Cold email e GDPR in Italia: cosa serve davvero per essere in regola
Mandare una cold email B2B in Italia è legale, ma solo a certe condizioni, e la maggior parte di chi fa outreach le conosce a metà. Il GDPR non vieta di scrivere a un referente aziendale che non ha mai sentito parlare di te, ma impone regole precise su come lo fai, cosa gli dici e quanto è facile per lui dirti di no. Capire queste regole evita non solo sanzioni, ma anche il rischio più concreto: finire segnalati come spam prima ancora di aver avuto una possibilità di risposta.
- In Italia il GDPR permette di scrivere a un indirizzo email aziendale senza consenso preventivo se si usa il legittimo interesse come base giuridica, con condizioni precise.
- Ogni cold email deve avere un mittente identificabile, un motivo di contatto chiaro e un modo semplice per opporsi a ricevere altre email.
- Il legittimo interesse regge solo se il messaggio è pertinente, mirato a un ruolo specifico e non ripetuto in massa sullo stesso indirizzo senza risposta.
- Le sanzioni più frequenti nascono da errori operativi banali: nessun modo per disiscriversi, mittente anonimo, dati raccolti da fonti non tracciabili.
- La compliance GDPR e l'efficacia della cold email vanno nella stessa direzione: un'email mirata e trasparente converte di più ed è anche più difendibile.
Cold email e GDPR: cosa dice davvero la norma
Il Regolamento Generale sulla Protezione dei Dati si applica a qualsiasi trattamento di dati personali, e un indirizzo email nominativo come nome.cognome@azienda.it è un dato personale a tutti gli effetti, anche se è pubblicato sul sito aziendale o su LinkedIn. Questo significa che scrivere una cold email a un referente specifico rientra nel perimetro del GDPR, non è un'attività esente.
La buona notizia per chi fa outreach B2B mirato è che il GDPR prevede più basi giuridiche per trattare un dato personale, e il consenso esplicito non è l'unica. Per il contatto commerciale tra aziende, la base normalmente usata è il legittimo interesse: l'idea che un'azienda possa contattare un'altra azienda per una proposta pertinente al ruolo del destinatario, purché l'interesse del mittente non prevalga in modo sproporzionato sui diritti e le aspettative della persona contattata.
Questo è il punto che distingue l'outreach mirato dal marketing di massa non richiesto: il legittimo interesse regge quando il messaggio è specifico, quando il destinatario è scelto per un motivo verificabile legato al suo ruolo, e quando l'invio non si ripete senza limiti su chi non ha mai risposto. Non regge per liste comprate genericamente e usate per invii massivi indifferenziati.
Le condizioni per usare il legittimo interesse in una campagna a freddo
Il legittimo interesse non è una scorciatoia automatica, è un test da superare caso per caso. In pratica, per essere difendibile, un invio a freddo deve rispettare alcuni criteri concreti che riguardano sia il contenuto sia il processo.
Il primo criterio è la pertinenza: il messaggio deve riguardare l'attività professionale del destinatario, non un prodotto di consumo generico spedito a un indirizzo aziendale trovato per caso. Il secondo è la proporzionalità dei volumi: contattare 50 responsabili acquisti nel settore giusto è diverso da mandare 50.000 email a un database acquistato senza criterio. Il terzo è la possibilità reale di opporsi, di cui parliamo nella sezione successiva.
- Il destinatario è scelto per ruolo e settore pertinenti al contenuto dell'email, non a caso
- I dati di contatto provengono da fonti pubbliche e tracciabili (sito aziendale, LinkedIn, registri camerali)
- Il volume di invio resta proporzionato e non insiste su chi non ha mai interagito dopo più tentativi
- Il messaggio dichiara chiaramente chi scrive e perché, senza infingimenti sul mittente
- È presente un modo semplice ed effettivo per chiedere di non ricevere altre comunicazioni
Pesi indicativi basati sulla pratica di campagne B2B mirate, non una scala ufficiale del GDPR.
Trasparenza sul mittente e diritto di opposizione
Due obblighi valgono sempre, indipendentemente dalla base giuridica scelta: identificare chi scrive e permettere al destinatario di opporsi facilmente. Un'email che parte da un indirizzo anonimo, senza firma reale, senza un nome di azienda verificabile, non è difendibile nemmeno se il contenuto è perfettamente pertinente.
La firma di una cold email conforme deve includere il nome di chi scrive, l'azienda rappresentata e un modo di risalire a un indirizzo fisico o a una pagina web reale. Non serve un impianto legale complesso in calce a ogni messaggio, ma serve che il destinatario possa capire in tre secondi chi gli sta scrivendo e possa rispondere per dire di no.
L'opt-out va onorato subito e senza attrito: se un destinatario scrive «non contattatemi più», quell'indirizzo va escluso da ogni invio successivo, non solo dalla sequenza in corso. Tenere una lista di esclusione aggiornata e verificata prima di ogni invio è uno degli aspetti più concreti della conformità, ed è anche una delle cose più facili da controllare in caso di verifica.
Firma minima conforme: Marco Bianchi, Responsabile Commerciale presso una società di consulenza gestionale con sede a Bologna, www.esempio-consulenza.it, con una riga per segnalare di non voler ricevere altre comunicazioni.
Errori comuni che trasformano una cold email in un problema GDPR
La maggior parte delle contestazioni non nasce da un uso scorretto del legittimo interesse in senso stretto, ma da errori operativi banali che rendono l'intera campagna insostenibile in caso di verifica.
Il primo errore è comprare liste generiche senza sapere da dove arrivano i dati: se non sai spiegare la provenienza di un contatto, non puoi giustificarne l'uso. Il secondo è insistere su chi non ha mai risposto per settimane o mesi, trattando il silenzio come un invito a continuare invece che come un segnale da rispettare. Il terzo è nascondere o rendere difficile l'opt-out, magari inserendolo in un link che richiede più passaggi per funzionare davvero.
- Liste acquistate senza sapere l'origine dei dati o il consenso raccolto a monte
- Invii ripetuti a chi non ha mai aperto o risposto, oltre un numero ragionevole di tentativi
- Nessun link o indirizzo di opt-out funzionante, o un opt-out che richiede troppi passaggi
- Mittente non identificabile o dominio usato solo per invii massivi, senza presenza reale
- Contenuto generico non collegato al ruolo o al settore del destinatario
Come impostare un processo di cold email conforme fin dall'inizio
La conformità GDPR va progettata nel processo di outreach, non aggiunta a posteriori con una riga di disclaimer. Significa costruire liste filtrate per ruolo e pertinenza invece di comprare database enormi, tenere traccia della fonte di ogni contatto, e gestire l'esclusione come parte integrante del flusso di invio, non come un'eccezione da gestire manualmente ogni volta.
Un buon processo prevede anche un limite ragionevole di tentativi per destinatario: due o tre email in una sequenza breve, ben distanziate, sono difendibili come tentativo legittimo di ottenere attenzione; dieci email nell'arco di un mese verso chi non ha mai aperto un messaggio non lo sono. Lo stesso vale per la registrazione delle richieste di opt-out: va tenuto un registro semplice, anche solo un foglio condiviso, che dimostri che le richieste vengono rispettate in tempi brevi.
In LDM il processo di outreach parte da liste segmentate per ruolo e settore, non da database generici, e ogni indirizzo che chiede di non essere più contattato viene escluso in modo permanente da ogni campagna successiva, non solo da quella in corso. È un vincolo che, applicato bene, migliora anche i risultati: una lista pulita e mirata converte meglio di una lista enorme e indifferenziata.
GDPR e reputazione: due facce della stessa medaglia
Vale la pena notare che le regole GDPR e le buone pratiche di deliverability puntano nella stessa direzione. Un invio pertinente, con opt-out rispettato e volumi ragionevoli, è anche l'invio che i provider di posta tendono a non marcare come spam, perché genera meno segnalazioni e più interazioni positive. Chi tratta la conformità come un ostacolo da aggirare finisce spesso per danneggiare anche la propria reputazione di invio, non solo per esporsi a rischio legale.
Per questo la conformità GDPR in una strategia di email a freddo B2B non va vista come un limite alla performance, ma come parte della stessa disciplina che rende l'outreach efficace nel tempo: meno email, più mirate, a persone che hanno un motivo reale per leggerle.
Domande frequenti
È legale mandare cold email B2B in Italia senza consenso preventivo?
Sì, se si usa correttamente la base giuridica del legittimo interesse: messaggio pertinente al ruolo del destinatario, fonte del contatto tracciabile, volumi proporzionati e possibilità reale di opporsi. Non è legale un invio massivo indifferenziato basato su liste di provenienza sconosciuta.
Cosa deve contenere obbligatoriamente una cold email conforme al GDPR?
Un mittente identificabile con nome e azienda reale, un contenuto pertinente al ruolo del destinatario, e un modo semplice per chiedere di non ricevere altre comunicazioni. L'assenza anche di uno solo di questi elementi rende l'invio difficilmente difendibile.
Quante email si possono mandare alla stessa persona senza risposta?
Non esiste un numero fisso nella norma, ma la prassi ragionevole è due o tre email in una sequenza breve e ben distanziata. Insistere per settimane o mesi su chi non ha mai interagito indebolisce la giustificazione del legittimo interesse.
Comprare una lista di contatti aziendali è di per sé illegale?
No, ma va usata con cautela: bisogna sapere da dove arrivano i dati e verificare che siano indirizzi aziendali pubblici o comunque raccolti in modo tracciabile. Una lista di cui non si conosce la provenienza è un rischio, indipendentemente da come viene poi utilizzata.
Cosa succede se un destinatario chiede di non essere più contattato?
Va escluso in modo permanente da tutte le campagne successive, non solo dalla sequenza in corso, e la richiesta va onorata rapidamente. Tenere un elenco di esclusione aggiornato è una delle verifiche più semplici e più frequenti in caso di controllo.
Le regole cambiano se il destinatario è in un altro paese dell'Unione Europea?
I principi del GDPR sono comuni a tutta l'Unione, quindi l'impostazione di base resta la stessa. Alcuni paesi hanno però indicazioni nazionali più severe sull'email marketing B2C, per cui per l'outreach B2B mirato conviene comunque mantenere lo standard più cautelativo su trasparenza e opt-out.
Vuoi applicarlo al tuo outreach?
Ti mostriamo come funziona sul tuo segmento e sul tuo prodotto — prima di iniziare.
Parliamone