Cold emailing: la guida completa per rispettare le normative e le migliori pratiche (e ottenere risultati!)

Il cold emailing e l’email marketing sono legali?

Ci sono differenze tra i vari paesi?

Queste sono solo alcune delle domande a cui risponderemo in questo articolo, con due obiettivi principali: primo, aiutarti a comprendere appieno le normative in vigore e, secondo, guidarti esattamente su cosa fare se invii email commerciali.

La legalità del cold emailing e le normative attuali

Il cold emailing è legale in tutti i paesi?

Sì, nella maggior parte dei paesi, il cold emailing è consentito a condizioni specifiche.

Ma… (sappiamo che non ti piace quando c’è un “ma”!) Alcuni paesi, come il Canada e la Danimarca, hanno normative estremamente rigorose riguardo al cold emailing.

Inoltre, è fondamentale distinguere tra le email inviate a destinatari B2C, che quasi sempre richiedono un consenso esplicito (opt-in), e quelle inviate a destinatari B2B, che possono essere consentite a determinate condizioni a seconda delle leggi locali.

Non è ancora chiaro? Non preoccuparti, analizzeremo tutto con liste di controllo complete per assicurarci che tu sia perfettamente preparato.

Quali sono le principali normative?

L’invio di email commerciali è regolato da diverse normative in tutto il mondo. A seconda del paese di destinazione, le regole possono variare da più a meno rigorose. Ecco una panoramica delle principali leggi attualmente in vigore:

• GDPR (Unione Europea)

• CAN-SPAM Act (Stati Uniti)

• CASL (Canada)

• PECR (Regno Unito)

• Spam Act (Australia)

Tutte seguono gli stessi principi di base:

1. Si applicano a messaggi con uno scopo commerciale o promozionale (vendita di prodotti, servizi, partnership).

2. Coprono diversi canali di comunicazione, come email, SMS, messaggi istantanei, telefonate e messaggi sui social media.

3. Si applicano a individui o aziende che inviano messaggi ai residenti di un determinato paese, indipendentemente dall’origine del mittente.

⚠️ Ma attenzione, diverse normative possono sovrapporsi! Se un’azienda americana invia email commerciali a destinatari in paesi con leggi più severe, potrebbero applicarsi anche quelle leggi più restrittive.

Esempi

• Un’azienda francese invia email a potenziali clienti negli Stati Uniti → si applica il CAN-SPAM Act.

• Un’azienda americana invia email a potenziali clienti in Francia → si applicano sia il CAN-SPAM Act che il GDPR.

CAN-SPAM Act (Stati Uniti)

Cos’è il CAN-SPAM Act?

Il Controlling the Assault of Non-Solicited Pornography And Marketing Act (CAN-SPAM) impone diversi obblighi. Ecco i più importanti:

• Il mittente deve essere chiaramente identificato nei campi “Da”, “A”, “Rispondi a” e le intestazioni delle email non devono essere fuorvianti.

• L’oggetto dell’email deve riflettere accuratamente il suo contenuto.

• Il mittente deve essere trasparente sulla natura commerciale del messaggio. Tuttavia, non è obbligatorio dichiarare esplicitamente che l’email è una pubblicità, a patto che il contenuto non sia fuorviante.

• Ogni email deve includere l’indirizzo postale dell’azienda mittente (sede legale, ufficio o casella postale registrata).

• L’email deve includere un link di disiscrizione facile da usare. Il mittente ha 10 giorni per elaborare le richieste di disiscrizione. L’opzione di disiscrizione deve essere gratuita e non dovrebbe richiedere informazioni aggiuntive oltre all’indirizzo email. Ad esempio, il mittente non può richiedere al destinatario di accedere a un account o compilare un modulo per disiscriversi.

• Una volta che una persona si è disiscritta, non deve più ricevere email commerciali da quel mittente.

Quali sono le sanzioni per la non conformità?

La sanzione principale è che le aziende possono affrontare multe fino a 51.744 dollari per ogni email che viola la legge. Inoltre, i dirigenti aziendali e i responsabili possono essere ritenuti personalmente responsabili. Infine, le email fraudolente o fuorvianti possono essere trattate come reati penali.

Lista di controllo delle migliori pratiche per il cold emailing in conformità con il CAN-SPAM Act

1️⃣ Identificare correttamente il mittente

• Utilizzare un nome e un indirizzo email chiari e verificabili nei campi “Da”, “A” e “Rispondi a”.

• Non mascherare o falsificare l’identità del mittente.

• Fornire un indirizzo fisico valido dove l’azienda può essere contattata (ufficio, sede legale o casella postale registrata negli Stati Uniti).

2️⃣ Creare un’email conforme al CAN-SPAM

• L’oggetto deve essere onesto e riflettere accuratamente il contenuto del messaggio (niente titoli fuorvianti).

• Se l’email è una pubblicità o una promozione, dovrebbe essere chiaramente identificabile come tale. Il CAN-SPAM Act non richiede un’etichetta esplicita di “Pubblicità”, ma qualsiasi forma di inganno è vietata nella presentazione del messaggio.

• Evitare di utilizzare informazioni false o intestazioni fuorvianti nell’email.

3️⃣ Includere un’opzione di disiscrizione chiara e facile

• Aggiungere un link di disiscrizione visibile e facile da usare.

• Non richiedere al destinatario di accedere a un account o fornire informazioni aggiuntive per disiscriversi e assicurarsi che la richiesta venga elaborata entro 10 giorni.

4️⃣ Garantire una buona deliverability ed evitare di essere contrassegnati come spam

• Utilizzare un indirizzo email professionale, evitando indirizzi generici (es. no-reply@, info@).

• Configurare correttamente le impostazioni DKIM, SPF e DMARC.

• Evitare di inviare grandi volumi di email contemporaneamente; optare invece per invii graduali e mirati.

5️⃣ Gestire le risposte e tracciare le email inviate

• Assicurarsi che l’indirizzo “Rispondi a” sia funzionale e monitorato (i destinatari devono poter rispondere alla tua email).

• Mantenere un registro dei contatti disiscritti e assicurarsi che non ricevano più messaggi commerciali.

Esempio di un’email commerciale conforme al CAN-SPAM

Prima di guardare un buon esempio, esaminiamo un controesempio.

❌ Perché questa email è illegale?

• Afferma falsamente che l’account dell’utente è stato sospeso quando in realtà è un’email di marketing.

• L’email finge di provenire da Amazon, anche se non è così.

• Crea l’impressione di un avviso di sicurezza piuttosto che di un messaggio promozionale.

• Non sono inclusi un indirizzo fisico o un’opzione di disiscrizione.

Ecco ora un esempio da seguire.

✅ Perché questa email è conforme?

• L’oggetto riflette accuratamente il contenuto del messaggio.

• Il mittente è chiaramente identificato (nome e indirizzo email professionale).

• L’email dichiara chiaramente che si tratta di un’offerta commerciale.

• Include un indirizzo fisico per scopi di contatto.

• L’opzione di disiscrizione è chiara e funzionale.

GDPR (Unione Europea)

Cos’è il GDPR?

Il Regolamento generale sulla protezione dei dati (GDPR), entrato in vigore nel 2018, mira a proteggere i dati personali dei cittadini europei imponendo regole rigorose alle aziende e alle organizzazioni che li raccolgono e li elaborano.

📌 A differenza del CAN-SPAM Act, che regola solo l’invio di email commerciali, il GDPR si applica a tutte le forme di trattamento dei dati personali.

Il GDPR si basa su due principi principali:

1. Consenso esplicito (Opt-In): generalmente richiesto per la raccolta e l’utilizzo dei dati personali, specialmente per l’invio di email di marketing. In alcuni casi, un’azienda può invocare un’altra base giuridica, come il “legittimo interesse”, in particolare per le comunicazioni B2B.

2. Diritto alla cancellazione (“Diritto all’oblio”): ogni individuo può richiedere la cancellazione dei propri dati personali, a meno che la conservazione non sia necessaria (es. obblighi legali, contratti in corso, interesse pubblico).

💡Definizione utile: Il GDPR definisce dati personali qualsiasi informazione che identifica direttamente o indirettamente una persona fisica:

• Identificatori diretti: Nome, cognome, email, numero di telefono…

• Identificatori indiretti: Indirizzo IP, cookie, dati di geolocalizzazione…

• Dati sensibili: Informazioni sulla salute, origine etnica, opinioni politiche, orientamento sessuale… (protetti in modo più rigoroso).

Principi chiave imposti alle aziende che gestiscono dati personali:

• I dati devono essere raccolti ed elaborati legalmente e in modo trasparente (nessuna raccolta nascosta o fuorviante).

• I dati devono essere raccolti per uno scopo specifico, legittimo e chiaramente definito (es. iscrizione alla newsletter).

• Dovrebbero essere raccolti solo i dati strettamente necessari (nessuna raccolta eccessiva di dati).

• I dati non dovrebbero essere conservati a tempo indeterminato, solo per il tempo necessario a raggiungere lo scopo iniziale.

• Le aziende devono proteggere i dati contro accessi non autorizzati, perdite e violazioni.

Sanzioni per la non conformità al GDPR

Le aziende che non rispettano il GDPR sono soggette a multe severe: fino a 20 milioni di euro o al 4% del fatturato globale annuo, se superiore.

Esempio:

Meta/Facebook (2023): multa di 1,2 miliardi di euro per il trasferimento illegale di dati negli Stati Uniti.

Lista di controllo delle migliori pratiche per il cold emailing in conformità con il GDPR

1️⃣ Opt-in o no?

• Consenso preventivo (“Opt-In”) richiesto per il B2C: Ottenere il consenso esplicito prima di inviare email di marketing agli individui (B2C).

• Nessun opt-in obbligatorio per il B2B: Tuttavia, assicurarsi che vi sia un legittimo interesse e che il messaggio sia pertinente all’attività professionale del destinatario.

2️⃣ Quale indirizzo email utilizzare?

• Per il destinatario: non contattare i professionisti utilizzando il loro indirizzo email personale (es. Gmail, Yahoo). Utilizzare sempre un indirizzo email professionale (es. [email protected]).

• Per il mittente: utilizzare un indirizzo email professionale ed evitare indirizzi generici (es. no-reply@, info@).

3️⃣ Redigere un’email conforme al GDPR

• Dichiarare chiaramente l’identità del mittente: includere il nome del mittente e l’azienda.

• Spiegare il motivo del contatto: chiarire il legame professionale legittimo.

• Aggiungere una dichiarazione di trasparenza: spiegare da dove provengono le informazioni di contatto (es. “Abbiamo trovato il tuo contatto su [LinkedIn / sito ufficiale]”).

• Nessun oggetto fuorviante: l’oggetto deve riflettere accuratamente il contenuto dell’email.

• Includere un link alla politica sulla privacy: spiegare chiaramente come vengono gestiti i dati personali.

• Fornire un’opzione di disiscrizione chiara. Ad esempio, “Se non desideri più ricevere email da noi, clicca qui.”

4️⃣ Garantire una buona deliverability e reputazione

• Configurare correttamente DKIM, SPF e DMARC per evitare di essere segnalati come spam.

• Favorire gli invii individualizzati: evitare l’invio di massa per mantenere una buona reputazione.

• Personalizzare ogni email: includere il nome e il cognome del destinatario per aumentare il coinvolgimento.

5️⃣ Gestire i diritti dei destinatari

• Elaborare le richieste di disiscrizione immediatamente: non oltre 30 giorni dalla richiesta.

• Non ricontattare gli individui che hanno richiesto la cancellazione: una volta che qualcuno ha richiesto la cancellazione dei dati, rispetta la sua richiesta in modo permanente.

• Conservare i registri di disiscrizione: mantenere la prova delle disiscrizioni per dimostrare la conformità in caso di ispezione.

6️⃣ Gestire e proteggere i dati raccolti

• Conservare i dati solo per il tempo necessario: evitare di conservare email obsolete o non necessarie.

• Proteggere i dati correttamente: implementare la crittografia e l’accesso limitato per proteggere i dati da usi non autorizzati.

• Stabilire una procedura di risposta al GDPR: garantire la conformità impostando processi per le richieste di accesso, modifica e cancellazione dei dati.

PECR (Regno Unito)

Il PECR e il GDPR del Regno Unito sono inseparabili quando si tratta di cold emailing nel Regno Unito. E ora potresti pensare: cosa? Due normative? 🫨

Non preoccuparti! Il PECR regola le email di marketing, mentre il GDPR del Regno Unito regola la gestione dei dati personali utilizzati in tali email. In termini di protezione dei dati, il GDPR del Regno Unito è rigoroso quanto il GDPR dell’UE. Quindi, se hai padroneggiato la conformità al GDPR, non c’è differenza qui. Per quanto riguarda il PECR, è più indulgente nel B2B, ma rigoroso quanto il GDPR nel B2C.

👉 In sintesi: se rispetti pienamente il GDPR, sei automaticamente conforme al PECR e superi persino alcuni dei suoi requisiti.

La differenza chiave con il GDPR: invio di email di marketing B2B

• Indirizzi generici (es. [email protected]): il PECR consente l’invio senza consenso preventivo.

• Indirizzi personali (es. [email protected]): il legittimo interesse è solitamente sufficiente, a condizione che il messaggio sia pertinente al ruolo del destinatario.

CASL (Canada)

Se pensavi che il GDPR fosse rigoroso, preparati: il Canada prende sul serio il cold emailing!

Cos’è il CASL?

La Canadian Anti-Spam Legislation (CASL), emanata nel 2014, è una delle leggi più rigorose al mondo per quanto riguarda l’email commerciale. A differenza del CAN-SPAM Act e del GDPR, il CASL richiede il consenso esplicito (opt-in), con poche eccezioni specifiche.

Principio di base: OPT-IN OBBLIGATORIO. A differenza del CAN-SPAM Act (dove è sufficiente un semplice opt-out), il CASL impone il consenso preventivo (opt-in) in quasi tutti i casi. Il consenso implicito è regolato in modo molto restrittivo.

💡 Buono a sapersi: un consenso implicito scade dopo 6-24 mesi se il destinatario non ha ulteriori interazioni con l’azienda.

Sanzioni per la non conformità al CASL

Le multe sono particolarmente pesanti: fino a 10 milioni di CAD per un’azienda. Fino a 1 milione di CAD per un individuo. Inoltre, possono essere intentate cause civili.

Lista di controllo delle migliori pratiche per il cold emailing in conformità con il CASL

Per essere più efficienti, consigliamo di utilizzare la lista di controllo specifica per il GDPR dettagliata in precedenza. Ecco i punti che differiscono dal GDPR per garantire la conformità al CASL:

1️⃣ Opt-In

L’opt-in è richiesto sia per le comunicazioni B2C che per la maggior parte di quelle B2B.

Esempi:

Un modulo in cui la persona spunta una casella non selezionata per accettare di ricevere email.

Un’iscrizione volontaria a una newsletter.

Un double opt-in (email di conferma dopo l’iscrizione).

2️⃣ Il consenso implicito è eccezionale e strettamente limitato:

• Relazione d’affari esistente: ad esempio, il destinatario ha acquistato un prodotto o servizio negli ultimi 24 mesi.

• Richiesta del potenziale cliente: ad esempio, una persona ha compilato un modulo di contatto sul tuo sito web negli ultimi 6 mesi.

• Relazione tra organizzazioni non profit o membri della stessa associazione.

3️⃣ La richiesta di disiscrizione deve essere elaborata entro un massimo di 10 giorni (invece dei 30 giorni richiesti dal GDPR).

Spam Act (Australia)

Cos’è lo Spam Act?

Lo Spam Act (2003) si applica a qualsiasi individuo o organizzazione che invia messaggi elettronici a destinatari in Australia, indipendentemente dal paese di origine del mittente. Questa legge è molto simile al CASL (Canada).

Lista di controllo delle migliori pratiche per il cold emailing in conformità con lo Spam Act

Consigliamo di seguire la lista di controllo specifica per il CASL delineata in precedenza. Tuttavia, due punti chiave differiscono:

Innanzitutto, lo Spam Act consente il consenso dedotto in situazioni B2B se viene stabilita una relazione d’affari preesistente (es. un acquisto effettuato negli ultimi 24 mesi).

💡 Definizione utile: Il consenso dedotto è un’interpretazione ragionevole che il destinatario accetti di ricevere email, basata su una relazione d’affari preesistente o una richiesta recente (solitamente negli ultimi 6 mesi). La legge specifica che deve basarsi su una precedente relazione commerciale o una recente richiesta di informazioni.

Inoltre, le richieste di disiscrizione devono essere elaborate entro 5 giorni lavorativi invece dei 10 giorni richiesti dal CASL.

Approfondimento dell’esperto: adotta le migliori pratiche per il cold emailing con Mail Merge for Gmail

Fornisci un link di disiscrizione facile e visibile

Consentire ai destinatari di disiscriversi facilmente non è solo un requisito legale, ma anche un segno di rispetto.

Inoltre, Mail Merge for Gmail offre due metodi per questo. Il primo consiste nell’inserire un piè di pagina di disiscrizione completo e standardizzato. Il secondo consiste nell’inserire un link di disiscrizione personalizzato.

💡 Spieghiamo tutto in una documentazione dedicata.

Gestisci le disiscrizioni in modo efficiente

Non ricontattare mai qualcuno che si è disiscritto. È essenziale rimanere conformi. La gestione manuale è rischiosa e soggetta a errori.

Con Mail Merge for Gmail, non c’è bisogno di creare un documento extra: gestisci tutto direttamente dal tuo Google Sheet, creando una colonna specifica per le disiscrizioni.

Non trascurare la sicurezza

La sicurezza è una questione cruciale nel cold emailing. Devi assicurarti che i dati dei tuoi potenziali clienti siano protetti contro qualsiasi accesso non autorizzato, incluse sia le informazioni personali che le interazioni con le campagne di email.

Con Mail Merge for Gmail:

• I tuoi dati rimangono al sicuro sui server di Google.
• Protocolli di sicurezza avanzati per crittografare i dati in transito e a riposo (AES 256-bit).
• Autenticazione tramite Google Sign-In con 2FA.
• Nessun dato personale viene condiviso con terze parti.
• Mail Merge non ha accesso alle tue email.
• Certificazione ISO 27001.
• Certificazione CASA Tier 3.

💡 Abbiamo testato 20 strumenti di cold emailing tra i più consigliati. 7 si sono distinti, valutati in base a 8 criteri.

In conclusione, speriamo che ora tu abbia una chiara comprensione delle varie normative e delle migliori pratiche! Perché non provare Mail Merge for Gmail, lo strumento migliore per soddisfare i requisiti di conformità?