto attraverso il cookie banner contenente l’informativa breve che dichiari all’utente le finalità di marketing e profilazione, in maniera specifica e separata, e che permetta all’utente di decidere se accettare o meno.
ATTENZIONE: nessun preflag è ammesso nel cookie banner, se non per i cd. cookie tecnici, funzionali al funzionamento del sito.
Leggi questo articolo dedicato ai cookie, per approfondire l’argomento.
> Come raccogliere il consenso
Come deve essere raccolto il consenso per fare Lead Generation a norma di gdpr? Quale formula del consenso per la lead generation devo utilizzare?
Il consenso deve essere raccolto mediante i form del consenso per il marketing e la profilazione, che devono essere separati dal generale consenso per il trattamento dei dati personali e devono comparire nelle pagine utilizzate per la raccolta dei lead.
> Puoi usare i dati dei tuoi clienti?
In una Lead Generation a norma di GDPR è possibile utilizzare i dati personali di coloro che hanno già acquistato sul sito ecommerce per finalità di marketing?
Mi è capitato di vedere liste di lead create con i dati di coloro che hanno acquistato sul sito ecommerce, senza distinguere coloro che avevano rilasciato il consenso per il marketing da quelli che non lo avevano fatto.
Questa pratica non è conforme al GDPR. Il GDPR impone che i dati vengano trattati solo per le finalità dichiarate e per le quali si è ottenuto il consenso (quando questo costituisce la base giuridica, la condizione di liceità).
Tuttavia, se non hai ricevuto il consenso per il marketing dai tuoi clienti, puoi utilizzare i loro dati per inviare loro comunicazioni commerciali con il cd. soft-spam, ai sensi dell’art. 130, comma 4, del Codice Privacy, a condizione che:
- le comunicazioni vengano inviate via email;
- riguardino prodotti/servizi analoghi a quelli già acquistati;
- il cliente, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni;
- possa revocare il consenso a questo utilizzo, mediante il link di opt-out.
> Double opt-in e link per opt-out
È necessario conservare la prova del consenso ottenuto in maniera conforme al GDPR.
Per fare ciò si utilizza una procedura chiamata di “DOUBLE OPT-IN”.
Cosa prevede questa procedura? Una volta raccolto il consenso attraverso il form, l’ecommerce invia una mail all’utente con cui gli chiede di confermare il suo indirizzo email ed i suoi dati.
Dopo aver confermato i suoi dati, l’utente atterrerà su una nuova pagina in cui gli verrà confermata l’iscrizione alla newsletter o dalla quale potrà scaricare la risorsa utilizzata come lead-magnet (sconto, codice coupon ecc.).
È importante poi che in ogni comunicazione inviata all’interessato ci sia un link per l’opt-out.
| Lead Generation e GDPR: la privacy policy
Altro aspetto di fondamentale importanza in una campagna di Lead Generation riguarda la privacy policy del sito ecommerce.
La privacy policy di un ecommerce deve essere definita in modo chiaro e trasparente e deve indicare, per le campagne di Lead Generation:
- le finalità di marketing e profilazione;
- gli strumenti ed i tool utilizzati per tali finalità;
- i tempi di conservazione dei dati raccolti;
- eventuali trattamenti automatizzati;
e tutte le altre informazioni richieste dall’art. 13 del GDPR. Leggi questo articolo per approfondire l’argomento della privacy policy e questo articolo per approfondire la tematica del marketing e della profilazione.
| Conclusioni
Per attuare delle campagne di Lead Generation che portino ai risultati sperati è necessario il rispetto delle normative in materia di trattamento dei dati personali.
Non rispettare le norme del GDPR comporta non solo il rischio di sanzioni salate (fino al 4% del fatturato globale annuo), ma anche la necessità di cancellare le liste dei lead generati e delle mail raccolte con fatica e nel tempo.
| Cosa può fare per te l’Avvocato dell’Ecommerce
Se vuoi che il tuo ecommerce rispetti le norme anche in materia di trattamento dei dati personali, dovresti affidarti ad Ecommerce Legale e al suo legale specializzato in ecommerce che ti fornirà, con competenza, le risposte legali che cerchi.
Tu dedicati al business online. Alle questioni legali ci penso io.
Contattami utilizzando la sezione contatti.