Dati personali pubblici non significano "liberamente utilizzabili". E se anche affidi l'attività promozionale a terze persone, la responsabilità resta tua.
Hai mai preso indirizzi e-mail da un albo professionale per promuovere i tuoi servizi? Hai pensato "sono pubblici, posso usarli"?
Con un recente provvedimento*, il Garante privacy ci ha ricordato che raccogliere dati da fonti accessibili, ad esempio un albo professionale pubblico, non autorizza a usarli per scopi promozionali. E che delegare l'attività a un'agenzia o a un agente non libera il titolare dell’attività promozionale dalle responsabilità.. E che delegare l'attività a un'agenzia o a un agente non libera il titolare dell’attività promozionale dalle responsabilità.
Un caso che ci insegna: quando si confonde "pubblico" con "utilizzabile"
A fine ottobre 2025 il Garante privacy ha sanzionato una società per l'invio di e-mail promozionali a un avvocato i cui dati erano stati raccolti dall'albo professionale.
L’avvocato aveva ricevuto un’e-mail promozionale da una società che commercializza prodotti editoriali. L'avvocato chiedeva spiegazioni. Gli veniva risposto che l’indirizzo era stato trovato sull'albo degli avvocati. Nonostante l’impegno all’immediata cancellazione dalla mailing list, il giorno dopo arrivava un'altra e-mail identica.
L'avvocato allora si rivolgeva alla società per lamentare l'accaduto. La società rispondeva di non essere responsabile dell'operato dell'agente che lavorava in autonomia.
L'avvocato così decide di presentare reclamo al Garante privacy.
Le violazioni accertate dal Garante
Il Garante ha contestato due violazioni fondamentali:
1. violazione dell'obbligo di consenso (art. 6, par. 1, lett. a) GDPR e art. 130, comma 2 Codice Privacy): l'invio di e-mail promozionali richiede sempre il consenso preventivo della persona interessata
2. mancato rispetto delle regole sul marketing elettronico (art. 130, comma 2 Codice Privacy): le comunicazioni promozionali via e-mail sono consentite solo se l'interessato ha dato il consenso, con un'unica eccezione molto ristretta che vedremo tra poco.
La società ha sostenuto che l'agente aveva agito in autonomia, discostandosi dalle istruzioni ricevute. Ma il Garante ha ritenuto che:
- era la società ad aver conferito l'incarico all'agente
- il contratto prevedeva che l'agente promuovesse i prodotti "per conto della società"
- non risultavano date istruzioni specifiche sul rispetto della privacy
- non risultavano controlli sull'operato dell'agente
- nonostante la società avesse censurato la condotta non aveva preso alcun provvedimento contrattuale nei confronti dell'agente
La responsabilità resta quindi in capo a chi affida l'incarico, soprattutto se non impartisce istruzioni precise e non controlla che vengano rispettate.
Le regole per l'invio di e-mail promozionali
I dati pubblici non sono utilizzabili per il marketing. La presenza dei dati in albi professionali, registri pubblici, siti web o social network non autorizza l'utilizzo per finalità promozionali.
Perché? Perché quelle finalità sono incompatibili con quelle per cui i dati sono stati originariamente resi pubblici. E non rientrano nelle legittime aspettative degli interessati.
Per inviare comunicazioni promozionali via e-mail serve sempre il consenso preventivo della persona interessata che riceverà la comunicazione.
L'unica eccezione è il soft spam. Puoi inviare email promozionali senza consenso quando:
- la persona che riceverà la comunicazione ha già acquistato da te
- ti ha fornito l'indirizzo e-mail in occasione di un acquisto concluso
- la comunicazione riguarda prodotti o servizi analoghi a quelli già acquistati
Qualche indicazione operativa per fare marketing bene
Per imprese, studi professionali e qualsiasi organizzazione che tratta dati personali per fare marketing, questa vicenda offre l’occasione per ricordare qualche indicazione concreta:
1. Verifica sempre la base giuridica prima di inviare e-mail promozionali:
- ho il consenso esplicito dell'interessato?
- oppure: ha già comprato da me e sto parlando di prodotti simili?
2. Non usare dati raccolti da fonti pubbliche
LinkedIn, albi professionali, siti web, PEC: anche se i dati sono accessibili a tutti, non puoi utilizzarli per fare marketing senza consenso inviando mail promozionali
3. Se deleghi l'attività promozionale, resti responsabile
Quando affidi l'attività a un'agenzia, a un agente o a personale esterno:
- dai istruzioni scritte e precise sul rispetto della privacy
- verifica che abbiano acquisito i consensi in modo corretto
- controlla periodicamente il loro operato
- prevedi conseguenze contrattuali in caso di violazioni
4. Documenta tutto
Conserva la prova dei consensi raccolti, con indicazione di:
- chi ha dato il consenso
- quando
- per quali finalità
- attraverso quale modalità
5. Forma il personale
Chiunque si occupi di marketing per conto della tua organizzazione deve conoscere le regole di base del trattamento dei dati personali.
In sintesi: cosa ricordare
Non puoi mai inviare e-mail promozionali senza consenso, nemmeno se:
- i dati personali sono in albi pubblici
- li hai trovati su LinkedIn o altri siti web
- pensi di avere un "legittimo interesse"
- i tuoi prodotti sono pertinenti alla professione di chi riceverà la tua comunicazione.
L'unica eccezione è il soft spam: puoi scrivere a chi ha già comprato da te, per proporre prodotti o servizi simili a quelli già acquistati.
Se affidi l'attività promozionale a un'agenzia o a personale esterno, resti comunque responsabile se non dai istruzioni precise e non controlli il loro operato.
La compliance parte da persone che sanno cosa fare, protegge e fa crescere in serenità
Questo caso ci dà l’occasione per ricordare che rispettare le regole del trattamento dei dati personali nelle attività non è solo un dovere normativo, ma un modo concreto per proteggere le attività.
Violare le norme può costarti:
- cause civili con richieste di risarcimento
- sanzioni da parte delle Autorità
- danni alla reputazione
- perdita di credibilità e fiducia
Iscriviti alla nostra newsletter
Per ricevere novità e approfondimenti sul tema della conformità delle organizzazioni (aziende, studi professionali, associazioni, enti): contratti, privacy, regole del digitale, sostenibilità, modello 231.
