Corte di Giustizia UE: anche i servizi “gratuiti” possono costituire una “vendita” ai sensi della direttiva ePrivacy e rendere lecito il meccanismo di soft spam successivo.

Con la sentenza C-654/23 del 13 novembre 2025, la Corte di giustizia dell’UE ha stabilito un principio destinato ad avere un impatto concreto sulle strategie digitali e di marketing: la creazione di un account utente gratuito può già costituire una “vendita” ai sensi dell’art. 13(2) della direttiva ePrivacy, rendendo legittimo l’invio di newsletter promozionali tramite il meccanismo del soft spam (che nel nostro Codice della privacy è recepito all’articolo 130, comma 4).

La “vendita” esiste anche senza pagamento: basta una remunerazione indiretta. La Corte chiarisce che non serve un corrispettivo economico per configurare la vendita di un servizio. È sufficiente un’utilità economica indiretta: per esempio, un account gratuito che serve da leva per indurre l’utente a sottoscrivere un abbonamento a pagamento o che integra i costi dell’offerta gratuita nel prezzo del prodotto premium.

In questi casi si instaura un vero rapporto contrattuale, basato sull’accettazione delle condizioni d’uso, che soddisfa il requisito della “vendita” previsto dalla direttiva.

Resta invece aperta la questione se ogni forma di registrazione gratuita – anche senza finalità commerciali – possa rientrare in tale nozione. La Corte non esclude interpretazioni future più restrittive o più estese.

La Corte qualifica la newsletter di aggiornamento come marketing diretto, anche se conteneva contenuti informativi e di attualità. Lo scopo reale, osserva il giudice europeo, era quello di riportare l’utente sulla piattaforma e incoraggiarlo alla sottoscrizione di un abbonamento completo dopo l’esaurimento degli articoli gratuiti. La finalità commerciale prevale dunque sulla natura giornalistica della comunicazione.

Il giudizio chiarisce un punto essenziale: quando si applica l’art. 13(2) ePrivacy, non è necessario identificare un’ulteriore base giuridica ai sensi dell’art. 6 GDPR. La direttiva ePrivacy opera infatti come lex specialis, e – grazie all’art. 95 GDPR – prevale sulle disposizioni generali del regolamento.

Pertanto, se sono rispettati i requisiti del soft spam (relazione commerciale preesistente, servizi analoghi, informativa chiara e diritto di opposizione gratuito), l’invio della newsletter è pienamente lecito senza ulteriori adempimenti.

La sentenza smentisce così la prassi, ancora diffusa presso alcune autorità, di richiedere un duplice fondamento giuridico (ePrivacy + GDPR). La causa nasceva difatti da una sanzione comminata dall’autorità privacy rumena per mancanza di consenso GDPR, ma la Corte ha escluso tale obbligo, confermando l’autonomia dell’art. 13(2) ePrivacy.

Un passaggio significativo riguarda il potenziale impatto anche sui casi in cui il consenso è richiesto dall’art. 13(1) ePrivacy: se la Corte dovesse applicare lo stesso principio di specialità, il consenso GDPR – con i suoi requisiti più stringenti – potrebbe non essere necessario.

Non si tratta ancora di un approdo definitivo, ma la sentenza apre una possibile evoluzione interpretativa.