Consenso email pubbliche: serve o no?

Al momento stai visualizzando Consenso email pubbliche: serve o no?

Consenso email pubbliche: tra eccezioni e legittimo interesse — cosa dice davvero il Garante Privacy e dove si ferma il soft spam.

Invio email indirizzi pubblici e GDPR: posso scrivere a info@ senza consenso?

L’invio email indirizzi pubblici è una delle domande più frequenti tra aziende e consulenti marketing: posso scrivere a [email protected] senza consenso? La risposta è: non automaticamente

Anche se un indirizzo è pubblicato online, il suo utilizzo resta soggetto alle regole del GDPR e al Codice Privacy. La pubblicazione non equivale a consenso tacito: l’indirizzo può essere usato solo per gli scopi per cui è stato reso noto.Il Garante Privacy ha chiarito che l’agevole reperibilità di un dato personale non lo rende liberamente utilizzabile per finalità commerciali. Serve sempre una base giuridica valida.

Cosa dice il Garante sull’invio di email a indirizzi pubblici

Il tema dell’invio email indirizzi pubblici è stato affrontato in più occasioni, tra cui il Provvedimento del 1° febbraio 2018 e, più recentemente, quello del 17 luglio 2024.

Entrambi ribadiscono che:

  • anche se un indirizzo è pubblico, il trattamento a fini promozionali richiede consenso esplicito (art. 6 e 7 GDPR);
  • gli indirizzi tratti da registri o elenchi pubblici (incluso INI-PEC) non possono essere usati per finalità di marketing;
  • l’unica eccezione riguarda il cosiddetto soft spam, disciplinato dall’art. 130, comma 4, del Codice Privacy.

La Cassazione (sentenza n. 7555/2023) ha inoltre precisato che la deroga del soft spam vale solo in presenza di un rapporto di vendita effettivo, per prodotti o servizi analoghi, e con informativa e opt-out immediato.

Consenso email pubbliche: nominativi e indirizzi generici

Non tutti gli indirizzi email sono uguali dal punto di vista giuridico. Il GDPR distingue tra indirizzi che identificano direttamente una persona fisica e indirizzi “funzionali” o generici. Comprendere questa differenza è essenziale per stabilire quando serve il consenso e quando invece una comunicazione può essere considerata lecita.

Indirizzi nominativi
Gli indirizzi che identificano una persona (es. [email protected]) sono dati personali. Per l’invio di comunicazioni commerciali serve sempre consenso esplicito. La pubblicazione online non autorizza l’uso per finalità di marketing.

Indirizzi generici
Gli indirizzi generici (es. info@, contatti@, vendite@) non identificano direttamente una persona, ma non sono automaticamente liberi.
Sono lecite solo comunicazioni coerenti con la finalità di contatto, come la richiesta di un preventivo o la risposta a una domanda specifica.
L’invio massivo o l’iscrizione a newsletter promozionali richiede comunque consenso.
Questo perché anche dietro info@ ci sono persone fisiche: si applicano quindi le regole dell’art. 130 del Codice Privacy.

Soft spam e consenso per le email pubbliche

Come anticipato in precedenza, esiste un’eccezione a questa norma. Si tratta del soft spam, una deroga limitata che consente l’invio di email promozionali senza un nuovo consenso, ma solo quando sono rispettate tutte le condizioni previste dall’art. 130, comma 4 del Codice Privacy:

 “Fatto salvo quanto previsto nel comma 1, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente.”

Le condizioni di liceità necessarie per il soft spam

  1. L’indirizzo è stato raccolto nel contesto di una vendita effettiva.
     Deve trattarsi di un acquisto reale, non di una registrazione gratuita o di un semplice contatto informativo.
  2. I prodotti o servizi offerti sono analoghi a quelli già acquistati.
    La norma parla di “prodotti o servizi analoghi”, ma non definisce il termine. In un’interpretazione prudente, l’analogia deve essere oggettiva e funzionale: si può proporre ciò che appartiene alla stessa categoria o risponde allo stesso bisogno dell’acquisto originario.
    Esempio: chi ha comprato un software può ricevere offerte su versioni aggiornate o moduli complementari, non su corsi o hardware non correlato.
  3. L’interessato è stato informato e può opporsi in ogni momento.
    L’informativa deve chiarire che l’indirizzo sarà utilizzato per comunicazioni su prodotti analoghi e che l’interessato può opporsi subito o in qualsiasi momento.
  4. Ogni messaggio include un opt-out gratuito e immediato.
    L’opposizione deve poter essere esercitata facilmente. Se il destinatario chiede la cancellazione, l’indirizzo va inserito in una lista di esclusione per evitare nuovi invii.

Se anche una sola di queste condizioni manca, l’invio è illecito.

Il dibattito sul soft spam: tra legittimo interesse e deroga normativa

L’interpretazione del soft spam è oggetto di dibattito, soprattutto sul rapporto tra deroga normativa e legittimo interesse.

Deroga e non base autonoma

Secondo l’impostazione del Garante Privacy e della Cassazione, il soft spam è una deroga eccezionale alla regola generale del consenso, non una base giuridica alternativa.
Non si può invocare il legittimo interesse del titolare per estendere la deroga a casi non previsti dalla legge.
Il Garante precisa inoltre che la deroga riguarda solo l’email, non altri canali come SMS, telefonate o messaggistica istantanea.

Un equilibrio delicato

Alcune interpretazioni più estensive ritengono che il soft spam possa essere compatibile con il principio del legittimo interesse, se accompagnato da trasparenza e possibilità di opposizione.
Tuttavia, la posizione più sicura resta quella di trattare il soft spam come deroga strettamente regolata, soggetta a requisiti cumulativi e verificabili.
Il principio di accountability impone al titolare di documentare il rispetto di tali condizioni e di mantenere un approccio proporzionato e limitato.

Il concetto di “prodotti analoghi”

Anche la nozione di “analoghi” è fonte di incertezza.
La linea interpretativa più prudente considera analoghi solo i prodotti strettamente correlati o appartenenti allo stesso ambito merceologico o funzionale.
Quando il legame è debole o solo complementare, il consenso torna ad essere necessario.
Per esempio: promuovere un servizio di manutenzione dopo la vendita di un impianto è ammissibile; proporre un servizio formativo o un prodotto di categoria diversa non lo è.

Approccio ATECO per dimostrare l’analogia

Nella prospettiva di dimostrare in modo oggettivo ed inequivocabile – anche in un’ottica di approccio basato sul rischio – quali siano i beni e servizi “analoghi”, è consigliabile utilizzare criteri riconosciuti anche a livello istituzionale.

Tra questi vi sono i codici ATECO, la classificazione ISTAT delle attività economiche, corrispondente alla nomenclatura europea NACE.

Ricondurre i prodotti o servizi ai relativi codici consente di individuare divisioni, gruppi, classi e sottocategorie, dimostrando coerenza tra l’offerta e l’attività economica del titolare.

In questo modo, l’azienda può documentare la propria compliance sia rispetto all’art. 130 del Codice Privacy sia all’art. 24 del GDPR, integrando la sentenza della Cassazione con un approccio tecnico e verificabile.

Consenso email pubbliche: la regola d’oro

L’invio di email è lecito solo quando la finalità del messaggio è coerente con la finalità per cui l’indirizzo è stato reso pubblico.
Da questo principio derivano tre regole pratiche:

  • Comunicazioni promozionali → consenso obbligatorio.
    Newsletter, offerte o comunicazioni commerciali richiedono consenso preventivo. Nessuna eccezione si applica a contatti trovati online.
  • Contatti pertinenti → invio lecito.
    Se scrivi per motivi coerenti con la funzione di contatto (es. richiesta di preventivo o proposta professionale mirata), l’invio è proporzionato e lecito, purché non massivo né ricorrente.
  • Clienti esistenti → deroga del soft spam.
    È consentito inviare messaggi su prodotti o servizi analoghi a quelli già acquistati, ma solo se l’indirizzo è stato raccolto nel contesto di una vendita effettiva, l’interessato è stato informato e può opporsi in qualsiasi momento.

In tutti gli altri casi, il consenso resta l’unica base legittima. Un database piccolo ma conforme vale più di migliaia di contatti irregolari: riduce i rischi legali e rafforza la reputazione del mittente.

GDPRLab supporta le aziende nella conformità al GDPR. Hai bisogno di aiuto? 

CONTATTACI!