8' di lettura
Soft spam: quando puoi inviare eMail ai clienti senza consenso esplicito
Cos'è il soft opt-in previsto dall'art. 130 comma 4, le cinque condizioni cumulative e come impostarlo in Klaviyo con una compliance verificabile

Nicola Severino
Marketing Automation Expert

Per chi legge di corsa
Sì, puoi inviare eMail promozionali ai clienti che non hanno dato un consenso esplicito: lo permette l'art. 130 comma 4 del Codice Privacy (soft spam o soft opt-in). Le condizioni sono cumulative: vendita conclusa, stesso titolare, prodotti analoghi, informativa al momento della raccolta e opt-out in ogni messaggio. Vale solo per la eMail, non per SMS o WhatsApp.
Sì, puoi inviare eMail promozionali ai tuoi clienti anche se non hanno mai spuntato una casella di consenso al marketing. Non è un'interpretazione di comodo: è un'eccezione scritta nella legge, l'art. 130 comma 4 del Codice Privacy. Si chiama soft spam, o soft opt-in, e funziona solo se rispetti cinque condizioni precise, tutte insieme.
In questo articolo vediamo cosa dice la norma e da dove arriva, le cinque condizioni una per una, cosa resta fuori dal perimetro e come si implementa in Klaviyo in modo verificabile. Il taglio è operativo: la parte legale serve a capire dove passano i confini, la parte pratica a non superarli.
Cos'è il soft spam (o soft opt-in)?
L'art. 130 comma 4 del Codice Privacy (D.Lgs. 196/2003) prevede questo: se raccogli le coordinate di posta elettronica di un cliente nel contesto della vendita di un prodotto o di un servizio, puoi usarle per la vendita diretta di tuoi prodotti o servizi analoghi senza chiedere il consenso, a patto che il cliente, adeguatamente informato, non rifiuti questo uso, al momento della raccolta o in occasione di una qualsiasi comunicazione successiva.
Non è un'invenzione italiana. La norma recepisce l'art. 13, paragrafo 2, della direttiva ePrivacy 2002/58/CE, che ha introdotto la stessa eccezione a livello europeo. Per questo il soft opt-in esiste, con nomi diversi, in quasi tutti i paesi UE.
E il GDPR? Non ha cancellato l'eccezione. La direttiva ePrivacy è norma speciale per le comunicazioni elettroniche e continua ad applicarsi accanto al Regolamento. Sul piano delle basi giuridiche il trattamento si appoggia al legittimo interesse (art. 6, par. 1, lett. f GDPR): il Considerando 47 dice espressamente che il trattamento di dati personali per finalità di marketing diretto può essere considerato legittimo interesse. Restano dovuti tutti gli altri obblighi GDPR: informativa completa, registro dei trattamenti e, come buona pratica, una valutazione documentata del bilanciamento di interessi (LIA).
Le 5 condizioni cumulative del soft spam
Cumulative significa che devono valere tutte e cinque, contemporaneamente. Quattro su cinque non è "quasi conforme": è spam.
Vendita conclusa. L'indirizzo deve arrivare da una vendita andata a buon fine. Un checkout abbandonato non è una vendita. Un lead che ha scaricato una guida non è una vendita. Una richiesta di preventivo non è una vendita. Senza un ordine concluso il soft spam non si applica, e serve il consenso.
Titolare identico. Chi invia deve essere lo stesso soggetto che ha venduto. Stesso titolare del trattamento, non "stesso brand" o "stesso gruppo". Se la vendita l'ha fatta la società A, la società B non può usare quell'indirizzo, nemmeno se condivide logo e soci.
Prodotti o servizi analoghi. Puoi proporre solo prodotti o servizi simili a quelli acquistati. Il criterio guida è l'aspettativa ragionevole del cliente: chi ha comprato un integratore per lo sport si aspetta proposte su integratori, non su corsi di formazione o polizze assicurative.
Informativa al momento della raccolta. Il cliente va informato quando lascia l'indirizzo, in pratica al checkout, che userai la sua eMail per proposte su prodotti analoghi e che può rifiutare subito. Se l'informativa non lo prevede, l'eccezione non è mai nata: non puoi sanarla dopo.
Opt-out in ogni messaggio. Ogni eMail deve contenere un modo semplice e gratuito per opporsi agli invii futuri. Il link di disiscrizione, visibile, funzionante, senza login e senza passaggi aggiuntivi. E il rifiuto va rispettato da subito.
Cosa NON copre il soft spam?
Qui si concentrano gli errori più costosi.
Solo eMail. L'eccezione riguarda le coordinate di posta elettronica. SMS, WhatsApp, telefonate, notifiche push: tutto fuori. Per quei canali serve il consenso esplicito, sempre.
Niente terzi. Gli indirizzi non possono essere ceduti o comunicati a partner, sponsor o "società selezionate". Il soft spam copre solo la vendita diretta di prodotti tuoi.
Niente cross-promotion tra società diverse. Due aziende dello stesso gruppo restano due titolari distinti. Se il cliente ha comprato dalla società A, la newsletter della società B richiede un consenso. La parentela societaria non basta.
Come si implementa il soft spam in Klaviyo?
Questa è la parte che di solito manca negli articoli sul tema. La norma è chiara, ma il punto operativo è un altro: come dimostri di rispettarla dentro la piattaforma di invio. Su Klaviyo il perimetro si costruisce così.
1. Il segmento giusto. Il pubblico del soft spam è: clienti con almeno un ordine, che non si sono mai iscritti al marketing. In Klaviyo: "Placed Order almeno una volta" con consenso eMail "Never subscribed". L'esclusione degli unsubscribed è tassativa: chi si è disiscritto ha esercitato l'opt-out previsto dalla legge, e rimetterlo nel pubblico non è soft spam, è una violazione. Klaviyo esclude dagli invii i profili in suppression list, ma il segmento va costruito in modo che l'esclusione sia esplicita e verificabile, non affidata al comportamento di default della piattaforma.
2. L'informativa al checkout. Prima di attivare qualsiasi invio, verifica che l'informativa privacy collegata al checkout preveda l'uso dell'indirizzo per vendita diretta di prodotti analoghi, con l'indicazione del diritto di opporsi. Se questa riga non c'è, il segmento perfetto non ti salva: manca la condizione 4 e l'eccezione non esiste.
3. Il perimetro sui prodotti analoghi. Le campagne verso questo segmento non possono spingere l'intero catalogo. Usa i dati dell'ordine (categoria, product properties) per limitare i contenuti a prodotti coerenti con quello che il cliente ha comprato. È anche il punto in cui compliance e buon marketing coincidono: proposte pertinenti convertono meglio delle sparate generaliste.
4. Tracciabilità. Dai al segmento un nome parlante (per esempio "Soft spam - art. 130.4 - clienti never subscribed"), documenta la data in cui hai verificato l'informativa e tieni separate le campagne in soft spam da quelle verso gli iscritti. Se un domani devi dimostrare come funziona il tuo perimetro, la risposta deve stare nelle impostazioni dell'account, non nella memoria di chi le ha configurate.
Cosa dicono le Linee guida del Garante?
Il riferimento interpretativo sono le Linee guida in materia di attività promozionale e contrasto allo spam del Garante per la protezione dei dati personali (provvedimento del 4 luglio 2013, doc. web n. 2542348). Confermano la lettura restrittiva: l'eccezione vale solo per la posta elettronica, solo per il titolare che ha effettuato la vendita e solo per prodotti o servizi analoghi, valutati dal punto di vista del destinatario. Il documento resta il punto fermo per capire come il Garante applica l'art. 130 nei provvedimenti sanzionatori.
Domande frequenti
Si può fare marketing verso clienti che non hanno dato il consenso?
Sì, via eMail, grazie all'art. 130 comma 4 del Codice Privacy: servono una vendita conclusa, prodotti analoghi, informativa al momento della raccolta e opt-out in ogni messaggio. Su ogni altro canale serve il consenso.
Posso scrivere a chi ha abbandonato il carrello ma non ha comprato?
No, non con il soft spam: il checkout abbandonato non è una vendita conclusa. Per i flow di carrello abbandonato serve un consenso raccolto prima, tipicamente nel form in cui l'utente lascia l'indirizzo.
Il soft spam vale per SMS e WhatsApp?
No. L'eccezione copre solo la posta elettronica. SMS, WhatsApp e telefonate richiedono sempre un consenso esplicito.
C'è un limite di tempo dopo l'acquisto?
La norma non fissa un termine. Il criterio dell'aspettativa ragionevole suggerisce però prudenza: scrivere dopo anni di silenzio a chi ha comprato una volta è difficile da difendere. Un perimetro temporale definito, per esempio i clienti degli ultimi 24 mesi, è una scelta prudente e documentabile.
Il soft spam mi esonera dal GDPR?
No. Ti esonera dal consenso, non dal resto: informativa completa, legittimo interesse come base giuridica, registro dei trattamenti e gestione corretta delle opposizioni restano dovuti.
In sintesi
Il soft spam è un'eccezione reale, scritta nell'art. 130 comma 4 del Codice Privacy, non una scappatoia. Funziona se le cinque condizioni valgono tutte insieme, copre solo la eMail e solo i tuoi prodotti analoghi. La differenza tra usarlo bene e rischiare una sanzione sta in tre punti: informativa al checkout, segmento costruito in modo esplicito, perimetro sui contenuti.
Il tema è lo stesso di altre norme trattate qui sul blog, come il pulsante di recesso UE e il reso self-service: la compliance non è un documento, è un'impostazione che deve reggere una verifica. Se vuoi capire se il tuo account Klaviyo può attivare il soft spam senza rischi, o sistemare un perimetro già attivo, scrivimi e lo verifichiamo insieme.
Questo articolo ha scopo informativo e non sostituisce una consulenza legale. Prima di attivare invii in soft spam sul tuo store, fai validare informativa e impostazioni da un legale esperto di privacy.
Fonti
Art. 130, comma 4, D.Lgs. 196/2003 (Codice Privacy) - Normattiva
Direttiva 2002/58/CE (ePrivacy), art. 13, par. 2 - EUR-Lex
Regolamento (UE) 2016/679 (GDPR), art. 6, par. 1, lett. f e Considerando 47 - EUR-Lex
Garante per la protezione dei dati personali, Linee guida in materia di attività promozionale e contrasto allo spam, 4 luglio 2013, doc. web n. 2542348



