Posso Contattare Vecchi Clienti? Riattivare Senza Multe GDPR
Lettura 7 min · AstraLoop Studio
Hai un foglio Excel o un CRM pieno di clienti che hanno comprato una volta e poi sono spariti. E ti chiedi: posso contattarli senza finire nei guai col GDPR? È la domanda che frena decine di aziende dal fare la cosa più redditizia che potrebbero fare, cioè riattivare persone che ti conoscono già.
Il problema è che chi risponde a questa domanda di solito è un avvocato, e ti risponde in astratto: dipende, valuta caso per caso, serve il consenso. Tutto vero, ma inutile se domani devi decidere se mandare o no quella campagna. Qui facciamo il contrario. Una guida operativa di marketing alla compliance, con le regole concrete che ti servono per premere invio senza tremare.
Ti anticipo la risposta: nella maggior parte dei casi puoi ricontattare i tuoi vecchi clienti, ma solo se rispetti alcune condizioni su tempi, canali e tipo di offerta. Vediamole una per una.

La distinzione che cambia tutto: cliente contro contatto freddo
Prima regola, quella che quasi nessuno spiega bene. Il GDPR non tratta allo stesso modo chi ha comprato da te e chi ha solo lasciato un'email in un form. Sono due mondi diversi.
- Contatto mai cliente (ha scaricato un ebook, si è iscritto a una newsletter, ha compilato un modulo): per fargli marketing ti serve un consenso esplicito, libero, informato e documentabile. Se non ce l'hai, o è scaduto o revocato, non puoi scrivergli offerte commerciali.
- Cliente che ha già acquistato: qui entra in gioco il cosiddetto soft opt-in (o soft-spam), previsto dall'art. 130 comma 4 del Codice Privacy italiano (D.lgs. 196/2003, aggiornato al GDPR). È l'eccezione che ti permette, a certe condizioni, di fare email marketing anche senza un consenso pubblicitario separato.
Questa differenza è il cuore di tutto. Un vecchio cliente non è un contatto freddo qualsiasi: è qualcuno con cui hai già avuto un rapporto commerciale, e la legge lo riconosce. Se vuoi approfondire perché i clienti smettono di comprare e come leggerne i segnali, abbiamo scritto una guida dedicata su perché i clienti non comprano più.
Il soft opt-in: le 4 condizioni per riattivare via email
Il soft opt-in è la tua arma legale principale. Ti consente di mandare email promozionali a chi ha già acquistato, senza raccogliere un nuovo consenso. Ma tutte e quattro queste condizioni devono valere insieme:
- Deve esserci stato un acquisto reale. Non un preventivo, non un carrello abbandonato: una vendita conclusa. E l'email dev'essere stata raccolta nel contesto di quella vendita.
- Devi promuovere beni o servizi analoghi a quelli acquistati. Se ha comprato scarpe, puoi proporgli scarpe o accessori affini. Non puoi usare quell'email per proporgli un mutuo o un corso di trading. Questo è il vincolo più sottovalutato.
- Al momento della raccolta il cliente dev'essere stato informato che l'email poteva essere usata per marketing di prodotti simili, con la possibilità di opporsi.
- Ogni comunicazione deve contenere un modo semplice per disiscriversi (unsubscribe), gratuito e presente in ogni messaggio. Se non lo metti, decade tutto.
Nota importante: il soft opt-in vale per l'email. Per SMS, telefonate automatizzate e messaggi WhatsApp promozionali il regime è più rigido e in genere richiede un consenso specifico. Le chiamate commerciali con operatore umano seguono invece le regole del telemarketing, Registro Pubblico delle Opposizioni incluso. Non dare per scontato che ciò che vale per l'email valga per tutti i canali: è un errore che costa caro.
La finestra dei 24 mesi: quanto tempo hai per riattivare
Ecco la domanda pratica che tutti si fanno: fino a quando posso ricontattare un cliente che non compra da tempo?
Il GDPR impone il principio di limitazione della conservazione (art. 5): i dati vanno tenuti solo per il tempo necessario alle finalità per cui sono stati raccolti. Il Garante Privacy italiano, in più provvedimenti, ha indicato come ragionevole per finalità di marketing una conservazione entro i 24 mesi dall'ultimo contatto utile (con 12 mesi come riferimento per la profilazione). Non è un numero scolpito nella pietra per ogni settore, ma è il riferimento operativo che ti conviene adottare.
Tradotto in pratica:
| Tempo dall'ultimo acquisto o contatto | Cosa puoi fare (indicativo) |
|---|---|
| 0-24 mesi | Riattivazione via email in soft opt-in su prodotti analoghi, in genere sostenibile |
| Oltre 24 mesi | Zona grigia: il dato andrebbe cancellato o anonimizzato. Riattivare qui è più rischioso |
| Consenso esplicito ancora valido | Puoi contattare finché il consenso non è revocato e i dati sono conservati coerentemente |
La conseguenza strategica è netta: i database dormono e scadono. Se hai 5.000 contatti fermi da 20 mesi, la finestra per farci qualcosa di legalmente solido si sta chiudendo. Ogni mese che passa senza una campagna di riattivazione è valore che si trasforma in dato da cancellare. Per approfondire puoi leggere la nostra guida su cosa sono i clienti dormienti e su come si definisce la finestra di riattivazione nel B2B.

EDPB 1/2024: cosa dicono le nuove linee guida europee
Nel 2024 l'EDPB (European Data Protection Board), l'organismo che coordina le autorità privacy europee, ha adottato le Linee guida 1/2024 sul legittimo interesse come base giuridica del trattamento (art. 6, par. 1, lett. f del GDPR). È un documento rilevante per chi fa riattivazione, perché il legittimo interesse è la seconda via, oltre al consenso e al soft opt-in, per giustificare un contatto marketing.
I punti che ti interessano, in sintesi non legale:
- Il direct marketing può basarsi sul legittimo interesse, come già riconosceva il considerando 47 del GDPR. Ma non è un lasciapassare automatico.
- Serve superare il test a tre step: l'interesse è legittimo e reale? Il trattamento è necessario per quell'interesse? L'interesse dell'azienda non è sopraffatto dai diritti e dalle aspettative ragionevoli del cliente?
- Le aspettative ragionevoli dell'interessato sono decisive. Un cliente che ha comprato da te 6 mesi fa si aspetta di risentirti. Uno che non sa chi sei, no. Il rapporto pregresso gioca a tuo favore.
- Resta sempre il diritto di opposizione (art. 21): per il marketing diretto, se il cliente si oppone, devi smettere. Punto.
La lettura pratica dell'EDPB 1/2024 per chi riattiva è questa: ricontattare un cliente recente e coerente col suo storico di acquisto è difendibile; bombardare un contatto vecchio, mai cliente, con offerte fuori tema, non lo è. Documenta il tuo test di bilanciamento (basta un documento interno) e tieni traccia del perché quel contatto rientra nelle sue aspettative ragionevoli.
La regola d'oro operativa
Se dovessi ridurre tutto a una frase da attaccare al monitor: riattiva chi ha già comprato, entro 24 mesi, con offerte coerenti col suo acquisto, dando sempre un modo per dire basta. Se ti muovi dentro questi paletti, il rischio sanzione è molto basso e stai facendo marketing intelligente, non spam.
Hai un database di vecchi clienti fermo e non sai da dove partire senza rischiare? Richiedi un'analisi gratuita: valutiamo insieme quali contatti puoi riattivare in sicurezza e con quale metodo.
Deliverability: la parte che i legali non ti dicono
Qui arriva il pezzo che manca in tutte le guide GDPR: la compliance legale non basta se poi bruci il dominio. Riattivare male un database vecchio non ti espone solo a multe, ma a un rischio tecnico altrettanto costoso, cioè finire in spam e compromettere la reputazione del tuo dominio di invio.
Dal 2024 Google e Yahoo hanno imposto requisiti stringenti a chi invia email in volume:
- Autenticazione SPF, DKIM e DMARC obbligatoria. Se non hai configurato questi record, i tuoi invii di massa vengono penalizzati a prescindere dal contenuto. Ne parliamo nel dettaglio nella guida su SPF, DKIM e DMARC.
- Spam rate sotto lo 0,3%. Se troppi destinatari ti segnalano come spam, e su un database dormiente succede facilmente, il tuo dominio viene declassato.
- One-click unsubscribe: il link di disiscrizione deve funzionare in un solo clic. Curiosamente, questo requisito tecnico coincide con l'obbligo GDPR del soft opt-in. Compliance e deliverability qui vanno a braccetto.
La conseguenza operativa: non mandare tutto il database in un colpo solo. Un invio di massa a 5.000 contatti freddi, con la metà delle email ormai morte o convertite in trappole spam, distrugge la reputazione del dominio in una mattina. Segmenta, riscalda gradualmente, pulisci la lista prima. Se vuoi capire meglio il meccanismo dei filtri, leggi perché le email finiscono in spam.
Il metodo: come riattivare in pratica senza rischi
Mettiamo insieme legge e tecnica in una sequenza operativa replicabile:
- Segmenta il database. Separa i clienti che hanno acquistato (soft opt-in valido) da chi ha solo lasciato un contatto. Filtra per data: dentro i 24 mesi in un gruppo, oltre in un altro. Un modello utile è l'analisi RFM, che classifica i contatti per recency, frequency e monetary.
- Pulisci la lista. Rimuovi email non valide, hard bounce e chi si era già opposto. Meglio 800 contatti puliti che 2.000 tossici.
- Verifica il canale giusto per ciascun gruppo. Email in soft opt-in per i clienti; per SMS e WhatsApp promozionali serve un consenso specifico, non improvvisare.
- Scrivi una sequenza win-back, non un singolo invio. Una serie di 2-3 email tipo "Ci sei ancora?" con un incentivo coerente converte molto più di un broadcast singolo. Trovi esempi pratici nella nostra sequenza win-back con esempi.
- Documenta tutto. Data di raccolta, base giuridica, test di bilanciamento se usi il legittimo interesse. In caso di controllo, la carta ti salva.
Questo approccio non è solo difensivo: è la strategia più redditizia che hai. Riattivare un cliente dormiente costa 5-7 volte meno che acquisirne uno nuovo, perché salti tutto il costo pubblicitario di farti conoscere. Abbiamo messo i numeri neri su bianco nell'articolo sul costo di riattivazione contro acquisizione. E l'intero metodo, dai fondamentali ai canali, è raccolto nella guida completa alla riattivazione dei clienti dormienti.
Errori che ti espongono davvero alle sanzioni
Per chiudere, la lista nera. Questi sono i comportamenti che trasformano una campagna di riattivazione in un problema:
- Comprare o affittare liste di contatti e trattarli come "vecchi clienti". Non lo sono, non hai base giuridica, è il modo più veloce per una sanzione.
- Offrire prodotti fuori tema rispetto all'acquisto originale, facendo saltare il soft opt-in.
- Ignorare le disiscrizioni o renderle difficili. Il diritto di opposizione è sacro.
- Riattivare dati vecchi di anni che avresti dovuto cancellare, ignorando la limitazione della conservazione.
- Mancata informativa al momento della raccolta originaria. Se non hai mai detto ai clienti come avresti usato i loro dati, parti già zoppo.
Nota di metodo: questo articolo ha taglio informativo e non sostituisce un parere legale sulla tua situazione specifica. Per casi complessi (in particolare B2C ad alto volume o dati particolari) verifica con un consulente e con le fonti ufficiali: Garante per la protezione dei dati personali, testo del GDPR (Regolamento UE 2016/679), Codice Privacy (D.lgs. 196/2003) e Linee guida EDPB 1/2024. Ma per il 90% delle riattivazioni ordinarie, i paletti che hai letto qui ti mettono al sicuro e ti fanno partire.
Domande frequenti
Posso contattare vecchi clienti senza il loro consenso esplicito?
Spesso sì, se hanno già acquistato da te. Il soft opt-in (art. 130 Codice Privacy) ti permette di mandare email promozionali su prodotti analoghi a quelli comprati, a patto che al momento della raccolta il cliente fosse informato e potesse opporsi, e che ogni email contenga un link di disiscrizione. Per chi non ha mai comprato serve invece un consenso esplicito.
Per quanto tempo posso conservare e ricontattare i dati di un cliente?
Il Garante Privacy indica come riferimento ragionevole 24 mesi dall'ultimo contatto utile per finalità di marketing (12 mesi per la profilazione). Oltre questa finestra il dato andrebbe cancellato o anonimizzato per il principio di limitazione della conservazione. Riattivare contatti più vecchi è quindi più rischioso.
Cosa dicono le linee guida EDPB 1/2024 sulla riattivazione?
Le Linee guida EDPB 1/2024 chiariscono quando il legittimo interesse può fondare un trattamento, incluso il direct marketing. Serve superare un test a tre step: interesse legittimo, necessità e bilanciamento coi diritti del cliente. Le aspettative ragionevoli dell'interessato sono decisive: un cliente recente si aspetta di risentirti, un contatto vecchio e mai cliente no.
Il soft opt-in vale anche per SMS e WhatsApp?
No. Il soft opt-in si applica principalmente all'email. Per SMS, chiamate automatizzate e messaggi WhatsApp promozionali il regime è più rigido e in genere richiede un consenso specifico. Le chiamate commerciali con operatore seguono le regole del telemarketing e del Registro Pubblico delle Opposizioni.
Rischio di finire in spam se riattivo un database vecchio?
Sì, ed è un rischio tecnico spesso ignorato. Un invio di massa a contatti dormienti genera segnalazioni spam e bounce che declassano il tuo dominio. Dal 2024 servono SPF, DKIM e DMARC configurati, spam rate sotto lo 0,3% e one-click unsubscribe. Meglio segmentare, pulire la lista e riscaldare gradualmente.
Riattivare vecchi clienti conviene davvero o è solo rischio?
Conviene molto. Riattivare un cliente dormiente costa circa 5-7 volte meno che acquisirne uno nuovo, perché eviti i costi pubblicitari per farti conoscere. Con i paletti giusti, cioè cliente che ha già comprato, entro 24 mesi, offerta coerente e unsubscribe sempre presente, il rischio legale è basso e il ritorno è tra i più alti del marketing.
Vuoi trasformare il tuo archivio di clienti dormienti in fatturato, restando in regola? Parlane con noi: costruiamo una campagna di riattivazione compliant e su misura per la tua attività.