Blog / Guida
WhatsApp marketing e GDPR: la guida pratica per essere in regola
In breve
Fare WhatsApp marketing in regola con il GDPR significa avere una base giuridica per scrivere — quasi sempre il consenso esplicito —, un’informativa che spieghi chi tratta i dati e perché, e procedure per revoca e conservazione. Il titolare del trattamento sei tu, anche con una piattaforma esterna: scegliere uno strumento con accordo sui dati e gestione automatica dei consensi riduce il rischio.
Il numero di telefono di una persona è un dato personale, e mandarle un messaggio promozionale è un trattamento a tutti gli effetti. Per questo il WhatsApp marketing vive dentro il GDPR esattamente come l’email marketing — solo che il canale è più intimo, quindi il margine d’errore è più stretto. La buona notizia è che mettersi in regola non richiede un dipartimento legale: servono una base giuridica chiara, un po’ di ordine nei documenti e procedure automatiche per consenso e revoca. Questa guida traduce gli obblighi in passi concreti.
Cosa significa GDPR applicato a WhatsApp
Il GDPR è il regolamento europeo sulla protezione dei dati personali, e si applica a chiunque tratti dati di persone che si trovano nell’Unione, indipendentemente da dove abbia sede l’azienda. Quando raccogli numeri di telefono per inviare messaggi, stai trattando dati e devi rispettarne i principi: liceità (avere un motivo valido per farlo), trasparenza (dirlo chiaramente), minimizzazione (raccogliere solo ciò che serve), limitazione della conservazione (non tenere i dati per sempre). Su WhatsApp questi principi non cambiano; cambia solo il fatto che il messaggio arriva in un’app personale, dove l’utente è meno tollerante e più pronto a segnalare. La conformità, oltre a evitare sanzioni che possono essere salate, ti protegge anche la qualità del numero.
La base giuridica: di norma il consenso
Per inviare comunicazioni di marketing su WhatsApp la base giuridica più solida è il consenso esplicito: libero, specifico, informato e inequivocabile. Libero significa non condizionato a un servizio (non puoi imporlo per completare un acquisto); specifico significa riferito proprio a WhatsApp e al marketing, non un consenso generico; informato significa che la persona sa chi tratterà i dati e perché; inequivocabile significa un’azione positiva, mai una casella già spuntata. Esiste anche il legittimo interesse, ma per la pubblicità diretta su un canale così personale è una base fragile e contestabile: per i messaggi promozionali, punta sul consenso.
Distingui sempre il messaggio di servizio da quello promozionale. Confermare una spedizione o ricordare un appuntamento che la persona ha prenotato si appoggia all’esecuzione del contratto; mandarle un’offerta richiede il consenso al marketing. Tenere separati i due permessi è ciò che ti consente di difendere ogni singolo invio.
L’informativa privacy: cosa deve dire
Prima o nel momento in cui raccogli il numero, la persona deve poter leggere un’informativa che risponda a domande precise: chi è il titolare del trattamento, per quali finalità userai i dati, su quale base giuridica, per quanto tempo li conserverai, a chi potrebbero essere comunicati (inclusa la piattaforma di invio e Meta come fornitore del servizio WhatsApp), quali diritti ha la persona e come esercitarli. Non serve un testo monumentale: serve un testo chiaro, raggiungibile con un link accanto al punto di raccolta del consenso. L’errore tipico è raccogliere il numero senza alcun rimando all’informativa: il consenso così non è informato, quindi non è valido.
Revoca e diritti dell’interessato
Il consenso si può ritirare con la stessa facilità con cui è stato dato: è un diritto, non una concessione. In pratica chi scrive STOP, o usa il pulsante di annullamento, deve essere escluso subito dalle comunicazioni promozionali. Ma la revoca del consenso è solo uno dei diritti: la persona può chiedere l’accesso ai propri dati, la rettifica, la cancellazione, la limitazione del trattamento e l’opposizione. Devi avere una procedura per rispondere a queste richieste in tempi ragionevoli. La gestione automatica dell’opt-out copre la parte più frequente; per le altre richieste serve sapere dove sono i dati e come estrarli o cancellarli.
SendApp gestisce l’opt-out in automatico: chi scrive STOP viene escluso dalle campagne successive senza interventi manuali, e ogni contatto porta con sé l’origine e la data del consenso. Vale sia se colleghi il tuo numero via QR code, sia se usi le API ufficiali di Meta — il doppio binario, senza ricarichi sul costo dei messaggi.
Conservazione dei dati: non per sempre
Il GDPR impone di non tenere i dati oltre il necessario. Definisci un periodo di conservazione coerente con la finalità: finché il rapporto con il contatto è attivo e il consenso è valido ha senso conservarlo; quando la persona si disiscrive o resta inattiva a lungo, valuta la cancellazione o l’anonimizzazione. Conserva invece la prova del consenso anche dopo la revoca, per il tempo utile a dimostrare di aver agito correttamente: serve proprio in caso di contestazione, quando l’onere di provare la liceità ricade su di te. La regola pratica è scrivere una policy interna — quanto tengo cosa, e perché — e applicarla con regolarità, invece di accumulare numeri all’infinito “per sicurezza”.
Chi è responsabile: il titolare sei tu
Anche se usi una piattaforma esterna per inviare i messaggi, il titolare del trattamento sei tu: sei tu a decidere finalità e modalità del trattamento. La piattaforma agisce come responsabile del trattamento, cioè tratta i dati per tuo conto, e per questo dovete firmare un accordo dedicato (il cosiddetto DPA, accordo sul trattamento dei dati) che definisca cosa può fare con i dati e con quali garanzie. Verifica anche dove vengono conservati i dati e come la piattaforma gestisce i trasferimenti. Scegliere uno strumento serio su questo fronte non ti solleva dalle tue responsabilità di titolare, ma riduce sensibilmente il rischio.
| Ruolo | Chi è | Cosa decide / fa |
|---|---|---|
| Titolare del trattamento | La tua azienda | Stabilisce finalità e modalità, raccoglie il consenso, risponde agli interessati |
| Responsabile del trattamento | La piattaforma di invio | Tratta i dati per conto del titolare secondo l’accordo (DPA) |
| Interessato | Il destinatario dei messaggi | Dà o revoca il consenso, esercita i propri diritti |
Best practice per un WhatsApp marketing conforme
- Raccogli un consenso esplicito e specifico per il marketing su WhatsApp, separato da ogni altra spunta.
- Collega sempre l’informativa privacy al punto in cui chiedi il numero.
- Distingui messaggi di servizio e promozionali: si appoggiano a basi giuridiche diverse.
- Rendi la revoca immediata e gestisci l’opt-out in automatico.
- Definisci e applica un periodo di conservazione, conservando però la prova del consenso.
- Firma un accordo sul trattamento dei dati con la piattaforma e verifica dove sono ospitati i dati.
Mettilo in pratica con SendApp
Campagne, AI e inbox multicanale senza ricarichi sul costo dei messaggi. Prova gratis, senza carta di credito.
Redazione SendApp
Il team che costruisce SendApp: scriviamo di WhatsApp marketing, API ufficiali Meta e automazioni partendo da quello che vediamo funzionare ogni giorno sulla piattaforma, usata da oltre 30.000 aziende.