Marketing Diretto e GDPR: Email, SMS, Newsletter e Telefonate Commerciali

Quali sono le regole GDPR per l'email marketing in Italia?

Il quadro normativo per l'email marketing in Italia combina il Regolamento (UE) 2016/679 (GDPR) con il D.Lgs. 196/2003 (Codice Privacy), specificamente l'Art. 130 che disciplina le comunicazioni indesiderate. Il rispetto di entrambe le fonti è obbligatorio.

Fonte ufficiale: D.Lgs. 196/2003 - Codice Privacy - normattiva.it | Provvedimento Garante Privacy su marketing diretto - garanteprivacy.it

Email marketing B2C (verso privati/consumatori)

Per le comunicazioni commerciali via email inviate a privati o consumatori, è sempre richiesto il consenso preventivo esplicito (opt-in). Non è sufficiente che l'utente abbia fornito il proprio indirizzo email in altro contesto (es. durante un acquisto) se non ha specificamente acconsentito a ricevere comunicazioni di marketing.

Il consenso deve essere:

• Separato dall'accettazione della privacy policy
• Non pre-spuntato
• Specifico per la finalità "email marketing"
• Documentato con timestamp e testo del consenso

Email marketing B2B (verso aziende/professionisti)

Per le comunicazioni a indirizzi email aziendali generici (es. info@azienda.it, commerciale@azienda.it), il Garante italiano ha ritenuto applicabile il legittimo interesse (Art. 6.1.f GDPR) a condizione che:

• La comunicazione sia pertinente all'attività professionale del destinatario
• Sia presente un opt-out chiaro e funzionante in ogni messaggio
• L'azienda non abbia manifestato opposizione al trattamento

Per indirizzi personali nominativi (es. mario.rossi@azienda.it), anche in contesto B2B, il Garante tende a richiedere il consenso, equiparando questi indirizzi a dati personali di privati.

Cos'è il soft spam e quando è ammesso?

Il soft spam (o "esenzione per clienti esistenti") è disciplinato dall'Art. 130, comma 4, del D.Lgs. 196/2003 e consente di inviare comunicazioni commerciali senza nuovo consenso a clienti esistenti, a condizione che:

1. Il destinatario abbia già acquistato un prodotto o servizio dalla tua azienda
2. Le comunicazioni riguardino prodotti o servizi simili a quelli acquistati (non qualsiasi prodotto)
3. Il destinatario non abbia rifiutato di ricevere comunicazioni (opt-out)
4. Ogni messaggio contenga un meccanismo di opt-out facile (es. link di cancellazione)
5. Il destinatario sia stato informato dell'utilizzo dell'indirizzo per questo scopo al momento della raccolta

Quali sono le regole per gli SMS promozionali?

Gli SMS promozionali seguono le stesse regole dell'email marketing B2C: è richiesto il consenso esplicito preventivo, che deve essere:

• Separato dal consenso per l'email marketing (un "sì" all'email non include automaticamente il "sì" agli SMS)
• Documentato con indicazione del numero di telefono, data/ora e testo del consenso

Il Garante italiano ha sanzionato diverse aziende per SMS inviati a destinatari che avevano prestato il consenso solo per email o per utenti presenti in database acquisiti da terzi senza consenso verificato.

Come funziona il telemarketing e il Registro delle Opposizioni (RPO)?

Per le telefonate commerciali, il quadro normativo è stato modificato dalla L. 5/2018 che ha istituito il Registro Pubblico delle Opposizioni (RPO), ora esteso anche alle numerazioni mobili e alle email (D.P.R. 149/2022).

Prima di effettuare chiamate commerciali verso privati, le aziende devono:

1. Consultare l'RPO per verificare che il numero non sia registrato come opponente
2. Effettuare la consultazione ogni 15 giorni (frequenza minima obbligatoria)
3. Non chiamare i numeri presenti nel registro (salvo consenso successivo alla registrazione)
4. Per numerazioni mobili: applicare le stesse regole delle numerazioni fisse dal 2023

Il Garante Privacy vigila sul rispetto dell'RPO e ha avviato procedure sanzionatorie per operatori che non consultavano il registro o lo facevano con frequenza insufficiente.

Quali sanzioni ha applicato il Garante Privacy per il marketing non conforme?

Il marketing diretto senza consenso valido è una delle principali cause di sanzione del Garante italiano. Alcuni dati dalla Relazione Annuale 2024 del Garante e dai provvedimenti pubblici:

• Il settore del marketing e delle comunicazioni commerciali è tra i più colpiti per numero di reclami ricevuti
• Le sanzioni per email marketing non conforme variano da poche migliaia di euro per microimprese a milioni di euro per grandi operatori
• Il Garante ha sanzionato anche società che avevano acquistato database di contatti da terzi, ritenendo il consenso originariamente raccolto non trasferibile

Dal punto di vista normativo, le violazioni dell'Art. 130 D.Lgs. 196/2003 in combinazione con il GDPR possono comportare sanzioni:

• Ai sensi dell'Art. 83.5 GDPR: fino a 20 milioni di euro o 4% del fatturato mondiale per le violazioni più gravi (mancanza di base giuridica per il trattamento)
• Ai sensi dell'Art. 166 D.Lgs. 196/2003: sanzioni specifiche per le violazioni dell'Art. 130

Come strutturare un sistema di gestione del consenso marketing conforme?

Un sistema conforme include questi elementi operativi:

1. Form di iscrizione:

• Casella separata per ogni canale (email, SMS, telefono)
• Nessuna pre-spunta
• Link all'informativa privacy
• Testo chiaro sulla finalità ("Acconsento a ricevere comunicazioni commerciali via email")

2. Database dei consensi:

• Timestamp di raccolta
• Testo del form al momento della raccolta
• Canale di raccolta
• Versione dell'informativa collegata

3. Gestione degli opt-out:

• Link di cancellazione in ogni email
• Elaborazione delle richieste di cancellazione entro 48-72 ore
• Blocco definitivo dei contatti cancellati (non solo dalla lista attiva)

4. Soft spam:

• Tracciamento degli acquisti per identificare i "clienti esistenti"
• Verifica che i prodotti promossi siano "simili" a quelli acquistati
• Opt-out funzionante

5. B2B:

• Distinzione tra indirizzi generici (legittimo interesse) e personali nominativi (consenso)
• Opt-out in ogni comunicazione

Domande Frequenti sul Marketing Diretto e GDPR

Posso fare email marketing a una lista acquistata da un'altra società? No, in pratica mai. Il consenso al marketing non è cedibile a terzi a meno che l'informativa originale non menzioni espressamente la società a cui i dati vengono ceduti. Un consenso generico "anche a società terze partner" non è specifico e quindi non valido per identificare la tua azienda come destinataria. Il Garante ha sanzionato più volte sia i cedenti sia gli acquirenti di database.

La newsletter inviata a iscritti di lunga data richiede un nuovo consenso? Dipende da quando e come è stato raccolto il consenso originale. Se il consenso era conforme (opt-in esplicito, informativa completa, nessuna pre-spunta), è valido. Se invece era stato raccolto con modalità non conformi (pre-spunta, casella generalizzata, silenzio-assenso), va rinnovato.

Posso inviare un'email per chiedere il rinnovo del consenso a chi non ha dato il consenso valido? Sì, ma solo se il trattamento originale aveva una base giuridica alternativa. In pratica, è possibile inviare un'unica email per richiedere il consenso mancante, ma non sequenze di follow-up. Questo approccio va pianificato con attenzione legale.

Un "like" su una pagina social o l'apertura di una email equivalgono al consenso? No. Un "like" non costituisce consenso al marketing diretto. L'apertura di un'email può confermare la consegna ma non costituisce consenso per futuri invii se il consenso originale era assente o invalido.

Il Garante può sanzionarmi anche se ho ricevuto una sola denuncia? Sì. Il Garante può avviare un procedimento sanzionatorio anche in seguito a un singolo reclamo, specialmente se la violazione riguarda pratiche sistematiche (es. un'intera campagna marketing non conforme).

Informazione legale generale — non costituisce consulenza legale personalizzata. Le regole sul marketing diretto si sovrappongono tra GDPR e normativa nazionale: è consigliata una valutazione specifica della propria situazione. Ultimo aggiornamento: aprile 2026.