Con il Provvedimento n. 330 del 4 giugno 2025 (il “Provvedimento”), il Garante per la protezione dei dati personali (il “Garante”) ha fornito importanti chiarimenti in merito ai requisiti per la raccolta del valido consenso al trattamento dei dati personali per finalità di marketing, concentrandosi in particolare sul meccanismo del cosiddetto double opt-in.
Sebbene tale meccanismo non sia espressamente previsto dal Regolamento (UE) 2016/679 (“GDPR”) né dal Decreto Legislativo n. 196/2003 (“Codice Privacy”), il Garante adotta criteri particolarmente rigorosi nella sua valutazione, identificando il double opt-in – e in particolare il complesso di garanzie che esso offre – come una misura minima per garantire la liceità della raccolta e la corretta documentazione del consenso al trattamento dei dati per finalità promozionali.
Il Meccanismo di Opt-In e il Double Opt-In
Per opt-in si intende l’azione positiva attraverso la quale l’utente manifesta esplicitamente la propria volontà di prestare il consenso. In contesti digitali, ciò avviene solitamente mediante la selezione volontaria di una casella non pre-spuntata in un form online, l’invio attivo di un modulo compilato o il clic su un apposito pulsante di conferma per il consenso.
Il double opt-in rappresenta una versione rafforzata di tale modello. Una volta completato il primo passaggio (e.g. invio del modulo), l’utente riceve un messaggio di verifica all’indirizzo e-mail o al numero di telefono fornito, contenente un link univoco o un codice. Solo completando questo secondo passaggio – i.e. cliccando sul link o inserendo il codice – il consenso può considerarsi pienamente confermato.
Il Double Opt-In come standard minimo secondo il Garante
Con il Provvedimento, il Garante rafforza ulteriormente il ruolo del double opt-in come best practice per la raccolta e documentazione del consenso privacy connesso a trattamenti di dati per finalità di marketing.
In particolare, mentre la sua idoneità a soddisfare i requisiti del consenso era già stata affermata in precedenti decisioni, attraverso il Provvedimento il Garante compie un ulteriore passo avanti, qualificando il double opt-in come una misura minima per rispettare gli obblighi previsti dal GDPR e dal Codice Privacy in materia di consenso per finalità di marketing.
Il Garante chiarisce tuttavia che la nozione di “misura minima” non si riferisce al double opt-in in quanto tale, ma al complesso di garanzie tecniche e probatorie che esso è in grado di offrire, tra cui:
- la verifica dell’effettiva disponibilità dell’indirizzo e-mail da parte dell’interessato;
- l’attribuzione univoca dell’azione di conferma al soggetto destinatario;
- la documentazione puntuale delle fasi tecniche e temporali del processo di acquisizione del consenso;
- la dimostrazione del chiaro collegamento tra l’espressione del consenso e la preventiva consultazione dell’informativa privacy.
Di conseguenza, il Garante riconosce la possibilità di adottare meccanismi alternativi, a condizione che questi siano in grado di garantire un livello equivalente di affidabilità tecnica e documentale, in particolare con riferimento alla certezza dell’attribuzione, all’identificabilità dell’interessato, alla verificabilità tecnica e al collegamento dimostrabile con l’informativa.
Il Provvedimento non elenca espressamente i meccanismi alternativi ritenuti validi. Tuttavia, si può ritenere che le soluzioni previste, ad esempio, dal Codice di Condotta in materia di Telemarketing e Teleselling – quali la conservazione dell’indirizzo IP e della marca temporale associata all’azione online dell’utente (e.g. spunta della casella di consenso), o l’invio di un messaggio di conferma (e.g SMS) all’utente – possano risultare sufficienti, a seconda del contesto, per dimostrare il consenso. Nel caso in esame, le misure adottate dalla società – limitate a log di base contenenti solo indirizzo IP, data e ora – sono state ritenute inidonee a provare la validità del consenso.
In ogni caso, pur rimanendo ammissibili soluzioni alternative che offrano garanzie equivalenti, il Provvedimento rafforza l’orientamento secondo cui il double opt-in rappresenta attualmente la soluzione più efficace per assicurare una raccolta del consenso conforme alle normative in materia di protezione dei dati personali.
Conclusioni
Il Provvedimento evidenzia l’importanza per i titolari del trattamento di adottare meccanismi in grado di documentare efficacemente la raccolta del consenso al trattamento dei dati personali per finalità di marketing.
Pur in assenza di un obbligo legislativo espresso, il meccanismo del double opt-in è stato riconosciuto dal Garante come best practice per garantire la validità del consenso raccolto. Tale riconoscimento potrebbe progressivamente condurre alla sua affermazione come standard di riferimento nel mercato italiano, in attesa di ulteriori chiarimenti su metodi alternativi in grado di offrire garanzie equivalenti.
In ogni caso, rimane essenziale per le organizzazioni che trattano dati personali per finalità promozionali esaminare con attenzione le proprie procedure di raccolta del consenso, assicurandosi che i meccanismi impiegati offrano garanzie analoghe a quelle fornite dal modello double opt-in.
