Blog Email Marketing AI GDPR e cold email: come essere in regola nel 2026
Email Marketing AI 9 min lettura Aggiornato: 23 aprile 2026

GDPR e cold email: come essere in regola nel 2026

Cold email e GDPR in Italia: legittimo interesse, informativa, Garante Privacy, sanzioni reali, unsubscribe obbligatorio. Guida di compliance 2026.

GDPR e cold email: come essere in regola nel 2026

Il GDPR non vieta il cold email B2B, ma impone regole precise. Molte PMI italiane hanno paura di fare outreach perché temono sanzioni — paura esagerata: facendolo bene, il cold email B2B è pienamente legale. Questa guida copre tutti i punti critici: base giuridica (legittimo interesse), informativa obbligatoria, gestione unsubscribe, Garante Privacy italiano, sanzioni reali. È lettura obbligata prima di lanciare la prima campagna cold email.

Perché il GDPR si applica al cold email

Il GDPR (Reg. UE 2016/679) tutela i dati personali di persone fisiche nell'UE. Un'email professionale "mario.rossi@aziendaX.com" è potenzialmente un dato personale (identifica Mario Rossi). Quindi il cold email ricade nel GDPR, anche in contesto B2B. La domanda non è "posso evitare il GDPR?" (no, non puoi), ma "come rispettarlo semplicemente?".

La buona notizia: il GDPR prevede esplicitamente il legittimo interesse come base giuridica (Art. 6.1.f), e il Considerando 47 cita espressamente il marketing diretto come caso tipico di interesse legittimo. La giurisprudenza europea e italiana confermano: per B2B pertinente, il legittimo interesse basta.

Legittimo interesse (Art. 6.1.f) vs consenso (Art. 6.1.a)

Le due basi giuridiche principali per inviare email. Consenso esplicito: il destinatario ti ha autorizzato esplicitamente (si è iscritto, ha flaggato un checkbox). Richiesto per marketing B2C e per tipi specifici di trattamento. Legittimo interesse: l'azienda ha interesse a contattare prospect pertinenti, purché (a) l'interesse sia ragionevole, (b) non prevalgano i diritti dell'interessato, (c) ci sia trasparenza.

Per cold email B2B italiano su contatti professionali pertinenti, il legittimo interesse è normalmente sufficiente. Per email marketing a consumatori finali (B2C) serve il consenso. Se hai dubbi sul tuo caso, una ditta individuale che usa un'email gmail.com è borderline B2C: per sicurezza, chiedi consenso.

I 3 test del legittimo interesse

Il legittimo interesse richiede il superamento di 3 test (LIA — Legitimate Interest Assessment):

  • Test di scopo: il mio interesse è legittimo e identificato? (Sì: acquisire clienti B2B.)
  • Test di necessità: il trattamento è necessario per raggiungere lo scopo? (Sì: senza contattare non acquisisco clienti.)
  • Test di bilanciamento: i miei interessi prevalgono sui diritti dell'interessato? (Sì, se il messaggio è pertinente, non invasivo, e offre opt-out.)

Documenta questo test in un documento interno (LIA) prima della prima campagna. Non devi presentarlo a nessuno regolarmente, ma se arriva un controllo del Garante o una segnalazione, poter dimostrare di aver fatto il test ti tutela enormemente.

Garante Privacy italiano: cosa dice

Il Garante per la Protezione dei Dati Personali italiano ha chiarito più volte la posizione sul cold email B2B. Punti chiave dalle linee guida 2024: (1) email aziendali tipo info@, commerciale@ sono dati aziendali, meno tutelati del dato personale; (2) email nominative tipo mario.rossi@aziendaX.com richiedono il rispetto del GDPR ma ammettono legittimo interesse; (3) la prima email deve sempre contenere informativa sintetica e link opt-out; (4) il trattamento deve essere minimizzato.

Il Garante ha chiarito anche che la fonte dei dati conta: i dati pubblici (sito aziendale, Google Maps, LinkedIn pubblico) sono generalmente leciti da raccogliere. I dati sottratti a database chiusi (leak, scraping di aree protette) non lo sono. Per approfondire la fonte scraping, vedi la guida allo scraping legale.

Articoli GDPR rilevanti (e cosa richiedono)

Art. 5 — Principi: minimizzazione (prendi solo i dati necessari), limitazione finalità (usa i dati solo per lo scopo dichiarato), conservazione limitata (non tenere dati per sempre).

Art. 6 — Base giuridica: come visto, tipicamente 6.1.f (legittimo interesse) per cold email B2B.

Art. 13-14 — Informativa: il destinatario deve essere informato su identità del titolare, finalità, base giuridica, diritti. Soddisfatto con un breve paragrafo in fondo alla prima email + link a privacy policy.

Art. 21 — Diritto di opposizione: il destinatario può opporsi al trattamento in qualsiasi momento. L'opt-out deve essere facile e gestito entro 30 giorni.

Informativa privacy: esempio corretto

Nella prima email, aggiungi un paragrafo tipo: "Abbiamo ottenuto il tuo contatto da fonti pubblicamente disponibili (tuo sito web, LinkedIn, Google Maps). Ti scriviamo sulla base del legittimo interesse ai sensi dell'Art. 6.1.f GDPR. Se preferisci non ricevere altre email, puoi rispondere con OPT-OUT e cancelleremo i tuoi dati immediatamente. Titolare del trattamento: NomeAzienda Srl, privacy policy: nomeazienda.it/privacy".

Frase breve, chiara, non nasconde nulla. Spesso basta questa in fondo alla firma. Nei follow-up successivi, puoi abbreviarla (es. "Per non ricevere altre email, rispondi con OPT-OUT").

Unsubscribe: gestione obbligatoria

Ogni email deve avere meccanismo chiaro di opt-out. Due modalità: link "Unsubscribe" nel footer (standard), oppure invito a rispondere con OPT-OUT (più semplice per cold email). Quando ricevi la richiesta: entro 30 giorni devi cancellare i dati o flaggare il contatto come "non contattabile" in modo che nessuna sequenza futura lo raggiunga.

MyScraper gestisce l'opt-out automaticamente: quando un destinatario risponde con "OPT-OUT" o clicca il link di unsubscribe, viene rimosso da tutte le campagne presenti e future, e il dato viene cancellato o anonimizzato. Zero manual work.

Tenuta dei log (accountability)

Il GDPR richiede di dimostrare la compliance (principio di accountability, Art. 5.2). In pratica: conserva log delle campagne inviate, richieste di opt-out ricevute, azioni di cancellazione. Se il Garante chiede "dimostrami che hai gestito le richieste di opt-out", devi poter mostrare i log.

MyScraper registra tutto automaticamente nei log del CRM: data invio, delivery status, aperture, click, risposte, opt-out, data di cancellazione. Questi log sono la tua migliore difesa in caso di controllo.

Sanzioni reali del Garante italiano

Le sanzioni GDPR in Italia negli ultimi 2 anni (2024-2025) per violazioni su cold email hanno oscillato tra 20.000 € e 500.000 €. Esempi reali: azienda di servizi IT sanzionata 120.000 € per invii massivi senza base giuridica valida; e-commerce sanzionato 80.000 € per mancata gestione opt-out; società di consulenza 50.000 € per database acquistato da fonte non documentata.

Il punto chiave: le sanzioni colpiscono chi trascura la compliance, non chi fa cold email B2B con metodo. Seguire questa guida + usare MyScraper ti mantiene in zona sicura.

Attenzione: Nel 2025 il Garante ha emesso una sanzione di 350.000 € contro un'azienda che vendeva liste email raccolte da siti aziendali senza informativa. La vendita di liste raccolte è il caso più sanzionato. L'uso interno B2B corretto è un'altra cosa.

Come MyScraper è conforme

MyScraper è progettato nativamente per la compliance GDPR: opt-out automatico in ogni email, gestione richieste di cancellazione tracciabile, log campagne per Art. 30, base giuridica configurabile per campagna, integrazione con informativa privacy del tuo sito. I server sono in Europa (region europe-west1, Belgio) con cifratura at-rest e in-transit.

Non significa che puoi delegare tutto al software: la base giuridica e il LIA devono essere documentati da te. Ma tutti gli obblighi operativi (unsubscribe, log, gestione richieste) sono automatizzati. Parti dal piano Basic a 45 €/mese con tutta la compliance inclusa.

Domande frequenti

Posso inviare cold email senza opt-in esplicito? Sì, per B2B con legittimo interesse documentato. Per B2C o settori sensibili (sanità, finanza a privati), serve il consenso.

Quanto conservo i dati dei prospect? Minimizza: tieni il dato finché serve alla finalità. Standard pratico: 6-12 mesi dalla raccolta o dall'ultima interazione. Dopo, anonimizza o cancella.

Devo citare l'azienda del titolare del trattamento? Sì. L'informativa deve indicare chi è il titolare (tu/la tua azienda), con recapiti per esercizio dei diritti. Basta una riga in fondo all'email.

Conclusione

Il cold email B2B in Italia è legale se rispetti 5 punti: legittimo interesse documentato, informativa in prima email, opt-out funzionante, log delle campagne, minimizzazione dei dati. MyScraper automatizza tutto. Scegli un piano e parti con un setup compliance ready da subito. Per la strategia operativa, leggi la guida al cold email B2B.

Giulia De Marco
Scritto da

Giulia De Marco

Marketing & Content Specialist

Specialista marketing e contenuti in MyScraper. Scrive guide pratiche su cold email, deliverability e compliance GDPR partendo dal campo: ogni articolo nasce da campagne reali gestite per i clienti della piattaforma.

gdpr cold emailcold email legale italiaprivacy cold email b2blegittimo interesse emailgarante privacy email
Condividi

Articoli correlati

Email10 min

Cold email B2B in Italia: guida definitiva 2026

Guida completa al cold email B2B in Italia: lista, copy efficace, sequenze multi-step, metriche, compliance. Dai template ai tool, tutto quello che serve.

Leggi guida →
Email7 min

Email warmup: cos'è e come funziona davvero

Email warmup spiegato: SPF/DKIM/DMARC, calendario 4 settimane, reputation dominio. Come evitare spam e massimizzare deliverability nel 2026.

Leggi guida →
Email8 min

Deliverability email: come evitare lo spam nel 2026

Deliverability email 2026: filtri antispam, sender requirements Gmail/Yahoo, content triggers, Google Postmaster. Guida pratica per arrivare in inbox.

Leggi guida →