Il Garante rilancia il double opt-in come “misura minima” per la dimostrazione del consenso.
Il 4 giugno scorso il Garante per la Protezione dei Dati Personali ha pubblicato un provvedimento (Registro dei provvedimenti n. 330/2025) molto rilevante nel contesto delle attività di digital marketing.
L'azienda coinvolta (una società di rivendita auto online, di seguito la “società”) è stata ritenuta responsabile di diverse violazioni del Regolamento (UE) 2016/679, principalmente connesse all'invio di email promozionali prive di consenso effettivamente dimostrabile, oltre che alla mancata regolamentazione dei rapporti con i partner pubblicitari, i quali potevano così trattare i dati dei clienti senza idonei controlli da parte del committente.
L’aspetto del provvedimento certamente più rilevante riguarda, però, quella che sembra un avallo circa la necessità dell’implementazione di tecniche di double opt-in, considerata una misura minima per garantire la prova del consenso al trattamento dei dati per finalità di marketing.
Il double opt-in consiste nell’invio di una email di conferma all’indirizzo registrato, richiedendo all’utente un’ulteriore azione (ad esempio, cliccare su un link di conferma) per validare la propria iscrizione e il relativo consenso al trattamento dei dati per finalità di marketing.
La condotta contestata
Il caso trae origine dal reclamo di un utente che, a partire dal giugno 2023, lamenta di aver ricevuto numerose email promozionali relative ai servizi della società, pur sostenendo di non aver mai prestato il proprio consenso a tale trattamento. Le comunicazioni provenivano da indirizzi sempre diversi e, nonostante le richieste di esercizio dei diritti avanzate dall’interessato, la società ha fornito risposte tardive e parziali, attribuendo la responsabilità ai partner terzi che avrebbero raccolto il consenso tramite portali esterni, spesso sconosciuti allo stesso reclamante.
La documentazione prodotta dalla società a supporto del consenso si limitava a semplici log di iscrizione, privi di elementi oggettivi e facilmente contestabili dall’interessato, come l’indicazione di un indirizzo IP – disconosciuto dal reclamante - e una data di registrazione, senza alcun riscontro effettivo della volontà espressa dall’utente.
Le valutazioni del Garante
Il Garante, nel ricostruire la vicenda, ha ribadito dapprima un principio ormai consolidato: la responsabilità del titolare del trattamento non può essere elusa delegando integralmente a soggetti terzi la raccolta e la gestione dei consensi, soprattutto quando l’attività promozionale è chiaramente riconducibile all’azienda committente.
Ma la questione centrale riguarda la modalità con cui il consenso deve essere raccolto e, soprattutto, documentato, affinché sia effettivamente dimostrabile in caso di contestazione. Su questo punto, il provvedimento del Garante assume una posizione di particolare rigore, affermando che la semplice produzione di file di log, spesso (come nel caso di specie) disconosciuti dagli interessati e privi di garanzie di immodificabilità, non è sufficiente a comprovare la validità del consenso. Viene invece indicata la procedura del cosiddetto double opt-in come misura minima di tutela sia per l’interessato sia per il titolare del trattamento.
Secondo il Garante, questa modalità rappresenta lo “stato dell’arte” in materia di documentazione del consenso, in quanto offre maggiori garanzie di autenticità e tracciabilità della volontà dell’utente. Tale adempimento sarebbe perfettamente in linea con il disposto di cui all’articolo 24, sulla necessità di adottare misure tecniche e organizzative adeguate per garantire la conformità al Regolamento, oltre a costituire la declinazione pratica dell’art. 7, il quale impone al titolare l’onere di dimostrare che l’interessato ha prestato il proprio consenso.
In altre parole, in assenza di una procedura di double opt-in il rischio per le aziende è quello di non essere in grado di fornire una prova idonea in caso di contestazione, con tutte le conseguenze sanzionatorie che ne derivano, come dimostra la sanzione di 45.000 euro irrogata alla società.
Implicazioni pratiche
Il provvedimento del Garante, pur non elevando il double opt-in a requisito giuridico esplicito e tassativo, lo qualifica di fatto come standard minimo di diligenza, richiamando anche precedenti provvedimenti e codici di condotta di settore, come quello in materia di telemarketing e teleselling, anche se riferiti a pratiche ben più moleste rispetto a quelle di ricevere una email.
Non si può ignorare, però, come l’adozione sistematica del double opt-in comporti un aggravio significativo non solo in termini di adempimenti organizzativi per i titolari del trattamento, ma anche per quanto riguarda l’esperienza dell’utente. Da un lato, le aziende sono chiamate a implementare sistemi di gestione delle iscrizioni più complessi, con la necessità di monitorare e archiviare le conferme di consenso in modo sicuro e immodificabile. Dall’altro, l’utente si trova a dover compiere un passaggio ulteriore, spesso percepito come un ostacolo o una complicazione non necessaria, con il rischio concreto di un aumento delle iscrizioni incomplete o abbandonate. In un contesto digitale sempre più dinamico, la semplicità dei processi di onboarding rappresenta un fattore chiave di competitività, l’imposizione di un doppio passaggio rischia di tradursi in una perdita di opportunità commerciali e in una minore efficacia delle campagne di marketing.
Considerazioni conclusive
Alla luce di queste considerazioni, è lecito interrogarsi sulla reale proporzionalità di tale approccio rispetto agli obiettivi di tutela degli interessati. Se da un lato trasparenza e certezza del consenso sono fondamentali, dall’altro un’interpretazione eccessivamente rigida di questi principi potrebbe aggravare in modo sproporzionato gli adempimenti di conformità richiesti alle imprese. È opinione diffusa che una volta manifestata la volontà di ricevere comunicazioni promozionali la richiesta di un’ulteriore conferma può essere interpretata dagli utenti come un aggravio non necessario, influendo negativamente sia sui tassi di conversione.
Tali principi sono perfettamente applicabili anche nei casi in cui il titolare si affidi a partner esterni per svolgere attività di direct marketing: come sempre sostenuto da Garante, anche nel provvedimento in commento, la responsabilità in materia di privacy resta sempre in capo al titolare, che deve adottare tutte le misure necessarie per garantire la liceità e la tracciabilità dei consensi raccolti.
Il provvedimento del Garante dovrà spingere tutte le aziende a valutare con attenzione le proprie procedure di raccolta e gestione dei consensi, a rivedere i contratti con i partner esterni e a considerare l’adozione di sistemi di double opt-in o di misure equivalenti, al fine di garantire una piena conformità alle aspettative delle Autorità di controllo.
