Cosa dice la legge italiana sulla pubblicità Facebook con link a WhatsApp

Le campagne Click-to-WhatsApp sono regolate da tre livelli di norme. Le politiche pubblicitarie di Meta. I termini di servizio di WhatsApp Business. Il GDPR e la normativa italiana sulla privacy, con la supervisione del Garante per la protezione dei dati personali.

Nessuno dei tre livelli è particolarmente complicato se si conosce il confine esatto tra quello che si può fare e quello che non si può fare. La maggior parte delle violazioni non nasce da malafede, ma da un equivoco specifico: credere che chi ti scrive su WhatsApp da un annuncio abbia dato il consenso a ricevere comunicazioni di marketing future.

Non è così. E questa distinzione è quella che il Garante guarda.

Le politiche pubblicitarie di Meta

Meta ha regole specifiche sugli annunci che usano WhatsApp come destinazione. Le più rilevanti per chi fa campagne in Italia:

Settori vietati o soggetti a restrizioni speciali. Farmaci, prodotti finanziari, criptovalute, gioco d'azzardo, prodotti per adulti, servizi legali, e altri categorie definite nelle «Politiche pubblicitarie di Meta» richiedono autorizzazioni specifiche o sono vietati. Queste restrizioni si applicano a tutti gli annunci Meta, non solo al Click-to-WhatsApp.

Divieto di raccogliere dati senza consenso. Meta vieta esplicitamente di usare gli annunci per raccogliere dati personali senza il consenso adeguato dell'utente. Questo include i numeri di telefono, gli indirizzi email, e qualsiasi altra informazione personale.

Annunci ingannevoli. Meta rimuove gli annunci che promettono qualcosa che l'utente non troverà dall'altra parte. Se l'annuncio dice «Risposta in 5 minuti» e poi le chat restano senza risposta per giorni, l'annuncio può essere segnalato e rimosso, e l'account può ricevere penalità.

Limite alle richieste di informazioni sensibili. Non si possono richiedere in chat informazioni che Meta classifica come «sensibili» (condizioni di salute, opinioni politiche, dati biometrici, orientamento sessuale). Questo non è solo una questione di policy Meta: è anche un vincolo GDPR.

I termini di servizio di WhatsApp Business

WhatsApp Business ha termini di servizio separati da WhatsApp normale. I punti rilevanti per chi usa il canale per ricevere lead da annunci:

Uso commerciale consentito. WhatsApp Business permette esplicitamente di usare il servizio per comunicare con i clienti, rispondere a domande, inviare aggiornamenti su ordini, e gestire relazioni commerciali.

Divieto di spam. WhatsApp vieta «l'invio di messaggi indesiderati o non sollecitati in massa». La distinzione tra comunicazione commerciale legittima e spam è la presenza di un rapporto preesistente e del consenso.

Messaggi di marketing iniziati dal business. Per inviare il primo messaggio a un utente (non in risposta a un suo messaggio), su WhatsApp Business API serve usare i «modelli di messaggio» approvati da Meta. I modelli devono essere approvati prima dell'invio e devono rispettare le linee guida di contenuto di WhatsApp.

Broadcast a contatti non salvati. WhatsApp Business permette le liste broadcast, ma i messaggi arrivano solo ai contatti che hanno il tuo numero salvato in rubrica. Non è possibile inviare messaggi broadcast a numeri raccolti tramite form o annunci senza che l'utente abbia aggiunto il numero alla propria rubrica, il che richiede un atto volontario.

Il GDPR e cosa si applica in Italia

Il GDPR (Regolamento europeo 2016/679) si applica a qualsiasi trattamento di dati personali di persone residenti nell'Unione Europea. Il numero di telefono è un dato personale. Una conversazione WhatsApp che contiene nome, problema, indirizzo, o altri dati personali è un trattamento di dati personali.

I principi del GDPR che si applicano direttamente alle campagne Click-to-WhatsApp:

Liceità del trattamento. Per usare i dati di qualcuno, ci vuole una ragione legale valida. È come dover avere un titolo per entrare in una proprietà privata: l'invito esplicito del proprietario (consenso) oppure un motivo legittimo riconosciuto dalla legge. Per le comunicazioni di marketing, la ragione più comune è il consenso esplicito. Il legittimo interesse esiste come alternativa ma ha limiti stretti e va documentato con una valutazione scritta. Il fatto che l'utente abbia scritto su WhatsApp da un annuncio è una ragione sufficiente per rispondere a quella conversazione specifica. Non è sufficiente per aggiungerlo a una lista di marketing, contattarlo per altre offerte, o passare il suo numero a terzi.

Informativa privacy. L'utente ha diritto di sapere come vengono trattati i suoi dati. Prima di raccogliere dati tramite chat (o tramite form collegato a WhatsApp), devi fornire un'informativa chiara: chi sei, quali dati raccogli, come li usi, per quanto tempo li conservi, a chi li comunichi. Questa informativa va inserita nell'annuncio, nella landing page, o nel messaggio di benvenuto della chat.

Diritto alla cancellazione. L'utente può chiederti di cancellare i suoi dati. Se raccogli numeri di telefono e dati di conversazione in un CRM, devi essere in grado di cancellarli su richiesta.

Trasferimento di dati extra-UE. I dati delle conversazioni WhatsApp vengono processati da Meta su server che possono essere fuori dall'UE. Meta ha implementato misure di conformità per questo, ma chi usa la WhatsApp Business API tramite piattaforme terze deve verificare dove queste piattaforme conservano i dati.

Quanto è realistico preoccuparsene in pratica

La risposta onesta dipende dalla dimensione del cliente. Per le PMI e i business locali con volumi di lead contenuti, il GDPR su WhatsApp è una questione che nella pratica viene trascurata, e nel 99% dei casi non succede nulla. Le accortezze di base (CRM in ordine, nessuna fuga di dati, nessuna lista acquistata) coprono già la maggior parte dei rischi reali a quei volumi.

Per i clienti enterprise o per chi lavora con dati sensibili (salute, finanza, dati di minori), il quadro cambia. Lì la privacy non è un tema secondario: è parte della gestione del rischio aziendale, e ignorarla è una scelta con conseguenze concrete.

Per la maggior parte di chi legge questo articolo, il consiglio pratico è: tieni le basi in ordine, non costruire database di numeri senza consenso documentato, e non preoccuparti troppo del resto finché i volumi sono limitati.

Cosa dice il Garante italiano

Il Garante per la protezione dei dati personali ha trattato in vari provvedimenti la questione del marketing via WhatsApp. Il principio ricorrente è che WhatsApp, pur essendo un canale informale, non sottrae il trattamento dei dati alle regole del GDPR.

Nei casi di rilievo (spesso segnalati da consumatori che ricevevano messaggi di marketing non richiesti su WhatsApp), il Garante ha ribadito che:

• La mera presenza del numero di telefono in una lista acquistata o in un database non costituisce consenso al marketing via WhatsApp
• Il consenso deve essere specifico per WhatsApp, non generico al «trattamento dei dati ai fini di marketing»
• Le liste broadcast su WhatsApp inviate a persone che non hanno esplicitamente acconsentito a ricevere messaggi commerciali via WhatsApp costituiscono una violazione

Le regole pratiche da rispettare

Rispondere alla conversazione è sempre legittimo. Chi ti scrive da un annuncio ha avviato una conversazione. Rispondere, qualificare, proporre e vendere all'interno di quella conversazione è legale e non richiede consenso aggiuntivo. La conversazione è il contesto.

Inviare follow-up a chi non ha risposto richiede consenso esplicito. Se qualcuno ha aperto la chat ma non ha risposto, o ha risposto una volta e poi si è fermato, un tuo messaggio successivo non richiesto è marketing non sollecitato. Serve un consenso documentato per farlo.

Aggiungere a liste broadcast richiede consenso esplicito a WhatsApp. Non basta un consenso generico al marketing. Deve essere specifico per WhatsApp come canale.

La privacy policy deve menzionare WhatsApp. Se raccogli dati via chat WhatsApp, l'informativa privacy del tuo sito e/o dell'annuncio deve indicarlo.

Conservazione dei dati. Le conversazioni WhatsApp che contengono dati personali non possono essere conservate indefinitamente. Definisci un periodo di conservazione (es. 24 mesi dalla fine della relazione commerciale) e documentalo.

Leggi anche: Come usare WhatsApp Business per rispondere ai clienti da Facebook Ads per la gestione pratica dei contatti e delle liste.

Domande frequenti

Chi mi scrive su WhatsApp da un annuncio ha dato il consenso al marketing? No. Ha avviato una conversazione specifica, e puoi rispondere, qualificare e vendere all'interno di quella conversazione senza problemi. Ma aggiungere quel numero a una lista broadcast o contattarlo per offerte diverse richiede un consenso esplicito e specifico per WhatsApp come canale. Questa è la distinzione che il Garante controlla.

Serve mettere la privacy policy nell'annuncio o basta sul sito? Se raccogli dati personali in chat (nome, email, telefono aggiuntivo), l'informativa deve essere accessibile prima o durante la raccolta. Il modo più pratico è inserire un link alla privacy policy nel messaggio di benvenuto del bot o nel testo dell'annuncio. Non serve che l'utente la firmi, ma deve poterla leggere.

Posso comprare liste di numeri e mandare messaggi broadcast su WhatsApp? No. Il Garante ha chiarito in più provvedimenti che la sola presenza di un numero in un database non costituisce consenso al marketing via WhatsApp. Le liste broadcast funzionano solo verso contatti che hanno il tuo numero salvato in rubrica e che hanno esplicitamente acconsentito a ricevere messaggi commerciali su WhatsApp.

Quanto è realistico il rischio di sanzioni per una PMI italiana? Per volumi contenuti e con le basi in ordine (nessun database di numeri senza consenso, nessuna lista acquistata, privacy policy aggiornata), il rischio concreto è basso. Il Garante interviene su segnalazioni di utenti che ricevono messaggi non richiesti in massa. Se non fai spam, difficilmente finisci nel mirino.

---

Questo articolo fa parte del cluster su WhatsApp e Facebook Ads: Come integrare WhatsApp con Facebook Ads - guida pratica per aziende italiane