Il consenso non si presume. Nemmeno quando l’utente clicca “accedi all’offerta” su un portale di codici sconto. La Cassazione chiude la porta alla furbizia del marketing digitale che si traveste da legittimo interesse. Per approfondire il tema, abbiamo pubblicato il volume Investigazioni e prove digitali – Blockchain e Crypto Asset, disponibile su Shop Maggioli e su Amazon
Indice
- 1. Il fatto: un clic, una mail e una sanzione
- 2. Il punto giuridico (che è anche politico): il consenso è un atto, non una supposizione
- 3. Il ruolo del Garante (e il suo approccio pragmatico)
- 4. Soft opt-in? No, grazie
- 5. Il contesto: quando il marketing si fa scaltro (e scivola)
- 6. Cosa devono imparare aziende, marketer e consulenti
- 7. Conclusione: un clic non vale tutto
- Vuoi ricevere aggiornamenti costanti?
1. Il fatto: un clic, una mail e una sanzione
Succede che un utente navighi su un sito che aggrega offerte, sconti e promozioni. Il portale gli chiede di inserire la mail per “accedere all’offerta”.
Nessuna checkbox visibile, nessun flag per dire “sì, voglio ricevere le vostre newsletter”. Solo quel tasto: “accedi”.
Qualche giorno dopo, nello spam, arriva una newsletter promozionale. Il mittente è proprio quel portale.
Nel frattempo, il Garante interviene: sanzione per marketing senza consenso.
L’azienda ricorre. Il caso arriva in Cassazione.
E la Cassazione conferma: non c’è consenso, c’è violazione. Per approfondire il tema, abbiamo pubblicato il volume Investigazioni e prove digitali – Blockchain e Crypto Asset, disponibile su Shop Maggioli e su Amazon
Investigazioni e prove digitali
Il volume si propone come una guida chiara e aggiornata per professionisti del diritto, consulenti forensi, tecnici informatici e forze dell’ordine che devono orientarsi nel complesso panorama dell’investigazione e della prova digitale. Le tecnologie emergenti stanno radicalmente trasformando il contesto giuridico: blockchain, crypto asset, NFT e smart contract, un tempo considerati di nicchia, sono oggi elementi centrali nelle indagini di polizia giudiziaria, nelle controversie civili e nelle consulenze tecniche forensi.Il testo affronta, con taglio pratico, questioni complesse come la tracciabilità delle transazioni su registri distribuiti, l’attribuzione e il sequestro di wallet digitali e la gestione di flussi finanziari illeciti, e i relativi risvolti giuridici: la trasferibilità mortis causa dei crypto asset, i problemi di proprietà e autenticità legati agli NFT, e l’applicazione concreta degli smart contract in ambito patrimoniale e contrattuale.Gli autori, con un solido background pratico, dedicano ampio spazio alle attività investigative in ambienti cifrati, con un focus specifico sulla raccolta, conservazione e analisi della prova digitale, rispondendo alle crescenti esigenze di validità e affidabilità richieste dai contesti giudiziari. MARCO STELLADocente presso l’Accademia e la Scuola di Polizia Economico-Finanziaria della Guardia di Finanza nelle materie di Informatica, Open Source intelligence e investigazioni online. Autore di numerose pubblicazioni e relatore in convegni sui temi della Social Network Analysis, della Blockchain Intelligence e delle applicazioni di Intelligenza Artificiale.
Marco Stella | Maggioli Editore
32.30 €
2. Il punto giuridico (che è anche politico): il consenso è un atto, non una supposizione
La decisione (Cass. civ. n. 11020/2024, depositata il 24 aprile) si inserisce in un filone ormai consolidato: il consenso ai sensi dell’art. 4, par. 11 GDPR deve essere libero, specifico, informato e inequivocabile.
Il che significa: non basta un comportamento generico dell’interessato (es. l’inserimento dell’e-mail per un servizio) per autorizzare anche trattamenti ulteriori, come l’invio di materiale promozionale.
Il consenso non si può dedurre dal silenzio, da caselle pre-flaggate o da formule ambigue. Lo dice chiaramente anche l’art. 7 del GDPR.
Eppure, molti operatori digitali continuano a vivere in quell’ambigua palude del “se non dice di no, forse è sì”. Silenzio assenso, che vale in altri contesti, ma non in questo.
La Corte, con sobria fermezza, riporta tutti sulla terra: il consenso è atto giuridico espresso, non intenzione ipotizzata.
3. Il ruolo del Garante (e il suo approccio pragmatico)
L’intervento del Garante non si limita alla multa. Nella decisione originaria (Provv. del 21 dicembre 2021, doc. web 9731285), l’Autorità aveva sottolineato che:
“Il semplice inserimento dell’indirizzo email per l’accesso a un contenuto non può essere considerato equivalente a un consenso all’invio di comunicazioni promozionali”.
E aveva respinto la tesi difensiva dell’azienda, secondo cui l’utente avrebbe “implicitamente” autorizzato il marketing accettando di ricevere offerte.
No, ribadisce il Garante: non si possono legare due finalità incompatibili in un unico gesto tecnico, e soprattutto non si può pretendere che il consenso valga retroattivamente per azioni non chiaramente descritte.
La Cassazione non fa altro che ratificare il principio di sostanza sulla forma: non importa se l’azienda aveva scritto l’informativa privacy da qualche parte nel footer.
Ciò che conta è che l’utente non abbia avuto modo di scegliere consapevolmente.
Potrebbero interessarti anche:
4. Soft opt-in? No, grazie
La società multata invoca, tra le righe, una possibile applicazione del cosiddetto soft opt-in, previsto dall’art. 130, co. 4 del Codice Privacy: ovvero, la possibilità di inviare e-mail promozionali a clienti già acquisiti, per prodotti analoghi, purché sia data facoltà di opposizione sin da subito.
Ma anche qui, il castello difensivo crolla. Perché il soft opt-in non si applica a utenti che non hanno mai acquistato nulla, né instaurato un vero rapporto contrattuale.
Scaricare un coupon non significa diventare cliente.
E chi si iscrive per accedere a un’offerta non sta dando via libera a ricevere promozioni future.
Lo ha detto il Garante più volte. Ora lo dice anche la Cassazione.
5. Il contesto: quando il marketing si fa scaltro (e scivola)
Il modello di business degli aggregatori di offerte è semplice: attirare traffico, raccogliere lead, monetizzare con newsletter e affiliazioni.
Fin qui nulla di illecito.
Ma la scorciatoia più usata – ovvero convertire l’interesse momentaneo in iscrizione a mailing list, senza consenso esplicito – si scontra frontalmente con i principi del GDPR.
E non si tratta solo di formalismi. Il consenso è l’unico strumento giuridico che rimette in mano all’interessato il controllo sui propri dati.
Saltarlo equivale a bypassare un principio-cardine della normativa europea: quello di autodeterminazione informata.
E poco importa che si tratti di una newsletter di codici sconto e non di una banca dati sanitaria: la logica di fondo è la stessa.
Chi tratta dati deve avere titolo per farlo.
6. Cosa devono imparare aziende, marketer e consulenti
Questa sentenza non è un avvertimento: è una conferma. Il GDPR è in vigore da sette anni. Non si può più dire “non lo sapevamo”.
Chi si occupa di:
- email marketing
- lead generation
- campagne di profilazione
- siti con form di iscrizione o promesse promozionali
deve sapere che:
- Il consenso va chiesto con chiarezza, in modo granulare e separato.
- Le finalità vanno distinte, anche tecnicamente.
- Le informative devono essere visibili, leggibili e accessibili.
- I sistemi devono registrare e dimostrare la prestazione del consenso.
- L’utente deve poter revocare facilmente.
Il finto opt-in non regge più. Il “lo facciamo tutti” non è più una scusa. E soprattutto: la fiducia si costruisce anche nel rispetto delle regole, non nella loro elusione.
7. Conclusione: un clic non vale tutto
La Cassazione, con questa decisione, smaschera definitivamente la scorciatoia digitale più abusata degli ultimi anni: confondere l’interazione con il consenso.
Solo perché un utente compie un’azione (inserisce un dato, scarica un contenuto, naviga una pagina) non significa che abbia autorizzato qualunque trattamento ulteriore.
Il diritto alla privacy, nel GDPR, è modellato sul principio della proporzionalità e della trasparenza.
Chi tratta dati senza titolo, anche per finalità apparentemente innocue, sta comunque esercitando un potere senza fondamento.
E allora, se proprio si vuole parlare di marketing etico, il primo passo è semplice: non trattare i dati altrui come se fossero già tuoi.
La newsletter non richiesta, nella migliore delle ipotesi, finisce nello spam. Nella peggiore, in Cassazione.
Vuoi ricevere aggiornamenti costanti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento