Ciò che hai il DIRITTO di vendere (GDPR e monetizzazione)
Personale o no? Anonimo o pseudonimo? Quale base legale per cedere? La checklist in 5 domande per monetizzare i tuoi dati senza rischi GDPR.
Ciò che hai il diritto di vendere
GDPR e monetizzazione dei dati
10 slide · scorri o usa le frecceAvviso
Questo non è un consiglio legale
Questa guida semplifica regole stabilite. Per il tuo caso, consulta il tuo DPO, la CNIL o un avvocato.
Il punto di partenza
Personale, o no?
Tutto parte da qui. Un dato che identifica una persona (direttamente o meno) è «personale» → GDPR applicabile.
┌ GDPR, art. 4(1)
La distinzione chiave
Anonimo ≠ pseudonimo
Anonimo (irreversibile) = fuori dal GDPR (considerando 26). Pseudonimo (reversibile) = rimane personale. La CNIL richiede 3 test: individualizzazione, correlazione, inferenza.
┌ GDPR, considerando 26 + art. 4(5) · CNIL
La condizione
Una base legale per cedere
Consenso, o interesse legittimo (con test di bilanciamento). «Vendere sotto interesse legittimo» NON è una regola generale.
┌ GDPR, art. 6(1)
La trappola
Rivendere = nuova finalità
Una rivendita è una finalità diversa dalla raccolta → in pratica, nuovo consenso. Le CGU accettate «in blocco» non sono sufficienti.
┌ GDPR, art. 5(1)(b) + 6(4) · CNIL
Il caso B2B
B2B non è fuori dal GDPR
«contatto@società» = fuori dal GDPR. Ma «nome.cognome@» o il nome di un dipendente = dato personale. Autoimprenditore: spesso personale.
┌ GDPR, considerando 14 · CGUE C-710/23
La checklist
Posso vendere? 5 domande
- 1. Il dato è personale?
- 2. Ho una base legale per cederlo?
- 3. È compatibile con la finalità iniziale?
- 4. Le persone sono informate + possono opporsi?
- 5. Gli oppositori sono esclusi (con prova)?
La prova (sanzione)
Non è teorico
Il 15 maggio 2025, la CNIL ha sanzionato Solocal Marketing Services (900 000 €) e Caloga (80 000 €) per uso/rivendita di dati di prospezione senza base legale valida.
┌ CNIL, deliberazioni del 15/05/2025
Da ricordare
La conformità è valore
Un dato conforme si vende; un dato non conforme viene sanzionato.
- Senza base legale, il dato non vale nulla (ed espone)
- Privilegiare l'aggregato / l'anonimizzato
- Documentare il consenso e l'opposizione
Domande sulla monetizzazione o sull'acquisto di dati?
Parla con un esperto — senza impegno.
La guida completa
Prima di monetizzare dati, una domanda prevale su tutte le altre: hai il diritto di venderli? (Questa guida semplifica regole stabilite e non costituisce un consiglio legale: per il tuo caso specifico, consulta il tuo DPO, la CNIL o un avvocato.)
Tutto inizia con una distinzione: il dato è personale? Un dato che permette di identificare una persona, direttamente o indirettamente, è personale e rientra nel GDPR (art. 4(1)). Segue una sfumatura decisiva: un dato anonimo — cioè reso irreversibilmente non identificabile — esce dal GDPR (considerando 26), mentre un dato solo pseudonimizzato rimane personale (art. 4(5)). La CNIL impone tre test per parlare di anonimizzazione: impossibilità di individualizzare, correlare e inferire.
Per cedere un dato personale, è necessaria una base legale (art. 6(1)): il consenso, o l'interesse legittimo corredato da un test di bilanciamento. Attenzione, «vendere sotto interesse legittimo» non è una regola generale — è caso per caso. Altra trappola: rivendere un dato costituisce una nuova finalità rispetto alla raccolta (art. 5(1)(b) e 6(4)); in pratica, ciò richiede un nuovo consenso, e le CGU accettate «in blocco» non valgono consenso (CNIL). Sul fronte della prospezione, il canale elettronico richiede un consenso preventivo, mentre la via postale o telefonica può basarsi sull'interesse legittimo con diritto di opposizione.
Il B2B non sfugge al GDPR: un indirizzo generico «contatto@società» è fuori campo (considerando 14), ma un'email nominativa «nome.cognome@» o il nome di un dipendente rimangono dati personali (CGUE, C-710/23); per un autoimprenditore, i «dati dell'azienda» identificano spesso la persona. Da qui una checklist in cinque domande: il dato è personale? Ho una base legale per cederlo? È compatibile con la finalità iniziale? Le persone sono informate e possono opporsi? Gli oppositori sono esclusi, con prova a sostegno?
Non è teorico: il 15 maggio 2025, la CNIL ha sanzionato Solocal Marketing Services (900 000 €) e Caloga (80 000 €) per uso e rivendita di dati di prospezione senza base legale valida. La lezione: un dato conforme si vende, un dato non conforme viene sanzionato. Privilegiare l'aggregato e l'anonimizzato, e far qualificare i propri dati prima di metterli sul mercato.
Fonti
- RGPD — Règlement (UE) 2016/679 (EUR-Lex)
- CNIL — Anonymisation, bases légales, vente de fichiers
- CNIL — Sanctions Solocal / Caloga (15/05/2025)
- CJUE — affaire C-710/23
Contenuto didattico — non è una consulenza legale o finanziaria. Ogni cifra riporta la fonte e l'anno.