Contesto: Astralpage S.R.L., con sede in Via Massarenti 480, 40138 Bologna (P. IVA 03608431205), è
un’agenzia di servizi digitali specializzata in lead generation, gestione social, email marketing, outreach e
creazione di siti web. L’azienda intende inviare comunicazioni promozionali via email a potenziali clienti
(consulenti finanziari, dipendenti bancari o professionisti indipendenti) per presentare i propri servizi e
proporre una chiamata conoscitiva gratuita. Si prevede di inviare un massimo di 2 email a ciascun
destinatario, a distanza di 1-2 settimane l’una dall’altra. I dati personali trattati sono limitati a nome,
cognome, email aziendale e società di appartenenza, raccolti da fonti pubbliche online. Le email
includeranno un meccanismo di opt-out facile da utilizzare e i link alla privacy policy aziendale e alla
presente LIA nel footer. Non vengono trattati dati di minori, soggetti vulnerabili né categorie particolari di
dati. Astralpage S.R.L. non è tenuta alla nomina di un DPO; la presente valutazione è quindi redatta dal
Titolare del trattamento (il legale rappresentante dell’azienda) e sarà conservata e riesaminata
periodicamente.
Di seguito si articolano le tre sezioni della LIA – Test dello scopo, Test di necessità e Test di bilanciamento
trattamento ai sensi dell’art. 6(1)(f) GDPR.
Astralpage S.R.L. intende trattare i dati di contatto dei consulenti finanziari per finalità di marketing
diretto. In particolare, lo scopo è presentare i servizi dell’agenzia e generare opportunità di collaborazione
(appuntamenti qualificati o lead commerciali). Questo trattamento avviene nell’interesse commerciale
legittimo dell’azienda di espandere la propria clientela e visibilità di mercato. Il GDPR stesso riconosce
espressamente che il trattamento di dati personali per finalità di marketing diretto può considerarsi basato
su un legittimo interesse del titolare 1. Tale base giuridica permette all’azienda di promuovere i propri
servizi in modo mirato, nel rispetto delle condizioni previste dalla normativa.
Il beneficio principale atteso è per Astralpage, che può acquisire nuovi clienti e opportunità di business
grazie a queste comunicazioni promozionali mirate. Ciò contribuisce alla crescita dell’azienda e al successo
delle sue iniziative commerciali. Anche i destinatari (i consulenti finanziari contattati) potrebbero trarre
vantaggio dall’attività: le email forniranno infatti informazioni su servizi che potrebbero aiutarli ad
aumentare la propria visibilità online, ottenere più lead qualificati o migliorare la loro presenza digitale. In
caso di collaborazione, i consulenti finanziari potrebbero migliorare il proprio portafoglio clienti o la qualità
del servizio offerto ai loro clienti finali. Non vi sono terze parti ulteriori coinvolte nel trattamento né
beneficiari indiretti significativi oltre al potenziale rapporto tra Astralpage e i consulenti interessati. Non si
ravvisano benefici per il pubblico in senso ampio, trattandosi di comunicazioni B2B specifiche; tuttavia, un
1
esito positivo (collaborazione) potrebbe indirettamente favorire il mercato di riferimento con servizi digitali
innovativi e maggiore qualità nelle consulenze finanziarie promosse online.
I benefici identificati sono molto importanti per Astralpage S.R.L. Dal punto di vista commerciale, la
possibilità di contattare direttamente professionisti potenzialmente interessati è cruciale per generare
nuove commesse e far crescere il volume d’affari. Se tale trattamento non potesse aver luogo, l’azienda
perderebbe opportunità di acquisire clienti nel settore finanziario, riducendo significativamente l’efficacia
delle proprie campagne di marketing. In un mercato competitivo, l’impossibilità di inviare queste
comunicazioni dirette potrebbe tradursi in un impatto negativo: minore crescita, minore fatturato e uno
svantaggio competitivo rispetto ad altre agenzie che invece promuovono attivamente i propri servizi. In
sintesi, senza questa attività di email marketing mirato Astralpage vedrebbe limitata la sua capacità di
espansione e visibilità sul mercato, con potenziali ripercussioni anche sull’occupazione aziendale e sulla
solidità finanziaria dell’impresa.
Sì. Il trattamento è progettato in conformità al GDPR e alla normativa nazionale italiana in materia di privacy
e comunicazioni elettroniche. In particolare:
da fonti pubbliche, Astralpage si atterrà all’art. 14 GDPR fornendo un’informativa privacy completa al
primo contatto. Ogni email conterrà un chiaro riferimento al perché il destinatario la riceve, i dati di
contatto del Titolare, e link all’informativa privacy dettagliata e a questa LIA (nel footer). La
trasparenza sul trattamento è garantita sin dal primo messaggio.
l’ordinamento italiano prevede regole stringenti per l’invio di comunicazioni promozionali via email.
In assenza di un rapporto contrattuale pregresso o dell’eccezione dello “soft spam” (che si applica
solo ai clienti esistenti per prodotti/servizi analoghi), l’art. 130 del D.lgs. 196/2003 richiede il previo
consenso esplicito dell’interessato per inviare email di marketing 2. Nel nostro scenario i
consulenti finanziari destinatari non sono clienti attuali di Astralpage né hanno fornito
spontaneamente i loro dati all’azienda; di conseguenza, l’invio delle email promozionali sarà
subordinato all’acquisizione di un valido consenso, ove richiesto dalla legge. Astralpage terrà
pienamente conto di tale vincolo: le comunicazioni avverranno solo nel rispetto delle condizioni di
liceità previste (ad esempio, valutando modalità di contatto preliminare idonee a ottenere il
consenso, oppure limitandosi a comunicazioni verso indirizzi email aziendali non riconducibili a
persone fisiche identificate quando applicabile). In ogni caso, anche laddove si invochi il legittimo
interesse come base giuridica ai sensi GDPR per il trattamento, non si ignoreranno le norme
specifiche sulle comunicazioni elettroniche non sollecitate.
101/2018 (di adeguamento al GDPR) e alle eventuali linee guida del Garante Privacy in tema di
marketing diretto. Astralpage segue anche le buone prassi generalmente riconosciute nel marketing
(es. Codici di condotta dove esistenti, principi del CAP – Codice di Autodisciplina Pubblicitaria per
messaggi commerciali chiari e non ingannevoli, etc.). Ad esempio, le email saranno inviate in orari
2
consoni, con oggetto non fuorviante e contenuto rispettoso, evitando qualsiasi forma di spam
aggressivo o scorretto. Non vengono utilizzate tecniche di profilazione su larga scala né decisioni
automatizzate senza intervento umano: l’attività si limita a selezionare potenziali clienti da fonti
pubbliche in base alla loro qualifica professionale.
Abbiamo valutato gli aspetti etici del trattamento, ritenendo che, se condotto come pianificato, sia equo e
rispettoso nei confronti degli interessati. Inviare un numero limitato di email informative a professionisti su
indirizzi lavorativi può essere considerato accettabile purché avvenga con la dovuta trasparenza e
moderazione. Abbiamo posto particolare attenzione a minimizzare eventuali fastidi o intrusioni: i destinatari
ricevono solo comunicazioni pertinenti alla loro attività professionale (nessuna email irrilevante o non
attesa rispetto al loro ruolo di consulenti finanziari), e possono facilmente rifiutare ulteriori contatti
attraverso l’opt-out immediato. Non c’è intenzione di ingannare o fare telemarketing aggressivo: il tono
delle email sarà informativo e professionale, chiarendo sin dal principio l’identità del mittente e lo scopo
della comunicazione. Dal punto di vista etico, Astralpage ritiene legittimo promuovere i propri servizi
rivolgendosi a potenziali clienti business, a condizione di rispettare la volontà degli interessati
(interrompendo subito i contatti in caso di disinteresse) e di proteggere adeguatamente i loro dati
personali. Non sono emersi altri dilemmi etici rilevanti: il trattamento non discrimina né sfrutta categorie
deboli, e l’approccio “privacy by design” adottato (cioè pensare fin dall’inizio a misure di tutela della privacy)
garantisce un equilibrio tra interesse aziendale e diritti individuali.
Sì. L’invio di email mirate a consulenti finanziari selezionati è direttamente collegato all’obiettivo di generare
nuovi appuntamenti e lead qualificati. Contattare i potenziali clienti in modo personale e proattivo è
attualmente il metodo più efficace per presentare i servizi di Astralpage e proporre una collaborazione. In
altre parole, l’azione (invio di max 2 email di presentazione) è strettamente funzionale allo scopo: permette
di attirare l’attenzione dei consulenti su un servizio che potrebbe essere di loro interesse, cosa che
difficilmente avverrebbe senza un contatto diretto. Alla luce dell’esperienza nel settore marketing, una
campagna email outreach ben mirata ha alte probabilità di suscitare interesse in una parte dei destinatari,
traducendosi in risposte o richieste di approfondimento (ad esempio, prenotare la chiamata conoscitiva
proposta). Senza il trattamento dei dati di contatto e l’invio delle email, tale scopo (ottenere appuntamenti
con nuovi potenziali clienti) non sarebbe realizzabile se non in misura molto minore o casuale.
Sì, il trattamento è stato progettato con modalità proporzionate e non eccedenti rispetto all’obiettivo. In
particolare, Astralpage limita l’attività di contatto al minimo necessario: ogni potenziale interessato
riceverà al massimo due email informative, inviate in un intervallo ragionevole (1-2 settimane di distanza), e
soltanto se dopo il primo invio non ha espresso opposizione o interesse. Non sono previste campagne
prolungate né invii multipli insistenti: se l’interessato non manifesta alcuna risposta dopo due tentativi, o se
opta per il unsubscribe/opt-out già al primo messaggio, non verrà ulteriormente disturbato. Inoltre, i dati
personali utilizzati sono solo quelli strettamente necessari (nome, cognome, email aziendale e società):
queste informazioni servono unicamente a personalizzare la comunicazione e ad assicurarsi di rivolgersi
alla persona giusta nel contesto professionale corretto. Non raccogliamo né trattiamo dati superflui (ad
esempio numero di telefono, indirizzo fisico o dati sul fatturato dei consulenti) per questa finalità,
riducendo così l’impatto sulla sfera privata. Anche la scelta del canale email è, in sé, relativamente poco
3
invasiva: una mail può essere letta quando il destinatario lo desidera (a differenza di una chiamata
telefonica che interrompe le attività) e può essere ignorata o cancellata facilmente se non gradita.
Considerando la limitazione quantitativa (2 messaggi massimo) e qualitativa (contenuto rilevante e
professionale), il trattamento risulta proporzionato allo scopo di promuovere i servizi senza eccedere in
pressioni indebite sugli interessati.
Abbiamo considerato possibili metodi alternativi per generare lead e appuntamenti senza dover utilizzare
i dati personali raccolti, ma nessuna alternativa risulta altrettanto efficace e mirata quanto l’email diretta. Di
seguito alcune opzioni valutate e i relativi limiti:
rivolte a un pubblico generico di consulenti finanziari. Questa opzione non richiederebbe l’uso
diretto di dati personali specifici dei consulenti (ci si baserebbe su targeting offerto dalle
piattaforme), ma è meno mirata e comporta costi potenzialmente elevati. Raggiungere in modo
accurato i singoli professionisti desiderati sarebbe difficile e aleatorio, e molti utenti non
noterebbero o ignorerebbero l’annuncio. L’efficacia nel generare appuntamenti concreti sarebbe
dunque inferiore rispetto a un contatto personale via email.
Tuttavia, ciò risulta più invasivo di una email, in quanto interrompe direttamente il destinatario
durante la sua attività lavorativa. Inoltre, richiederebbe di reperire numeri di cellulare o ufficio (dati
spesso meno accessibili pubblicamente rispetto alle email) e di rispettare rigorosamente la
normativa sulle chiamate commerciali (ad esempio consultare il Registro Pubblico delle
Opposizioni per verificare i numeri che non desiderano chiamate promozionali). Le telefonate a
freddo, oltre a implicare un trattamento di dati potenzialmente più esteso, rischiano di infastidire
maggiormente il professionista e potrebbero danneggiare l’immagine di Astralpage se percepite
come troppo aggressive.
all’indirizzo dell’ufficio. Questa modalità non utilizza dati digitali di contatto, ma richiede comunque il
trattamento di dati personali (indirizzo lavorativo nominativo) ed è poco pratica e costosa. I tempi
di recapito sono lunghi, i costi di stampa/spedizione elevati e la probabilità che la comunicazione
venga ignorata o cestinata senza lettura è alta. Inoltre, reperire gli indirizzi fisici professionali
aggiornati dei consulenti potrebbe essere persino più difficile che ottenere le email, dato che spesso
online sono disponibili soprattutto contatti elettronici.
contattare i consulenti equivarrebbe ad aspettare che siano loro a trovare Astralpage, ad esempio
tramite passaparola, motori di ricerca o visitando spontaneamente il sito web aziendale. Questo
approccio passivo non garantisce affatto il raggiungimento dello scopo: data la concorrenza nel
settore e la mole di informazioni online, è altamente improbabile che un numero significativo di
consulenti finanziari scopra e contatti autonomamente Astralpage senza alcuna iniziativa di
marketing diretto. Rinunciare al contatto diretto significherebbe sacrificare opportunità di business e
affidarsi al caso, una strategia insostenibile per la crescita aziendale.
4
In conclusione, nessuna delle alternative sopra elencate risulta valida quanto l’email marketing diretto ai fini
di ottenere appuntamenti qualificati con consulenti finanziari. L’uso dei dati personali (nome e email
professionale) per inviare comunicazioni mirate è necessario per conseguire efficacemente lo scopo
prefissato. Si è comunque deciso di adottare la modalità meno invasiva possibile – ossia l’email, con un
numero limitato di invii – ritenendola il giusto compromesso tra efficacia commerciale e rispetto della
privacy degli interessati.
Come accennato, i dati trattati sono già ridotti al minimo indispensabile: per contattare una persona via
email in modo personalizzato servono nome (per rivolgersi direttamente al destinatario), cognome,
indirizzo email e l’azienda/organizzazione di appartenenza (per contestualizzare l’offerta e verificare il
ruolo professionale). Non è possibile eliminare uno di questi dati senza compromettere l’efficacia o la
correttezza della comunicazione. Ad esempio, inviare una email senza nome sarebbe impersonale e
potrebbe essere cestinata come spam generico; non indicare l’azienda renderebbe il messaggio meno
rilevante (il consulente potrebbe chiedersi come abbiamo ottenuto il contatto o se l’email sia davvero
pertinente per lui/lei). L’email aziendale stessa è ovviamente fondamentale: contattare tramite altri canali
(telefono, indirizzo fisico) risulta più invasivo o meno pratico, come discusso sopra. Dunque, non vi sono
modi meno intrusivi per ottenere lo stesso risultato: stiamo già utilizzando la combinazione minimale di
dati e il canale meno disturbante tra quelli diretti. Inoltre, il processo prevede ulteriori accorgimenti per
ridurre l’intrusività: ad esempio, l’invio sarà effettuato individualmente (no invii massivi in CC o destinatari
visibili), evitando orari poco opportuni; si cesserà ogni trattamento per gli interessati che manifestino
disinteresse o opposizione. Tutto ciò garantisce che il livello di intrusione nella privacy sia contenuto al
minimo necessario per raggiungere lo scopo legittimo.
Nel bilanciamento si valuta se l’interesse legittimo di Astralpage risulta sovrastato dai diritti e dalle libertà
fondamentali dei destinatari delle email. Si considerano la natura dei dati trattati, le ragionevoli aspettative
degli interessati, l’impatto potenziale su di loro e le misure di salvaguardia adottate. In via preliminare, è
stata effettuata una verifica (screening) circa la necessità di una DPIA (Data Protection Impact Assessment –
Valutazione d’Impatto sulla Protezione dei Dati): dato che il trattamento non coinvolge dati sensibili o su
larga scala, non prevede profilazione avanzata né monitoraggio sistematico di aree accessibili al pubblico,
non sono emersi criteri tali da richiedere obbligatoriamente una DPIA approfondita. Si ritiene dunque che i
rischi residui possano essere gestiti adeguatamente tramite questa LIA e le normali misure di sicurezza,
senza necessità di una DPIA formale. (La necessità di DPIA verrà comunque riesaminata se il progetto di
trattamento dovesse cambiare natura o portata in futuro).
I dati personali utilizzati da Astralpage per questa attività presentano, per loro natura, un basso livello di
sensibilità e un impatto limitato sulla sfera privata individuale. Non si tratta di categorie particolari di dati
(art. 9 GDPR) come informazioni su salute, orientamento politico, religioso o altri dati sensibili, né di dati
relativi a condanne penali. Si tratta invece di dati di contatto professionali – nome, cognome, email
aziendale e società – normalmente reperibili attraverso siti web aziendali, registri pubblici o profili
professionali online. Queste informazioni attengono alla sfera professionale degli interessati (la loro
attività lavorativa come consulenti finanziari) e non direttamente alla loro vita privata personale. In genere,
un indirizzo email di lavoro nominativo identifica sì una persona fisica (quindi è considerato dato personale
ai sensi GDPR 3), ma viene spesso pubblicato o condiviso proprio per finalità legate all’attività lavorativa.
5
Pertanto, i destinatari con ogni probabilità non considerano “private” o intime queste informazioni di
contatto allo stesso modo in cui considererebbero, ad esempio, il numero di cellulare privato o l’indirizzo di
casa. Inoltre, il trattamento esclude a priori qualsiasi dato di soggetti vulnerabili: non sono coinvolti minori
(tutti i consulenti finanziari professionisti sono maggiorenni) né categorie come persone con disabilità
cognitive, anziani inconsapevoli, ecc. Stiamo interagendo con adulti nel pieno delle loro facoltà, nell’ambito
della loro attività lavorativa e con dati pertinenti a tale ambito. Questi elementi di contesto indicano che la
natura dei dati e del trattamento è relativamente benigna dal punto di vista privacy.
Un fattore cruciale nel bilanciamento è valutare se i consulenti finanziari destinatari si possono
ragionevolmente aspettare o meno questo tipo di trattamento dei propri dati. In assenza di un rapporto
pregresso con Astralpage, è possibile che alcuni di loro non si attendano esplicitamente di ricevere
comunicazioni dalla nostra azienda. Infatti, al momento della raccolta dei loro dati (ad esempio quando
hanno pubblicato la propria email su un sito o su LinkedIn) non hanno ricevuto un’informativa specifica da
parte nostra, né hanno interagito con noi. Ciò significa che da un lato non vi è un’aspettativa positiva diretta
(come sarebbe se fossero già clienti o se avessero lasciato la loro email richiedendo informazioni). Tuttavia,
consideriamo anche che il contesto è professionale: i consulenti finanziari spesso rendono pubblici i loro
contatti proprio per finalità lavorative e di networking. È ragionevole supporre che, avendo una email
aziendale pubblicata, essi siano consapevoli della possibilità di essere contattati per proposte inerenti la
loro attività. In determinati settori B2B è comune ricevere proposte di collaborazione o offerte di servizi
professionali via email. Dunque, pur non aspettandosi magari esattamente la nostra email, i destinatari non
dovrebbero rimanere scioccati o completamente spiazzati nel ricevere una comunicazione commerciale
pertinente al loro ruolo. Importante è che il contenuto sia attinente (e lo è: parliamo di generazione di lead
e marketing digitale, temi collegati al lavoro di un consulente finanziario che potrebbe voler attrarre nuovi
clienti). Inoltre, garantiamo che fin dal primo contatto l’interessato verrà informato chiaramente di come
abbiamo ottenuto i suoi dati (es. “la sua email è stata reperita da fonte pubblica online”), dello scopo per cui
lo stiamo contattando e dei suoi diritti – questo trasparenza contribuirà ad allineare le aspettative e a non
far percepire il contatto come subdolo.
Tempistiche e contesto non alterano sostanzialmente le aspettative: i dati di contatto saranno utilizzati poco
tempo dopo la loro raccolta (verranno compilate liste di contatti aggiornati di recente; evitiamo di usare dati
obsoleti di molti anni fa) e non stiamo introducendo tecnologie nuove o sorprendenti nel contatto (si
tratta di una normale email). Non vi è nulla di segreto o nascosto: l’email verrà dal dominio aziendale
astralpage.com, presentandosi in modo trasparente. In sintesi, pur non essendoci un rapporto preesistente,
riteniamo che nella particolare circostanza – contatto professionale su dati resi pubblici dagli stessi
interessati – questi ultimi possano in una certa misura aspettarsi eventuali comunicazioni attinenti alla loro
professione. Naturalmente, riconosciamo che non tutti gradiranno o daranno per scontata tale
comunicazione: perciò facciamo affidamento sulle misure di tutela (opt-out, ecc.) per gestire i casi in cui
l’aspettativa individuale sia negativa (ovvero l’interessato non desidera affatto essere contattato).
Il trattamento in esame comporta alcuni impatti potenziali sugli interessati, che però risultano nel
complesso limitati e mitigati. Possiamo individuare i seguenti possibili effetti:
professionale, può essere percepito da alcuni come un’invasione della propria casella di posta.
L’impatto qui consiste principalmente in un fastidio o disturbo: l’interessato deve dedicare qualche
6
secondo a leggere (anche solo l’oggetto) e decidere se aprire o cestinare la mail. Tuttavia, grazie alla
modalità scelta (email) questo impatto è poco severo: l’email può essere ignorata o cancellata
facilmente; non costringe l’utente a interagire immediatamente (a differenza di una telefonata).
Inoltre, limitandoci a due tentativi al massimo, evitiamo un disturbo ripetitivo.
controllo sulle proprie informazioni di contatto, sapendo che qualcuno (Astralpage) le ha raccolte e
utilizzate senza un loro intervento diretto. È una preoccupazione legittima; tuttavia, nel nostro caso i
dati erano già pubblicamente disponibili (quindi in un certo senso fuori dalla sfera di controllo
strettamente privata già in origine). Astralpage non sta diffondendo ulteriormente queste
informazioni né comunicandole a terzi: l’uso è confinato all’interno dell’azienda e per lo scopo
dichiarato. Inoltre, forniamo immediatamente agli interessati la possibilità di riacquisire pieno
controllo, esercitando il diritto di opposizione: mediante l’opt-out in calce all’email possono chiederci
di non essere più contattati, e noi ci impegniamo a rispettare tale scelta cancellandoli dalla lista. Così
facendo, l’interessato decide se permetterci di continuare o meno: il controllo finale resta nelle sue
mani (in ottemperanza all’art. 21(2) GDPR, secondo cui l’interessato ha il diritto di opporsi in qualsiasi
momento al trattamento per finalità di marketing diretto, e a fronte dell’opposizione il titolare deve
astenersi dal trattare ulteriormente i dati per tali fini).
indesiderato. Nel peggiore dei casi, un interessato potrebbe presentare un reclamo al Garante
Privacy segnalando l’email come spam indesiderato. Questa eventualità, sebbene possibile, è
mitigata dal fatto che Astralpage sta adottando tutte le precauzioni normative (informativa,
consenso ove dovuto, opt-out, ecc.). In caso di reclamo, l’azienda sarebbe in grado di dimostrare di
aver effettuato una LIA e di aver agito in buona fede nel rispetto delle regole, il che ridurrebbe il
rischio di sanzioni. Dal punto di vista dell’interessato, l’“impatto” di dover eventualmente fare opt-out
o lamentarsi è comunque limitato a una breve azione (click sul link di disiscrizione o segnalazione):
non c’è un danno materiale o morale grave. Naturalmente l’obiettivo è evitare di giungere a tale
situazione attraverso la proattiva tutela delle preferenze dell’utente (facilitando l’opt-out come
detto).
potrebbe risultare utile e vantaggioso anche per lui, portando a una collaborazione fruttuosa.
Sebbene questo non sia un “diritto” dell’interessato, è comunque un possibile esito positivo da
considerare nel bilanciamento.
Astralpage ha messo in atto una serie di garanzie e cautele per assicurare che il trattamento avvenga nel
modo meno invasivo e più rispettoso possibile dei diritti degli interessati. Tali misure di mitigazione
includono:
in assenza di riscontro. Ciò evita ripetute sollecitazioni indesiderate.
(unsubscribe). Basta un clic perché l’indirizzo venga rimosso dalle liste e non riceva altre
comunicazioni. L’opt-out è gratuito e non richiede di fornire motivazioni. In caso di opt-out,
7
Astralpage cesserà immediatamente qualsiasi ulteriore trattamento dei dati di quella persona per
finalità di marketing diretto.
rispettoso. L’oggetto e il testo indicano subito lo scopo (es. presentare un servizio di interesse per il
consulente finanziario), l’identità del mittente e includono riferimenti alla privacy. Non vengono
utilizzati toni pressanti o ingannevoli, né tecniche manipolative. Questo approccio riduce il rischio
che il destinatario percepisca la comunicazione come molesta.
(nome, cognome, email aziendale, azienda). Non si raccolgono dati ulteriori sul destinatario senza
consenso. Inoltre, si evitano invii verso email personali (ad es. email private tipo @gmail)
concentrandosi solo su contatti aziendali/professionali, meno invasivi della sfera privata.
elenchi professionali, profili LinkedIn pubblici), dunque Astralpage non sta accedendo a informazioni
riservate o ottenute in modo poco trasparente. Utilizzare fonti pubbliche implica che l’interessato
abbia volontariamente reso disponibili quei dati per contatti in ambito professionale.
possibile che i dati siano aggiornati e corretti (es.: che l’email non sia stata rimossa dal sito o che il
consulente lavori ancora per quella azienda). Questo per ridurre il rischio di inviare comunicazioni a
persone sbagliate o caselle inattive, che potrebbe costituire un’inutile invasione.
Astralpage con adeguate misure di sicurezza (accesso limitato, protezione mediante password, etc.),
prevenendo accessi non autorizzati. I dati saranno conservati solo per il tempo necessario a
completare la campagna di contatto e valutare gli esiti (es. risposta positiva, richiesta di non ricevere
email, nessuna risposta). In assenza di riscontro o in caso di opt-out, i dati del destinatario verranno
eliminati o anonimizzati trascorso un periodo limitato dalla fine della campagna, così da non
mantenere informazioni inutilmente.
comunicati ad altre aziende per ulteriori marketing. Rimangono nell’alveo del trattamento svolto da
Astralpage come titolare. Eventuali fornitori esterni (es. servizio di mailing) operano come
responsabili del trattamento vincolati contrattualmente alle istruzioni di Astralpage e al rispetto della
normativa privacy.
seguito tempestivo ad eventuali richieste degli interessati relative ai propri dati (accesso,
cancellazione, rettifica, limitazione) così come previsto dagli artt. 15-22 GDPR. Ad esempio, se un
consulente finanziario, anche senza opt-out, ci contattasse per chiedere “da dove avete preso la mia
email e voglio che cancelliate i miei dati”, risponderemo fornendo le informazioni dovute e
confermando la cancellazione immediata dei suoi dati dai nostri archivi.
principi della privacy e del GDPR. Viene mantenuta alta l’attenzione a possibili feedback negativi: se
dovessero emergere lamentele o segnalazioni da parte dei destinatari, Astralpage è pronta a
rivedere e adeguare le proprie pratiche (ad esempio riducendo ulteriormente il numero di contatti,
modificando il messaggio per chiarirlo meglio, ecc.). L’approccio è quindi dinamico e orientato al
miglioramento continuo, al fine di garantire che i diritti degli interessati siano sempre tutelati al
massimo grado.
Esito del bilanciamento: Alla luce di quanto sopra, non risultano prevalenti gli interessi o i diritti e le
libertà fondamentali degli interessati tali da annullare il legittimo interesse perseguito da Astralpage. I
dati trattati sono di natura non sensibile e pertinenti all’ambito professionale; il contesto suggerisce che i
8
destinatari possono aspettarsi (almeno in parte) un contatto relativo alla loro attività; l’impatto negativo
potenziale (fastidio per email indesiderata) è circoscritto e significativamente attenuato dalle misure di
salvaguardia implementate. Inoltre, ciascun interessato mantiene il pieno controllo della situazione grazie
alla possibilità di opposizione immediata: questo fatto pesa molto nel bilanciamento a favore del titolare, in
quanto garantisce che nessuno subisca il trattamento contro la propria volontà oltre il primo contatto
esplorativo. In termini di proporzionalità, l’interesse di Astralpage – pur legittimo – non viene perseguito in
modo assoluto o a scapito dei diritti individuali, bensì con equilibrio e rispetto delle preferenze degli
interessati. Pertanto si può ragionevolmente concludere che il diritto alla protezione dei dati dei
consulenti finanziari non viene leso in misura prevalente da questa specifica attività di trattamento,
considerando tutte le precauzioni adottate.
Possibilità di invocare il legittimo interesse: Sulla base dell’analisi condotta nei tre test sopra (scopo,
necessità, bilanciamento), Astralpage S.R.L. ritiene di poter legittimamente invocare l’interesse legittimo
quale base giuridica ai sensi dell’art. 6 par.1 lett. f) GDPR per il trattamento in questione, ossia la raccolta e
l’utilizzo dei dati di contatto di consulenti finanziari al fine di inviare loro comunicazioni promozionali mirate.
L’interesse perseguito – promuovere i propri servizi B2B e favorire nuove collaborazioni commerciali – è
legittimo, concreto e non in contrasto con la legge (anzi, il Considerando 47 GDPR conferma che il
marketing diretto può costituire un interesse legittimo 1). Abbiamo accertato che il trattamento è
necessario e proporzionato per raggiungere tale finalità, e soprattutto che non lede in modo prevalente i
diritti e le libertà degli interessati, grazie alle limitazioni e garanzie predisposte. Di conseguenza, dal punto
di vista del GDPR, esistono i presupposti per utilizzare il legittimo interesse come fondamento di liceità del
trattamento.
Condizioni e cautele: Si ribadisce tuttavia che l’uso della base giuridica del legittimo interesse non esime
Astralpage dal rispettare pienamente le normative specifiche in materia di comunicazioni
promozionali non sollecitate. In ottemperanza all’art. 130 del Codice Privacy e alla normativa e-Privacy,
l’azienda procederà con l’invio delle email solo nei limiti di quanto consentito (ad esempio ottenendo il
consenso preventivo degli interessati quando richiesto, oppure valutando se l’invio a determinati indirizzi
aziendali possa rientrare nelle eccezioni consentite). In altre parole, il legittimo interesse viene qui valutato
come base giuridica per il trattamento dei dati ai fini GDPR, ma la legittimità complessiva dell’operazione
di marketing diretto sarà garantita solo agendo conformemente anche alle altre leggi applicabili. Questa
LIA dunque non “scavalca” eventuali divieti di invio senza consenso previsti dalla legge italiana, ma fa
parte di un approccio di compliance integrato: Astralpage userà il legittimo interesse in armonia con tali
norme, assicurando che nessuna email promozionale venga inviata in violazione dei requisiti di consenso/
opt-out stabiliti.
DPIA non necessaria: Considerate la natura e le modalità del trattamento, nonché le risultanze del
balancing test, non risulta necessario effettuare una Valutazione d’Impatto (DPIA) formale. Il trattamento
non appare “susceptible to high risk” per i diritti e le libertà delle persone fisiche, dato che: (a) non
riguarda dati sensibili o giudiziari; (b) non coinvolge un numero massivo di interessati su larga scala tale da
incidere significativamente su un’intera popolazione; (c) non utilizza tecnologie o processi decisionali
automatizzati potenzialmente lesivi; (d) ha uno scopo limitato e non comporta monitoraggio sistematico
degli interessati. Le misure di tutela implementate (vedi sopra) sono adeguate a mantenere basso il livello
di rischio. Ovviamente, qualora in futuro la portata del progetto aumentasse (ad es. moltissimi destinatari) o
9
venissero aggiunte componenti più invasive (es. profilazione dettagliata dei consulenti, tracciamento del
comportamento via email, ecc.), Astralpage rivaluterà la necessità di condurre una DPIA prima di procedere.
Documentazione e revisione: La presente Valutazione di Legittimo Interesse viene conservata agli atti di
Astralpage S.R.L. quale evidenza del processo decisionale seguito per la scelta della base giuridica. È stata
redatta in modo motivato e approfondito, seguendo il modello e le linee guida ICO per le LIA e tenendo
conto della normativa e delle indicazioni dell’Autorità Garante. Questa valutazione non è statica: Astralpage
si impegna a rivederla periodicamente per assicurarsi che le assunzioni fatte rimangano valide. In
particolare, si prevede una revisione annuale della LIA, oppure immediatamente in caso di cambiamenti
significativi (ad esempio: mutamenti normativi in materia di marketing diretto, nuove linee guida delle
autorità, modifica delle finalità o delle modalità di contatto, oppure se dovessero verificarsi reclami o
incidenti rilevanti legati a questo trattamento). Ogni revisione sarà documentata e, se necessario, la LIA
verrà aggiornata di conseguenza. In questo modo, Astralpage garantisce un monitoraggio continuo
dell’equilibrio tra i propri interessi di business e i diritti degli interessati, in conformità al principio di
accountability del GDPR.
Redatto da: Astralpage S.R.L., in persona del legale rappresentante Simone Piccolo (Titolare del trattamento)
Data: 3 settembre 2025
plan.
https://www.privacy-regulation.eu/it/r47.htm
Federprivacy
https://www.federprivacy.org/informazione/punto-di-vista/legittimo-interesse-nell-ambito-del-marketing-diretto-necessario-
tenere-alto-il-livello-di-attenzione
https://beyondermagazine.com/digital-culture/why-b2b-marketers-in-italy-shouldnt-ignore-gdpr-and-how-to-win-anyway/
10