top of page
Cerca

Privacy e marketing: perché il consenso non è la sola base giuridica valida per l’email marketing

  • Amedeo Leone
  • 4 giorni fa
  • Tempo di lettura: 3 min

Come impostare una campagna di web marketing a norma GDPR



Uno degli elementi centrali per inviare comunicazioni promozionali via e-mail è il consenso esplicito dell’interessato, secondo quanto previsto dal Regolamento Generale sulla Protezione dei Dati (GDPR).





Privacy e marketing: che cos’è il consenso?


Il consenso deve essere libero, specifico, informato e granulare. È vietata la raccolta “omnibus” di consensi, ovvero un unico flag che autorizza più trattamenti. Lo ha chiarito anche il Garante per la Protezione dei Dati nel provvedimento n. 114 del 27 febbraio 2025, sanzionando la società Energia Pulita S.r.l. proprio per aver raccolto consensi non specifici.


Un esempio pratico? Un sito e-commerce che invita l’utente a iscriversi alla newsletter deve raccogliere un consenso specifico, libero, informato e inequivocabile, distinto da quello eventualmente richiesto per altre finalità (es. creazione dell’account).



Privacy e marketing: le “Best Practice”


In questi casi è necessario seguire alcune best practice fondamentali per garantire che il consenso raccolto sia conforme al GDPR:


  • Utilizzare caselle di spunta non pre-flaggate, evitando soluzioni ambigue o già selezionate. Il testo che accompagna la casella deve essere chiaro, semplice e inequivocabile, come ad esempio: “Desidero ricevere comunicazioni promozionali via email su offerte, novità e sconti personalizzati”.


  • Separare ogni finalità di trattamento: il consenso per l’invio di newsletter, per il marketing profilato, per l’uso dei dati a fini di profilazione o per la condivisione con terze parti deve essere raccolto singolarmente, tramite caselle distinte e autonome. Questo approccio garantisce la granularità, principio cardine del consenso secondo il GDPR.


  • Fornire all’utente tutte le informazioni necessarie, in modo facilmente accessibile già al momento della raccolta: ad esempio, con un link all’informativa privacy accanto alla casella di consenso.


  • Consentire la revoca del consenso in qualsiasi momento, ad esempio attraverso un link di disiscrizione chiaro e funzionante presente in ogni email ricevuta.


Non è mai corretto, invece:


  • Considerare il solo conferimento dell’indirizzo e-mail come consenso implicito. L’utente deve esprimere una volontà inequivocabile, con un’azione positiva e consapevole, come la selezione di una casella;


  • Inserire automaticamente un cliente in una mailing list dopo un acquisto, senza aver raccolto un consenso specifico per finalità promozionali. Anche se il cliente ha fornito i propri dati nel contesto di un contratto, ciò non autorizza l’utilizzo degli stessi per fini diversi, come il marketing.


Comportamenti di questo tipo sono considerati illeciti e possono portare a sanzioni da parte del Garante per la Privacy, oltre a danneggiare la reputazione del brand e a inficiare la qualità delle relazioni con i clienti.



Privacy e marketing: un po’ di giurisprudenza


Nel 2023, il Garante per la Privacy ha sanzionato una catena di negozi per aver inviato e-mail promozionali ai clienti senza aver documentato un consenso valido. Le e-mail erano state considerate una "naturale estensione dell’acquisto", ma la mancanza di un consenso specifico ha comportato una multa di 70.000 euro.


Esistono deroghe in materia di consenso come base giuridica, in quanto, per esempio, ai sensi dell’art. 130 co 4 del Dlgs 196/2003 o Codice Privacy, questa possibilità, basata sul legittimo interesse nonché sull’analisi approfondita delle finalità, si può applicare in ambito B2B se hai acquisito un contatto in seguito alla vendita di un servizio e promuovi un prodotto analogo a quel servizio.


Anche l’invio di mail promozionali a indirizzi non personali in cui non sono presenti gli identificativi di una persona fisica, potrebbero essere mandate senza il consenso preventivo. Queste mail sono le tipiche di studio o aziendali generiche tipo info@, commerciale@ o studio@ per citare alcuni esempi. In ogni caso la comunicazione dovrebbe essere non generica e con istruzioni chiare per la disiscrizione (opt-out).



In conclusione…


Per rispettare il GDPR e tutelare la privacy degli utenti, ogni campagna di web marketing e email marketing deve basarsi su un consenso valido, libero e documentabile. Utilizzare consensi omnibus, inviare comunicazioni senza autorizzazione o forzare l’iscrizione alla newsletter sono pratiche sanzionabili.

Non sai da dove cominciare?

Parla con un nostro consulente

bottom of page