Email Aziendale e Normativa

Email Aziendale e Marketing: Cosa Puoi Inviare Legalmente Senza Violare il GDPR

Email aziendale e marketing: cosa puoi inviare legalmente senza violare il GDPR

Un mio cliente, titolare di un'azienda di impiantistica con 25 dipendenti, mi ha chiamato due mesi fa in preda al panico. Aveva ricevuto una lettera dal Garante Privacy. Il motivo: una newsletter mensile che mandava da tre anni a una lista di 4.000 contatti. Contatti raccolti come? Biglietti da visita ritirati alle fiere, indirizzi copiati da siti web di potenziali clienti, email di persone che avevano chiesto un preventivo due anni prima senza mai comprare nulla. Nessun consenso esplicito. Nessun link di disiscrizione. Nessuna informativa privacy. Tre anni di newsletter. La sanzione: 20.000 euro.

Il punto non e che faceva email marketing. Il punto e che lo faceva senza sapere le regole. E le regole, in Italia, sono chiare da anni. Il problema e che quasi nessuna PMI le conosce -- e quando le scopre, di solito e perche ha ricevuto una lettera come quella del mio cliente.

Quando un'email aziendale diventa comunicazione commerciale

C'e una linea precisa, e molte PMI la attraversano senza accorgersene.

Se mandi un'email da info@tuaazienda.it a un cliente per rispondere a una richiesta, quella e corrispondenza commerciale ordinaria. Se mandi un'email da info@tuaazienda.it a 500 persone per comunicare la tua nuova offerta primaverile, quella e comunicazione commerciale. La differenza non sta nel mittente o nel contenuto tecnico. Sta nell'intento: promuovere, vendere, fidelizzare.

Il GDPR (Regolamento UE 2016/679) e il Codice Privacy italiano (D.Lgs. 196/2003, aggiornato dal D.Lgs. 101/2018) definiscono comunicazione commerciale qualsiasi messaggio finalizzato, direttamente o indirettamente, alla promozione di beni, servizi o dell'immagine di un'impresa. Non importa se la chiami "aggiornamento", "novita dal team" o "comunicazione informativa". Se il contenuto promuove, e comunicazione commerciale. E se e comunicazione commerciale, servono regole precise.

Questo lo scrivo perche vedo un equivoco ricorrente nelle PMI: "Ma io non faccio marketing, mando solo un aggiornamento ai clienti." Se quell'aggiornamento contiene il tuo nuovo catalogo, le tue nuove tariffe, o un invito al tuo evento, stai facendo marketing. E devi rispettare le regole che seguono.

Consenso esplicito e soft opt-in: le due strade legali

L'articolo 130 del Codice Privacy e la norma di riferimento in Italia per le comunicazioni commerciali via email. Dice una cosa chiara: per inviare comunicazioni commerciali tramite email serve il consenso preventivo, libero, specifico e informato del destinatario. Non un consenso generico. Non un consenso nascosto nelle condizioni generali. Un consenso esplicito, separato, documentabile.

In pratica significa: il destinatario deve aver spuntato una casella (non pre-selezionata) che dice qualcosa come "Acconsento a ricevere comunicazioni commerciali da [nome azienda]". E tu devi poter dimostrare che quella casella e stata spuntata, quando, da chi e in quale contesto. Questo si chiama consenso esplicito -- ed e la prima strada legale.

La seconda strada e il soft opt-in, previsto dal comma 4 dell'articolo 130. E una deroga pensata per chi ha gia una relazione commerciale con il destinatario. Ne parlo nel prossimo paragrafo perche merita spazio proprio.

Quello che non e mai una strada legale: comprare liste di email. Raccogliere indirizzi da siti web. Usare i biglietti da visita delle fiere come lista marketing. Aggiungere persone alla newsletter perche "tanto ci conosciamo". Il mio cliente dell'impiantistica aveva fatto tutte queste cose. Tutte illegali. Tutte sanzionabili.

La deroga per clienti esistenti: il soft spam che puoi mandare

L'articolo 130, comma 4 del Codice Privacy prevede un'eccezione importante che molte PMI non conoscono -- o conoscono male.

Se una persona ti ha gia comprato qualcosa (o ha gia usato un tuo servizio), puoi inviarle comunicazioni commerciali via email senza chiedere un nuovo consenso esplicito, a patto che siano rispettate tutte queste condizioni:

  1. Prodotti o servizi analoghi. Puoi promuovere solo prodotti o servizi analoghi a quelli gia acquistati. Se un cliente ha comprato un impianto di climatizzazione, puoi mandargli offerte sulla manutenzione o su impianti simili. Non puoi mandargli promozioni su tutt'altro -- per esempio, corsi di formazione o servizi finanziari.
  2. Coordinate ottenute nel contesto della vendita. L'indirizzo email deve essere stato ottenuto direttamente dal cliente nel contesto della vendita o del servizio. Non da terzi, non da fonti pubbliche, non da database acquistati.
  3. Informativa chiara al momento della raccolta. Al momento in cui hai raccolto l'email, il cliente deve essere stato informato che i suoi dati avrebbero potuto essere usati per comunicazioni commerciali su prodotti analoghi.
  4. Possibilita di opposizione. Il cliente deve aver avuto la possibilita di opporsi al momento della raccolta e deve poterlo fare in ogni comunicazione successiva. Tradotto: ogni email deve avere il link di disiscrizione.

Questo e il cosiddetto "soft spam" -- un termine brutto per un meccanismo sensato. Se hai comprato un prodotto da un'azienda e ti hanno informato che ti manderanno aggiornamenti su prodotti simili, e ragionevole che tu li riceva. A patto di poterti cancellare in qualsiasi momento.

Dove vedo l'errore piu frequente: PMI che interpretano il soft opt-in come un via libera totale. "E un mio cliente, gli posso mandare quello che voglio." No. Puoi mandargli comunicazioni su prodotti analoghi. Non qualsiasi cosa. Non a tempo indeterminato se non interagisce piu. E non senza il link di disiscrizione -- mai.

Cosa deve contenere ogni email commerciale che invii

Che tu stia operando con consenso esplicito o con soft opt-in, ogni email commerciale che esce dalla tua azienda deve contenere questi elementi. Non sono consigli -- sono obblighi di legge.

1. Identita chiara del mittente. Chi manda l'email? Nome dell'azienda, indirizzo fisico, partita IVA. Non basta il nome del brand. Il destinatario deve sapere esattamente chi gli sta scrivendo. Questo e richiesto sia dal GDPR che dalla Direttiva e-Commerce (D.Lgs. 70/2003).

2. Link di disiscrizione funzionante. Ogni email commerciale deve contenere un meccanismo chiaro e immediato per cancellarsi dalla lista. Un link in fondo all'email che funziona con un click. Non "rispondi a questa email scrivendo CANCELLA". Non un form da compilare con 15 campi. Un click. E la cancellazione deve essere effettiva entro 48 ore -- nella pratica, i sistemi seri la rendono istantanea.

3. Indicazione della natura commerciale. Il destinatario deve capire immediatamente che si tratta di una comunicazione commerciale. Non puoi mascherare una promozione da email personale o da comunicazione di servizio.

4. Riferimento alla privacy policy. Ogni email deve contenere un link alla tua informativa privacy, dove il destinatario trova i dettagli su come tratti i suoi dati, per quanto li conservi e come puo esercitare i suoi diritti (accesso, rettifica, cancellazione, portabilita).

Sembra burocrazia. Non lo e. Sono quattro elementi che qualsiasi piattaforma di email marketing seria inserisce in automatico. Se li trovi scomodi, il problema non sono le regole -- e che stai mandando email commerciali senza usare uno strumento adeguato.

Newsletter e DEM: due cose diverse anche per la legge

Vedo questa confusione ogni settimana. Il titolare dice "mandiamo la newsletter" e intende una promozione con sconto del 20% su tutto il catalogo. Oppure dice "facciamo una DEM" e intende un aggiornamento con tre articoli del blog. La differenza conta, e non solo per il marketing.

Newsletter. Comunicazione periodica con contenuto prevalentemente informativo: aggiornamenti, articoli, notizie di settore, guide. Il fine principale e mantenere la relazione con il destinatario, non vendere direttamente. Serve comunque il consenso (o il soft opt-in per clienti esistenti), ma il tono e il contenuto sono diversi da una promozione diretta.

DEM (Direct Email Marketing). Comunicazione con finalita esplicitamente commerciale: promozioni, offerte, sconti, lanci di prodotto, inviti a eventi commerciali. Il fine e la conversione -- generare un'azione del destinatario (un acquisto, una richiesta di preventivo, una registrazione). La DEM richiede le stesse basi giuridiche della newsletter, ma nella pratica e soggetta a un'attenzione maggiore da parte del Garante perche il contenuto promozionale e evidente.

La differenza legale principale: una newsletter con contenuto genuinamente informativo puo rientrare piu facilmente nel soft opt-in (aggiornamenti su prodotti e servizi analoghi). Una DEM aggressiva che promuove prodotti completamente diversi da quelli acquistati dal cliente difficilmente rientra nella deroga dell'articolo 130 comma 4. In quel caso serve il consenso esplicito.

Il mio consiglio alle PMI: non cercare di mascherare le DEM da newsletter. Se stai vendendo, dillo. La trasparenza non solo e un obbligo di legge -- e anche quello che funziona meglio. Le email oneste convertono di piu. Le email furbe finiscono nello spam e generano segnalazioni.

Le sanzioni: cosa rischia una PMI che non rispetta le regole

Qui devo essere diretto perche vedo troppi titolari che trattano il GDPR come una formalita.

Il Regolamento UE 2016/679 prevede sanzioni fino a 20 milioni di euro o al 4% del fatturato annuo globale per le violazioni piu gravi. Queste cifre riguardano i casi estremi -- le multinazionali, le violazioni sistematiche su milioni di utenti. Ma il Garante italiano sanziona regolarmente anche le PMI, con importi che vanno da 5.000 a 50.000 euro per violazioni legate all'email marketing.

Casi concreti dal registro dei provvedimenti del Garante:

  • Newsletter inviate senza consenso a liste acquistate da terzi: sanzioni da 10.000 a 30.000 euro, con obbligo di cancellazione dei dati e divieto di ulteriore trattamento.
  • Assenza del link di disiscrizione: sanzione e ordine di adeguamento entro 30 giorni.
  • Consenso raccolto con casella pre-selezionata (opt-out invece di opt-in): consenso dichiarato invalido, sanzione e obbligo di raccogliere nuovamente il consenso da zero.
  • Invio di comunicazioni commerciali a indirizzi PEC senza consenso: il Garante ha chiarito piu volte che la PEC aziendale e pubblicata per fini legali, non per ricevere promozioni. Usarla per DEM senza consenso e una violazione.

Ma la sanzione economica non e l'unico problema. Il Garante puo ordinare il blocco del trattamento -- tradotto: ti vieta di usare quella lista email fino a quando non dimostri la conformita. Se l'email marketing e il tuo canale principale, il blocco del trattamento e piu dannoso della multa.

E c'e un altro rischio che i titolari sottovalutano: la reputazione. Un'email segnalata come spam da piu destinatari abbassa il rating del tuo dominio. I provider (Gmail, Outlook) iniziano a consegnare le tue email nella cartella spam di tutti i destinatari -- anche di quelli che hanno dato il consenso. Ricostruire la reputazione di un dominio bruciato richiede mesi. Ne ho parlato nell'articolo sul phishing aziendale: lo spam e il phishing si combattono a partire dalla stessa infrastruttura tecnica, e chi fa spam inquina anche la propria.

Mailchimp, Brevo, Listmonk: cosa cambia per la compliance

Lo strumento che usi per mandare le email commerciali non e neutro dal punto di vista della compliance. Alcuni ti aiutano a rispettare le regole, altri ti lasciano da solo.

Mailchimp. Piattaforma americana (Intuit). Ha un sistema di double opt-in integrato: quando qualcuno si iscrive alla tua lista, riceve un'email di conferma e deve cliccare un link per completare l'iscrizione. Questo ti da una prova documentabile del consenso. Problema: i server sono negli USA, il che solleva questioni sul trasferimento dati extra-UE. Mailchimp dichiara di aderire al Data Privacy Framework (il successore del Privacy Shield), ma il tema e ancora in evoluzione. Per una PMI italiana che tratta solo dati di contatto (nome, email), il rischio pratico e basso. Ma se tratti dati sensibili, valuta alternative europee.

Brevo (ex Sendinblue). Piattaforma francese con server in Europa. Vantaggio principale: i dati restano nell'UE, nessuna questione sul trasferimento extra-UE. Ha double opt-in, gestione automatica delle disiscrizioni, e un sistema di consenso conforme al GDPR integrato nei form. Per le PMI italiane che vogliono stare tranquille sul fronte del trasferimento dati, e la scelta che consiglio piu spesso. Offre un piano gratuito fino a 300 email al giorno, sufficiente per iniziare.

Listmonk. Software open source, self-hosted. Lo installi sul tuo server -- i dati non escono mai dalla tua infrastruttura. E la soluzione piu conforme in assoluto dal punto di vista del trasferimento dati: non c'e trasferimento, perche tutto resta sul tuo server. Richiede competenze tecniche per l'installazione e la manutenzione, ma per chi ha un team IT interno (o un consulente che lo gestisce), e l'opzione con il controllo totale. Ha double opt-in, gestione delle liste, e supporto per le disiscrizioni automatiche. Nessun costo di licenza.

Il punto che conta: qualsiasi strumento scegli, la responsabilita del consenso e tua, non della piattaforma. Mailchimp non ti protegge se carichi una lista di 10.000 email comprate da un database. Brevo non ti salva se raccogli email senza informativa. Lo strumento ti aiuta a gestire la compliance -- ma le decisioni sulla raccolta dei dati le prendi tu.

Una lista pulita vale piu di centomila contatti comprati

Questo e il punto dove il marketing incontra il buon senso, e dove la mia esperienza con le PMI mi ha insegnato una cosa semplice: non serve spammare per fare marketing. Serve una lista pulita.

Una lista pulita e una lista dove ogni contatto ha dato il consenso, sa chi sei, e si aspetta di ricevere le tue email. Puo avere 200 contatti. Puo averne 2.000. Il numero non conta. Quello che conta e il tasso di apertura, il tasso di click e -- soprattutto -- l'assenza di segnalazioni spam.

Una lista di 200 contatti qualificati che apre le tue email al 40% genera piu business di una lista di 10.000 contatti comprati che apre al 2% e segnala spam al 5%. I numeri non sono inventati: sono le medie che vedo nei clienti che seguo.

Come si costruisce una lista pulita:

  • Form sul sito con double opt-in. Chi si iscrive riceve un'email di conferma. Chi conferma, entra nella lista. Chi non conferma, non c'e. Zero ambiguita sul consenso.
  • Contenuto che vale la pena ricevere. La gente si iscrive se gli dai qualcosa di utile. Una guida, un caso studio, un aggiornamento normativo. Non "iscriviti alla nostra newsletter" -- nessuno si iscrive a una newsletter generica nel 2026.
  • Pulizia regolare. Ogni 6 mesi, rimuovi dalla lista chi non apre le tue email da 12 mesi. Sembra controintuitivo -- stai riducendo la lista. Ma stai aumentando la qualita. E stai proteggendo la reputazione del tuo dominio.
  • Soft opt-in per clienti esistenti. I tuoi clienti gia ti conoscono. Informali che riceveranno aggiornamenti su prodotti analoghi. Dagli la possibilita di cancellarsi. Quelli che restano sono i contatti piu preziosi che hai.

Ho un cliente che fa consulenza fiscale. Lista di 380 contatti, costruita in quattro anni. Tasso di apertura: 52%. Ogni newsletter genera tra 3 e 5 richieste di consulenza. Zero segnalazioni spam. Zero lettere dal Garante. Questo e email marketing fatto bene.

Due casi concreti: la multa evitabile e la crescita fatta bene

Torno al mio cliente dell'impiantistica -- quello della sanzione da 20.000 euro. Cosa aveva sbagliato? Tutto quello che poteva sbagliare.

Aveva costruito la lista in tre modi: biglietti da visita dalle fiere (nessun consenso al marketing), indirizzi email copiati dai siti web di potenziali clienti (nessun consenso di nessun tipo), email di persone che avevano chiesto un preventivo senza mai comprare (nessuna relazione commerciale completata, quindi il soft opt-in non si applicava). Mandava la newsletter da Outlook, in CCN a tutti, senza link di disiscrizione, senza informativa privacy, senza indicazione dell'identita del mittente oltre il nome nel campo "Da".

Dopo la sanzione, abbiamo ricostruito tutto. Lista azzerata. Nuovo form sul sito con double opt-in tramite Brevo. Informativa privacy aggiornata. Ogni email con identita completa, link disiscrizione, riferimento privacy policy. In sei mesi ha ricostruito una lista di 600 contatti -- tutti con consenso documentabile. Il tasso di apertura e passato dal 8% della vecchia lista al 38% della nuova. Le richieste di preventivo generate dalla newsletter sono triplicate.

Il secondo caso e un'azienda di forniture per ufficio, 40 dipendenti. Hanno fatto tutto giusto dall'inizio. Form con double opt-in, soft opt-in per i clienti esistenti con informativa chiara al momento dell'ordine, newsletter mensile con contenuto utile (guide, novita di settore, offerte mirate sui prodotti analoghi a quelli acquistati). Lista di 1.200 contatti costruita in due anni. Nessuna segnalazione spam. Nessun problema con il Garante. Il canale email genera il 15% del fatturato annuo. Senza avere mai comprato un singolo indirizzo email.

La differenza tra i due casi non e il budget, non e la dimensione dell'azienda, non e il settore. E la conoscenza delle regole. Chi le conosce e le rispetta, costruisce un canale che funziona. Chi le ignora, paga -- in sanzioni, in reputazione, e in opportunita perse.

Se vuoi capire come gestire correttamente la privacy delle email aziendali dei dipendenti -- tema complementare a questo -- ho scritto un articolo dedicato con template e casi concreti. E se stai impostando l'infrastruttura email della tua azienda e vuoi partire con il piede giusto anche sulla conservazione a norma e sulla protezione dei dati in transito, la collana copre ogni aspetto. Per una consulenza personalizzata sulla compliance email della tua PMI, qui spiego come lavoro con le aziende su questo tema.

Potrebbe interessarti