Torna alla panoramica
NewsletterDouble opt-inLCSl

Newsletter conforme alla LPD: implementare correttamente il double opt-in in Svizzera

Il double opt-in è obbligatorio in Svizzera? Non espressamente — ma chi non può dimostrare il consenso ha un problema in caso di controversia. Cosa richiede davvero l'art. 3 LCSl, quando si applica l'eccezione per i clienti esistenti e come impostare correttamente l'iscrizione alla newsletter.

Aiara Team··8 min di lettura
Newsletter conforme alla LPD: implementare correttamente il double opt-in in Svizzera

«Abbiamo gli indirizzi della fiera — mettiamoli semplicemente nella lista di distribuzione.» Questa frase ricorre sorprendentemente spesso nelle PMI svizzere. Ed è la via più diretta verso un reclamo per spam, perché senza consenso la pubblicità di massa via e-mail in Svizzera è sleale — e su querela persino punibile.

Allo stesso tempo circola come mezza verità l'affermazione opposta: «Il double opt-in è obbligatorio.» Nemmeno questo è esatto. Cosa richiede davvero la legge, dove si applica l'eccezione per i clienti esistenti e perché il double opt-in resta comunque l'unica via ragionevole — una guida pratica.

Quale legge disciplina l'invio di newsletter in Svizzera?

La regola centrale per le newsletter non si trova nella legge sulla protezione dei dati, ma nella legge federale contro la concorrenza sleale (LCSl). L'art. 3 cpv. 1 lett. o LCSl dichiara sleale la pubblicità di massa via e-mail, SMS o altri canali di telecomunicazione quando tre condizioni non sono soddisfatte:

  1. Consenso preventivo dei destinatari,
  2. indicazione corretta del mittente — nessun mittente occultato o falsificato,
  3. indicazione di una possibilità di rifiuto semplice e gratuita in ogni messaggio.

Tutte e tre le condizioni devono essere soddisfatte contemporaneamente. Una newsletter con consenso ma senza link di disiscrizione è sleale tanto quanto una senza consenso. Le violazioni sono punibili su querela secondo l'art. 23 LCSl — con una pena detentiva sino a tre anni o una pena pecuniaria.

In parallelo si applica la legge federale sulla protezione dei dati (LPD): gli indirizzi e-mail sono dati personali e l'obbligo di informare secondo l'art. 19 LPD richiede che informiate sul trattamento. In concreto: la vostra informativa privacy necessita di una sezione newsletter — quale strumento di invio utilizzate, dove fluiscono i dati, per quanto tempo restano memorizzati.

Quando si applica l'eccezione per i clienti esistenti?

Il consenso non è necessario in ogni caso — la LCSl prevede un'eccezione espressa per i clienti esistenti. Chi ottiene dati di contatto in occasione della vendita di merci o prestazioni proprie può inviare pubblicità a questi clienti anche senza consenso, a quattro condizioni:

  • I dati di contatto provengono da un acquisto effettivo, non da una semplice richiesta o da una conversazione in fiera.
  • Avete segnalato la possibilità di rifiuto già al momento della raccolta — per esempio con una frase nel processo d'ordine.
  • La pubblicità riguarda solo merci o prestazioni proprie analoghe. Chi ha venduto cartucce per stampanti può promuovere accessori per stampanti — ma non le assicurazioni di un partner.
  • Ogni messaggio contiene sempre la possibilità di disiscrizione gratuita.

L'eccezione è più ristretta di quanto sembri. Biglietti da visita di una fiera, elenchi di partecipanti a un webinar, richieste tramite modulo di contatto — nulla di tutto ciò è un acquisto e nulla vi rientra. Nel dubbio: ottenete il consenso. È la via più solida e, nei confronti di destinatari all'estero, è comunque l'unica base sostenibile.

Il double opt-in è obbligatorio in Svizzera?

No — il diritto svizzero non conosce un obbligo espresso di double opt-in. La LCSl richiede un consenso, ma non prescrive una procedura specifica per ottenerlo. Chi sostiene che la legge imponga la procedura di conferma è impreciso. Questa onestà fa parte di una consulenza seria.

Ma — e questo «ma» è decisivo: chi si richiama a un consenso deve poterlo dimostrare in caso di controversia. Ed è esattamente qui che fallisce la procedura di iscrizione semplice (single opt-in). Se qualcuno inserisce nel vostro modulo l'indirizzo e-mail di un terzo, il titolare finisce nella lista senza aver fatto nulla — e voi non avete alcuna prova che il consenso provenga da lui. Una voce nel vostro database dimostra soltanto che qualcuno ha digitato quell'indirizzo.

La procedura di double opt-in colma questa lacuna: dopo l'iscrizione, l'indirizzo riceve un'e-mail di conferma e solo il clic sul link di conferma attiva l'abbonamento. Il clic documentato prova che il titolare effettivo della casella ha acconsentito. Per questo il double opt-in è in Svizzera la migliore prassi per la conservazione delle prove — non un obbligo di legge, ma l'unico modo per documentare il consenso in maniera solida.

A ciò si aggiunge lo sguardo oltre confine: in Germania la giurisprudenza ha reso il double opt-in lo standard di fatto. Chi invia nell'area germanofona — e quale lista svizzera non lo fa — non può comunque evitare la procedura.

Cosa vale per i destinatari di newsletter nell'UE?

Non appena indirizzate deliberatamente la vostra newsletter a persone nell'UE, entra in gioco il Regolamento generale sulla protezione dei dati (GDPR) — anche per un'azienda svizzera senza stabilimento nell'UE. Per l'invio di newsletter ciò significa concretamente:

  • Il consenso deve essere libero, informato e inequivocabile (art. 4 n. 11, art. 6 par. 1 lett. a GDPR).
  • L'art. 7 par. 1 GDPR rende esplicito l'onere della prova: il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il consenso. Ciò che in Svizzera è migliore prassi, qui è un obbligo scritto nero su bianco.
  • Il divieto di abbinamento (art. 7 par. 4 GDPR) vieta di subordinare una prestazione contrattuale a un consenso non necessario.
  • La revoca deve essere semplice quanto la concessione (art. 7 par. 3 GDPR).

In pratica, una lista a due velocità con regole diverse per indirizzi svizzeri e UE non conviene. Lavorate fin dall'inizio secondo lo standard GDPR, più severo — così entrambi gli ordinamenti giuridici sono coperti. Cosa significa il regolamento per le aziende svizzere è riassunto nella nostra guida sul GDPR per le aziende svizzere.

Come si implementa correttamente il double opt-in?

Un double opt-in giuridicamente solido si compone di quattro elementi: modulo di iscrizione, e-mail di conferma, registro dei consensi e link di disiscrizione.

1. Il modulo di iscrizione. Nessuna casella preselezionata — un consenso già spuntato non è un consenso. Nessun abbinamento forzato: chi scarica un whitepaper non deve finire automaticamente nella newsletter; la casella newsletter resta facoltativa e intatta. Dite in modo trasparente cosa comporta l'iscrizione: quali contenuti, con quale frequenza approssimativa, con un link all'informativa privacy. E raccogliete solo il necessario — per una newsletter basta l'indirizzo e-mail; nome e azienda sono campi facoltativi.

2. L'e-mail di conferma. Ha esattamente un compito: far confermare l'iscrizione. Un oggetto neutro, una frase di spiegazione, il link di conferma — niente pubblicità, niente offerte, niente immagini di prodotti. Un'e-mail di conferma promozionale a un indirizzo il cui consenso non è ancora accertato è essa stessa pubblicità senza consenso. Chi non clicca non viene contattato — nemmeno con un «promemoria».

3. Il registro dei consensi. Documentate per ogni abbonato: marca temporale dell'iscrizione, marca temporale del clic di conferma, gli indirizzi IP di entrambi i passaggi e il testo del modulo nella versione allora in vigore. I comuni strumenti di invio registrano automaticamente marca temporale e IP — il testo del modulo dovete versionarlo voi stessi. Solo questo registro trasforma la procedura in una prova.

4. Il link di disiscrizione. In ogni singola e-mail, gratuito, senza obbligo di login e senza ostacoli di conferma. La disiscrizione ha effetto immediato — «la cancellazione può richiedere fino a 14 giorni» non è tecnicamente giustificabile da nulla nel 2026. Il link di disiscrizione è inoltre una delle tre condizioni di base della LCSl: se manca, anche l'invio a destinatari che hanno correttamente acconsentito è sleale.

Checklist: impostare il consenso alla newsletter in modo sicuro

La versione breve da spuntare:

  • Modulo di iscrizione senza caselle preselezionate
  • Consenso alla newsletter disaccoppiato da altre prestazioni (nessun abbinamento forzato)
  • Indicazione trasparente di contenuti e frequenza, link all'informativa privacy
  • Solo l'indirizzo e-mail come campo obbligatorio
  • E-mail di conferma neutra, senza pubblicità
  • Invio solo dopo il clic di conferma
  • Registro: marca temporale, indirizzo IP, testo del modulo con versione
  • Link di disiscrizione in ogni e-mail, con effetto immediato
  • Eccezione per clienti esistenti solo per acquisti reali e prodotti propri analoghi
  • Sezione newsletter nell'informativa privacy (strumento, flusso dei dati, durata di conservazione)

Cosa c'entra l'informativa privacy?

La newsletter deve figurare obbligatoriamente nella vostra informativa privacy — il consenso nel modulo non sostituisce l'obbligo di informare secondo la LPD. La sezione indica lo strumento di invio utilizzato (per esempio Brevo o Mailchimp), l'ubicazione dei server con un eventuale trasferimento all'estero, la finalità, la durata di conservazione e il diritto di revoca. Come è strutturata un'informativa completa lo mostra la nostra guida sull'informativa privacy per siti svizzeri.

L'idea di fondo è la stessa del banner cookie: un consenso vale quanto la sua prova. In Aiara questo principio è integrato — i consensi ai cookie dei visitatori del vostro sito vengono registrati in modo a prova di revisione, e il generatore di testi legali crea contestualmente la sezione newsletter della vostra informativa privacy, adattata allo strumento di invio che indicate nel questionario. Così la documentazione resta coerente: una sola configurazione, tutti i consensi dimostrabili.

Domande frequenti

Il double opt-in è obbligatorio per legge in Svizzera?

No, non espressamente. La legge contro la concorrenza sleale richiede un consenso preventivo per la pubblicità di massa via e-mail, ma non prescrive una procedura specifica. Poiché in caso di controversia il mittente deve dimostrare che il consenso esiste, il double opt-in resta comunque lo standard: solo il clic di conferma documentato prova che l'iscrizione proviene davvero dal titolare dell'indirizzo e-mail.

Cosa si rischia inviando newsletter senza consenso?

L'invio di pubblicità di massa senza consenso costituisce concorrenza sleale secondo l'art. 3 cpv. 1 lett. o LCSl. Su querela è punibile secondo l'art. 23 LCSl — con una pena detentiva sino a tre anni o una pena pecuniaria. A ciò si aggiungono le pretese civili delle persone interessate e il danno reputazionale: i reclami per spam peggiorano la recapitabilità di tutti gli invii futuri.

Posso inviare una newsletter ai clienti esistenti senza consenso?

Sì, a quattro condizioni: avete ottenuto i dati di contatto in occasione della vendita di merci o prestazioni proprie, avete segnalato in quel momento la possibilità di rifiuto, pubblicizzate solo prodotti propri analoghi e ogni e-mail contiene una possibilità di disiscrizione semplice e gratuita. Se manca una di queste condizioni, serve il consenso.

Cosa devo registrare per il consenso alla newsletter?

Come minimo: il momento dell'iscrizione, il momento del clic di conferma, gli indirizzi IP di entrambi i passaggi e il testo del modulo di iscrizione nella versione allora in vigore. Solo con questi elementi potrete dimostrare anni dopo chi ha acconsentito a cosa e quando — esattamente ciò che richiede l'onere della prova, sotto il Regolamento generale sulla protezione dei dati persino espressamente.

Il GDPR si applica alla mia newsletter svizzera?

Non appena vi rivolgete deliberatamente a destinatari nell'UE, sì. Si applicano allora i requisiti di consenso degli art. 6 e 7 GDPR: libero, informato, inequivocabile — con l'obbligo esplicito per il titolare del trattamento di dimostrare il consenso. Poiché la maggior parte delle liste di distribuzione svizzere contiene anche indirizzi UE, in pratica la cosa più semplice è lavorare fin dall'inizio secondo lo standard GDPR, più severo.

Pronti per un consenso cookie pulito?

Aiara gestisce banner cookie, informativa privacy e impressum del tuo sito — conforme a LPD e GDPR.

Scopri Aiara