Il double opt-in non è un obbligo ma una buona prassi
La verifica della qualità acquisitiva dei dati di contatto è un obbligo che si estende necessariamente dal titolare a tutta la filiera dei soggetti coinvolti in tali operazioni, soprattutto nelle attività online e nelle campagne digitali che si possono svolgere, ad esempio, mediante moduli, landing page o social lead generation.

Sia nel caso in cui tale raccolta avvenga per finalità di ricontatto (c.d. callback) e si basi sull’esecuzione di misure precontrattuali, sia nel caso in cui avvenga per svolgere direct marketing e si basi sul consenso, è necessario comprovare la provenienza del dato per assicurare cha sia proprio l’interessato, rispettivamente, a formulare la richiesta ricontatto o altrimenti a prestare il consenso.
Questo è stato ribadito dal Garante Privacy quale presidio atto ad evitare pericolose distorsioni operative o punti ciechi della filiera in cui possono avvenire vere e proprie attività di riciclaggio dei dati personali ad opera di terzi in pregiudizio dell’interessato (e della sua volontà di conferire i propri dati di contatto) e in aperta violazione dei limiti imposti dalla normativa in materia di protezione dei dati personali.
Tanto premesso, occorre di conseguenza individuare una misura di mitigazione del rischio specifico che i dati personali vengano conferiti da un soggetto diverso dall’interessato. Una è certamente quella del double opt-in, ma non è certamente l’unica né tantomeno è o può essere obbligatoria.
Infatti, è il Garante Privacy stesso che, facendo riferimento al double opt-in, nel più recente provvedimento n. 330 del 4 giugno 2025, formula la considerazione che segue:
«In tale contesto si deve innanzitutto tenere conto del fatto che il Regolamento non prevede espressamente specifici obblighi normativi per singole fattispecie ma impone il rispetto di generali principi da adattare al contesto, ai potenziali rischi e alle aspettative degli interessati. Partendo da tale presupposto, il Garante ha più volte fornito orientamenti su casi specifici ricordando che la documentazione del consenso in modalità double opt-in è una forma di documentazione del consenso che offre maggiori garanzie e può considerarsi, allo stato dell'arte, una misura minima di protezione per l'interessato ma anche per lo stesso titolare, tenuto a comprovare la liceità del trattamento»
dovendosi intendere quel “misura minima di protezione” in senso non prescrittivo ma descrittivo di una soglia minima di protezione che al momento può garantire, costituendo più una buona prassi. Questo è peraltro confermato dalla premessa secondo cui non possono essere previsti obblighi specifici proprio per il principio di accountability e l’approccio risk-based che presiedono l’interpretazione sistematica del GDPR.
Per fugare ogni dubbio o fraintendimento è inoltre sufficiente leggere il passaggio successivo del provvedimento, in cui infatti si ammettono pacificamente modalità analoghe di documentazione della provenienza del dato (nel caso specifico del provvedimento: del consenso), come ad esempio quella indicata all’interno dell’art. 6 del codice di condotta per le attività di telemarketing e teleselling con la conservazione della coppia IP-timestamp e l’invio di un messaggio di notifica.
Nel caso oggetto del provvedimento citato, erano state però fornite "stampigliature - qualificate come file di log - recanti dati spesso disconosciuti dagli interessati, prive dei requisiti informatici di immodificabilità e concernenti liste formate da soggetti, spesso ubicati extra-UE, che non offrono garanzie adeguate" e queste sono state valutate come inadeguate.
Quel che conta è infatti che, indipendentemente dall’alternativa selezionata, il titolare possa essere continuamente in grado di assicurare e comprovare un grado di certezza in ordine alla lecita provenienza dei dati personali, tenendo conto del contesto e dello stato dell’arte e coerentemente con l’analisi dei rischi svolta.
Questo è un precipitato pratico e operativo di quel bilanciamento fra libertà d’azione e responsabilità che è l’accountability.






