Inserisci una parola chiave per iniziare la ricerca
Ricerca in corso...
Immaginate di ricevere, un mattino, una email promozionale da una società di cui non ricordate il nome: non avete mai acquistato nulla da loro, non avete compilato alcun modulo, non avete mai flaggato alcuna casella. Eppure la vostra email è finita in una lista. Questo scenario, vissuto ogni giorno da milioni di persone, è il cuore di una delle materie più sanzionate dal Garante per la protezione dei dati personali: le comunicazioni commerciali indesiderate, comunemente chiamate spam.
Il fenomeno non riguarda solo le grandi aziende telefoniche o energetiche che da anni compaiono sui giornali con sanzioni milionarie. Riguarda la piccola impresa, l'intermediario assicurativo, l'agenzia di marketing, il rivenditore online. E riguarda soprattutto chi, convinto di muoversi in una zona grigia, scopre tardi che quella zona grigia non esiste.
Il quadro normativo: art. 130 Codice Privacy e GDPR
La disciplina dello spam in Italia si articola su due livelli sovrapposti. Da un lato il Regolamento (UE) 2016/679 (GDPR), che all'art. 6, par. 1, lett. a) richiede una base giuridica per qualsiasi trattamento di dati personali, e all'art. 7 disciplina i requisiti di validità del consenso: esso deve essere libero, specifico, informato e inequivocabile. Dall'altro il D.Lgs. 196/2003 (Codice Privacy), che all'art. 130 prevede la regola dell'opt-in obbligatorio: per poter inviare comunicazioni promozionali mediante sistemi automatizzati — telefonate preregistrate, email, sms, mms — è necessario aver acquisito previamente il consenso del destinatario, consenso che deve essere specifico, libero, informato e documentato. Vigilantibus iura subveniunt: il diritto tutela chi esercita i propri diritti, ma anche chi si attiva tempestivamente per adeguare la propria compliance non aspettando l'intervento dell'Autorità.
L'eccezione più invocata dagli operatori è quella del cosiddetto soft spam, prevista dall'art. 130, comma 4, del Codice Privacy: è consentito inviare comunicazioni promozionali via email ai propri clienti per prodotti o servizi analoghi a quelli già acquistati, a condizione che al momento della raccolta dei dati sia stata data facoltà di opposizione e che in ogni comunicazione successiva sia sempre presente un meccanismo di opt-out chiaro e accessibile. Si tratta, però, di un'eccezione rigorosa, non di una scappatoia per chi non ha costruito un corretto meccanismo di raccolta del consenso ab origine.
Il Garante ha nel tempo precisato che neppure la reperibilità pubblica di un indirizzo email giustifica il suo utilizzo a fini promozionali: il fatto che i dati siano accessibili in rete non significa che possano essere liberamente usati per inviare comunicazioni promozionali automatizzate. Ogni utilizzo di dati altrui per marketing diretto esige una base giuridica specifica e documentata.
Su questo sfondo si innesta la riflessione di Gustavo Zagrebelsky, secondo cui ogni diritto fondamentale — e la protezione dei dati personali è oggi riconosciuta come tale nell'ordinamento europeo — richiede un'infrastruttura istituzionale capace di renderlo realmente effettivo, non soltanto proclamato. L'azione sanzionatoria del Garante rappresenta esattamente quella infrastruttura.
I provvedimenti recenti: tre casi emblematici
Nell'arco degli ultimi mesi, il Garante ha adottato una serie di provvedimenti che tracciano con nitidezza i confini del lecito. Vale la pena esaminarli nel dettaglio perché ciascuno illumina un profilo diverso del problema.
Il primo caso riguarda una società di intermediazione assicurativa che aveva inviato email promozionali a soggetti che non avevano mai prestato il consenso al trattamento dei loro dati per finalità di marketing. Con il provvedimento del 12 febbraio 2026, Registro n. 89 (doc. web n. 10224476), il Garante ha accertato la violazione dell'art. 6, par. 1, lett. a) del GDPR e dell'art. 130, comma 2 del Codice Privacy da parte di Fersovere Srl, per l'invio di comunicazioni promozionali indesiderate via email in assenza di idonea base giuridica. Il procedimento ha evidenziato anche la violazione degli artt. 12 e 15 del Regolamento, per mancato o inadeguato riscontro alle istanze di accesso agli atti formulate dai reclamanti. L'elemento che ha indotto l'Autorità a qualificare il caso come "violazione minore" e a optare per l'ammonimento anziché per la sanzione pecuniaria è stato circoscritto: le violazioni avevano riguardato una sola comunicazione per ciascun reclamante, i destinatari non avevano ricevuto ulteriori messaggi e la condotta non rientrava nel core business dell'azienda. Tuttavia il messaggio di fondo rimane inequivoco: anche una singola email promozionale inviata senza consenso costituisce violazione del GDPR.
Il secondo caso, deciso con il provvedimento del 12 febbraio 2026 (doc. web n. 10227039), riguarda un intermediario assicurativo che aveva inviato comunicazioni commerciali ritenendo di poter operare come responsabile del trattamento della compagnia mandante, e di potersi avvalere dell'eccezione del soft spam. Il Garante ha respinto entrambe le difese: la compagnia assicurativa mandante aveva confermato l'assenza di consensi per finalità di marketing nel proprio interesse, e la qualifica di responsabile del trattamento era stata erronea, poiché le comunicazioni erano state inviate dalla società in totale autonomia, come titolare del trattamento. Si è dunque accertata la violazione del principio di liceità del trattamento di cui agli artt. 5, par. 1, lett. a), 6 par. 1 lett. a), e 7 del Regolamento, nonché dell'art. 130, comma 2, del Codice Privacy. Circostanza aggravante rilevante: durante il procedimento sanzionatorio già avviato, la stessa società aveva inviato ulteriori comunicazioni promozionali a nuovi soggetti, con lo stesso schema illecito. Il Garante ha tenuto conto di ciò nella determinazione della sanzione, evidenziando come la durata della violazione e il carattere gravemente negligente della condotta fossero elementi di sicura valenza aggravante ai sensi dell'art. 83, par. 2 del Regolamento.
Il terzo profilo viene dalla giurisprudenza della Suprema Corte. Con l'ordinanza n. 15881 del 2025, la Seconda Sezione Civile della Corte di Cassazione ha affrontato il bilanciamento tra attività promozionali tramite strumenti elettronici e liceità del trattamento dei dati personali, fornendo un'interpretazione particolarmente rigorosa dell'art. 130, comma 4 del Codice Privacy in materia di soft spam. La vicenda aveva origine da una sanzione del Garante nei confronti di una società per invio di comunicazioni promozionali a mezzo posta elettronica senza il consenso informato e specifico degli interessati. L'opposizione era stata rigettata dal Tribunale di Roma e la Cassazione ha confermato: il soft spam non si applica a soggetti che non hanno mai instaurato un vero rapporto contrattuale con il mittente, e la mera interazione digitale — come l'inserimento di un indirizzo email per accedere a un'offerta — non equivale a consenso al trattamento per finalità promozionali. Come sintetizza efficacemente la riflessione che emerge dalla pronuncia: il finto opt-in non regge più. Confondere l'interazione dell'utente con il consenso è la scorciatoia digitale più abusata degli ultimi anni, e la Cassazione la smaschera definitivamente.
La coerenza tra i tre casi rivela un orientamento consolidato: non esiste zona grigia nel marketing diretto digitale. Il consenso deve essere specifico, libero, informato, documentato e riferito a finalità determinate. Non basta una clausola generica nel modulo di registrazione. Non basta affidarsi a terzi cedenti le liste e assumere che abbiano acquisito i consensi necessari. Non basta invocare il soft spam per destinatari che non sono mai stati clienti effettivi.
È in questo contesto che il Garante, con il provvedimento n. 797 del 30 dicembre 2025, ha varato il piano delle ispezioni per il primo semestre 2026 indicando il telemarketing tra le aree prioritarie di verifica: un segnale inequivocabile che la stagione delle sanzioni esemplari non è conclusa, e che le imprese che non hanno ancora adeguato i propri processi di raccolta del consenso sono esposte a un rischio concreto di procedimento sanzionatorio.
Merita segnalare anche il profilo della cessione dei dati a terze parti per finalità promozionali. Il Garante, già con il provvedimento del 27 febbraio 2025 nei confronti di una società fornitrice di energia (doc. web n. 10114967), ha chiarito che il consenso alla cessione di dati a soggetti terzi per marketing deve essere granulare: non bastano formule onnicomprensive che elencano decine di categorie merceologiche in un'unica clausola. L'interessato deve poter selezionare categoria per categoria, canale per canale. L'utilizzo di formulazioni generiche che non consentano di differenziare la volontà dell'interessato non è conforme al GDPR, e il consenso così raccolto è invalido.
Cosa fare concretamente: errori da evitare e misure da adottare
Sul piano pratico, le violazioni più frequenti riscontrate dal Garante nei procedimenti in materia di spam commerciale si raggruppano in tre categorie. La prima è la raccolta del consenso non valida: caselle pre-flaggate, formulazioni ambigue, consensi "omnibus" che coprono finalità promiscue. La seconda è la mancata verifica delle liste di contatti acquisite da terzi: chi cede una lista deve documentare l'effettività e l'attualità dei consensi; chi la riceve ha l'obbligo di verificare. La mera indicazione dell'indirizzo IP del cedente non è sufficiente a certificare la genuinità del consenso. La terza è il mancato rispetto delle opposizioni e delle revoche: il GDPR impone che la revoca del consenso sia altrettanto agevole della sua prestazione, e che produca effetti immediati su tutti i sistemi.
Operativamente, ogni impresa che fa marketing diretto dovrebbe dotarsi di: un registro delle attività di trattamento aggiornato che descriva le basi giuridiche del marketing; un meccanismo di double opt-in per le comunicazioni elettroniche; un sistema tecnico che recepisca in tempo reale le revoche e le opposizioni; contratti di nomina a responsabile del trattamento con tutti i fornitori di liste e servizi di invio; una politica di retention che definisca per quanto tempo è lecito conservare i dati di consenso; e un'informativa privacy che distingua chiaramente le finalità di marketing proprio, di profilazione e di cessione a terzi, consentendo una scelta granulare.
Chi ha commissionato campagne promozionali ad agenti, partner o liste di terze parti deve ricordare che chi commissiona campagne promozionali deve esercitare adeguati controlli per evitare che agenti, subagenti o altri soggetti a cui ha demandato i contatti con i potenziali clienti effettuino spam. La responsabilità del titolare del trattamento non si trasferisce per contratto: rimane in capo a chi ha intrapreso la campagna e ne ha beneficiato.
Per chi riceve comunicazioni indesiderate, il sistema offre tutele concrete: è possibile presentare reclamo al Garante, esercitare il diritto di opposizione direttamente presso il mittente, e chiedere la cancellazione dei propri dati. Nei casi più gravi, le sanzioni irrogabili possono raggiungere importi molto significativi, proporzionati al fatturato dell'impresa e alla gravità e durata della violazione.
La questione non è soltanto di compliance formale. È una questione di fiducia. Una comunicazione commerciale non richiesta non è solo uno spam che finisce nel cestino: è la dimostrazione che qualcuno ha trattato i dati di un'altra persona come una risorsa propria, senza averne il titolo. Il GDPR non ha inventato un formalismo burocratico fine a sé stesso: ha posto al centro la persona e il suo diritto a controllare le informazioni che la riguardano. Il marketing che rispetta queste regole costruisce relazioni; quello che le aggira le distrugge — e, come dimostrano i provvedimenti analizzati, sempre più spesso finisce anche in sanzione.
Redazione - Staff Studio Legale MP