Fare email marketing in Italia senza rispettare il GDPR espone a sanzioni che possono arrivare fino a €20 milioni o al 4% del fatturato mondiale annuo — la cifra più alta tra le due. Ma al di là delle sanzioni, un email marketing non conforme danneggia la reputazione del dominio, peggiora la deliverability e può far bloccare l'account sull'ESP. Questa guida raccoglie gli obblighi pratici per chi fa email marketing in Italia nel 2026: consenso, double opt-in, registro dei trattamenti, trasferimenti dati extra-UE e cosa succede in caso di ispezione del Garante.
Cos'è un consenso valido per email marketing
Il GDPR (art. 7) richiede che il consenso al trattamento dei dati per email marketing sia libero, specifico, informato e inequivocabile. In pratica:
- Checkbox non pre-spuntata: il campo di consenso al marketing non può essere già selezionato. Chi compila il form deve spuntarlo attivamente. Una checkbox pre-selezionata non costituisce consenso valido
- Finalità specifica: il consenso deve menzionare esplicitamente l'email marketing come finalità. Un consenso generico al "trattamento dei dati" non copre l'invio di comunicazioni commerciali
- Consenso separato per profilazione: se usi i dati per segmentare o profilare gli utenti (es. inviare offerte in base agli acquisti passati), serve un consenso separato, distinto da quello per le comunicazioni commerciali generali
- Informativa accessibile: la privacy policy deve essere raggiungibile dal form di iscrizione e deve specificare: titolare del trattamento, finalità, periodo di conservazione, eventuali trasferimenti extra-UE, diritti dell'interessato
Il consenso ottenuto in cambio di un vantaggio condizionato ("ricevi lo sconto del 10% se accetti le email") è valido solo se il vantaggio non è l'unico scopo del servizio. Per le newsletter e i lead magnet, è pratica accettata.
Double opt-in: non obbligatorio, ma fortemente raccomandato
Il GDPR non impone il double opt-in (conferma dell'iscrizione tramite email), ma è la pratica raccomandata per due ragioni concrete.
Prima ragione: prova del consenso. In caso di contestazione al Garante, devi poter dimostrare che la persona ha effettivamente acconsentito all'iscrizione. Con il single opt-in puoi avere solo il log IP e la data; con il double opt-in hai anche la conferma che l'indirizzo esiste e che il suo proprietario ha cliccato. È una prova molto più robusta in caso di segnalazione.
Seconda ragione: qualità della lista. Il double opt-in elimina gli indirizzi falsi, mal digitati o inseriti da terzi senza consenso del proprietario. Il risultato è una lista con open rate più alti, bounce rate più basso e deliverability migliore — tutti i principali ESP misurano questi indicatori e penalizzano i mittenti con metriche scarse.
Tutti i principali ESP (Brevo, Mailchimp, MailerLite, ActiveCampaign) supportano il double opt-in in configurazione. Va attivato consapevolmente — non è impostazione predefinita su tutti i tool.
Registro dei trattamenti: chi deve averlo
Il Registro delle attività di trattamento (art. 30 GDPR) è obbligatorio per le organizzazioni con più di 250 dipendenti, ma è raccomandato per tutti, inclusi i freelance e le PMI, perché è il documento che il Garante richiede in caso di ispezione.
Per chi fa email marketing, la voce del registro deve contenere:
- Finalità: marketing diretto tramite email
- Categorie di dati trattati: indirizzo email, nome (se raccolto), eventualmente dati comportamentali (aperture, click)
- Periodo di conservazione: fino alla revoca del consenso, con pulizia annuale dei contatti inattivi
- Misure di sicurezza: accesso tramite credenziali sicure all'ESP, nessuna esportazione non necessaria della lista
- Trasferimenti extra-UE: se l'ESP ha server fuori UE (es. Mailchimp/USA), va indicato e documentato il meccanismo di garanzia (SCC)
Trasferimenti dati extra-UE: Mailchimp vs Brevo
La scelta dell'ESP ha implicazioni dirette sulla conformità al GDPR per i trasferimenti di dati verso Paesi terzi.
Mailchimp (USA) trasferisce i dati degli iscritti sui propri server americani. Per essere GDPR compliant, utilizza le Clausole Contrattuali Standard (SCC) — lo strumento legale previsto dall'art. 46 GDPR per autorizzare il trasferimento. Come mittente, devi indicarlo nella privacy policy e nel registro dei trattamenti. Non è illegale usare Mailchimp, ma richiede questa documentazione.
Brevo (Francia) conserva i dati in server europei. Non ci sono trasferimenti extra-UE: è la scelta più semplice dal punto di vista della conformità e preferita da chi tratta dati di utenti sensibili o vuole una posizione più robusta in caso di ispezione.
MailerLite (Lituania, UE) è anch'esso EU-based — stesso vantaggio di Brevo sul fronte dei trasferimenti.
Diritti degli iscritti che devi rispettare
Ogni persona nella tua lista ha diritti esercitabili in qualsiasi momento. Non rispettarli è una violazione sanzionabile:
- Diritto di cancellazione (art. 17): se un iscritto ti chiede di essere rimosso, devi farlo immediatamente — non nei prossimi 10 giorni, non "al prossimo invio". Il GDPR non fissa un termine massimo esplicito per l'email marketing, ma il Codice del Consumo italiano prevede 10 giorni. Il link di unsubscribe nell'email è il meccanismo standard e automatico
- Diritto di accesso (art. 15): se un iscritto chiede quali dati hai su di lui, devi rispondere entro 30 giorni. Nella pratica: email, nome, data di iscrizione, storico consenso, eventuali tag di segmentazione
- Diritto di rettifica (art. 16): se l'indirizzo o il nome è errato, devi correggerlo su richiesta
- Diritto alla portabilità (art. 20): su richiesta, devi poter consegnare i dati in formato leggibile da macchina (CSV è sufficiente)
Sanzioni del Garante Privacy italiano
Il Garante per la protezione dei dati personali ha irrogato sanzioni a PMI e professionisti italiani per violazioni legate all'email marketing. Le fattispecie più frequenti:
- Invio di email commerciali senza consenso documentato
- Mancata o tardiva gestione delle richieste di cancellazione
- Lista acquistata da terzi senza consenso individuale degli interessati
- Conservazione di dati oltre il periodo dichiarato nell'informativa
Le sanzioni per soggetti piccoli tipicamente oscillano tra €10.000 e €150.000, ma possono essere più alte se la violazione riguarda grandi volumi di dati. La comunicazione della violazione (data breach) entro 72 ore al Garante — nel caso di accesso non autorizzato alla lista — è obbligatoria e la sua omissione aggrava la sanzione.
Checklist di conformità per email marketing in Italia
- Consenso esplicito con checkbox non pre-spuntata per ogni form di iscrizione
- Privacy policy aggiornata, raggiungibile dal form, che menziona l'email marketing come finalità
- Double opt-in attivo sull'ESP
- Link unsubscribe presente in ogni email inviata
- Log di consenso archiviato (data, IP, pagina) — verificare che l'ESP lo conservi
- DPA (Data Processing Agreement) firmato con l'ESP
- Registro dei trattamenti aggiornato con la voce email marketing
- Pulizia della lista almeno una volta l'anno (rimozione inattivi e bounce)
- Se usi Mailchimp: trasferimento extra-UE documentato nella privacy policy (SCC)
Domande frequenti
- Posso comprare una lista email e iniziare a inviare?
- No. Le persone nella lista non hanno dato il consenso a ricevere comunicazioni da te specificamente. Usare una lista acquistata è una violazione del GDPR e del D.Lgs. 196/2003. Il rischio è una segnalazione al Garante da parte dei destinatari — molti lo fanno — e una sanzione per invio spam. Oltre al rischio legale, l'ESP blocca l'account se rileva tassi di spam o bounce anomali.
- Le email transazionali (conferma ordine, fattura) richiedono consenso al marketing?
- No. Le email transazionali sono necessarie all'esecuzione del contratto (art. 6 lett. b GDPR) e non richiedono un consenso marketing separato. Puoi inviare conferme d'ordine, aggiornamenti sulla spedizione e fatture senza che il destinatario abbia accettato la newsletter. Non puoi però inserire contenuti promozionali rilevanti nelle email transazionali usando questo "passaggio" come scusa.
- Mailchimp è ancora GDPR compliant dopo il Privacy Shield?
- Sì. Dopo l'invalidazione del Privacy Shield nel 2020, Mailchimp utilizza le Clausole Contrattuali Standard (SCC) per i trasferimenti UE→USA, come previsto dalla Decisione di adeguatezza per le SCC (2021/914/UE). Il trasferimento è legale, ma devi documentarlo nella tua privacy policy e nel registro dei trattamenti. Se vuoi evitare questa complessità, Brevo o MailerLite tengono i dati in UE.
- Quanto rischio concretamente se non ho il consenso documentato?
- Il rischio principale non è un'ispezione proattiva del Garante (rara per soggetti piccoli), ma una segnalazione di un destinatario. Basta una persona che si sente spammata e che fa formale segnalazione al Garante per aprire un procedimento. Le sanzioni per invio spam a soggetti non consenzenti partono da €10.000–20.000 per le PMI italiane, con casi documentati fino a €100.000+ per volumi elevati.