Mandare email di marketing in Italia non è come farlo in paesi senza una cultura legale forte sulla privacy. In Italia, il GDPR e il Codice Privacy (D.Lgs. 196/2003) non sono solo raccomandazioni: sono la legge. Chi non le rispetta rischia sanzioni significative dal Garante per la protezione dei dati personali.
Molti mittenti — da agenzie di marketing a software house — pensano che "fare email marketing legale" sia complicato. Non lo è, se conosci le poche regole fondamentali. In questa guida ti spieghiamo esattamente quando puoi inviare una email commerciale in Italia, quali elementi deve contenere, e come verificare che la tua comunicazione sia conforme.
GDPR e Codice Privacy: il framework legale italiano
Il GDPR (Regolamento (UE) 2016/679) è europeo, ma ogni paese ha anche leggi nazionali che lo completano. In Italia, il Codice Privacy (Decreto Legislativo 196/2003, aggiornato per conformarsi al GDPR) è il riferimento principale per il trattamento dei dati personali, incluso l'invio di messaggi di marketing.
Entrambe le normative si basano su un principio fondamentale: il consenso dell'interessato. Non puoi mandargli un'email commerciale solo perché hai il suo indirizzo. Devi avere un'evidenza chiara che ha acconsentito a ricevere comunicazioni di marketing dal tuo dominio per il tipo di prodotto o servizio che stai proponendo.
Il Garante per la protezione dei dati personali — l'autorità italiana competente — controlla il rispetto di queste regole. Non fa eccezioni per "lista di buyer", "lead da siti web", o "email di acquisti precedenti": se non c'è consenso documentato, il Garante può sanzionare.
Opt-in vs Soft opt-in: quando il consenso è obbligatorio
La regola principale è semplice: opt-in esplicito. Prima di mandare la prima email commerciale a un nuovo contatto, devi ottenere il suo consenso specifico, informato e documentato. Non è sufficiente "non aver detto no"; lui deve aver detto "sì" attivamente.
Ma c'è un'eccezione importante, chiamata soft opt-in. Se qualcuno è già tuo cliente (ha comprato da te, ha un abbonamento attivo, ha contattato il tuo supporto), puoi inviargli email commerciali per prodotti o servizi simili a quelli che ha già scelto. Per esempio, se ha comprato un software di email marketing, puoi inviargli promozioni per template email o analytics, ma non per assicurazioni auto.
Il soft opt-in è valido solo se:
- C'è stata una transazione commerciale precedente (acquisto, abbonamento, contratto).
- L'email è inviata dal tuo dominio (non da un partner intermediario, a meno che il cliente non abbia consentito anche a quello).
- L'oggetto dell'email rientra nella categoria di prodotto o servizio che il cliente ha già acquistato o scelto di ricevere.
- In ogni email deve esserci un modo facile e chiaro per cancellarsi.
Se invii email pubblicitarie a elenchi di contatti non tuoi clienti — per esempio, da una lista di contatti comprata, o raccolti tramite form di newsletter senza un'azione di acquisto precedente — devi avere il consenso esplicito di ogni singolo indirizzo, sempre documentato.
Elementi obbligatori in ogni email commerciale
Il Codice Privacy e il GDPR non lasciano spazio a improvvisazione. Ogni email di marketing che invii in Italia deve contenere:
- Identificazione del mittente chiara e immediata. Non "Titolare del Trattamento", ma il nome leggibile della tua azienda o della persona responsabile. Deve essere visibile senza scrollare (intestazione dell'email o primo paragrafo).
- Indirizzo legale o di contatto del mittente. Un indirizzo fisico o un numero di telefono o un'email di contatto dove l'interessato possa raggiungerti per domande. Non è obbligatorio includere il numero di partita IVA, ma è consigliato per trasparenza.
- Un modo facile per cancellarsi (unsubscribe). Il link RFC 8058 (one-click unsubscribe) è lo standard moderno. Un pulsante di cancellazione evidente nel corpo dell'email o nel footer è il minimo. Se obblighi l'utente a cliccare su un link e poi compilare un form con email o password, rischi una sanzione.
- Informativa sulla privacy (privacy policy link). Se non l'hai già fornita al momento del consenso, includi o collega la tua privacy policy nell'email, in modo che l'interessato sappia come gestisci i suoi dati.
- Finestra temporale di cancellazione ragionevole. Se qualcuno clicca unsubscribe, deve essere rimosso dalla tua mailing list entro un massimo di 10 giorni (non 30, non "il mese prossimo"). In Italia, il Garante è severo su questo.
Molti mittenti sottovalutano il punto 1 e 2: pensano che il nome dell'azienda nel dominio di invio basti. Non basta. Nel body dell'email deve essere chiaro chi sei tu.
Consenso documentato: come ottenere e conservare la prova
"Ho mandato una newsletter, se non si è cancellato significa che è d'accordo" è illegale in Italia. Il consenso deve essere esplicito, informato e conservato.
Cosa significa nella pratica:
- Opt-in checkbox. Se raccogli indirizzi via form web, il checkbox "Accetto di ricevere email di marketing" deve essere unchecked di default. Se è pre-spuntato, il Garante considera il consenso non valido.
- Data e ora del consenso. Il tuo CRM o ESP deve registrare quando e da dove l'utente ha clicato "Sì". Se quest'informazione non c'è, sei in difficoltà nel caso di ispezione.
- Conservazione. Devi mantenere il log del consenso per il tempo in cui lo usi. Se la persona si cancella, puoi scartare il record, ma durante il tempo di invio della newsletter, il log deve esistere e deve essere accessibile (nel caso il Garante chieda).
- Soft opt-in: documentazione della relazione. Se usi il soft opt-in, devi saper dimostrare che c'è stata una transazione commerciale. Lo storico del cliente nel tuo CRM, la ricevuta dell'acquisto, il contratto di abbonamento — tutto questo account per prova.
Se non hai la prova del consenso, il Garante considererà i tuoi invii come non autorizzati, indipendentemente dall'intenzione.
La compliance tecnica: SPF, DKIM, DMARC e reputazione
La compliance legale al GDPR e al Codice Privacy è importante, ma non basta a far arrivare le email in inbox. Oltre al consenso, devi anche rispettare i standard tecnici che i provider (Gmail, Libero, Virgilio, Aruba, Alice, Outlook, ecc.) richiedono.
Dal febbraio 2024, Google e Yahoo (e molti provider italiani sulla loro scia) hanno reso obbligatori:
- SPF (Sender Policy Framework): una riga di configurazione DNS che dice "quanti server possono inviare email dal mio dominio".
- DKIM (DomainKeys Identified Mail): una firma digitale che autentica ogni email che invii.
- DMARC (Domain-based Message Authentication, Reporting and Conformance): una policy che dice al provider cosa fare se SPF o DKIM falliscono (rigettare l'email, metterla in spam, o solo reportare).
Queste misure non sono solo raccomandazioni: se non le configuri, le tue email rischiano di finire in spam anche se il consenso è perfetto e l'iscritto le vuole davvero.
Se non sai come configurarli, la tua ESP (MailUp, 4Dem, Brevo, Mailchimp, GetResponse) ha guide per impostare SPF o DKIM tramite i record DNS del tuo dominio. Se usi PrestaShop, WooCommerce o altre piattaforme di e-commerce, il plugin SMTP esterno (come WP Mail SMTP) semplifica il setup.
Un modo gratuito per verificare se le tue email passano questi controlli è testare con check.live-direct-marketing.online, che ti mostra anche le cartelle di arrivo (Inbox, Spam, Promotions) presso i principali provider italiani (Gmail, Libero, Virgilio, Aruba, ecc.).
Sanzioni del Garante: cosa succede se non rispetti le regole
Il Garante per la protezione dei dati personali non lascia correre. Se riceve segnalazioni di email non autorizzate (spesso da parte degli interessati che si lamentano), apre un'istruttoria. Se accerta una violazione:
- Sanzioni pecuniarie amministrative. Da €5.000 a €50.000 per violazioni minori (e.g., non fornire chiarezza sull'identità del mittente). Fino a €20 milioni o il 4% del fatturato annuale globale per violazioni gravi (e.g., mancanza di consenso per vaste liste di contatti).
- Ordine di cessazione. "Stop immediato all'invio su quel dominio" fino a che non dimostri compliance.
- Diffida pubblica. Il Garante può pubblicare il nome della tua azienda come violatrice. Questo danno alla reputazione è spesso più costoso della multa.
La maggior parte dei casi affrontati dal Garante riguardano aziende che hanno acquistato liste di contatti senza consenso documentato, oppure hanno inviato email da un dominio generico (type: @company.it) senza identità chiara nel corpo del messaggio.
Ricorda: ogni email che invii in Italia deve essere difendibile se il Garante la chiede spiegazioni. Se non hai il log del consenso, sei in posizione vulnerabile.
Best practices per restare conforme in Italia
In sintesi, per email marketing legale in Italia:
- Raccogli il consenso opt-in esplicito prima di mandare qualsiasi email commerciale a liste nuove. Usa checkbox unchecked, non pre-spuntati.
- Usa il soft opt-in solo per clienti esistenti che hanno già comprato un prodotto simile.
- In ogni email includi il nome leggibile della tua azienda, un indirizzo di contatto, e un link di unsubscribe one-click.
- Configura SPF, DKIM e DMARC sul tuo dominio di invio. Fallo anche se usi una ESP: molte richiedono che tu configuri il DNS per motivi di autenticazione.
- Conserva il log di ogni consenso (data, ora, IP, form utilizzato) per il tempo in cui usi l'indirizzo. Se lo conservi dopo, i dati devono essere crittografati.
- Testa le tue email prima di inviare a grandi liste. Usa uno strumento gratuito come check.live-direct-marketing.online per verificare che arrivino in inbox presso i principali provider italiani (Gmail, Libero, Virgilio, Aruba, Alice, Outlook).
- Monitora la qualità della lista: se il tasso di bounce o di lamentele supera una certa soglia, smetti di inviare su quell'indirizzo e rivedi il processo di consenso.