Il Garante Privacy, con il Provvedimento n. 330/2025 (doc. web 10143278 – il “Provvedimento”) ha recentemente inflitto una sanzione di 45mila euro a un rivenditore di auto online per trattamento illecito di dati personali a fini di marketing. In questi casi, per raccogliere consensi validi non è sufficiente spuntare una casella: il consenso deve essere documentato in modo certo, così da poter dimostrare chi lo ha prestato e quando. Il Provvedimento riveste particolare importanza in quanto chiarisce i requisiti per la raccolta di un valido consenso al trattamento di dati personali per finalità di marketing, concentrandosi sul meccanismo del c.d. double opt-in. Sebbene questo meccanismo non sia espressamente previsto né dal Regolamento (UE) 679/2016 (“GDPR”) né dal D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 (il “Codice Privacy”), il Garante Privacy lo annovera tra le misure minime di protezione, sia per l’interessato che per il titolare del trattamento. Ma cosa si intende per “opt-in” e “double opt-in”? L’opt-in consiste in un’azione positiva dell’utente con cui lo stesso fornisce esplicitamente il proprio consenso. In ambito digitale, ciò avviene spesso tramite un modulo o casella di spunta non preselezionata oppure cliccando su un apposito pulsante di conferma del consenso. Il double opt-in, invece, aggiunge un secondo passaggio, configurandosi come una forma rafforzata del modello precedente. Una volta compilato il modulo o spuntata l’apposita casella, all’utente viene inviata un’e-mail di conferma all’indirizzo registrato, dove gli viene richiesto di compiere un’ulteriore azione (ad es., click su un link di conferma) per confermare la propria iscrizione alla mailing list e il relativo consenso al trattamento dei dati personali per finalità di marketing. Il double opt-in come misura minima di garanzia Con questo Provvedimento il Garante Privacy rafforza il ruolo del double opt-in come best practice per la raccolta e la documentazione del consenso per il trattamento di dati personali per finalità di marketing. Non esiste un obbligo normativo esplicito in merito; tuttavia, tra i requisiti di liceità del consenso è prevista la responsabilità del titolare di documentare che l’interessato abbia effettivamente prestato il proprio consenso. Il Garante Privacy ha infatti più volte ricordato (Provvedimento 429/2022, doc. web 9852290; Provvedimento 413/2021, doc. web 9737185; Provvedimento 437/2017, doc. web 7320903) che la documentazione del consenso in modalità double opt-in rappresenta una forma di documentazione che offre maggiori garanzie e che, allo stato dell’arte, può essere configurata come una misura minima di protezione, sia per l’interessato che per il titolare. Tuttavia, il doble opt-in non è l’unica “misura minima” di protezione che i titolari possono adottare: il Garante Privacy vi ricomprende infatti anche qualsiasi altra misura in grado di fornire un pari livello di garanzia. Il Provvedimento non elenca espressamente i meccanismi alternativi ritenuti validi, limitandosi a richiamare le modalità di documentazione del consenso indicate all’interno del codice di condotta in materia di telemarketing e teleselling (Provvedimento 148/2024), quali, ad esempio, la conservazione sia dell’indirizzo IP e dell’orario in cui l’utente ha prestato il consenso, sia della prova dell’invio di un messaggio di conferma della registrazione del consenso (ad es., un SMS). Conclusioni Il Provvedimento evidenzia l’importanza per i titolari del trattamento di adottare meccanismi in grado di dimostrare che il trattamento sia stato effettuato conformemente alle disposizioni del GDPR e che l’interessato abbia prestato validamente il proprio consenso. In tale ottica, tutte le imprese che intendano trattare dati personali per finalità di marketing dovranno assicurarsi che i meccanismi utilizzati per raccogliere e documentare i consensi acquisiti offrano garanzie analoghe a quelle fornite con l’adozione del modello double opt-in. In altri termini, quel che conta, indipendentemente dal meccanismo scelto, è che il titolare sia in grado di assicurare e comprovare la provenienza del dato per assicurare cha sia proprio l’interessato ad aver prestato il consenso.
