Normativa8 min di lettura

GDPR ed email marketing in Italia: le regole sul consenso

Se invii email di marketing in Italia, devi conoscere il GDPR e il Codice Privacy. Il consenso non è un dettaglio legale, ma il fondamento della tua reputazione di mittente e della deliverability. Scopri cosa è obbligatorio, quando puoi inviare senza consenso esplicito, e cosa rischi se non lo fai.

Mandare email di marketing in Italia non è come farlo in paesi senza una cultura legale forte sulla privacy. In Italia, il GDPR e il Codice Privacy (D.Lgs. 196/2003) non sono solo raccomandazioni: sono la legge. Chi non le rispetta rischia sanzioni significative dal Garante per la protezione dei dati personali.

Molti mittenti — da agenzie di marketing a software house — pensano che "fare email marketing legale" sia complicato. Non lo è, se conosci le poche regole fondamentali. In questa guida ti spieghiamo esattamente quando puoi inviare una email commerciale in Italia, quali elementi deve contenere, e come verificare che la tua comunicazione sia conforme.

GDPR e Codice Privacy: il framework legale italiano

Il GDPR (Regolamento (UE) 2016/679) è europeo, ma ogni paese ha anche leggi nazionali che lo completano. In Italia, il Codice Privacy (Decreto Legislativo 196/2003, aggiornato per conformarsi al GDPR) è il riferimento principale per il trattamento dei dati personali, incluso l'invio di messaggi di marketing.

Entrambe le normative si basano su un principio fondamentale: il consenso dell'interessato. Non puoi mandargli un'email commerciale solo perché hai il suo indirizzo. Devi avere un'evidenza chiara che ha acconsentito a ricevere comunicazioni di marketing dal tuo dominio per il tipo di prodotto o servizio che stai proponendo.

Il Garante per la protezione dei dati personali — l'autorità italiana competente — controlla il rispetto di queste regole. Non fa eccezioni per "lista di buyer", "lead da siti web", o "email di acquisti precedenti": se non c'è consenso documentato, il Garante può sanzionare.

Opt-in vs Soft opt-in: quando il consenso è obbligatorio

La regola principale è semplice: opt-in esplicito. Prima di mandare la prima email commerciale a un nuovo contatto, devi ottenere il suo consenso specifico, informato e documentato. Non è sufficiente "non aver detto no"; lui deve aver detto "sì" attivamente.

Ma c'è un'eccezione importante, chiamata soft opt-in. Se qualcuno è già tuo cliente (ha comprato da te, ha un abbonamento attivo, ha contattato il tuo supporto), puoi inviargli email commerciali per prodotti o servizi simili a quelli che ha già scelto. Per esempio, se ha comprato un software di email marketing, puoi inviargli promozioni per template email o analytics, ma non per assicurazioni auto.

Il soft opt-in è valido solo se:

  • C'è stata una transazione commerciale precedente (acquisto, abbonamento, contratto).
  • L'email è inviata dal tuo dominio (non da un partner intermediario, a meno che il cliente non abbia consentito anche a quello).
  • L'oggetto dell'email rientra nella categoria di prodotto o servizio che il cliente ha già acquistato o scelto di ricevere.
  • In ogni email deve esserci un modo facile e chiaro per cancellarsi.

Se invii email pubblicitarie a elenchi di contatti non tuoi clienti — per esempio, da una lista di contatti comprata, o raccolti tramite form di newsletter senza un'azione di acquisto precedente — devi avere il consenso esplicito di ogni singolo indirizzo, sempre documentato.

È un cliente esistente (acquisto, abbonamento)?100%Email riguarda prodotti o servizi simili a quelli già scelti?60%Email contiene cancellazione facile e chiara?55%Conforme: soft opt-in applicabile50%
Flusso decisionale: consenso obbligatorio vs soft opt-in

Elementi obbligatori in ogni email commerciale

Il Codice Privacy e il GDPR non lasciano spazio a improvvisazione. Ogni email di marketing che invii in Italia deve contenere:

  1. Identificazione del mittente chiara e immediata. Non "Titolare del Trattamento", ma il nome leggibile della tua azienda o della persona responsabile. Deve essere visibile senza scrollare (intestazione dell'email o primo paragrafo).
  2. Indirizzo legale o di contatto del mittente. Un indirizzo fisico o un numero di telefono o un'email di contatto dove l'interessato possa raggiungerti per domande. Non è obbligatorio includere il numero di partita IVA, ma è consigliato per trasparenza.
  3. Un modo facile per cancellarsi (unsubscribe). Il link RFC 8058 (one-click unsubscribe) è lo standard moderno. Un pulsante di cancellazione evidente nel corpo dell'email o nel footer è il minimo. Se obblighi l'utente a cliccare su un link e poi compilare un form con email o password, rischi una sanzione.
  4. Informativa sulla privacy (privacy policy link). Se non l'hai già fornita al momento del consenso, includi o collega la tua privacy policy nell'email, in modo che l'interessato sappia come gestisci i suoi dati.
  5. Finestra temporale di cancellazione ragionevole. Se qualcuno clicca unsubscribe, deve essere rimosso dalla tua mailing list entro un massimo di 10 giorni (non 30, non "il mese prossimo"). In Italia, il Garante è severo su questo.

Molti mittenti sottovalutano il punto 1 e 2: pensano che il nome dell'azienda nel dominio di invio basti. Non basta. Nel body dell'email deve essere chiaro chi sei tu.

Consiglio pratico
Usa un template di footer standardizzato per tutte le tue email commerciali. Includi il nome della tua azienda in forma leggibile, un indirizzo fisico (o una pagina di contatto sul sito), e un link di unsubscribe one-click. Testa l'unsubscribe link prima di inviare: assicurati che funzioni e che il contatto sia rimosso entro 24 ore (prima di 10 giorni). Questa semplice procedura riduce il rischio di lamentele.

Consenso documentato: come ottenere e conservare la prova

"Ho mandato una newsletter, se non si è cancellato significa che è d'accordo" è illegale in Italia. Il consenso deve essere esplicito, informato e conservato.

Cosa significa nella pratica:

  • Opt-in checkbox. Se raccogli indirizzi via form web, il checkbox "Accetto di ricevere email di marketing" deve essere unchecked di default. Se è pre-spuntato, il Garante considera il consenso non valido.
  • Data e ora del consenso. Il tuo CRM o ESP deve registrare quando e da dove l'utente ha clicato "Sì". Se quest'informazione non c'è, sei in difficoltà nel caso di ispezione.
  • Conservazione. Devi mantenere il log del consenso per il tempo in cui lo usi. Se la persona si cancella, puoi scartare il record, ma durante il tempo di invio della newsletter, il log deve esistere e deve essere accessibile (nel caso il Garante chieda).
  • Soft opt-in: documentazione della relazione. Se usi il soft opt-in, devi saper dimostrare che c'è stata una transazione commerciale. Lo storico del cliente nel tuo CRM, la ricevuta dell'acquisto, il contratto di abbonamento — tutto questo account per prova.

Se non hai la prova del consenso, il Garante considererà i tuoi invii come non autorizzati, indipendentemente dall'intenzione.

La compliance tecnica: SPF, DKIM, DMARC e reputazione

La compliance legale al GDPR e al Codice Privacy è importante, ma non basta a far arrivare le email in inbox. Oltre al consenso, devi anche rispettare i standard tecnici che i provider (Gmail, Libero, Virgilio, Aruba, Alice, Outlook, ecc.) richiedono.

Dal febbraio 2024, Google e Yahoo (e molti provider italiani sulla loro scia) hanno reso obbligatori:

  • SPF (Sender Policy Framework): una riga di configurazione DNS che dice "quanti server possono inviare email dal mio dominio".
  • DKIM (DomainKeys Identified Mail): una firma digitale che autentica ogni email che invii.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance): una policy che dice al provider cosa fare se SPF o DKIM falliscono (rigettare l'email, metterla in spam, o solo reportare).

Queste misure non sono solo raccomandazioni: se non le configuri, le tue email rischiano di finire in spam anche se il consenso è perfetto e l'iscritto le vuole davvero.

Se non sai come configurarli, la tua ESP (MailUp, 4Dem, Brevo, Mailchimp, GetResponse) ha guide per impostare SPF o DKIM tramite i record DNS del tuo dominio. Se usi PrestaShop, WooCommerce o altre piattaforme di e-commerce, il plugin SMTP esterno (come WP Mail SMTP) semplifica il setup.

Un modo gratuito per verificare se le tue email passano questi controlli è testare con check.live-direct-marketing.online, che ti mostra anche le cartelle di arrivo (Inbox, Spam, Promotions) presso i principali provider italiani (Gmail, Libero, Virgilio, Aruba, ecc.).

Sanzioni del Garante: cosa succede se non rispetti le regole

Il Garante per la protezione dei dati personali non lascia correre. Se riceve segnalazioni di email non autorizzate (spesso da parte degli interessati che si lamentano), apre un'istruttoria. Se accerta una violazione:

  • Sanzioni pecuniarie amministrative. Da €5.000 a €50.000 per violazioni minori (e.g., non fornire chiarezza sull'identità del mittente). Fino a €20 milioni o il 4% del fatturato annuale globale per violazioni gravi (e.g., mancanza di consenso per vaste liste di contatti).
  • Ordine di cessazione. "Stop immediato all'invio su quel dominio" fino a che non dimostri compliance.
  • Diffida pubblica. Il Garante può pubblicare il nome della tua azienda come violatrice. Questo danno alla reputazione è spesso più costoso della multa.

La maggior parte dei casi affrontati dal Garante riguardano aziende che hanno acquistato liste di contatti senza consenso documentato, oppure hanno inviato email da un dominio generico (type: @company.it) senza identità chiara nel corpo del messaggio.

Ricorda: ogni email che invii in Italia deve essere difendibile se il Garante la chiede spiegazioni. Se non hai il log del consenso, sei in posizione vulnerabile.

Best practices per restare conforme in Italia

In sintesi, per email marketing legale in Italia:

  1. Raccogli il consenso opt-in esplicito prima di mandare qualsiasi email commerciale a liste nuove. Usa checkbox unchecked, non pre-spuntati.
  2. Usa il soft opt-in solo per clienti esistenti che hanno già comprato un prodotto simile.
  3. In ogni email includi il nome leggibile della tua azienda, un indirizzo di contatto, e un link di unsubscribe one-click.
  4. Configura SPF, DKIM e DMARC sul tuo dominio di invio. Fallo anche se usi una ESP: molte richiedono che tu configuri il DNS per motivi di autenticazione.
  5. Conserva il log di ogni consenso (data, ora, IP, form utilizzato) per il tempo in cui usi l'indirizzo. Se lo conservi dopo, i dati devono essere crittografati.
  6. Testa le tue email prima di inviare a grandi liste. Usa uno strumento gratuito come check.live-direct-marketing.online per verificare che arrivino in inbox presso i principali provider italiani (Gmail, Libero, Virgilio, Aruba, Alice, Outlook).
  7. Monitora la qualità della lista: se il tasso di bounce o di lamentele supera una certa soglia, smetti di inviare su quell'indirizzo e rivedi il processo di consenso.

Se compro una lista di contatti e mando una email di presentazione, è legale?

No, non è legale in Italia senza consenso precedente. Anche se la lista è "di lead qualificati", se quei contatti non hanno attivamente acconsentito a ricevere email dal tuo dominio per quel tipo di prodotto, il Garante considererà l'invio non autorizzato. L'unica eccezione è il soft opt-in: se quei contatti sono clienti esistenti di una tua divisione, e la promozione riguarda prodotti simili, allora puoi usare il soft opt-in — ma anche lì devi avere il modo di cancellarsi in ogni email.

Qual è il limite massimo di tempo per rimuovere un indirizzo dalla mailing list dopo che clicca unsubscribe?

Il termine massimo stabilito dal GDPR è 10 giorni lavorativi dal ricevimento della richiesta di cancellazione. Nella pratica italiana, il Garante si aspetta una rimozione entro 24–48 ore. Se aspetti più di una settimana, rischi una lamentela. La migliore pratica è automatizzare la cancellazione in tempo reale: quando l'utente clicca il link one-click unsubscribe, la tua piattaforma deve rimuoverlo immediatamente dalla lista, oppure marcarlo come cancellato se usi un sistema di archiviazione.

Se il mio dominio di invio ha una reputazione pessima (troppo spam), ma il consenso è legale, l'email arriva comunque in inbox?

Legittimità legale e deliverability tecnica sono due cose diverse. Puoi avere tutto il consenso del mondo, ma se il tuo dominio (o il tuo IP di invio) ha una reputazione cattiva presso i filter anti-spam, le tue email finiranno in spam comunque. Per verificare la tua reputazione, controlla i dati di feedback dei provider (Gmail Postmaster Tools, Yahoo Postmaster Tools) e testa le tue email con strumenti gratuiti come check.live-direct-marketing.online, che ti mostra dove vanno a finire (Inbox, Spam, Promotions) presso 20+ provider. Se vedi molti falsi positivi, significa che il tuo IP o dominio ha bisogno di riscaldamento (warmup) o che il filtro del provider sta applicando una policy più severa per il tuo settore.
Letture correlate
Found this useful? Share it
AB
Sull'autore
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Verifica la tua deliverability su oltre 20 provider

Gmail, Outlook, Yahoo, Libero, GMX, ProtonMail e altri. Screenshot reali della posta in arrivo, SPF/DKIM/DMARC, verdetti dei filtri antispam. Gratis, senza registrazione.

Avvia il test gratuito →

Test illimitati · Oltre 20 caselle · Risultati in tempo reale · Nessun account