Per i venditori3 min di lettura

Ciò che hai il DIRITTO di vendere (GDPR e monetizzazione)

Personale o no? Anonimo o pseudonimo? Quale base legale per cedere? La checklist in 5 domande per monetizzare i tuoi dati senza rischi GDPR.

3 min di lettura

Ciò che hai il diritto di vendere

GDPR e monetizzazione dei dati

10 slide · scorri o usa le frecce
d-nvest.com1/10

Avviso

Questo non è un consiglio legale

Questa guida semplifica regole stabilite. Per il tuo caso, consulta il tuo DPO, la CNIL o un avvocato.

d-nvest.com2/10

Il punto di partenza

Personale, o no?

Tutto parte da qui. Un dato che identifica una persona (direttamente o meno) è «personale» → GDPR applicabile.

GDPR, art. 4(1)

d-nvest.com3/10

La distinzione chiave

Anonimo ≠ pseudonimo

Anonimo (irreversibile) = fuori dal GDPR (considerando 26). Pseudonimo (reversibile) = rimane personale. La CNIL richiede 3 test: individualizzazione, correlazione, inferenza.

GDPR, considerando 26 + art. 4(5) · CNIL

d-nvest.com4/10

La condizione

Una base legale per cedere

Consenso, o interesse legittimo (con test di bilanciamento). «Vendere sotto interesse legittimo» NON è una regola generale.

GDPR, art. 6(1)

d-nvest.com5/10

La trappola

Rivendere = nuova finalità

Una rivendita è una finalità diversa dalla raccolta → in pratica, nuovo consenso. Le CGU accettate «in blocco» non sono sufficienti.

GDPR, art. 5(1)(b) + 6(4) · CNIL

d-nvest.com6/10

Il caso B2B

B2B non è fuori dal GDPR

«contatto@società» = fuori dal GDPR. Ma «nome.cognome@» o il nome di un dipendente = dato personale. Autoimprenditore: spesso personale.

GDPR, considerando 14 · CGUE C-710/23

d-nvest.com7/10

La checklist

Posso vendere? 5 domande

  • 1. Il dato è personale?
  • 2. Ho una base legale per cederlo?
  • 3. È compatibile con la finalità iniziale?
  • 4. Le persone sono informate + possono opporsi?
  • 5. Gli oppositori sono esclusi (con prova)?
d-nvest.com8/10

La prova (sanzione)

Non è teorico

Il 15 maggio 2025, la CNIL ha sanzionato Solocal Marketing Services (900 000 €) e Caloga (80 000 €) per uso/rivendita di dati di prospezione senza base legale valida.

CNIL, deliberazioni del 15/05/2025

d-nvest.com9/10

Da ricordare

La conformità è valore

Un dato conforme si vende; un dato non conforme viene sanzionato.

  • Senza base legale, il dato non vale nulla (ed espone)
  • Privilegiare l'aggregato / l'anonimizzato
  • Documentare il consenso e l'opposizione
d-nvest.com10/10

Domande sulla monetizzazione o sull'acquisto di dati?

Parla con un esperto — senza impegno.

Prenota una chiamata gratuita di 30 min

La guida completa

Prima di monetizzare dati, una domanda prevale su tutte le altre: hai il diritto di venderli? (Questa guida semplifica regole stabilite e non costituisce un consiglio legale: per il tuo caso specifico, consulta il tuo DPO, la CNIL o un avvocato.)

Tutto inizia con una distinzione: il dato è personale? Un dato che permette di identificare una persona, direttamente o indirettamente, è personale e rientra nel GDPR (art. 4(1)). Segue una sfumatura decisiva: un dato anonimo — cioè reso irreversibilmente non identificabile — esce dal GDPR (considerando 26), mentre un dato solo pseudonimizzato rimane personale (art. 4(5)). La CNIL impone tre test per parlare di anonimizzazione: impossibilità di individualizzare, correlare e inferire.

Per cedere un dato personale, è necessaria una base legale (art. 6(1)): il consenso, o l'interesse legittimo corredato da un test di bilanciamento. Attenzione, «vendere sotto interesse legittimo» non è una regola generale — è caso per caso. Altra trappola: rivendere un dato costituisce una nuova finalità rispetto alla raccolta (art. 5(1)(b) e 6(4)); in pratica, ciò richiede un nuovo consenso, e le CGU accettate «in blocco» non valgono consenso (CNIL). Sul fronte della prospezione, il canale elettronico richiede un consenso preventivo, mentre la via postale o telefonica può basarsi sull'interesse legittimo con diritto di opposizione.

Il B2B non sfugge al GDPR: un indirizzo generico «contatto@società» è fuori campo (considerando 14), ma un'email nominativa «nome.cognome@» o il nome di un dipendente rimangono dati personali (CGUE, C-710/23); per un autoimprenditore, i «dati dell'azienda» identificano spesso la persona. Da qui una checklist in cinque domande: il dato è personale? Ho una base legale per cederlo? È compatibile con la finalità iniziale? Le persone sono informate e possono opporsi? Gli oppositori sono esclusi, con prova a sostegno?

Non è teorico: il 15 maggio 2025, la CNIL ha sanzionato Solocal Marketing Services (900 000 €) e Caloga (80 000 €) per uso e rivendita di dati di prospezione senza base legale valida. La lezione: un dato conforme si vende, un dato non conforme viene sanzionato. Privilegiare l'aggregato e l'anonimizzato, e far qualificare i propri dati prima di metterli sul mercato.

Fonti

Contenuto didattico — non è una consulenza legale o finanziaria. Ogni cifra riporta la fonte e l'anno.

Ciò che hai il DIRITTO di vendere (GDPR e monetizzazione) — d-nvest | d-nvest