Strategia e Organizzazione | Post di Sbertani
"Soft spam", come funziona e se possiamo usarlo
Capita a tutti: facciamo un acquisto online, lasciamo la nostra email per ricevere fattura o conferma d’ordine e, dopo qualche giorno, iniziano ad arrivare offerte, newsletter e promozioni che non abbiamo mai richiesto davvero. Qualcuno ci ha detto che “tanto è soft spam, è legale”, ma spesso non è chiaro cosa voglia dire né dove stia il confine tra un uso corretto e uno abusivo dei nostri dati.
Con l’arrivo del GDPR, la regola di base è diventata abbastanza semplice: per fare marketing via email serve il nostro consenso, dato in modo chiaro e consapevole. In mezzo, però, esiste una piccola eccezione pensata proprio per chi è già cliente: è il cosiddetto “soft spam”, cioè la possibilità per un’azienda di usare l’indirizzo email di chi ha già comprato qualcosa per proporre altri prodotti simili, a certe condizioni.
Il problema è che questa eccezione, nata per semplificare la comunicazione tra azienda e cliente, viene spesso interpretata come una scorciatoia per inviare pubblicità a chiunque abbia lasciato una email, magari anni prima e per motivi del tutto diversi. Con questo articolo proviamo a fare chiarezza, con un linguaggio semplice: vediamo quando il soft spam è davvero consentito, quali regole deve rispettare chi invia le email e perché, nella maggior parte dei casi, il consenso resta ancora oggi la strada più pulita e sicura per fare marketing.
Quando si parla di marketing e privacy si finisce spesso per evocare il famoso “soft spam” come se fosse una comoda scorciatoia. In realtà, se si guarda con attenzione a ciò che il Garante ha chiarito dopo l’entrata in vigore del GDPR e il recepimento italiano, emerge un quadro molto diverso: il consenso resta la regola, mentre il soft spam è una piccola eccezione, applicabile solo in casi ben delimitati.
Il punto di partenza è semplice: le imprese hanno tutto il diritto di promuovere prodotti e servizi, raccontare le proprie novità, proporre offerte e iniziative commerciali. È un’attività economica legittima e, in un mercato competitivo, praticamente indispensabile. Dall’altra parte, però, c’è il diritto delle persone a non essere sommerse da comunicazioni indesiderate, a non vedere il proprio indirizzo email usato in modo estensivo o creativo, e a mantenere un certo controllo sulla circolazione dei propri dati personali. Il GDPR ha rafforzato proprio questo secondo lato del bilanciamento: il marketing non scompare, ma deve essere praticato entro regole chiare e verificabili.
Quindi cosa fare?
Per le comunicazioni di marketing diretto tramite mezzi elettronici – email, SMS, sistemi di messaggistica, telefonate automatizzate – la regola generale resta quella del consenso. Il trattamento a fini promozionali richiede una manifestazione di volontà esplicita, specifica e informata. Non basta un generico “accetto la privacy”, non bastano formule ambigue inserite nelle condizioni generali, non basta il silenzio interpretato come assenso. Il consenso, per essere valido, deve essere collegato in modo trasparente alla finalità di marketing e deve essere separato da altri scopi: se voglio concludere un contratto, non posso essere costretto a dire sì anche alla newsletter.
Accanto al GDPR, il quadro italiano si completa con il Codice in materia di protezione dei dati personali, che non è stato cancellato ma aggiornato e coordinato con il Regolamento europeo. In quest’ottica, l’articolo 130 continua a disciplinare le comunicazioni indesiderate e il marketing elettronico, fungendo da norma speciale per un ambito molto concreto: l’invio di messaggi promozionali attraverso strumenti come email, SMS o chiamate automatizzate. È proprio lì che, al comma 4, vive il meccanismo del cosiddetto soft spam.
Il soft spam viene spesso citato in modo sbrigativo: “Se è già cliente posso scrivergli senza consenso”. Questa sintesi, però, è fuorviante. Parliamo di una deroga circoscritta rispetto alla regola del consenso, che non può essere estesa per analogia a qualunque scenario.
Innanzitutto, deve esistere un vero rapporto di vendita, a titolo oneroso, tra l’azienda e la persona: non basta una semplice registrazione al sito, la partecipazione a un webinar gratuito, la richiesta di un preventivo o il download di un contenuto informativo. Senza un contratto di acquisto alle spalle, la deroga del soft spam non è applicabile.
In secondo luogo, l’indirizzo email deve essere stato comunicato direttamente dall’interessato nel contesto di quella vendita. Non è ammesso utilizzare liste acquistate da terzi, indirizzi presi da fonti pubbliche o recuperati da altre banche dati. La logica è che il cliente sappia con chi sta interagendo e abbia conferito il proprio indirizzo a quel preciso soggetto, in un determinato contesto commerciale.
Un aspetto spesso sottovalutato riguarda l’informativa.
La legge è chiara: l’utilizzo dell’email per inviare comunicazioni su prodotti o servizi analoghi è ammissibile solo a condizione che l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. In pratica, al momento della raccolta dell’indirizzo, il cliente dovrebbe essere messo in condizione di capire che quella email potrà essere utilizzata anche per inviare proposte commerciali relative a prodotti affini a quelli acquistati, e dovrebbe sapere fin da subito che potrà opporsi con facilità. Nella pratica, questa informazione spesso manca del tutto o è annacquata in formule generiche. È qui che si vede la distanza tra la cornice teorica e i comportamenti reali di molte aziende.
C’è poi il tema della “affinità” delle comunicazioni.
Il soft spam non è un lasciapassare per mandare qualsiasi tipo di messaggio. L’idea è che il cliente, avendo acquistato un certo prodotto o servizio, possa ragionevolmente aspettarsi di ricevere informazioni su offerte simili: un upgrade, una versione evoluta, un servizio di supporto collegato, un corso di approfondimento legato allo stesso ambito. Se si esce da questo tracciato e si iniziano a proporre beni o servizi del tutto diversi, magari di altri soggetti, diventa molto difficile sostenere che ci si trovi ancora dentro il perimetro dell’articolo 130, comma 4.
In questo quadro, il legittimo interesse del titolare non è un jolly da calare in alternativa al consenso quando fa comodo. Il GDPR ammette che il marketing diretto possa essere considerato un legittimo interesse, ma a condizione che vengano rispettate le aspettative ragionevoli delle persone e che sia effettuata una reale verifica di bilanciamento tra gli interessi in gioco.
Quando si invoca il legittimo interesse in combinazione con il soft spam, il presupposto minimo è che il cliente abbia comunicato formalmente il proprio indirizzo, che le comunicazioni siano effettivamente affini a quanto già acquistato e che esista un’informativa chiara e fruibile. In assenza di questi elementi, l’argomento crolla.
Un’altra condizione essenziale, spesso trattata come un dettaglio tecnico ma in realtà centrale, è la possibilità di esercitare un opt-out semplice, gratuito e sempre disponibile. Ogni comunicazione inviata in regime di soft spam dovrebbe contenere un canale evidente per dire “basta”: un link per disiscriversi, un indirizzo dedicato, un meccanismo funzionante e non ostacolato. Senza questa valvola di sfogo, il presupposto stesso della deroga viene meno, perché l’interessato non è in grado di esercitare il proprio diritto di opposizione.
Se si mettono insieme tutti questi tasselli, si vede che il perimetro del soft spam è molto stretto: riguarda solo i clienti effettivi, solo per offerte realmente analoghe, solo se adeguatamente informati e solo se è sempre possibile opporsi con facilità. Tutto il resto torna sotto la regola generale: per fare marketing via email serve un consenso esplicito, tracciabile e dimostrabile.
Il problema è che, nella pratica, molte realtà aziendali ignorano questi limiti e usano il soft spam come etichetta comoda per giustificare liste di invio costruite nel tempo senza una strategia di raccolta consensi. Il risultato non è solo il rischio di sanzioni, ma anche un deterioramento della relazione con le persone, che ricevono messaggi percepiti come intrusivi e spesso finiscono per considerare l’azienda poco trasparente.
Per chi vuole lavorare in modo serio, invece, l’impostazione che si ricava dalle indicazioni del Garante è chiara: il consenso resta la base di partenza per newsletter e campagne verso lead e contatti non ancora clienti; il soft spam è una deroga residuale, utile ma strettamente regolata, da usare solo quando i requisiti sono realmente rispettati.
Il legittimo interesse entra in gioco solo dopo un vero test di bilanciamento, non come formula magica da inserire nell’informativa.
In definitiva, fare marketing in ottica GDPR significa accettare che la qualità delle proprie iniziative dipende anche dalla correttezza con cui si gestiscono i dati personali. Informative comprensibili, consensi raccolti e archiviati con cura, gestione coerente delle opposizioni e delle revoche non sono orpelli burocratici, ma parte integrante di una strategia che vuole durare nel tempo.
È proprio in questo equilibrio, più che nella ricerca di scappatoie, che si gioca la credibilità di un brand agli occhi dei suoi clienti.
Con l’arrivo del GDPR, la regola di base è diventata abbastanza semplice: per fare marketing via email serve il nostro consenso, dato in modo chiaro e consapevole. In mezzo, però, esiste una piccola eccezione pensata proprio per chi è già cliente: è il cosiddetto “soft spam”, cioè la possibilità per un’azienda di usare l’indirizzo email di chi ha già comprato qualcosa per proporre altri prodotti simili, a certe condizioni.
Il problema è che questa eccezione, nata per semplificare la comunicazione tra azienda e cliente, viene spesso interpretata come una scorciatoia per inviare pubblicità a chiunque abbia lasciato una email, magari anni prima e per motivi del tutto diversi. Con questo articolo proviamo a fare chiarezza, con un linguaggio semplice: vediamo quando il soft spam è davvero consentito, quali regole deve rispettare chi invia le email e perché, nella maggior parte dei casi, il consenso resta ancora oggi la strada più pulita e sicura per fare marketing.
Quando si parla di marketing e privacy si finisce spesso per evocare il famoso “soft spam” come se fosse una comoda scorciatoia. In realtà, se si guarda con attenzione a ciò che il Garante ha chiarito dopo l’entrata in vigore del GDPR e il recepimento italiano, emerge un quadro molto diverso: il consenso resta la regola, mentre il soft spam è una piccola eccezione, applicabile solo in casi ben delimitati.
Il punto di partenza è semplice: le imprese hanno tutto il diritto di promuovere prodotti e servizi, raccontare le proprie novità, proporre offerte e iniziative commerciali. È un’attività economica legittima e, in un mercato competitivo, praticamente indispensabile. Dall’altra parte, però, c’è il diritto delle persone a non essere sommerse da comunicazioni indesiderate, a non vedere il proprio indirizzo email usato in modo estensivo o creativo, e a mantenere un certo controllo sulla circolazione dei propri dati personali. Il GDPR ha rafforzato proprio questo secondo lato del bilanciamento: il marketing non scompare, ma deve essere praticato entro regole chiare e verificabili.
Quindi cosa fare?
Per le comunicazioni di marketing diretto tramite mezzi elettronici – email, SMS, sistemi di messaggistica, telefonate automatizzate – la regola generale resta quella del consenso. Il trattamento a fini promozionali richiede una manifestazione di volontà esplicita, specifica e informata. Non basta un generico “accetto la privacy”, non bastano formule ambigue inserite nelle condizioni generali, non basta il silenzio interpretato come assenso. Il consenso, per essere valido, deve essere collegato in modo trasparente alla finalità di marketing e deve essere separato da altri scopi: se voglio concludere un contratto, non posso essere costretto a dire sì anche alla newsletter.
Accanto al GDPR, il quadro italiano si completa con il Codice in materia di protezione dei dati personali, che non è stato cancellato ma aggiornato e coordinato con il Regolamento europeo. In quest’ottica, l’articolo 130 continua a disciplinare le comunicazioni indesiderate e il marketing elettronico, fungendo da norma speciale per un ambito molto concreto: l’invio di messaggi promozionali attraverso strumenti come email, SMS o chiamate automatizzate. È proprio lì che, al comma 4, vive il meccanismo del cosiddetto soft spam.
Il soft spam viene spesso citato in modo sbrigativo: “Se è già cliente posso scrivergli senza consenso”. Questa sintesi, però, è fuorviante. Parliamo di una deroga circoscritta rispetto alla regola del consenso, che non può essere estesa per analogia a qualunque scenario.
Innanzitutto, deve esistere un vero rapporto di vendita, a titolo oneroso, tra l’azienda e la persona: non basta una semplice registrazione al sito, la partecipazione a un webinar gratuito, la richiesta di un preventivo o il download di un contenuto informativo. Senza un contratto di acquisto alle spalle, la deroga del soft spam non è applicabile.
In secondo luogo, l’indirizzo email deve essere stato comunicato direttamente dall’interessato nel contesto di quella vendita. Non è ammesso utilizzare liste acquistate da terzi, indirizzi presi da fonti pubbliche o recuperati da altre banche dati. La logica è che il cliente sappia con chi sta interagendo e abbia conferito il proprio indirizzo a quel preciso soggetto, in un determinato contesto commerciale.
Un aspetto spesso sottovalutato riguarda l’informativa.
La legge è chiara: l’utilizzo dell’email per inviare comunicazioni su prodotti o servizi analoghi è ammissibile solo a condizione che l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. In pratica, al momento della raccolta dell’indirizzo, il cliente dovrebbe essere messo in condizione di capire che quella email potrà essere utilizzata anche per inviare proposte commerciali relative a prodotti affini a quelli acquistati, e dovrebbe sapere fin da subito che potrà opporsi con facilità. Nella pratica, questa informazione spesso manca del tutto o è annacquata in formule generiche. È qui che si vede la distanza tra la cornice teorica e i comportamenti reali di molte aziende.
C’è poi il tema della “affinità” delle comunicazioni.
Il soft spam non è un lasciapassare per mandare qualsiasi tipo di messaggio. L’idea è che il cliente, avendo acquistato un certo prodotto o servizio, possa ragionevolmente aspettarsi di ricevere informazioni su offerte simili: un upgrade, una versione evoluta, un servizio di supporto collegato, un corso di approfondimento legato allo stesso ambito. Se si esce da questo tracciato e si iniziano a proporre beni o servizi del tutto diversi, magari di altri soggetti, diventa molto difficile sostenere che ci si trovi ancora dentro il perimetro dell’articolo 130, comma 4.
In questo quadro, il legittimo interesse del titolare non è un jolly da calare in alternativa al consenso quando fa comodo. Il GDPR ammette che il marketing diretto possa essere considerato un legittimo interesse, ma a condizione che vengano rispettate le aspettative ragionevoli delle persone e che sia effettuata una reale verifica di bilanciamento tra gli interessi in gioco.
Quando si invoca il legittimo interesse in combinazione con il soft spam, il presupposto minimo è che il cliente abbia comunicato formalmente il proprio indirizzo, che le comunicazioni siano effettivamente affini a quanto già acquistato e che esista un’informativa chiara e fruibile. In assenza di questi elementi, l’argomento crolla.
Un’altra condizione essenziale, spesso trattata come un dettaglio tecnico ma in realtà centrale, è la possibilità di esercitare un opt-out semplice, gratuito e sempre disponibile. Ogni comunicazione inviata in regime di soft spam dovrebbe contenere un canale evidente per dire “basta”: un link per disiscriversi, un indirizzo dedicato, un meccanismo funzionante e non ostacolato. Senza questa valvola di sfogo, il presupposto stesso della deroga viene meno, perché l’interessato non è in grado di esercitare il proprio diritto di opposizione.
Se si mettono insieme tutti questi tasselli, si vede che il perimetro del soft spam è molto stretto: riguarda solo i clienti effettivi, solo per offerte realmente analoghe, solo se adeguatamente informati e solo se è sempre possibile opporsi con facilità. Tutto il resto torna sotto la regola generale: per fare marketing via email serve un consenso esplicito, tracciabile e dimostrabile.
Il problema è che, nella pratica, molte realtà aziendali ignorano questi limiti e usano il soft spam come etichetta comoda per giustificare liste di invio costruite nel tempo senza una strategia di raccolta consensi. Il risultato non è solo il rischio di sanzioni, ma anche un deterioramento della relazione con le persone, che ricevono messaggi percepiti come intrusivi e spesso finiscono per considerare l’azienda poco trasparente.
Per chi vuole lavorare in modo serio, invece, l’impostazione che si ricava dalle indicazioni del Garante è chiara: il consenso resta la base di partenza per newsletter e campagne verso lead e contatti non ancora clienti; il soft spam è una deroga residuale, utile ma strettamente regolata, da usare solo quando i requisiti sono realmente rispettati.
Il legittimo interesse entra in gioco solo dopo un vero test di bilanciamento, non come formula magica da inserire nell’informativa.
In definitiva, fare marketing in ottica GDPR significa accettare che la qualità delle proprie iniziative dipende anche dalla correttezza con cui si gestiscono i dati personali. Informative comprensibili, consensi raccolti e archiviati con cura, gestione coerente delle opposizioni e delle revoche non sono orpelli burocratici, ma parte integrante di una strategia che vuole durare nel tempo.
È proprio in questo equilibrio, più che nella ricerca di scappatoie, che si gioca la credibilità di un brand agli occhi dei suoi clienti.
Letture: 28 | Allegati: 0
Pubblicato il 09-01-2026
