← Torna a Codice Privacy (D.Lgs. 196/2003)
Ultimo aggiornamento: 27 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Massime giurisprudenziali
  4. Prassi e linee guida
  5. Casi pratici
  6. Domande frequenti
  7. Vedi anche
In sintesi
  • L'art. 130 disciplina le comunicazioni commerciali indesiderate via email, SMS, fax, sistemi automatizzati (cd. spam).
  • Si applica il principio dell'opt-in: serve consenso esplicito preventivo.
  • Eccezione: per i propri clienti (soft opt-in) è ammessa l'email su prodotti analoghi se l'interessato non si è opposto al primo contatto.
  • Il Registro Pubblico delle Opposizioni (RPO) raccoglie le opposizioni telefoniche; obbligatorio per il telemarketing.
  • Le sanzioni sono particolarmente severe: provv. Garante a TIM, Vodafone, Iren per milioni di euro.
  • Il provv. Garante 11 luglio 2024 ha ricostruito il quadro post-aggiornamento RPO.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
1. L’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta è consentito con il consenso del contraente.
Stesso numero, altri codici

Commento

Il quadro normativo: opt-in come regola generale

L'art. 130 del Codice Privacy, in attuazione della Direttiva ePrivacy 2002/58/CE, disciplina l'uso di sistemi automatizzati di chiamata, email, SMS, MMS e fax per finalità di vendita diretta, ricerche di mercato e comunicazioni commerciali. La regola generale è il consenso esplicito preventivo (opt-in): l'invio di comunicazioni commerciali senza consenso integra illecito amministrativo grave. La norma si applica a B2C (consumatori) e — secondo recente giurisprudenza CGUE — anche a B2B nei limiti dell'art. 13 ePrivacy.

Il soft opt-in per i propri clienti

Una deroga è prevista al comma 4: il titolare può inviare email commerciali ai propri clienti per prodotti analoghi a quelli già acquistati, senza consenso preventivo, purché: a) i dati siano stati raccolti nell'ambito della vendita o prestazione di un servizio; b) i prodotti pubblicizzati siano analoghi; c) l'interessato sia stato informato del diritto di opporsi al momento della raccolta e in ogni successiva comunicazione; d) sia inserito link facile per l'unsubscribe. È il cd. "soft opt-in", traduzione italiana del Recital 47 ePrivacy.

Il Registro Pubblico delle Opposizioni

Il Registro Pubblico delle Opposizioni (RPO), istituito dal D.P.R. 178/2010 e aggiornato dal D.M. 28 luglio 2022, raccoglie le opposizioni dei cittadini alle telefonate commerciali. Le imprese di telemarketing devono verificare il Registro prima di ogni campagna. Dal 2022 il Registro copre anche i numeri di cellulare e tutti i contatti presenti negli elenchi telefonici. Le opposizioni sono gratuite e revocabili. Il provv. Garante 11 luglio 2024 ha ricostruito il quadro post-aggiornamento.

Telemarketing e telefonate indesiderate

Le telefonate commerciali con operatore umano restano disciplinate da una commistione: a) per i numeri non iscritti al RPO è ammessa l'opt-out (chiamare fino a contraria volontà); b) per i numeri iscritti al RPO è vietato chiamare anche con consenso pregresso (salvo che il consenso non sia stato manifestato successivamente all'iscrizione, ai sensi della legge 5/2018 art. 1, c. 14). La pratica delle "cessioni illecite di liste" è una piaga del settore: il Garante ha sanzionato in più occasioni TIM, Wind, Iren, Eni per cessione e uso illecito di liste commerciali.

Forma del consenso e prova

Il consenso ex art. 130 deve essere: a) libero, specifico, informato e univoco (art. 4 e 7 GDPR); b) separato dal consenso al contratto principale (no consenso a cascata); c) documentabile (onere della prova in capo al titolare); d) revocabile in qualsiasi momento. Tipici vizi sanzionati: consenso unico per servizio + marketing; pre-spuntato; consenso "obbligatorio" per accedere a un sito o promozione. La revoca deve essere semplice come la prestazione (un clic, un SMS gratuito).

Sanzioni e procedimenti notori

L'art. 130 è la norma più sanzionata in Italia. Provvedimenti notori: a) TIM 2020 sanzione di 27,8 milioni di euro per cessione illecita di liste a partner commerciali; b) Vodafone 2020 sanzione di 12,2 milioni per analogo motivo; c) Iren Mercato 2022 sanzione di 2,8 milioni; d) Enel 2022 sanzione di 26,5 milioni. La cumulabilità con sanzioni ePrivacy (art. 162-bis) e penali (art. 167 nei casi qualificati) è frequente.

Casistica notoria e sanzioni massive

L'art. 130 è la norma più sanzionata in Italia. Casi notori: a) TIM (2020): 27,8 milioni di euro per cessione illecita di liste a partner commerciali; b) Vodafone (2020): 12,2 milioni; c) Enel Energia (2022): 26,5 milioni per consenso al marketing in cascata; d) Iren Mercato (2022): 2,8 milioni; e) Acea Energia (2024): 10 milioni. Il Garante ha esteso le sanzioni anche a call center sub-fornitori, contraendo le pratiche di esternalizzazione illecita. Le sanzioni cumulative del settore energetico superano i 100 milioni di euro nel triennio 2022-2024.

Il telemarketing in Italia: filiera e contrasto

La filiera del telemarketing italiano è complessa: cliente finale → operatore di telemarketing → call center → broker di liste → fonti delle liste (a volte illecite). Il Garante ha colpito tutta la filiera: dal cliente finale (sanzioni alle grandi imprese), all'operatore (sanzioni alle agenzie), al call center (sanzioni per uso di liste non verificate), al broker (sanzioni per cessione illegittima). La L. 5/2018 ha esteso al RPO i numeri di cellulare e ha rafforzato i poteri sanzionatori. Il D.M. 28 luglio 2022 ha aggiornato il funzionamento del Registro. Il telemarketing illecito resta tuttavia un fenomeno diffuso, con stime di 40-50 milioni di chiamate non autorizzate annue.

Massime giurisprudenziali

Cass. civ. III, sent. n. 14598/2021

La Cassazione ha precisato il regime di responsabilità del titolare del trattamento, anche per fatti del responsabile o di soggetti autorizzati, applicando il principio di accountability.

Perché è importante: Responsabilità del titolare

Prassi e linee guida

Diritti dell'interessato · Reclami e segnalazioni

Garante Privacy

Il Garante riceve reclami e segnalazioni in materia di trattamento dei dati personali e ne disciplina l'istruttoria.

Leggi il documento su www.garanteprivacy.it

Casi pratici

Caso 1: Tizio: email marketing senza consenso

Tizio Srl acquista una lista di email da un broker e invia 50.000 newsletter promozionali. Violazione palese dell'art. 130: serve consenso esplicito preventivo. Gli interessati segnalano al Garante; Tizio riceve sanzione di 300.000 euro e ordine di cancellazione della lista.

Caso 2: Caia: soft opt-in per clienti

Caia Shop ha 10.000 clienti che hanno acquistato scarpe. Invia loro email su prodotti analoghi (calzature) senza consenso preventivo, ai sensi dell'art. 130, comma 4. Condizioni rispettate: prodotti analoghi, informativa al primo contatto, link unsubscribe in ogni email. La compliance è valida.

Caso 3: Sempronio call center: telemarketing

Sempronio Telecom vuole chiamare 100.000 numeri per offerte. Verifica il RPO: deve escludere tutti i numeri iscritti. Per i non iscritti, opta-out al primo contatto. La cessione della lista a partner senza consenso specifico è vietata (caso TIM 2020).

Caso 4: Commento applicativo

L'art. 130 è la norma più sanzionata in Italia. La compliance richiede: opt-in documentato per nuovi contatti; soft opt-in solo per propri clienti e prodotti analoghi; verifica RPO prima di ogni campagna telefonica; revoca facile come la prestazione del consenso. Le sanzioni del Garante arrivano regolarmente a milioni di euro.

Domande frequenti

Posso inviare email marketing senza consenso?

No, salvo l'eccezione del soft opt-in per propri clienti su prodotti analoghi (art. 130, comma 4), purché rispettate informativa al primo contatto e link unsubscribe in ogni email.

Cosa è il Registro Pubblico delle Opposizioni?

Un registro pubblico in cui i cittadini possono iscrivere i propri numeri di telefono per opporsi alle chiamate commerciali. Le imprese di telemarketing devono verificarlo prima di ogni campagna. È gratuito e disciplinato dal D.P.R. 178/2010 e D.M. 28 luglio 2022.

Il consenso può essere obbligatorio per accedere a un sito?

No. Il consenso al marketing deve essere libero e separato dal consenso al contratto principale. Subordinare l'accesso al consenso è vizio sanzionato (consenso non libero ai sensi dell'art. 7 GDPR).

La revoca del consenso deve essere facile?

Sì. La revoca deve essere semplice come la prestazione: un clic per email, una telefonata gratuita, un SMS senza costi. Procedure complesse o a pagamento sono illegittime.

Quali sono le sanzioni tipiche?

Sanzioni amministrative ex art. 166 del Codice fino al 4% del fatturato globale. Casi notori: TIM 27,8M, Vodafone 12,2M, Enel 26,5M. Cumulabili con sanzioni ePrivacy (art. 162-bis) e — nei casi qualificati — penali (art. 167).

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.