WebProfessionisti
Tutte le guide
Privacy & GDPRTutti i professionisti

Consenso marketing email e SMS: la guida GDPR per studi

11 min letturaPrivacy & GDPRUltimo aggiornamento: 4 giugno 2026Di Edoardo Avantifiori
In sintesi

Per inviare email, SMS o newsletter promozionali la base giuridica corretta è il consenso (art. 6.1.a + art. 7 GDPR): deve essere libero, specifico, informato, inequivocabile e revocabile con la stessa facilità con cui è stato prestato. Per i clienti esistenti il Codice Privacy (art. 130) ammette il soft opt-in su servizi analoghi. Lo studio deve conservare la prova del consenso (data, ora, testo informativa, modalità) e gestire la revoca in tempo reale.

Consenso marketing email e SMS: la guida GDPR per studi

In sintesi: per inviare email, SMS o newsletter promozionali la base giuridica corretta è il consenso (art. 6, par. 1, lett. a, e art. 7 del Regolamento UE 2016/679). Deve essere libero, specifico, informato, inequivocabile e revocabile con la stessa facilità con cui è stato prestato. Per i clienti già acquisiti il Codice Privacy ammette il soft opt-in su prodotti o servizi analoghi (art. 130, comma 4). Lo studio deve conservare la prova del consenso e fermare gli invii alla prima revoca. Sotto trovi form, registri e flussi pronti da applicare.

La domanda operativa è una sola: su quale base giuridica stai mandando quella newsletter? Se la risposta non è "consenso documentato" oppure "soft opt-in conforme all'art. 130", l'invio è a rischio. Il trattamento dei dati personali per finalità di marketing diretto ha regole precise, e per uno studio professionale si sommano i vincoli deontologici dell'Ordine. Questa guida le mette in fila per ogni canale — email, SMS, WhatsApp business — così che lo studio sia conforme nella sostanza, non solo nei moduli.

Questo articolo è divulgativo e non costituisce parere legale né consulenza privacy. Verifica sempre le norme del tuo Ordine di appartenenza e, per casi complessi, rivolgiti a un consulente qualificato o a un DPO.

La base giuridica: perché il marketing richiede il consenso

Il trattamento dei dati personali è lecito solo se poggia su una delle basi giuridiche elencate all'art. 6 del GDPR. Per le comunicazioni promozionali non richieste — email, SMS, messaggistica — la base corretta è il consenso dell'interessato (art. 6, par. 1, lett. a). Non è una scelta tra le tante: il marketing diretto via mezzi automatizzati ricade nella disciplina dell'art. 130 del Codice Privacy (D.lgs. 196/2003), che richiede appunto il consenso preventivo.

Una tentazione frequente è appoggiarsi al legittimo interesse (art. 6, par. 1, lett. f) per scrivere ai clienti senza chiedere nulla. Funziona male: il considerando 47 del GDPR riconosce che il trattamento per finalità di marketing diretto può configurare un interesse legittimo, ma per email e SMS la lex specialis dell'art. 130 impone comunque il consenso, salvo la sola eccezione del soft opt-in che vedremo. In pratica, il legittimo interesse da solo non ti copre per l'invio di newsletter promozionali a freddo.

La base giuridica va scelta prima di raccogliere il dato, non dopo. Cambiarla a posteriori ("avevo il consenso, ora dico che è legittimo interesse") è uno degli errori che il Garante contesta più spesso nei provvedimenti sul marketing.

Consenso valido: i quattro requisiti dell'art. 7

L'art. 7 del GDPR, letto con le definizioni dell'art. 4, n. 11, fissa quattro requisiti. Ognuno ha conseguenze pratiche sul tuo form.

  • Libero. Il consenso non può essere condizionato all'erogazione del servizio. Se scrivi "per ricevere la consulenza devi iscriverti alla newsletter", il consenso non è libero ed è invalido (art. 7, par. 4). La prestazione professionale e l'iscrizione marketing restano separate.
  • Specifico. Un consenso generico ("acconsento al trattamento dei dati") non vale per il marketing. Va indicata la finalità precisa: "invio di newsletter su aggiornamenti fiscali", "comunicazioni promozionali via SMS". Finalità diverse richiedono consensi distinti (granularità).
  • Informato. Il consenso deve essere preceduto dall'informativa ex artt. 13 e 14 GDPR: identità del titolare, finalità, base giuridica, conservazione, diritti dell'interessato. Niente informativa, niente consenso valido.
  • Inequivocabile. Serve un'azione positiva e affermativa. La casella pre-spuntata è esplicitamente esclusa dal considerando 32: il silenzio, l'inattività o caselle già selezionate non costituiscono consenso.

A questi si aggiunge un requisito trasversale che molti studi sottovalutano: la dimostrabilità. L'art. 7, par. 1, impone al titolare di essere in grado di provare che l'interessato ha prestato il consenso. Tornaci sopra ogni volta che progetti un form: se domani il Garante chiede "quando, come e su quale informativa", devi avere la risposta.

Email marketing: form, doppio opt-in e prova

Il form di iscrizione

Il modulo di raccolta email dello studio deve contenere almeno:

  1. Una checkbox non pre-spuntata con testo specifico, ad esempio: "Acconsento a ricevere la newsletter dello Studio [Nome] con aggiornamenti in materia [fiscale/legale/sanitaria]. Posso revocare il consenso in qualsiasi momento."
  2. Il link all'informativa privacy completa e aggiornata (non un rimando generico, ma la pagina effettiva).
  3. Checkbox separate se raccogli per finalità multiple, ad esempio newsletter informativa e promozioni commerciali: sono finalità distinte e vanno consensi distinti.

L'errore più comune è la checkbox unica che cumula "newsletter e comunicazioni promozionali". Se le finalità non coincidono, il consenso non è specifico.

Doppio opt-in: la prova più solida

Il doppio opt-in consiste nell'inviare, dopo l'iscrizione, un'email di conferma con un link che l'utente deve cliccare per attivare la sottoscrizione. Il GDPR non lo impone espressamente, ma è la modalità che meglio soddisfa l'onere di prova dell'art. 7: dimostra che quell'indirizzo è reale, che appartiene a chi lo ha inserito e registra un timestamp verificabile. Per liste oltre alcune centinaia di iscritti, o quando tratti contatti sensibili, è la scelta più difendibile in caso di contestazione.

La meccanica del consenso conferma è strettamente legata alle scelte tecniche di chi invia. Se stai impostando da zero gli automatismi, parti dalla guida operativa su email marketing per studi professionali, che entra nel dettaglio di sequenze e strumenti, e dall'approfondimento normativo dedicato all'RGPD applicato all'email marketing dei professionisti.

Quali prove conservare

La prova del consenso, per essere opponibile, dovrebbe includere: data e ora dell'opt-in, indirizzo o ID del contatto, versione dell'informativa mostrata in quel momento, testo esatto della checkbox, canale di raccolta e — se usato — il timestamp della conferma di doppio opt-in. La maggior parte delle piattaforme di email marketing registra questi log automaticamente; un foglio di calcolo modificabile, da solo, non è un audit trail affidabile.

Soft opt-in: l'eccezione per i clienti già acquisiti

Il soft opt-in è l'unica deroga al consenso preventivo per l'email marketing. È previsto dall'art. 130, comma 4, del Codice Privacy: lo studio può inviare comunicazioni commerciali ai clienti già acquisiti relative a prodotti o servizi analoghi a quelli già forniti, senza un consenso specifico, purché ricorrano tutte queste condizioni:

  1. L'indirizzo email sia stato fornito dall'interessato nel contesto di una precedente prestazione (vendita di un servizio).
  2. Le comunicazioni riguardino servizi analoghi, non offerte estranee al rapporto.
  3. L'interessato sia stato informato al momento della raccolta della possibilità di opporsi.
  4. Sia offerta in ogni messaggio una via di opposizione semplice e gratuita.

Esempio conforme: un commercialista che manda novità fiscali e promemoria di scadenze ai propri clienti, avendoli informati alla firma del mandato. Esempio non conforme: un avvocato che usa la mailing list dei propri assistiti per promuovere i servizi di un partner assicurativo — qui manca sia l'analogia del servizio sia il presupposto del rapporto diretto, e serve il consenso pieno.

Il soft opt-in vale solo per l'email. Non si estende a SMS o telefonate promozionali, che richiedono sempre il consenso preventivo dell'interessato.

SMS e WhatsApp: consenso preventivo, sempre

SMS e messaggi WhatsApp sono mezzi di comunicazione automatizzati ai sensi dell'art. 130: il marketing su questi canali richiede il consenso esplicito e preventivo, senza la deroga del soft opt-in. Il Garante li tratta come marketing diretto a tutti gli effetti.

CanaleBase giuridicaSoft opt-inOpt-out in ogni invio
Email newsletterConsenso (art. 6.1.a)Sì, art. 130 c.4Sì, link di disiscrizione
SMS promozionaleConsenso preventivoNoSì, es. risposta STOP
WhatsApp BusinessConsenso preventivoNo
Telefonata con operatoreConsenso o legittimo interesse, salvo iscrizione al RPONoSì, Registro Pubblico delle Opposizioni

Per le chiamate promozionali con operatore va inoltre interrogato il Registro Pubblico delle Opposizioni (RPO), che consente all'interessato di opporsi al telemarketing anche sui numeri presenti in elenchi pubblici. È un controllo a sé, distinto dal consenso: anche con un consenso valido, l'iscrizione al registro va rispettata secondo le regole applicabili.

Diritto di revoca e diritto di opposizione

Due diritti diversi convergono qui. Il primo è la revoca del consenso (art. 7, par. 3): l'interessato può ritirarlo in qualsiasi momento e — punto decisivo — "con la stessa facilità con cui è stato accordato". Se l'iscrizione avviene con un clic, anche la disiscrizione deve avvenire con un clic. Il secondo è il diritto di opposizione al marketing diretto (art. 21, par. 2 e 3): quando l'interessato si oppone, i dati non possono più essere trattati per quella finalità, senza eccezioni.

In pratica, per lo studio significa:

  • Ogni email contiene un link di disiscrizione funzionante, non un indirizzo a cui scrivere. La revoca va processata rapidamente, idealmente in tempo reale.
  • La revoca si propaga a tutti i sistemi. Se il CRM e la piattaforma di invio sono separati, la sincronizzazione dev'essere automatica e verificata.
  • Dopo la revoca, stop agli invii. Continuare a scrivere a chi si è disiscritto è tra le infrazioni più sanzionate e più facili da provare per l'interessato.
  • Nessuna penalizzazione per chi si oppone: niente riduzione del servizio professionale, niente messaggi automatici di "disappunto".
Revocare il consenso non pregiudica la liceità del trattamento svolto prima della revoca (art. 7, par. 3). I dati raccolti legittimamente fino a quel momento restano validi, ma da quel punto in avanti ogni nuovo invio è illecito.

Il registro dei consensi: come dimostrare cosa hai raccolto

Il GDPR non impone un formato, ma l'onere di prova dell'art. 7 rende il registro dei consensi uno strumento di fatto necessario. Per uno studio professionale dovrebbe tracciare, per ogni contatto marketing:

  • Identificativo del contatto (anche un ID, non per forza nome e cognome).
  • Data e ora dell'acquisizione del consenso.
  • Canale di raccolta (form del sito, doppio opt-in, modulo cartaceo, raccolta verbale verbalizzata).
  • Versione dell'informativa mostrata in quel momento.
  • Finalità specifiche per cui il consenso è stato prestato.
  • Stato attuale: attivo, revocato o soggetto a opposizione.
  • Data e modalità dell'eventuale revoca.

Per finalità di marketing che coinvolgono categorie particolari di dati — ad esempio dati sulla salute negli studi medici o psicologici (art. 9 GDPR) — non basta il consenso "ordinario": serve un consenso esplicito e il registro deve dare conto della categoria di dato trattata. È una casistica che riguarda studi sanitari e alcune branche del diritto, e che merita una valutazione dedicata.

Se l'obiettivo è raccogliere contatti in modo strutturato dal sito dello studio, conta tanto la conformità del form quanto la sua capacità di portare traffico qualificato: il punto di partenza è impostare bene presenza e visibilità con i servizi SEO e GEO, così che i moduli conformi intercettino le persone giuste.

Checklist operativa

Prima di avviare o riprendere qualunque attività di email o SMS marketing, verifica:

  • La base giuridica è il consenso (art. 6.1.a) o, per i clienti esistenti, il soft opt-in conforme all'art. 130.
  • Il form ha la checkbox non pre-spuntata con testo specifico della finalità.
  • L'informativa privacy è linkata nel form, aggiornata e include i canali usati.
  • Hai un registro del consenso con data, ora, versione informativa e canale.
  • Per liste rilevanti o dati sensibili usi il doppio opt-in.
  • Ogni email ha un link di disiscrizione funzionante e immediato.
  • La revoca si propaga automaticamente a CRM e piattaforma d'invio.
  • Per SMS e WhatsApp hai il consenso preventivo (niente soft opt-in).
  • Per le telefonate hai verificato il RPO.
  • I contenuti rispettano le norme deontologiche del tuo Ordine.

Scarica la checklist del sito web dello studio

I punti di controllo per un sito conforme, dai form di contatto all'informativa privacy, pronti da spuntare.

Scarica gratis

Il vincolo deontologico: cosa cambia per gli ordini

Il consenso GDPR è necessario ma non sufficiente. Per i professionisti ordinistici il contenuto della comunicazione deve rispettare anche la deontologia dell'Ordine. Per gli avvocati, il Codice Deontologico Forense ammette la pubblicità informativa ma vieta messaggi suggestivi o che eccitino aspettative di risultato: una newsletter su novità legislative è ammessa, un'email che promette esiti no. Per i commercialisti, le norme ODCEC consentono la promozione purché veritiera e non ingannevole, e le newsletter su scadenze fiscali sono uno strumento legittimo. Per medici e odontoiatri, l'informazione sanitaria al pubblico è ammessa ma non deve creare aspettative di guarigione né alimentare timori. Per gli psicologi, la disciplina deontologica sulla riservatezza è particolarmente stringente: l'email marketing verso persone in terapia attiva è da evitare. In ogni caso, in dubbio, vale la regola del callout sopra: verifica con il tuo Ordine.

In conclusione: il consenso come asset

Il consenso ben gestito non è un adempimento burocratico: produce una lista pulita, profilata e difendibile, che è esattamente ciò che rende un canale di comunicazione un asset dello studio invece di un rischio. Scegli la base giuridica prima di raccogliere il dato, conserva la prova, ferma gli invii alla prima revoca: tre regole che coprono la maggior parte delle contestazioni in materia di marketing diretto. Vale la pena curarlo dall'inizio.

Le indicazioni di questa pagina hanno finalità informativa. Per definire la base giuridica nei casi che coinvolgono dati particolari (salute, dati giudiziari) o per impostare un registro dei consensi a norma, rivolgiti a un DPO o a un legale specializzato in protezione dati.
WP

Redazione WebProfessionisti

WebProfessionisti è specializzata in siti web, SEO locale e marketing digitale per studi professionali italiani. Ogni guida è scritta e verificata dal nostro team di esperti.

Scopri i nostri servizi →

Fonti e riferimenti

Termini dal glossario

A/B Testing

L'A/B testing è una metodologia che confronta due varianti di una stessa pagina o elemento, mostrandole a segmenti di utenti per misurare quale performa meglio su un obiettivo definito, come invii di modulo o click su telefono. Richiede traffico sufficiente e attenzione statistica per evitare conclusioni affrettate. Per studi professionali, si applica spesso a titoli di landing, testi di call to action o layout di moduli, sempre nel rispetto della privacy e delle norme sul consenso ai cookie e al tracciamento. Non è appropriato per variare promesse deontologicamente sensibili solo per tasso di click. Strumenti come Google Optimize o test interni su CMS possono supportare esperimenti. Documentare ipotesi e risultati aiuta a replicare le vincite e a evitare di ripetere errori. L'A/B testing è complementare a una messaggistica chiara e a una value proposition onesta.

Above the fold

Above the fold indica la porzione di pagina visibile senza scorrere, cioè ciò che l'utente vede al primo caricamento sul proprio dispositivo. Il confine non è fisso: cambia con risoluzione, orientamento e dimensione del browser. Per i siti di studi professionali, questa zona è decisiva perché comunica in pochi secondi chi siete, dove operate e quale azione proporre, ad esempio una richiesta di consulenza o una telefonata. Elementi troppo densi o immagini pesanti possono ritardare la percezione del messaggio; al contrario, titoli chiari, prove di competenza e un percorso verso il contatto riducono l'abbandono. Nei test di usabilità si verifica spesso che molti utenti non scorrono oltre la prima schermata se non trovano risposta immediata. Dal punto di vista SEO, il contenuto above the fold non è un fattore di ranking isolato, ma influenza segnali comportamentali come tempo sulla pagina e interazione. Progettare per mobile first assicura che la parte alta sia leggibile e utilizzabile anche su schermi piccoli. Aggiornare periodicamente hero e messaggi in base alle campagne o alle stagioni dello studio mantiene la home pertinente.

Accessibilità Web

L'accessibilità web consiste nel progettare siti e contenuti utilizzabili da persone con disabilità motorie, sensoriali o cognitive, e più in generale da chi usa tecnologie assistive come screen reader o navigazione da tastiera. Le linee guida internazionali WCAG forniscono criteri verificabili su percezione, utilizzabilità, comprensibilità e robustezza. Per studi professionali, l'accessibilità non è solo conformità normativa dove applicabile, ma coerenza con valori di inclusione e riduzione di barriere all'informazione. Contrasti insufficienti, moduli senza etichette, PDF solo come immagine e video senza sottotitoli sono errori frequenti. Migliorare l'accessibilità spesso migliora anche SEO e usabilità generale. Non richiede necessariamente rifacimenti totali: interventi incrementali su template e contenuti nuovi sono un buon inizio. Formare chi aggiorna il sito a caricare testi alternativi e strutturare i titoli correttamente evita regressioni.

Algoritmo di Ranking

L'algoritmo di ranking è l'insieme di regole e modelli matematici con cui un motore di ricerca ordina i risultati dopo che l'utente ha inserito una query. Non esiste un unico fattore: entrano in gioco rilevanza del contenuto, qualità percepita delle pagine, segnali di autorevolezza come i link in ingresso, esperienza utente, velocità e molti altri segnali locali o personalizzati. Per uno studio professionale italiano, capire che il ranking non è una classifica fissa aiuta a impostare strategie realistiche: si lavora su contenuti chiari, dati strutturati dove appropriato, presenza locale coerente e sito tecnico sano. I motori aggiornano periodicamente i modelli, quindi posizioni che sembravano stabili possono variare dopo un aggiornamento di sistema. L'obiettivo pratico non è "vincere l'algoritmo" una volta per tutte, ma costruire un sito e una reputazione online che reggano nel tempo e rispondono a intenti di ricerca reali dei clienti. Misurare impressioni, click e query in Search Console permette di capire se il problema è visibilità o soltanto snippet poco invitanti. Infine, evitare scorciatoie manipolative protegge il dominio da penalizzazioni che possono cancellare mesi di lavoro.

Algoritmo Google

L'algoritmo di Google è l'insieme di sistemi automatici, spesso basati su machine learning, che seleziona e ordina le pagine mostrate nella ricerca organica. Non è un'unica formula pubblica: interagiscono moduli per comprensione della query, valutazione della qualità dei contenuti, segnali di affidabilità, esperienza sulla pagina, pertinenza locale e molti altri fattori nel tempo. Per professionisti che investono in presenza online, l'idea utile è che l'algoritmo premia siti che rispondono bene agli intenti degli utenti e offrono esperienze sicure e chiare, non trucchi a breve termine. Aggiornamenti come quelli dedicati a contenuti utili o a segnali di spam possono far variare le posizioni anche senza modifiche sul proprio sito, perché cambia il contesto competitivo. Misurare performance con Search Console, analizzare query e pagine con più traffico e correggere problemi tecnici resta la base operativa. Evitare contenuti generati solo per manipolare i motori e preferire informazioni verificabili allinea il sito alle linee guida di lungo periodo.

Audit SEO

Un audit SEO è una revisione sistematica del sito e dell'ecosistema digitale circostante per individuare problemi tecnici, di contenuto, di link e di misurazione che limitano la visibilità organica. Include controllo di indicizzazione, velocità, struttura URL, dati strutturati, contenuti duplicati, profilo di backlink e allineamento con l'intento di ricerca. Per uno studio professionale, l'audit va contestualizzato agli obiettivi di business e alle norme del settore. Non è una lista infinita di errori da correggere tutti insieme: si prioritizza per impatto e sforzo. Strumenti automatici accelerano la raccolta dati ma richiedono interpretazione umana. Ripetere l'audit periodicamente, ad esempio dopo redesign o cambi di dominio, previene regressioni. L'output dovrebbe includere azioni chiare e misurabili. Un audit ben condotto orienta investimenti e riduce sprechi in attività poco rilevanti.