Un’agenzia di marketing e i suoi clienti condividono un rischio che in Italia ha prodotto le sanzioni GDPR più alte in assoluto: la catena del consenso nel telemarketing. Il Garante ha smontato pezzo per pezzo il sistema del list-broking illegale — liste di contatti vendute e rivendute senza consensi validi — colpendo con multe milionarie chi le utilizzava a valle. Chi fa marketing deve padroneggiare tre strumenti: il consenso libero, specifico e documentato; il Registro Pubblico delle Opposizioni (RPO), riformato dalla L. 5/2018; e il soft spam (art. 130, comma 4, Codice Privacy). Questa guida spiega come costruire campagne conformi e come non ritrovarsi responsabili di una filiera di dati illecita.
Punti chiave
- Il telemarketing senza consenso valido è la violazione più sanzionata in Italia: Enel Energia ha ricevuto 79,1 milioni di euro nel 2024 e 26,5 milioni nel 2021, TIM 27,8 milioni nel 2020.
- Il consenso al marketing deve essere libero, specifico, informato, documentato e separato per finalità (marketing, profilazione, cessione a terzi).
- Il Registro Pubblico delle Opposizioni, dopo la L. 5/2018, copre anche i numeri di cellulare: va consultato prima delle campagne telefoniche.
- Il soft spam consente email a clienti per prodotti analoghi senza consenso, ma non si applica a liste acquistate da terzi.
- L’agenzia deve verificare la provenienza dei dati e la validità dei consensi lungo l’intera catena: la responsabilità risale a chi utilizza i contatti.
La catena del consenso: dove nasce l’illecito
Il modello che il Garante ha smantellato funziona così: un soggetto raccoglie contatti con consensi generici o inesistenti, li rivende a list-broker, che li rivendono ad altri, fino all’azienda che li usa per chiamare o inviare messaggi. Ogni passaggio “diluisce” la tracciabilità del consenso, ma non lo rende valido. Il risultato: l’azienda a valle utilizza dati raccolti senza una base lecita e ne risponde. La chiave difensiva è la provenienza dimostrabile del consenso: chi lo ha raccolto, quando, per quali finalità, con quale informativa. Senza questa catena documentale, la campagna è a rischio.
Le maxi-sanzioni del telemarketing
Il telemarketing è il fronte dove il Garante ha inflitto le sanzioni più pesanti d’Italia, tutte documentate nei provvedimenti pubblicati:
| Soggetto | Anno | Sanzione |
|---|---|---|
| Enel Energia | 2024 | 79,1 milioni € |
| Enel Energia | 2021 | 26,5 milioni € |
| TIM | 2020 | 27,8 milioni € |
| Eni Gas e Luce | 2019 | 11,5 milioni € |
| Sky Italia | 2021 | 3,3 milioni € |
Queste cifre non riguardano solo i grandi committenti: chiunque appalti campagne a call center o acquisti liste eredita il rischio. Il panorama aggiornato è nel riepilogo delle sanzioni del Garante privacy.
Il consenso: granulare, separato, documentato
Il consenso al marketing deve essere libero, specifico, informato e inequivocabile (art. 6, par. 1, lett. a, e art. 7 GDPR). Gli errori tipici che rendono il consenso invalido:
- caselle pre-selezionate o consenso presunto dallo scroll;
- consenso cumulativo che mescola marketing, profilazione e cessione a terzi in un’unica spunta;
- assenza di prova del consenso raccolto;
- informativa che non indica le finalità e i destinatari.
Il consenso va separato per finalità: una spunta per la newsletter, una diversa per la profilazione, una diversa ancora per la cessione a terzi. Per formulare correttamente le caselle si vedano gli esempi di consenso GDPR; l’informativa può partire da un modello.
Registro Pubblico delle Opposizioni e soft spam
Il Registro Pubblico delle Opposizioni (RPO), dopo la riforma della L. 5/2018, consente a chiunque di opporsi alle chiamate promozionali, e copre anche i numeri di cellulare. Prima di una campagna telefonica, i contatti vanno filtrati contro il RPO: chiamare un numero iscritto è un illecito. Il RPO non sostituisce il consenso, lo integra: anche con consenso, un’iscrizione al Registro va rispettata.
Il soft spam (art. 130, comma 4, Codice Privacy) è l’unica deroga al consenso per l’email: consente di inviare promozioni ai propri clienti per prodotti o servizi analoghi a quelli acquistati, con opt-out sempre disponibile. Non copre le liste acquistate, i servizi diversi, gli SMS o le telefonate. Estenderlo oltre questi limiti è uno degli errori che il Garante sanziona.
Profilazione e retargeting
Costruire audience lookalike, tracciare gli utenti tra siti, personalizzare gli annunci: sono trattamenti di profilazione che richiedono un consenso specifico e separato, oltre al consenso per i cookie di tracciamento (art. 122 Codice Privacy). Quando la profilazione è su larga scala e sistematica, l’agenzia o il cliente devono valutare una valutazione d’impatto sulla protezione dei dati (DPIA). Nella catena tra agenzia, cliente e piattaforme pubblicitarie vanno inoltre definiti i ruoli e formalizzati gli atti ex art. 28 dove un soggetto tratta dati per conto di un altro: si veda la nomina del responsabile ex art. 28. Le decisioni ufficiali sul telemarketing e sul codice di condotta di settore sono su garanteprivacy.it, e il testo del GDPR su EUR-Lex.
Il codice di condotta del telemarketing
Per rimettere ordine in un settore segnato da abusi, il Garante ha approvato un codice di condotta per il telemarketing e il teleselling, che vincola le aziende committenti, i call center e i list provider aderenti a regole comuni: verifica della provenienza dei consensi, tracciabilità della filiera, obblighi contrattuali lungo la catena, controlli. L’adesione al codice non è un semplice bollino: è un modo per dimostrare l’accountability e ridurre il rischio sanzionatorio, perché impone di documentare ogni anello. Un’agenzia che opera nel telemarketing dovrebbe conoscere il codice e allineare i propri contratti con committenti e fornitori alle sue prescrizioni, in particolare sulla verifica dei consensi a monte.
Accountability: dimostrare la conformità della campagna
Il principio di responsabilizzazione (art. 5, par. 2, GDPR) impone non solo di essere conformi, ma di poterlo dimostrare. Per una campagna di marketing questo significa conservare: le prove dei consensi raccolti (data, ora, testo dell’informativa, finalità), i contratti che regolano la filiera dei dati, gli esiti del filtraggio contro il Registro Pubblico delle Opposizioni, le richieste di opposizione ricevute e come sono state gestite. Quando il Garante avvia un’istruttoria, la differenza tra una sanzione pesante e un’archiviazione sta proprio nella qualità di questa documentazione. Un’agenzia strutturata tiene traccia di tutto in modo ordinato, invece di ricostruire a posteriori consensi che magari non esistono.
FAQ
Posso usare liste di contatti acquistate da terzi per una campagna?
Solo se puoi dimostrare che ogni contatto ha prestato un consenso valido e specifico per ricevere comunicazioni dalla tua azienda, con informativa che prevedeva la cessione a terzi. In pratica le liste acquistate raramente soddisfano questi requisiti, ed è chi le usa a rispondere dell’illecito.
Il soft spam vale anche per gli SMS e le telefonate?
No. Il soft spam (art. 130, comma 4, Codice Privacy) copre solo l’email verso i propri clienti per prodotti analoghi. SMS, notifiche push e telefonate promozionali richiedono sempre il consenso, oltre alla verifica del Registro Pubblico delle Opposizioni per le chiamate.
Cos’è il Registro Pubblico delle Opposizioni?
È il registro, riformato dalla L. 5/2018, in cui i cittadini iscrivono i propri numeri — fissi e cellulari — per opporsi alle chiamate promozionali. Prima di una campagna telefonica i contatti vanno filtrati contro il RPO: chiamare un numero iscritto è illecito anche in presenza di un consenso precedente.
Un consenso unico per marketing e profilazione è valido?
No. Il consenso deve essere separato per finalità: marketing generico, profilazione e cessione a terzi richiedono spunte distinte. Un consenso cumulativo in un’unica casella non è considerato specifico e quindi non è valido; conviene partire da un modulo di consenso fac-simile con caselle separate.
Vedi anche: il modello di cookie policy per i cookie di tracciamento delle campagne e la guida al GDPR per le agenzie immobiliari, che gestiscono attività promozionali analoghe.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial