Consenso e marketing digitale: le nuove coordinate tracciate dalla CNIL
Trasparenza e consenso nel marketing digitale
Nel marketing digitale, la trasmissione di dati personali a piattaforme social per finalità di pubblicità mirata richiede un consenso specifico, informato e preventivo. Non è sufficiente il consenso genericamente prestato per la ricezione di comunicazioni promozionali via email o SMS, né può ritenersi conforme al GDPR un’informativa che non indichi chiaramente destinatari dei dati e finalità di profilazione incrociata.
Lo ha ribadito con forza l’Commission Nationale de l’Informatique et des Libertés (CNIL), che ha irrogato una sanzione di 3,5 milioni di euro nei confronti di un importante operatore del settore retail per gravi violazioni della normativa europea in materia di protezione dei dati personali.
Il caso: dati del programma fedeltà trasferiti ai social per il “custom audience”
La decisione (Délibération de la formation restreinte n. SAN-2025-017 del 30 dicembre 2025) trae origine da un’istruttoria transfrontaliera relativa a una pratica posta in essere tra la fine del 2018 e il febbraio 2024.
La società sanzionata, con oltre 10 milioni di iscritti a un programma fedeltà, trasmetteva settimanalmente a un grande gruppo gestore di una piattaforma social (email e numeri di telefono degli aderenti) al fine di:
- individuare clienti già presenti sul social network (matching);
- mostrare loro inserzioni pubblicitarie personalizzate (custom audience);
- creare pubblici “simili” (lookalike audience) per campagne di marketing mirato.
Secondo la società, il trattamento trovava fondamento nel consenso raccolto in fase di adesione al programma fedeltà. Tale impostazione è stata però radicalmente smentita dall’Autorità.
Assenza di una base giuridica valida
Secondo la CNIL, il consenso raccolto al momento dell’adesione al programma fedeltà non poteva ritenersi idoneo, in quanto limitato all’invio di comunicazioni promozionali dirette e non esteso alla comunicazione dei dati a terzi per finalità di profilazione sui social network.
Informativa carente e non trasparente (artt. 12 e 13 GDPR)
Le informazioni sul trattamento risultavano:
- frammentate tra più documenti (informativa privacy, condizioni di vendita);
accessibili solo tramite link multipli;
non contestuali al momento della raccolta del consenso.
Secondo l’Autorità, tale impostazione impediva agli utenti di comprendere realmente l’estensione e le conseguenze del trattamento dei propri dati.
Profili di sicurezza e misure tecniche
La società aveva adottato una funzione di hashing SHA-256 per una parte dei dati trasmessi. Tuttavia, l’Autorità ha rilevato la trasmissione in chiaro dei numeri di telefono e l’assenza di misure supplementari, come il salting, ritenendo le misure adottate non adeguate ai sensi dell’art. 32 GDPR.
Profilazione su larga scala e mancata DPIA
Il trattamento comportava:
- monitoraggio sistematico degli utenti;
- incrocio di banche dati tra soggetti diversi;
- utilizzo intensivo di tecniche di profilazione.
Tali elementi configuravano un trattamento ad alto rischio, per il quale sarebbe stata obbligatoria una valutazione d’impatto sulla protezione dei dati (DPIA).
La mancata esecuzione della DPIA ha costituito un ulteriore profilo aggravante nella determinazione della sanzione.
Implicazioni operative per imprese e marketer
La decisione conferma alcuni principi chiave:
- il consenso deve essere granulare, non cumulativo;
- il marketing sui social tramite custom audience è un trattamento autonomo;
- la trasparenza informativa è un requisito sostanziale, non formale;
- sicurezza e base giuridica sono obblighi distinti e concorrenti.
- Il consenso al marketing via email copre anche il targeting sui social?
No. Il consenso al marketing diretto non autorizza automaticamente la comunicazione dei dati a terzi per finalità di profilazione sui social network.
- È sufficiente cifrare o hashare i dati per rendere lecito il trattamento?
No. Le misure di sicurezza non sostituiscono la necessità di una base giuridica valida.
- Quando è obbligatoria la DPIA nel marketing digitale?
Quando il trattamento comporta profilazione sistematica su larga scala o incrocio di banche dati.
