Avv. Antonino Ingoglia - Diritto IT e Privacy
Aziende2026-04-158 min read

Profilazione GDPR e Marketing Comportamentale: obblighi, consenso e sanzioni

Guida alla profilazione secondo il GDPR: quando è lecita, quale consenso serve, come rispettare il principio di granularità, i provvedimenti del Garante e le sanzioni previste.

Avv. Antonino Ingoglia

Ordine degli Avvocati di Sciacca n. 747 · Avvocato e Full-Stack Developer · Diritto IT & Privacy

Profilazione GDPR: cos'è e quando è lecita?

La profilazione è definita dall'Art. 4, par. 4, del GDPR come "qualsiasi forma di trattamento automatizzato di dati personali che valuta aspetti personali" di un individuo. È lecita solo con una valida base giuridica: in ambito marketing la base è quasi sempre il consenso libero, specifico, informato e inequivocabile (Art. 6.1.a GDPR), che deve essere separato e distinto dal consenso per le comunicazioni commerciali.

Il marketing comportamentale — inteso come l'utilizzo dei dati di navigazione, acquisto e interazione degli utenti per personalizzare offerte e messaggi commerciali — è una delle attività più monitorate dal Garante Privacy italiano. Ogni sistema di tracciamento, retargeting, lookalike audience o raccomandazione personalizzata costituisce profilazione ai sensi del GDPR e richiede una base giuridica specifica.

Fonti normative: Art. 4(4), 6, 13, 21, 22 Reg. UE 2016/679 (GDPR) – EUR-Lex · Linee Guida WP251 rev.01 EDPB sul consenso · Provvedimento Garante Privacy del 27 febbraio 2025 (doc. 10118222)

Cosa si intende per "profilazione" secondo il GDPR?

L'Art. 4, par. 4, del GDPR definisce la profilazione come "qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica."

In pratica, sono esempi di profilazione:

  • Sistemi di raccomandazione di prodotti basati sulla cronologia degli acquisti
  • Retargeting pubblicitario su Meta, Google o altre piattaforme (es. lookalike audience)
  • Email marketing personalizzate in base al comportamento degli utenti sul sito
  • Scoring degli utenti per offerte commerciali differenziate (es. prezzi dinamici)
  • Analisi dei pattern di navigazione per prevedere intenzioni di acquisto

Quale base giuridica serve per la profilazione a fini marketing?

In ambito marketing e comunicazione commerciale, la base giuridica per la profilazione è quasi sempre il consenso (Art. 6.1.a GDPR), salvo casi molto limitati in cui può essere invocato il legittimo interesse (Art. 6.1.f), con bilanciamento attento e documentato.

Il principio di granularità del consenso

Il Garante Privacy e l'EDPB sono univoci: non basta un unico consenso generico. Deve essere raccolto un consenso:

FinalitàConsenso separato richiesto
Invio newsletter e offerte commerciali (marketing diretto)
Profilazione per personalizzazione delle comunicazioniSì (separato dal marketing)
Cessione dei dati a terzi per loro finalità di marketingSì (separato dai precedenti)
Tracciamento comportamentale tramite cookieSì (tramite cookie banner conforme)

Orientamento Garante (Provv. 27 febbraio 2025, doc. 10118222). Il Garante ha ribadito che la raccolta di un unico consenso per marketing e profilazione non soddisfa il requisito di specificità del consenso. L'interessato deve poter accettare il marketing diretto senza accettare la profilazione, e viceversa.

Diritto di opposizione alla profilazione (Art. 21 GDPR)

L'Art. 21, par. 2, del GDPR riconosce all'interessato il diritto di opporsi in qualsiasi momento alla profilazione effettuata per finalità di marketing diretto, inclusa la profilazione nella misura in cui è connessa a tale marketing. L'opposizione deve essere rispettata immediatamente e senza condizioni: il titolare non può subordinarla a motivazioni o oneri per l'interessato.

In pratica, ogni comunicazione di marketing deve includere un meccanismo semplice per esercitare il diritto di opposizione (es. link di cancellazione nell'email, preferenze nell'account utente).

Decisioni automatizzate e profilazione con effetti significativi (Art. 22 GDPR)

L'Art. 22 del GDPR disciplina il caso specifico in cui la profilazione produce una decisione automatizzata che produce effetti giuridici o comunque significativi sull'interessato. In questi casi l'interessato ha diritto a:

  1. Non essere sottoposto a tale decisione (salvo eccezioni)
  2. Ottenere intervento umano
  3. Esprimere il proprio punto di vista
  4. Contestare la decisione

Esempi tipici: scoring creditizio automatizzato, selezione automatizzata di candidati per posizioni lavorative, offerte assicurative calcolate algoritmicamente.

Nota redazionale. La distinzione tra "profilazione semplice" e "decisione automatizzata con effetti significativi" non è sempre netta e richiede un'analisi caso per caso. In caso di dubbio, è preferibile applicare le garanzie dell'Art. 22, che offrono maggiore protezione all'interessato.

Per quanto tempo si possono conservare i dati di profilazione?

Il Garante Privacy italiano ha espresso l'orientamento — in diversi provvedimenti e nelle Linee Guida sul telemarketing — che i dati di profilazione si possano conservare per un periodo massimo di:

  • 24 mesi per finalità di marketing diretto
  • 12 mesi per finalità di profilazione comportamentale

Periodi più lunghi richiedono una motivazione specifica e documentata, con eventuale DPIA. Trattasi di orientamenti e non di limiti assoluti codificati nel GDPR; il titolare può discostarsene se fornisce giustificazione adeguata nel registro dei trattamenti.

DPIA obbligatoria per la profilazione sistematica

Quando la profilazione è sistematica, su larga scala e le decisioni hanno effetti giuridici o significativi, la DPIA è obbligatoria ai sensi dell'Art. 35.3.a del GDPR. Questo include tipicamente:

  • Piattaforme di e-commerce con sistema di raccomandazione algoritmica
  • DMP (Data Management Platform) per pubblicità comportamentale
  • CRM con scoring automatico degli utenti per campagne commerciali

Per approfondire la DPIA, consulta il nostro articolo DPIA: cos'è la Valutazione d'Impatto sulla Protezione dei Dati.

I principali provvedimenti del Garante su profilazione e marketing

Il Garante italiano ha emesso numerosi provvedimenti in materia di profilazione e marketing. Tra i profili più ricorrenti:

  • Consenso non granulare (marketing e profilazione congiunti in un'unica checkbox)
  • Assenza di meccanismi di opposizione facilmente accessibili
  • Conservazione dei dati oltre i periodi indicati negli orientamenti del Garante
  • Cessione dei dati a terzi senza consenso specifico
  • Cookie di profilazione attivi prima dell'espressione del consenso

Nota redazionale. I provvedimenti citati sono accessibili integralmente sul sito istituzionale del Garante Privacy (garanteprivacy.it). Si raccomanda di consultare il testo originale per verificare i dettagli fattuali e le motivazioni specifiche, che variano caso per caso.

FAQ – Domande frequenti su profilazione e GDPR

Posso fare profilazione basata sul legittimo interesse invece del consenso? In linea di principio sì, ma le Linee Guida EDPB e l'orientamento del Garante italiano rendono il legittimo interesse molto difficile da invocare per la profilazione a fini di marketing diretto. Il bilanciamento richiede che l'interesse del titolare prevalga sulle aspettative ragionevoli di riservatezza dell'interessato — test che raramente supera la profilazione commerciale a fini pubblicitari.

Un utente che accetta i cookie analytics deve accettare anche la profilazione? No. Cookie analytics (anche se statistici) e cookie di profilazione sono finalità distinte che richiedono consensi separati. Non è possibile condizionare l'uso del sito all'accettazione della profilazione (salvo casi specifici e bilanciati).

Se un utente revoca il consenso alla profilazione, cosa succede ai profili già creati? I profili costruiti sulla base del consenso devono essere cancellati o resi anonimi al momento della revoca, salvo che il titolare abbia un'altra base giuridica per conservarli. La revoca non ha effetto retroattivo sul trattamento già effettuato durante il periodo di vigenza del consenso (Art. 7, par. 3, GDPR).

Il retargeting tramite Meta Pixel o Google Ads è profilazione? Sì. Il retargeting — che utilizza dati comportamentali degli utenti per mostrare annunci personalizzati — è profilazione ai sensi del GDPR. Richiede consenso specifico tramite cookie banner conforme, nonché contratto DPA con il fornitore (Meta, Google) in qualità di responsabile del trattamento o titolare autonomo.

La profilazione degli utenti B2B è soggetta al GDPR? Sì, nella misura in cui i dati trattati sono dati personali (es. email nominativa, nome del referente, dati di navigazione individuali). Il GDPR si applica alle persone fisiche: anche in contesto B2B, i dati relativi al singolo individuo rientrano nel perimetro normativo.

Quando serve una consulenza personalizzata su profilazione e marketing?

La configurazione di un sistema di marketing comportamentale conforme al GDPR richiede l'analisi della base giuridica, la struttura del consenso, la supply chain dei dati (DMP, CRM, piattaforme terze) e la valutazione dell'eventuale obbligo di DPIA.

È opportuno rivolgersi a un professionista specializzato quando si implementano nuovi strumenti di marketing automation, si ristruttura la raccolta del consenso, si integrano dati da fonti multiple o si valuta l'adozione di sistemi di IA per la personalizzazione commerciale.

Disclaimer informativo. I contenuti di questa pagina hanno finalità informativa generale e non costituiscono consulenza legale. Le disposizioni del GDPR richiedono un'analisi applicata al caso concreto. Per valutare la conformità del proprio sistema di marketing, è necessario rivolgersi a un professionista abilitato.

Ultimo aggiornamento editoriale: aprile 2026. Fonti: Artt. 4(4), 6, 13, 21, 22 Reg. UE 2016/679 (GDPR); Provvedimento Garante Privacy 27 febbraio 2025 (doc. 10118222); Linee Guida WP251 rev.01 EDPB sul consenso.

Condividi:
Avv. Antonino Ingoglia

Autore

Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.

Profilo completo e competenze tecniche →
Nota Informativa: I contenuti di questo articolo hanno finalità puramente divulgative e informative. Non costituiscono parere legale né instaurano un rapporto professionale. Ogni caso concreto richiede una valutazione specifica da parte di un professionista abilitato.

Articoli correlati

AziendeCookie Banner GDPR: Obblighi, Regole e Come Farlo Correttamente nel 202610 min readAziendeDPIA: cos'è la Valutazione d'Impatto sulla Protezione dei Dati (Art. 35 GDPR)8 min readAziendePrivacy by Design e Privacy by Default: cosa significa per le aziende (Art. 25 GDPR)8 min read
Torna agli articoli

Serve assistenza per il tuo caso?

Prenota un colloquio in videochiamata da tutta Italia. Analizzeremo la situazione e definiremo i passi operativi in totale riservatezza.