Consenso a Finalità di Marketing e Newsletter

Il Consenso a Finalità di Marketing e Newsletter in Italia è l'atto disciplinato da art. 6 lett. a) e art. 7 Reg. UE 2016/679; art. 130 D.Lgs. 196/2003.

La normativa italiana ed europea richiede che il consenso al marketing sia un atto positivo e inequivocabile: il Considerando 32 del GDPR vieta esplicitamente le caselle di spunta già selezionate (pre-checked boxes), il silenzio-assenso e i consensi deducibili da comportamenti ambigui. L'interessato deve consapevolmente e volontariamente optare per ricevere le comunicazioni commerciali, attivando un checkbox non pre-spuntato (cd. opt-in attivo). Le linee guida EDPB n. 05/2020 sul consenso (Comitato Europeo per la Protezione dei Dati) chiariscono che il consenso bundled — cioè un unico consenso che copre più finalità distinte come newsletter e profilazione — non è conforme al requisito di specificità dell'art. 4, n. 11 del GDPR.

Il Garante per la Protezione dei Dati Personali, che è l'autorità di controllo italiana ai sensi dell'art. 51 del GDPR, ha pubblicato specifiche linee guida sull'uso del consenso per il marketing diretto e ha comminato sanzioni significative a Titolari del trattamento che non rispettavano i requisiti della norma. Tra i provvedimenti più rilevanti: il provvedimento n. 227/2022 contro un operatore di telecomunicazioni (€12,25 milioni per trattamento illecito di dati a fini di marketing); il provvedimento n. 238/2021; e numerose sanzioni da €10.000 a €130.000 ai sensi dell'art. 130 D.Lgs. 196/2003 per l'invio di comunicazioni commerciali non sollecitate tramite e-mail e SMS.

Il modulo di consenso al marketing deve essere distinto dall'informativa sul trattamento dei dati ai sensi dell'art. 13 del GDPR, che è un adempimento autonomo e preventivo (comunicazione unilaterale del Titolare all'interessato), e deve identificare con chiarezza il Titolare del trattamento, le finalità specifiche del trattamento, i canali di comunicazione utilizzati (e-mail, SMS, telefono, notifiche push, social media advertising) e il diritto di revocare il consenso in qualsiasi momento con la stessa facilità con cui è stato prestato (art. 7, par. 3 del GDPR).

Nel contesto digitale italiano, il consenso al marketing interseca la normativa sui cookie (Provvedimento generale del Garante del 10 giugno 2021 su cookie e altri strumenti di tracciamento), il Registro delle Opposizioni (D.P.R. 10 gennaio 2019, n. 178; L. 5/2018 come modificata dalla L. 91/2022) per le comunicazioni telefoniche commerciali a persone fisiche, e le norme del D.Lgs. 231/2007 antiriciclaggio per l'identificazione dei soggetti nelle comunicazioni commerciali a distanza.

Nel contesto digitale italiano il consenso al marketing si integra con il sistema dei cookie e dei tracker online regolato dal Provvedimento generale del Garante del 10 giugno 2021, con il Registro delle Opposizioni disciplinato dalla L. 5/2018 come modificata dalla L. 91/2022 per le comunicazioni telefoniche, e con le norme del D.Lgs. 231/2007 antiriciclaggio per l'identificazione dei soggetti nelle comunicazioni a distanza.

Il Consenso a Finalità di Marketing e Newsletter in Italia è necessario ogni volta che un'azienda, un libero professionista, un'associazione, una fondazione o qualsiasi altro Titolare del trattamento intende raccogliere e trattare dati personali di persone fisiche per inviare comunicazioni commerciali, promozionali o informative non strettamente necessarie all'esecuzione di un contratto in essere.

Prima situazione — iscrizione a newsletter online: qualsiasi form di iscrizione a newsletter su sito web, app mobile, piattaforma e-commerce o landing page richiede un checkbox separato, non pre-spuntato, con cui l'utente consente esplicitamente alla ricezione delle comunicazioni. Il Garante italiano ha ribadito più volte che il consenso deve essere un atto attivo e separato dalla mera registrazione al servizio.

Seconda situazione — comunicazioni via e-mail, SMS e messaggistica: l'art. 130, comma 1, del D.Lgs. 196/2003 vieta l'invio di comunicazioni commerciali tramite sistemi automatizzati — e-mail, SMS, MMS, messaggi WhatsApp, Telegram, notifiche push — senza il consenso preventivo dell'interessato. La sola eccezione è il 'soft opt-in' previsto dall'art. 130, comma 4: l'azienda può inviare comunicazioni promozionali di prodotti o servizi analoghi a quelli già acquistati ai propri clienti esistenti, purché al momento della raccolta dei dati abbia fornito la possibilità di opporsi e in ogni comunicazione successiva riproponga tale opzione.

Terza situazione — telefonate di marketing a persone fisiche: il consenso preventivo dell'interessato è necessario salvo che il numero di telefono non sia registrato come disponibile per comunicazioni commerciali. Prima di effettuare chiamate di teleselling a persone fisiche, il Titolare deve verificare che il numero non sia iscritto al Registro delle Opposizioni (D.P.R. 178/2010 e L. 5/2018, come modificata dalla L. 91/2022, che ha esteso il Registro anche ai numeri mobili). La violazione di questa norma è sanzionata sia ai sensi del GDPR sia ai sensi dell'art. 130 D.Lgs. 196/2003.

Quarta situazione — pubblicità comportamentale e retargeting online: il consenso è necessario per trattare i dati dell'utente (cookie di tracciamento, pixel di conversione Meta o Google, fingerprinting) per mostrare pubblicità personalizzata basata sulla navigazione. Il Provvedimento del Garante del 10 giugno 2021 ha stabilito che il consenso ai cookie di marketing e profilazione deve essere acquisito con un banner conforme prima di attivare qualsiasi tracciamento.

Quinta situazione — profilazione per personalizzazione delle offerte: la profilazione — cioè l'analisi sistematica delle preferenze, dei comportamenti di acquisto e dei dati di navigazione dell'interessato per costruire un profilo individuale e personalizzare le comunicazioni — è una finalità distinta dall'invio di newsletter generica e richiede un consenso separato ai sensi delle linee guida EDPB n. 05/2020.

Sesta situazione — cessione di dati a partner commerciali per finalità di marketing: se il Titolare intende cedere i dati dell'interessato a terze aziende per le loro autonome attività di marketing, il consenso deve essere specifico per questa finalità e deve identificare i partner o le categorie di partner a cui i dati sono ceduti. Il Garante italiano ha chiarito che un consenso generico alla cessione 'a partner commerciali non nominati' non è specifico ai sensi del GDPR.

Non è invece richiesto il consenso per le comunicazioni di servizio (conferma di un ordine, aggiornamenti su una pratica in corso, comunicazioni contrattuali), che trovano base giuridica nell'art. 6, par. 1, lett. b) del GDPR (esecuzione di un contratto), e per le comunicazioni obbligatorie per legge, che trovano base nell'art. 6, par. 1, lett. c) del GDPR.

Il Consenso a Finalità di Marketing e Newsletter in Italia, per essere conforme al Regolamento UE 2016/679 e al D.Lgs. 196/2003, deve contenere elementi essenziali che ne garantiscano la validità giuridica e la prova in caso di ispezione del Garante o di contestazione dell'interessato.

Primo elemento fondamentale: identità del Titolare del trattamento. Il documento deve indicare la denominazione completa del Titolare, la sede legale (indirizzo completo), la partita IVA o il codice fiscale, l'indirizzo e-mail e PEC per l'esercizio dei diritti dell'interessato, e — ove nominato obbligatoriamente ai sensi dell'art. 37 del GDPR — il nome e i recapiti del Responsabile della Protezione dei Dati (Data Protection Officer, DPO).

Secondo elemento fondamentale: finalità specifiche e distinte, ciascuna con un checkbox separato e non pre-spuntato. Le finalità tipiche per cui si raccoglie il consenso al marketing includono: (a) invio di newsletter con contenuti informativi e redazionali; (b) invio di offerte commerciali, promozioni, sconti e coupon su prodotti e servizi propri; (c) invio di comunicazioni promozionali di prodotti e servizi di terzi partner commerciali (con identificazione dei partner o delle categorie merceologiche); (d) profilazione comportamentale per la personalizzazione delle offerte e dei contenuti; (e) comunicazioni tramite canali specifici (e-mail, SMS, telefonate, notifiche push, messaggistica istantanea). Il Garante italiano e l'EDPB chiedono che ogni finalità abbia un consenso autonomo: un unico checkbox che copre tutte le finalità elencate sopra è invalido.

Terzo elemento fondamentale: base giuridica del trattamento e carattere facoltativo del consenso. Indicare chiaramente che: il conferimento del consenso è facoltativo e il rifiuto non produce conseguenze sui rapporti contrattuali in essere o sull'accesso ai servizi; la base giuridica del trattamento per le finalità di marketing è il consenso dell'interessato (art. 6, par. 1, lett. a) del GDPR); il ritiro del consenso non pregiudica la liceità del trattamento effettuato prima della revoca.

Quarto elemento fondamentale: canali di comunicazione utilizzati. Specificare esplicitamente se le comunicazioni commerciali avverranno tramite: e-mail, SMS, notifiche push su app, messaggi WhatsApp o Telegram, telefonate commerciali (teleselling), posta ordinaria, social media advertising (es. Facebook Custom Audiences). Il Garante ha chiarito che il consenso a un canale non autorizza l'uso di altri canali.

Quinto elemento fondamentale: diritto di revoca e modalità concrete di esercizio. Il documento deve indicare: il diritto di revocare il consenso in qualsiasi momento, senza obbligo di motivazione (art. 7, par. 3 GDPR); le modalità concrete di revoca — link unsubscribe nelle e-mail commerciali (obbligatorio), indirizzo e-mail o PEC del Titolare per richiesta scritta, apposita sezione 'Privacy' del sito web o dell'app. La revoca deve essere semplice quanto la prestazione del consenso.

Sesto elemento fondamentale: periodo di conservazione dei dati. Indicare per quanto tempo i dati saranno trattati per finalità di marketing (tipicamente fino alla revoca del consenso) e per quanto tempo i log di consenso saranno conservati a fini di prova (raccomandazione EDPB: non meno di 3-5 anni dalla revoca).

Settimo elemento fondamentale: diritti dell'interessato e autorità di controllo. Riepilogare i diritti ex artt. 15-22 del GDPR — accesso ai propri dati, rettifica, cancellazione ('diritto all'oblio'), limitazione del trattamento, portabilità, opposizione al marketing diretto — e indicare che l'interessato può proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it) o all'autorità di controllo del paese europeo in cui risiede.

Su forms-legal.com il modulo di consenso marketing è aggiornato al GDPR, alle linee guida EDPB n. 05/2020 e ai provvedimenti del Garante italiano, ed è personalizzabile per e-commerce, liberi professionisti, associazioni e piccole e medie imprese.

La compilazione del Consenso a Finalità di Marketing e Newsletter in Italia richiede attenzione agli adempimenti formali del GDPR e del D.Lgs. 196/2003 e deve essere integrata in un sistema di raccolta e gestione del consenso che garantisca la prova dell'avvenuta acquisizione.

Passo 1 — Identificare il Titolare del trattamento: inserire la denominazione completa dell'azienda o del professionista, la sede legale con indirizzo completo, la partita IVA o il codice fiscale, il recapito e-mail e PEC per l'esercizio dei diritti. Se è nominato un DPO (obbligatorio per imprese che trattano dati su larga scala ai sensi dell'art. 37 GDPR), indicarne nome e recapiti.

Passo 2 — Elencare le finalità specifiche con checkbox distinti: per ogni finalità di marketing (newsletter informativa, offerte proprie, comunicazioni di partner, profilazione, canali specifici) predisporre un checkbox separato e non pre-selezionato. Titolare è responsabile di garantire che il sistema informatico non pre-selezioni i checkbox al posto dell'utente.

Passo 3 — Specificare i canali di comunicazione per ogni finalità: indicare esplicitamente se la newsletter viene inviata via e-mail, se le offerte commerciali possono arrivare tramite SMS, se è previsto il teleselling. Un consenso generico 'a ricevere comunicazioni' senza specificazione del canale non è conforme alle linee guida EDPB.

Passo 4 — Inserire le modalità di revoca: il modulo deve indicare in modo chiaro e visibile il link unsubscribe per le e-mail e le modalità alternative di revoca (e-mail o PEC al Titolare, portale web). Testare periodicamente che i link di unsubscribe funzionino correttamente; un link non funzionante è una violazione dell'art. 7, par. 3 del GDPR.

Passo 5 — Indicare il periodo di conservazione: specificare che i dati saranno trattati per finalità di marketing fino alla revoca del consenso e che i log di consenso (data, ora, versione del modulo) saranno conservati per almeno 5 anni dalla revoca per adempiere all'obbligo di accountability ai sensi dell'art. 5, par. 2 del GDPR.

Passo 6 — Raccogliere e conservare la prova del consenso: per i consensi online, il sistema di raccolta deve registrare automaticamente: la data e l'ora del consenso con fuso orario, l'identificativo dell'interessato (indirizzo e-mail), l'indirizzo IP del dispositivo, la versione del modulo di consenso in vigore al momento. Per i moduli cartacei, far datare e firmare il documento dall'interessato e conservarne copia. In caso di ispezione del Garante, l'incapacità di dimostrare il consenso equivale alla sua assenza, con sanzioni fino al 4% del fatturato mondiale annuo (art. 83, par. 5 del GDPR).

Passo 7 — Verificare la conformità al Registro delle Opposizioni: per le comunicazioni telefoniche commerciali a persone fisiche, prima di ogni campagna di teleselling, verificare tramite il sistema del Registro delle Opposizioni (gestito dal MISE — Ministero delle Imprese e del Made in Italy tramite il concessionario Agcom) che i numeri dei destinatari non siano iscritti al Registro. L'obbligo vale anche per i numeri per cui è stato acquisito il consenso, se quel consenso risale a più di 30 giorni prima dell'ultima verifica.

Passo 8 — Aggiornare il modulo in caso di modifica delle finalità: se il Titolare intende estendere le finalità del trattamento (es. aggiungere la profilazione per chi aveva acconsentito solo alla newsletter), deve acquisire un nuovo consenso specifico per la nuova finalità. Il Garante ha chiarito che non è possibile ampliare retroattivamente il trattamento sulla base di un consenso precedente a finalità più limitata.

Il Consenso a Finalità di Marketing e Newsletter in Italia deve rispettare i seguenti requisiti normativi, pena la nullità del consenso e l'applicazione delle sanzioni previste dal GDPR e dal Codice Privacy italiano.

Requisito 1 — Caratteristiche del consenso valido (artt. 4 n. 11, 6 e 7 GDPR): il consenso deve essere libero (non condizionato all'accesso a un servizio), specifico (riferito a finalità determinate), informato (l'interessato conosce chi tratta i dati e come), inequivocabile (atto positivo esplicito, no caselle pre-spuntate) e revocabile in qualsiasi momento. La Corte di Giustizia UE, nella sentenza C-673/17 (Planet49), ha chiarito che un consenso espresso tramite casella pre-spuntata non è valido ai sensi del GDPR.

Requisito 2 — Disciplina delle comunicazioni indesiderate (art. 130 D.Lgs. 196/2003): il comma 1 vieta le comunicazioni commerciali tramite sistemi automatizzati (e-mail, SMS, fax, telefono automatico) senza consenso preventivo. Il comma 4 prevede il 'soft opt-in' per i clienti esistenti, limitato ai prodotti e servizi analoghi a quelli già acquistati. Il comma 3 garantisce il diritto di opposizione anche per i numeri presenti in elenchi pubblici.

Requisito 3 — Linee guida EDPB n. 05/2020 sul consenso: vietano il bundling di finalità diverse in un unico checkbox, le caselle pre-spuntate, il consenso implicito, il muro del consenso (cookie wall) che non dà alternativa. Le aziende devono garantire che il rifiuto o la revoca del consenso non comporti conseguenze negative sulla fornitura del servizio.

Requisito 4 — Provvedimento Garante del 10 giugno 2021 (cookie e altri strumenti di tracciamento): applicabile ai consensi raccolti online tramite banner, form web e app mobile. Il banner cookie deve consentire il rifiuto con la stessa facilità dell'accettazione; deve essere presente un pulsante 'Rifiuta tutto' di pari evidenza al pulsante 'Accetta tutto'.

Requisito 5 — Registro delle Opposizioni (D.P.R. 178/2010; L. 5/2018 come modificata dalla L. 91/2022): obbligatorio verificare l'assenza di iscrizione al Registro prima di effettuare chiamate di teleselling a persone fisiche. Il Registro, ampliato dalla L. 91/2022, include ora anche i numeri di telefono mobile e tutti i numeri presenti negli elenchi telefonici pubblici.

Requisito 6 — Sanzioni (art. 83 GDPR e art. 130 D.Lgs. 196/2003): le violazioni dell'art. 6 (liceità del trattamento) e dell'art. 7 (condizioni del consenso) sono sanzionate ai sensi dell'art. 83, par. 5 GDPR con sanzioni fino a €20.000.000 o al 4% del fatturato mondiale annuo. L'art. 130 D.Lgs. 196/2003 prevede una sanzione specifica da €10.000 a €130.000 per le comunicazioni indesiderate, elevata in caso di recidiva. Il Garante può disporre la limitazione o il divieto del trattamento (art. 58, par. 2 GDPR) e il singolo interessato può agire in giudizio per il risarcimento del danno non patrimoniale (art. 82 GDPR).

Il Consenso a Finalità di Marketing e Newsletter in Italia è frequentemente viziato da errori che lo rendono invalido e che espongono il Titolare del trattamento a sanzioni del Garante per la Protezione dei Dati Personali, a azioni risarcitorie degli interessati e a danni reputazionali. Gli errori più ricorrenti sono i seguenti.

Primo errore — checkbox pre-spuntata: inserire un segno di spunta già presente nel checkbox del consenso al marketing. Il Considerando 32 del GDPR e la Corte di Giustizia UE (sentenza Planet49, C-673/17) hanno stabilito inequivocabilmente che un consenso espresso tramite casella pre-spuntata non è valido. Il Garante italiano ha sanzionato più volte questa pratica. La casella deve essere vuota e l'utente deve attivarla volontariamente.

Secondo errore — consenso obbligatorio per accedere al servizio: subordinare l'iscrizione a un servizio gratuito o l'acquisto di un prodotto alla prestazione del consenso al marketing rende il consenso non libero e quindi invalido ai sensi dell'art. 7, par. 4 del GDPR (cosiddetto 'muro del consenso'). Il Titolare deve garantire l'accesso al servizio anche agli utenti che rifiutano il consenso al marketing, a meno che il trattamento dei dati per marketing non sia genuinamente necessario all'esecuzione del contratto.

Terzo errore — consenso unico per finalità multiple (bundling): raccogliere con un unico checkbox il consenso alla newsletter, alla profilazione e alle comunicazioni di partner terzi è contrario al requisito di specificità dell'art. 4, n. 11 del GDPR e alle linee guida EDPB n. 05/2020. Ogni finalità richiede un checkbox distinto e un consenso separato. Il Garante ha più volte contestato questa pratica nelle sue ispezioni periodiche.

Quarto errore — assenza di meccanismo di revoca semplice: inviare e-mail commerciali senza link di cancellazione (unsubscribe) funzionante e facilmente visibile viola l'art. 7, par. 3 del GDPR e l'art. 130 del D.Lgs. 196/2003. Il Garante ha comminato sanzioni rilevanti per questa omissione. Il link di unsubscribe deve essere testato regolarmente; deve portare alla cancellazione definitiva dalla lista entro 48-72 ore, non a una pagina di 'preferenze' che mantiene l'iscrizione per default.

Quinto errore — mancata conservazione della prova del consenso: non registrare data, ora, indirizzo IP e versione del modulo al momento del consenso online impedisce al Titolare di assolvere all'onere della prova dell'accountability (art. 5, par. 2 GDPR). In caso di ispezione del Garante, l'incapacità di mostrare il log del consenso equivale all'assenza del consenso stesso, con le relative sanzioni.

Sesto errore — trattamento di dati di minori per finalità di marketing: l'art. 8 del GDPR e l'art. 2-quinquies del D.Lgs. 196/2003 richiedono il consenso del titolare della responsabilità genitoriale per i minori di 14 anni. Raccogliere il consenso al marketing direttamente da minori senza verifica dell'età e senza coinvolgimento del genitore è una violazione grave che può comportare l'applicazione delle sanzioni massime del GDPR.

Settimo errore — non verificare il Registro delle Opposizioni prima delle campagne telefoniche: condurre campagne di teleselling senza preventiva verifica al Registro delle Opposizioni (D.P.R. 178/2010 e L. 91/2022) è una violazione che espone a sanzioni immediate. Dal 2022 il Registro include anche i numeri mobili e l'obbligo di verifica deve essere ripetuto ogni 30 giorni.

Ottavo errore — consenso collettivo per e-mail professionali: raccogliere e utilizzare indirizzi e-mail di professionisti (es. [email protected]) per marketing B2B senza consenso, ritenendo che le persone giuridiche non siano protette dal GDPR, è un errore. Il GDPR si applica ai dati personali delle persone fisiche, e l'indirizzo e-mail professionale è un dato personale dell'individuo che lo usa.