Ma con il GDPR posso mandare email ai miei contatti?
Ho perso il conto di quante volte mi è stata fatta questa domanda. E la risposta, nella stragrande maggioranza dei casi, è sì. Ma il modo in cui il GDPR è stato comunicato alle PMI italiane — a suon di titoli allarmistici, sanzioni milionarie e burocratese incomprensibile — ha creato un effetto paradossale: le aziende che avrebbero più bisogno di fare marketing sono quelle che hanno più paura di farlo.
Il risultato? Imprenditori con 5.000 contatti nel cassetto che non gli scrivono mai perché “non so se ho il consenso”. Professionisti che raccolgono email da anni ma non mandano neanche una newsletter perché “e se mi arriva la multa?”. PMI che rinunciano alle automazioni perché “con la privacy non si sa mai”.
Questo non è rispetto della normativa. È paralisi. E la paralisi costa clienti, esattamente come qualsiasi altra forma di inazione.
Questo post non sostituisce un consulente privacy. Ma ti dà un quadro pratico, comprensibile, di quello che devi davvero fare per automatizzare il tuo marketing nel rispetto del GDPR. Senza il panico.
Cosa dice il GDPR, senza il legalese
Il GDPR (General Data Protection Regulation) è il regolamento europeo sulla protezione dei dati personali. È in vigore dal 2018 e si applica a qualsiasi azienda che tratta dati di persone fisiche nell’UE.
In tre frasi: devi dire alle persone quali dati raccogli e perché. Devi avere una base giuridica per trattarli (il consenso è la più comune, ma non l’unica). Devi permettere alle persone di revocare il consenso, accedere ai propri dati, e chiederne la cancellazione.
Per il marketing, la regola fondamentale è questa: non puoi mandare comunicazioni commerciali a qualcuno che non ti ha dato il permesso di farlo. Il permesso deve essere esplicito (niente caselle pre-selezionate), informato (la persona sa cosa riceverà), e documentato (hai la prova del consenso — quando, come, e per quale scopo).
Tutto qui? Per il 90% delle PMI italiane, sì. Il resto sono dettagli importanti ma gestibili, e li vediamo uno per uno.
Consenso: cosa serve davvero (e cosa no)
Il consenso è il punto che genera più confusione. Facciamo chiarezza.
Per mandare email commerciali (newsletter, offerte, promozioni) a persone che non sono già tuoi clienti, serve il consenso esplicito. Questo significa un form dove la persona inserisce la sua email e spunta una casella (non pre-selezionata) che dice qualcosa come: “Acconsento a ricevere comunicazioni commerciali da [nome azienda].”
Per mandare email commerciali a clienti esistenti c’è un’eccezione importante nel Codice Privacy italiano (art. 130, comma 4, D.Lgs. 196/2003). Se una persona ti ha già dato i propri dati nel contesto di un acquisto o di un servizio, puoi inviarle comunicazioni relative a prodotti o servizi analoghi senza un consenso aggiuntivo, a patto che l’invio avvenga con lo stesso mezzo (email) e che tu offra sempre la possibilità di opt-out. In pratica: se qualcuno ha comprato da te, puoi scrivergli per proporgli qualcosa di simile. Non puoi scrivergli per promuovere il servizio del tuo partner commerciale.
Per mandare SMS commerciali, le regole sono le stesse delle email: serve consenso esplicito per i non clienti, mentre per i clienti esistenti vale la stessa eccezione del soft opt-in per prodotti analoghi.
Per mandare messaggi WhatsApp commerciali, il consenso esplicito è sempre necessario. WhatsApp è più restrittivo perché Meta impone le proprie regole sopra quelle del GDPR: i template di messaggio devono essere approvati, il destinatario deve aver fornito il numero di telefono con consenso esplicito alla comunicazione via WhatsApp, e deve sempre poter bloccare o segnalare il mittente.
Per le email B2B a indirizzi generici (info@, commerciale@, vendite@), il Garante Privacy italiano li tratta come dati aziendali, non personali. In pratica, puoi contattare un’azienda al suo indirizzo generico per proporle i tuoi servizi. Per gli indirizzi nominativi ([email protected]), la questione è diversa e generalmente serve una base giuridica — consenso o interesse legittimo.
Il doppio opt-in: non è obbligatorio, ma è furbo
Il doppio opt-in è il meccanismo per cui, dopo che una persona compila un modulo, riceve un’email di conferma con un link da cliccare. Solo dopo il clic viene aggiunta alla lista.
Il GDPR non lo impone esplicitamente. Il singolo opt-in — compili il modulo, sei nella lista — è sufficiente a livello legale, purché tu conservi la prova del consenso.
Allora perché usare il doppio opt-in? Per tre ragioni pratiche, non legali.
Primo: la qualità della lista. Chi conferma via email è un contatto reale con un indirizzo funzionante. Chi non conferma è probabilmente un indirizzo sbagliato, un bot, o qualcuno che non era davvero interessato. Eliminarlo subito migliora tutte le metriche successive — open rate, click rate, deliverability.
Secondo: la prova del consenso. Con il doppio opt-in hai un log inattaccabile: la persona ha compilato il modulo (data, ora, IP), ha ricevuto l’email di conferma, e ha cliccato il link. Se il Garante ti chiede “questa persona ha davvero dato il consenso?”, hai una catena di prove completa.
Terzo: la deliverability. Le piattaforme di invio (e i provider email come Gmail e Yahoo) premiano le liste pulite. Una lista costruita con doppio opt-in ha meno bounce, meno segnalazioni spam, e migliore reputazione del dominio. Le tue email arrivano in inbox, non nella cartella promozioni o peggio nello spam.
In Aimoode il doppio opt-in si attiva con un’opzione nei moduli di contatto. Non serve configurazione tecnica — selezioni l’opzione, la piattaforma genera l’email di conferma, e gestisce il flusso automaticamente.
L’informativa privacy: cosa deve dire
Ogni modulo che raccoglie dati — form di contatto, modulo di prenotazione, iscrizione newsletter, chatbot — deve essere accompagnato da un link all’informativa privacy.
L’informativa non deve essere un documento di 40 pagine scritto da un avvocato per un altro avvocato. Deve essere chiara, leggibile, e contenere queste informazioni essenziali:
Chi sei (ragione sociale, contatti). Quali dati raccogli e perché. Su quale base giuridica li tratti (consenso, esecuzione contratto, interesse legittimo). Con chi li condividi (processori, piattaforme di invio). Quanto tempo li conservi. Quali diritti ha la persona (accesso, rettifica, cancellazione, revoca del consenso). Come può esercitare quei diritti.
Non serve un avvocato per ogni singolo modulo. Serve un’informativa privacy ben fatta sul tuo sito — una volta — che copra tutti i trattamenti. I moduli linkano a quell’informativa. Se cambi piattaforma o aggiungi un canale, aggiorni l’informativa. Non è un lavoro ricorrente — è un setup una tantum con aggiornamenti occasionali.
Molti generatori di privacy policy online (come Iubenda, che è italiano) producono informative conformi in pochi minuti, personalizzate per i tuoi tool e canali. Se hai dubbi specifici, un consulente privacy ti sistema tutto in una o due sessioni. Non è il progetto faraonico che molti immaginano.
Il link di disiscrizione: non è un problema, è un filtro
Ogni email commerciale deve contenere un link per disiscriversi. È un obbligo del GDPR e anche delle piattaforme di invio (Mailchimp, Brevo, e qualsiasi piattaforma seria lo inserisce automaticamente).
Molte PMI vedono il link di disiscrizione come una minaccia: “E se i contatti si disiscrivono?” La risposta è: e meno male che lo fanno.
Un contatto che si disiscrive è un contatto che non avrebbe mai comprato. Non stava leggendo le tue email, non era interessato, e stava peggiorando le tue metriche — open rate più basso, più segnalazioni spam, reputazione del dominio in calo. Toglierlo dalla lista migliora tutto.
Il link di disiscrizione non è un difetto del sistema. È un filtro che tiene la tua lista pulita e i tuoi costi bassi — perché molte piattaforme fatturano in base al numero di contatti, e pagare per contatti che non aprono le email è un costo senza ritorno.
In Aimoode, il link di disiscrizione è inserito automaticamente in ogni email commerciale. Quando un contatto clicca, viene marcato come “unsubscribed” nel CRM e non riceve più comunicazioni automatiche. Non scompare dal CRM — puoi ancora vedere la sua scheda, lo storico, le interazioni passate. Ma non riceve più email, SMS o WhatsApp commerciali. Il tutto senza intervento manuale.
Come una piattaforma strutturata ti semplifica la compliance
Qui arriviamo al punto dove la marketing automation, paradossalmente, rende la compliance più facile, non più difficile.
Se gestisci i contatti con un foglio Excel e mandi le email da Gmail, non hai nessun log del consenso, nessun modo di tracciare chi si è disiscritto, nessun meccanismo per garantire il diritto alla cancellazione. Sei meno conforme, non più conforme, di chi usa una piattaforma.
Una piattaforma come Aimoode gestisce nativamente gli aspetti di compliance che manualmente richiederebbero ore di lavoro.
Consenso documentato. Ogni modulo registra automaticamente data, ora, indirizzo IP, e testo del consenso. Se il Garante chiede la prova, la trovi nella scheda del contatto.
Gestione opt-out. Quando un contatto si disiscrive — da email, SMS o WhatsApp — il sistema aggiorna lo stato e blocca le comunicazioni future su quel canale. Non devi ricordarti di aggiornare la lista a mano.
Diritto alla cancellazione. Se un contatto chiede la cancellazione dei propri dati (il cosiddetto “diritto all’oblio”), puoi eliminare la scheda dal CRM con un clic. Tutti i dati associati — email, conversazioni, note, storico — vengono rimossi.
Separazione dei canali. In Aimoode puoi raccogliere consensi separati per email, SMS e WhatsApp. Un contatto può acconsentire alle email ma non agli SMS, o viceversa. La piattaforma rispetta le preferenze per canale, automaticamente.
Data retention. Puoi configurare regole di conservazione: i contatti inattivi da X mesi vengono archiviati o eliminati automaticamente. Questo rispetta il principio di minimizzazione dei dati del GDPR — non conservi dati che non ti servono più.
I cinque errori GDPR più comuni (e come evitarli)
Vediamo i problemi che trovo più spesso nelle PMI italiane.
Casella di consenso pre-selezionata. Il modulo sul sito ha la casella “accetto di ricevere comunicazioni” già spuntata. Il GDPR richiede che sia l’utente a spuntarla. Soluzione: togli la pre-selezione. Ci vogliono cinque secondi.
Nessun log del consenso. Il modulo raccoglie l’email ma non registra quando e come il consenso è stato dato. Se il Garante chiede la prova, non ce l’hai. Soluzione: usa una piattaforma che registra il log automaticamente.
Stessa lista per tutto. Tutti i contatti — clienti, prospect, iscritti alla newsletter, contatti di cinque anni fa — nella stessa lista, con le stesse comunicazioni. Nessuna segmentazione, nessuna distinzione. Soluzione: segmenta per stato (cliente, prospect, inattivo), per canale di acquisizione, per tipo di consenso dato.
Niente link di disiscrizione. Succede ancora, soprattutto in chi manda email “a mano” da Gmail o Outlook. Ogni email commerciale deve avere il link. Soluzione: usa una piattaforma di invio che lo inserisce automaticamente.
Contatti mai puliti. La lista cresce ma non viene mai sfoltita. Contatti che non aprono email da due anni, indirizzi che rimbalzano, duplicati. Oltre a violare il principio di minimizzazione, questo peggiora la deliverability e aumenta i costi. Soluzione: fai pulizia regolare — trimestrale o semestrale. Rimuovi i bounce, archivia gli inattivi.
Il GDPR non è il motivo per non automatizzare
Chiudo ribaltando il ragionamento.
Il GDPR non è un ostacolo all’automazione. È un framework che ti dice come fare le cose bene. Consenso documentato, disiscrizione facile, dati organizzati, comunicazioni pertinenti. Sono tutte cose che un sistema di marketing ben costruito fa già per conto suo — non perché lo impone la legge, ma perché produce risultati migliori.
Mandare email a chi non le vuole peggiora la deliverability. Tenere contatti fantasma nella lista aumenta i costi. Non segmentare porta a comunicazioni irrilevanti che finiscono nello spam. Tutto quello che il GDPR ti chiede di fare è anche tutto quello che un buon marketer farebbe comunque.
Il vero rischio non è automatizzare e sbagliare qualcosa. Il vero rischio è non automatizzare per paura del GDPR e perdere clienti che un concorrente meno timoroso ma più organizzato sta già raggiungendo.
La compliance non è un progetto da 50.000 euro con un team di avvocati. Per la maggior parte delle PMI italiane è un pomeriggio di lavoro: un’informativa privacy chiara, i moduli con consenso esplicito, una piattaforma che gestisce log e opt-out automaticamente. Tutto il resto — le automazioni, le sequenze multicanale, il chatbot, il CRM — può funzionare in piena conformità senza che tu debba pensarci ogni volta.
La normativa non ti chiede di non fare marketing. Ti chiede di farlo con rispetto. E quello, sinceramente, dovresti volerlo fare a prescindere dalla legge.
Questo post offre indicazioni pratiche generali e non costituisce consulenza legale. Per questioni specifiche sulla compliance GDPR della tua attività, consulta un professionista qualificato in materia di protezione dati.
Vuoi automatizzare il marketing rispettando il GDPR senza pensarci? Prenota una demo — ti mostriamo come Aimoode gestisce consenso, opt-out e data retention nativamente.
