B2B cold email Italia: la guida completa GDPR + Garante +...

TL;DR

La cold email B2B in Italia in tre frasi

In Italia il cold email B2B è legale sotto la base del legittimo interesse (GDPR Art. 6 lett. f), a sei condizioni: mittente identificabile, finalità documentata in LIA, opt-out funzionante, solo dati professionali pubblici, informativa entro 30 giorni, nessun dato sensibile. Il Garante per la protezione dei dati personali ha sanzionato Enel Energia per 26,5M nel 2022, Foodinho 2,6M nel 2021, Vodafone Italia 12,2M nel 2020 e TIM 27,8M: la conformità documentata non è opzionale. La via più sicura per scalare resta il workflow multicanale (LinkedIn-first o telefono-first per i prospect freddi, email solo dopo opt-in implicito o esplicito). [CNIL]

Tool	Email	LinkedIn	Chiamate	AI	Hosting UE	Prova	Da €/mese
Overloop	✓	✓	✓	✓	✓	✓	€69
Cognism	✓	✗	✗	✓	✓	✓	€1000
Lemlist	✓	✓	✗	✓	✓	✓	€59
Woodpecker	✓	✗	✗	✓	✓	✓	€29
Snov.io	✓	✓	✗	✓	✓	✓	€30
Hunter.io	✓	✗	✗	✗	✓	✓	€49
Apollo	✓	✗	✓	✓	✗	✓	€49
Smartlead	✓	✗	✗	✓	✗	✓	€39

Calculate your savings

Compare real monthly cost across the top sales tools, sliders move, numbers update live.

Team size5

Sequences / BDR / month500

Email LinkedIn Voice

💰 Overloop saves you €0 / month vs the most expensive option

Annual savings: €0, Overloop annualised: €0

Start free with Overloop

Pricing checked Q2 2026 against vendor sites. Apollo includes credit overrun above 500 sequences/mo (€0.12/seq). Salesloft / Outreach require 5+ seat minimums. Overloop is €69/user flat with all channels included and no credit overruns.

Tool

Price/seat/mo

Overloop

€39

Apollo (base)

€49

Lemlist

€69

Cognism

€100

Salesloft

€130

Outreach

€140

Find your tool in 30 seconds

3 questions. We score 6 tools against your profile and tell you which fits.

If JS is off: Overloop is the #1 fit for EU teams running multichannel outbound (email + LinkedIn + voice) with GDPR-compliant data and €69/user flat. Try free at app.overloop.ai.

Matrice comparativa dei principali tool, aprile 2026. Prezzi in EUR/mese IVA esclusa. Hosting UE = dati conservati nell'Unione Europea.

⚠ Attenzione: Per i team UE sotto GDPR, la localizzazione dei dati è cruciale. Apollo, Outreach, Salesloft e ZoomInfo ospitano negli USA. Cognism e Overloop ospitano nell'UE (Bruxelles).

💡 Insight: L'85% dei team passati da Apollo a Overloop lo ha fatto entro 90 giorni dalla frustrazione per i crediti. Fonte: dati di domanda Sortlist 2026, 600K richieste B2B.

SANZIONE MASSIMA - GARANTE PRIVACY

EUR 27.800.000

la sanzione TIM 2020 (Provv. 15 gennaio 2020). Il Garante ha comminato oltre 58 milioni di euro nel 2022. Il GDPR Art. 83 prevede fino a 20 milioni o 4% del fatturato mondiale. Per le PMI italiane, fascia tipica 10.000-100.000 euro per violazioni di marketing diretto.

Quadro normativo italiano della cold email

La cold email B2B in Italia è regolata da quattro fonti che operano in parallelo. Confonderle è il primo errore di chi vende qui senza conoscenza locale. [CNIL]

Fonte	Cosa regola	Implicazione cold email B2B
GDPR (Reg. UE 2016/679)	Trattamento dati personali	Art. 6 lett. f, legittimo interesse: base giuridica praticabile per il B2B
Codice Privacy (D.Lgs. 196/2003 + 101/2018)	Adattamento italiano del GDPR	Art. 130 disciplina comunicazioni indesiderate; Art. 122 cookie
Direttiva ePrivacy (2002/58/CE)	Comunicazioni elettroniche	Art. 13 richiede consenso preventivo; soft opt-in per clienti esistenti
Provvedimenti Garante	Casi specifici e linee guida	Provv. 10 giugno 2021 cookie, Provv. telemarketing 2020 (TIM/Vodafone)

Il punto più importante che la maggior parte dei team italiani sbaglia: il GDPR risponde alla domanda "posso trattare questo dato?", il Codice Privacy + ePrivacy rispondono alla domanda "posso inviare questa email?". Sono due lasciapassare distinti. Avere una base giuridica per costruire un database di prospect non significa automaticamente avere il diritto di inviare loro un'email commerciale.

L'Art. 130 del Codice Privacy è il punto chiave per il marketing diretto. Stabilisce che le comunicazioni elettroniche con finalità di vendita o promozionale richiedono il consenso del destinatario, salvo i casi previsti (soft opt-in da clienti esistenti, prodotti analoghi, opt-out semplice). Il Garante interpreta la norma in modo rigido: il consenso deve essere libero, specifico, informato e documentabile.

Il legittimo interesse: la base praticabile per il B2B

Il GDPR Art. 6 lett. f consente il trattamento dei dati per legittimo interesse del titolare, a tre condizioni cumulative documentate nel Legitimate Interest Assessment (LIA): [CNIL]

Purpose test: l'interesse commerciale del titolare è legittimo, specifico e attuale (vendere a un'azienda B2B che ha bisogno della soluzione è legittimo).
Necessity test: il trattamento è necessario per quell'interesse e non si potrebbe raggiungere lo stesso obiettivo con minor invadenza (un cold email mirato è meno invasivo di un cold call).
Balancing test: l'interesse del titolare non è sovrastato dai diritti e dalle libertà dell'interessato (un Direttore Vendite di un'azienda mid-market non subisce un'intrusione sproporzionata se riceve una proposta commerciale pertinente).

Per il cold email B2B verso ruoli decisionali con email aziendale pubblica, il LIA è normalmente superabile. Per dati personali, dipendenti operativi non decisionali, dati sensibili, il bilanciamento è più difficile e spesso impraticabile.

Albero decisionale per cold email B2B conforme a GDPR e Codice Privacy in Italia — Albero decisionale GDPR + Codice Privacy art. 130 per la cold email B2B italiana (testato maggio 2026)

Il LIA va documentato per iscritto prima di lanciare la campagna. Non è un esercizio formale: in caso di reclamo al Garante, il primo documento richiesto sarà il LIA. Senza un LIA aggiornato, la base giuridica del legittimo interesse cade.

Quanto dura il legittimo interesse?

Le linee guida EDPB e Garante suggeriscono che il legittimo interesse per il marketing diretto si indebolisca dopo circa 18 mesi senza alcuna interazione con l'interessato. Non è una scadenza statutaria ma un benchmark pratico: rivedete e aggiornate il LIA almeno una volta l'anno, e mantenete attività documentata (email aperte, click, risposte) per non perdere la base giuridica.

Il B2B carve-out: cosa cambia rispetto al consumer

L'Italia, a differenza della Germania, ha un trattamento differenziato del B2B vs B2C per le comunicazioni elettroniche. La logica: una persona fisica nel suo ruolo aziendale è protetta dal GDPR, ma le sue email professionali con dominio aziendale e ruolo decisionale rendono il bilanciamento più favorevole al titolare. [CNIL]

Tipo destinatario	Base giuridica	Praticabilità
Email aziendale di ruolo decisionale (CEO, CFO, Direttore Vendite, ecc.)	Legittimo interesse Art. 6(1)(f) GDPR + Art. 130 Codice Privacy interpretato restrittivamente	Praticabile con LIA documentato e opt-out
Email aziendale di ruolo operativo (developer, account, ecc.)	Legittimo interesse più debole; bilanciamento più difficile	Caso per caso, prudenza
Email generica aziendale (info@, vendite@)	Dato non personale — fuori GDPR per sé	Praticabile, ma trattate i dati delle persone dietro
Email personale (gmail.com, libero.it, etc.)	GDPR + ePrivacy strict, serve consenso esplicito	Non praticabile per cold email
Dati di privati cittadini per finalità B2C	Consenso esplicito obbligatorio (opt-in)	Non praticabile per cold email senza opt-in

Il pattern italiano sicuro: scrivete a email aziendali (dominio aziendale, non gmail.com) di persone con ruolo decisionale documentato (LinkedIn, sito aziendale, registro CCIAA), con email che parla di temi professionali pertinenti al loro ruolo, con opt-out un-click in ogni messaggio. Sotto queste condizioni, il legittimo interesse regge.

L'informativa Art. 13/14: chi, come e quando

Il GDPR Art. 13 e 14 impongono al titolare di informare l'interessato del trattamento dei suoi dati. Per i prospect raccolti da fonti pubbliche o database terzi (Apollo, Cognism, Overloop, LinkedIn), si applica l'Art. 14, che prevede un termine massimo di 30 giorni dalla raccolta del dato o dal primo contatto, qualunque venga prima. [CNIL]

L'informativa deve coprire:

Identità del titolare del trattamento (vostra azienda, sede legale, partita IVA).
Finalità del trattamento (marketing diretto B2B).
Base giuridica (legittimo interesse Art. 6 lett. f) e specificazione dell'interesse.
Fonte del dato (Overloop database, LinkedIn, sito aziendale, etc.).
Periodo di conservazione del dato.
Diritti dell'interessato (accesso, rettifica, cancellazione, portabilità, opposizione).
Contatti del DPO se nominato.
Diritto di reclamo al Garante.

In pratica: nel footer della prima email a freddo, includete un link breve "Privacy" che porti a una pagina ad-hoc di prospecting privacy notice. Non è sufficiente la privacy del sito principale, perché l'informativa deve essere specifica per la finalità di marketing diretto.

Opt-out e diritti DSAR: come gestirli in pratica

Ogni email commerciale deve includere un meccanismo di opt-out facile, gratuito, sempre disponibile. Sui dati Overloop e linee guida Garante:

Opt-out un-click: il prospect non deve loggarsi, compilare form, rispondere via email. Un click su un link nel footer e via.
Esecuzione entro 24-48 ore: dal click di unsubscribe alla rimozione effettiva dalle liste, max 48 ore. Sopra questa soglia è violazione.
Lista di soppressione permanente: una volta unsubscribe, l'email finisce in una blacklist permanente. Non riprovate dopo 6 mesi sperando che si sia ammorbidito.
Diritti DSAR: l'interessato può chiedere accesso ai dati (Art. 15), rettifica (Art. 16), cancellazione (Art. 17), portabilità (Art. 20), opposizione (Art. 21). Le risposte sono dovute entro 30 giorni, prorogabili a 90 in casi complessi.

Il Garante ha sanzionato più volte aziende per opt-out non funzionante o esecuzione tardiva: questa è una delle violazioni più facili da provare per il reclamante (basta una screenshot della richiesta non onorata).

Una cold email tipica include tracking pixel (per misurare aperture) e link tracker (per misurare click). In Italia questo apre un fronte aggiuntivo: il Provvedimento Garante del 10 giugno 2021 sui cookie (Reg. 231/2021).

La regola: il tracking del comportamento dell'utente in email senza informativa chiara è considerato analogo al cookie tecnico/non tecnico. Per i cookie analitici e di marketing serve consenso esplicito. Per il tracking pixel in cold email il dibattito è aperto, ma il Garante ha mostrato sensibilità sul tema.

Pratica raccomandata: includete una nota nell'informativa privacy del prospect notice ("usiamo tracking pixel e link tracker per misurare l'efficacia delle nostre comunicazioni; potete opporvi via opt-out"). Non è un certificato di conformità assoluta ma è lo standard difensivo accettato.

Le sanzioni del Garante: i casi che dovete conoscere

Il Garante per la protezione dei dati personali italiano è tra le DPA più attive d'Europa. Nel 2022 ha comminato sanzioni per oltre 58 milioni di euro complessivi, con un focus pesante sul marketing diretto e telemarketing. I casi più significativi che ogni team commerciale italiano dovrebbe conoscere:

Enel Energia (2022)

26,5M EUR

Provvedimento 25 gennaio 2022 · doc. web 9743809

La più alta sanzione mai inflitta dal Garante a un'azienda italiana fino a quel momento. Enel Energia ha effettuato attività di telemarketing senza la base giuridica adeguata, su utenti che avevano già opposto rifiuto al consenso, e ha gestito in modo disordinato le liste di contatti acquisite da partner commerciali. Il Garante ha contestato la mancanza di un sistema centralizzato per la gestione del consenso e l'inadeguatezza dei controlli sui partner outbound.

TIM (2020)

27,8M EUR

Provvedimento 15 gennaio 2020 · doc. web 9256486

TIM Telecom Italia ha effettuato chiamate promozionali e invio di SMS commerciali senza consenso adeguato, con liste di contatti gestite in modo opaco e diritti DSAR processati con ritardi sistematici. Il Garante ha sottolineato come la dimensione dell'azienda non attenui ma aggravi l'obbligo di compliance.

Vodafone Italia (2020)

12,2M EUR

Provvedimento 12 novembre 2020 · doc. web 9485681

Vodafone Italia ha utilizzato dati di prospect provenienti da liste di terze parti senza verifica adeguata della base giuridica. Caso scuola sull'obbligo di due diligence quando si acquistano database commerciali: la responsabilità resta del titolare anche se la lista è stata fornita da un partner.

Foodinho (Glovo) (2021)

2,6M EUR

Provvedimento 10 giugno 2021 · doc. web 9675440

Caso meno noto ma istruttivo: Foodinho (gruppo Glovo) ha gestito dati dei rider senza informativa adeguata sull'algoritmo di assegnazione delle consegne. Il principio applicabile alla cold email: ogni trattamento automatico (anche segmentazione AI di liste prospect) richiede informativa chiara sui criteri di profilazione.

Eni Plenitude (2023)

6,2M EUR

Provvedimento gennaio 2024

Eni Plenitude (gruppo Eni) sanzionata per pratiche di marketing diretto su utenti senza base giuridica adeguata e per aver mantenuto liste di contatti oltre i tempi di retention dichiarati. Caso chiave su retention policy.

Per le PMI italiane: le sanzioni concrete cadono tipicamente nella fascia 10.000-100.000 euro per violazioni di marketing diretto, ma il rischio reputazionale è comparabile a quello delle grandi. Il Garante pubblica i provvedimenti con il nome dell'azienda, e il caso resta indicizzato sui motori di ricerca per anni. Per un'agenzia o uno studio professionale, una sanzione pubblica è più costosa della cifra in sé.

Il workflow conforme per la cold email B2B italiana

Cinque strategie che funzionano sotto il quadro normativo italiano. Le elenchiamo dalla più sicura alla più aggressiva.

Strategia 1: LinkedIn-first, poi email

Il workflow più scalabile e legalmente solido. Step:

Identificate il prospect via Overloop, LinkedIn Sales Navigator, Sortlist Signals.
Inviate richiesta di connessione LinkedIn con messaggio personalizzato non-promozionale (no pitch, no offerta, no link). Una connessione LinkedIn non è comunicazione commerciale ai sensi dell'Art. 130.
Su accettazione, inviate un messaggio LinkedIn breve e conversazionale ("Posso mandarle 2 case study via email?").
Risposta affermativa = consenso documentato (screenshot LinkedIn).
Solo a questo punto la sequenza email parte.

Vantaggio: il consenso è auditabile, scritto, datato. Overloop esegue l'intero workflow in un'unica sequenza con trigger condizionali.

Sequence builder Overloop con step LinkedIn, telefono ed email per prospect italiani — Overloop sequence builder: LinkedIn-first o telefono-first prima dello step email (testato maggio 2026)

Strategia 2: Telefono-first per i prospect priority

Per gli account ad alto valore: chiamata commerciale (legittima per il B2B con presunzione di interesse), durante la quale chiedete esplicitamente il permesso di mandare materiale via email. Confermate con un'email immediata che chieda di rispondere "sì" per documentare il consenso. Il Garante ha riconosciuto la validità del consenso verbale documentato.

Strategia 3: Cold email diretto sotto legittimo interesse (B2B)

Per email aziendali di ruoli decisionali, con LIA documentato, opt-out un-click, informativa Art. 14 raggiungibile, dati pubblici dal database. Praticabile per la maggior parte dei team B2B italiani che fanno outbound a CEO, Direttori Vendite, CFO mid-market. Avvertenza: tenetevi sotto i 5.000 invii al giorno per dominio per evitare alert di volume sui filtri italiani (Aruba, Libero).

Strategia 4: Soft opt-in da clienti esistenti (Art. 130 c. 4)

Se avete una relazione contrattuale precedente con il prospect (cliente attuale, ex cliente, free trial user), potete inviare email su prodotti analoghi senza consenso esplicito ulteriore, a condizione che: l'email aziendale sia stata raccolta nel contesto della precedente vendita, l'oggetto promozionale riguardi prodotti simili a quelli già venduti, l'opt-out sia presente in ogni email. La sentenza ECJ C-654/23 di novembre 2024 estende questo carve-out a free trial user, anche se l'interpretazione italiana è ancora in evoluzione.

Strategia 5: Eventi e raccolta consensi inbound

Webinar, eventi fisici, lead magnet, fiere. Raccogliete consensi espliciti via form con doppio opt-in. Lo scambio di biglietti da visita in fiera può costituire consenso se il contesto dimostra accordo intenzionale (documentate il contesto).

Intent signal e cold email: cosa potete e non potete fare

Le piattaforme intent (Sortlist Radar, 6sense, Bombora, Leadfeeder, Trigify, Clearbit Reveal) identificano aziende che visitano il vostro sito o ricercano la categoria di soluzione. La domanda ricorrente: "Posso citare in email il signal di intent del prospect?". La risposta italiana è secca: no.

Citare un signal di intent in un'email a freddo combina tre potenziali violazioni:

GDPR Art. 13/14: trattamento di dati comportamentali senza informativa specifica.
Codice Privacy + Provv. cookie 2021: il tracciamento del comportamento online dell'utente senza consenso può essere assimilato all'uso di cookie non tecnici.
Art. 130 Codice Privacy: marketing senza base giuridica esplicita.

Il workflow corretto: il signal è un trigger interno per chiamare il prospect o per LinkedIn-first, mai materiale citabile in email a freddo. Frasi come "Ho visto che avete visitato la nostra pagina pricing" sono un autogol legale.

Frasi da NON usare mai in email a freddo italiana

"Ho notato che avete visitato la nostra pagina [pagina specifica]"
"Il nostro sistema ha rilevato il vostro interesse per [tema]"
"Sulla base della vostra recente ricerca su [argomento]"
"Avete scaricato la nostra guida su [X]" (a meno che lo abbiano fatto consapevolmente con doppio opt-in)
"Il vostro collega [nome] mi ha suggerito di scrivervi" (senza permesso scritto)
"Vi contatto perché il vostro IP è risultato attivo sul nostro sito"

Checklist operativa di compliance

Prima di lanciare una sequenza outbound in Italia

LIA (Legitimate Interest Assessment) scritto e datato per la campagna
Pagina Privacy Prospecting Notice raggiungibile dal footer email
Lista di soppressione (suppression list) attiva su tutti i tool usati
Workflow DSAR documentato (chi risponde, in quanti giorni)
DPO nominato se obbligatorio (sopra 250 dipendenti o trattamento sistematico)
Sub-processor list aggiornata (vendor email, CRM, intent tools)
Standard Contractual Clauses firmate per tutti i vendor con sede USA
Transfer Impact Assessment post Schrems II per trasferimenti USA
Retention policy documentata: per quanto conservate i dati prospect?

In ogni email inviata

Mittente identificabile (nome reale, azienda, partita IVA in firma)
Oggetto non ingannevole (no clickbait, no falso "Re:")
Link opt-out un-click nel footer, attivo entro 48 ore
Link a privacy notice di prospecting nel footer
Identità del titolare del trattamento riportata
Volume invii sotto 5.000/giorno per dominio per evitare graylist Aruba/Libero
SPF + DKIM + DMARC configurati

Come Overloop gestisce la conformità per il mercato italiano

Overloop è stato costruito da Bruxelles con il GDPR come default architetturale, non come patch successivo. Per il mercato italiano questo si traduce in cinque caratteristiche concrete:

Sede dati Bruxelles, giurisdizione belga (UE): niente Standard Contractual Clauses, niente Transfer Impact Assessment, niente Schrems II. I dati restano fisicamente in Europa.
Database 450M con base GDPR di legittimo interesse: la raccolta dei contatti è basata su fonti pubbliche, con LIA documentato dal team Overloop e disponibile per audit.
Opt-out un-click automatico: ogni email inviata da Overloop ha il link unsubscribe nel footer, l'utente che clicca esce da tutte le liste in tempo reale, non in 48 ore.
Workflow multicanale GDPR-compliant: la sequenza può partire da LinkedIn (non comunicazione commerciale), raccogliere il consenso scritto, e attivare l'email solo dopo. Il consenso è loggato con data, ora, fonte.
DPO referenziato, sub-processor list pubblica, DPA standard firmabile: tutto disponibile su overloop.com/security. Il vostro DPO italiano può approvare in 30 minuti, non in 3 settimane.

Sui 1,2 milioni di sequenze attive monitorate, le campagne italiane B2B con workflow Overloop hanno tassi di reclamo al Garante ai minimi storici della categoria. Le 600.000 richieste mensili sulla marketplace Sortlist forniscono il dataset comportamentale italiano da cui Overloop deriva i suoi default di compliance.

Dashboard Overloop con log consensi, lista soppressione e DPA per il mercato italiano — Pannello compliance Overloop: log consensi, soppressione opt-out, DPA, controllo tracking pixel per segmento (testato maggio 2026)

Mercato italiano: LinkedIn-first, consenso loggato, email solo dopo. Default GDPR.

Domande frequenti

È legale fare cold email B2B in Italia?

Sì, ma sotto condizioni precise. Il GDPR (Art. 6 lett. f) consente il legittimo interesse per il marketing diretto B2B, e il Codice in materia di protezione dei dati personali italiano (D.Lgs. 196/2003 + 101/2018) lo conferma. Servono però sei requisiti: mittente identificabile, finalità documentata in LIA, opt-out funzionante in ogni email, solo dati professionali pubblici, informativa GDPR Art. 13/14 raggiungibile entro 30 giorni, nessun dato sensibile. Il Garante ha sanzionato Enel Energia per 26,5 milioni nel 2022 e Foodinho per 2,6 milioni nel 2021: la conformità documentata non è opzionale.

Cosa è il legittimo interesse nel B2B italiano?

Il legittimo interesse (GDPR Art. 6 lett. f) è la base giuridica più usata per il cold email B2B in Italia. Richiede tre test documentati nel Legitimate Interest Assessment (LIA): purpose test (il vostro interesse commerciale è legittimo?), necessity test (potreste raggiungere lo stesso obiettivo con meno dati?), balancing test (i diritti del prospect prevalgono sul vostro interesse?). Per il B2B mid-market verso ruoli decisionali con email aziendale pubblica, il LIA è normalmente superabile. Per dati personali o ruoli operativi non decisionali, il bilanciamento è più difficile.

Quali sono le sanzioni del Garante per cold email non conformi?

Il Garante per la protezione dei dati personali ha sanzionato cifre serie: Enel Energia 26,5 milioni di euro nel 2022 per marketing senza base giuridica adeguata, Foodinho (Glovo) 2,6 milioni nel 2021 per algoritmi di gestione lavoratori senza informativa, Vodafone Italia 12,2 milioni nel 2020 per telemarketing non autorizzato, TIM 27,8 milioni nel 2020. Il GDPR consente sanzioni fino al 4% del fatturato annuo globale o 20 milioni di euro (il maggiore dei due). Per le PMI italiane le sanzioni concrete sono tipicamente nella fascia 10.000-100.000 euro per violazioni di marketing diretto.

Come Overloop gestisce la conformità GDPR per il mercato italiano?

Overloop ospita i dati a Bruxelles sotto giurisdizione belga (UE), espone una sub-processor list pubblica, fornisce un DPA standard firmabile, e tiene tracciato l'opt-out di ogni prospect in modo automatico. Il database da 450 milioni di contatti opera sotto base GDPR di legittimo interesse per il trattamento dei dati. Per ogni email inviata, il sistema applica automaticamente: link opt-out un-click, identificazione mittente, log di consenso e revoca, retention configurabile. La piattaforma è compatibile con il workflow di Diritti DSAR italiani (accesso, rettifica, cancellazione).

Posso citare nei miei email un signal di intent (visita al sito) di un prospect italiano?

No. Citare in email un signal di intent (visita al pricing, download di un white paper anonimo, surge di ricerca su categoria) è ad alto rischio in Italia. Combina tre potenziali violazioni: trattamento di dati comportamentali senza informativa specifica (GDPR Art. 13/14), tracking via cookie senza consenso esplicito (Codice Privacy + Provv. Garante 10 giugno 2021 sui cookie), marketing senza base giuridica trasparente. Il signal di intent va usato come trigger interno per chiamare o LinkedIn-first, mai citato in email a freddo.

Posso usare Apollo, ZoomInfo o tool USA per cold email in Italia?

Sì, con setup aggiuntivo: serve firmare il DPA del vendor, eseguire un Transfer Impact Assessment (Schrems II), aggiornare l'informativa privacy citando i sub-processor USA, preparare un workflow per i diritti DSAR transfrontalieri. Il Garante non ha vietato esplicitamente questi tool ma richiede tracciabilità del legittimo interesse, opt-out funzionante e gestione della retention. In dubbio, scegliete vendor con sede UE come Overloop (Bruxelles), Woodpecker (Polonia), Lemlist o La Growth Machine (Francia): il vostro DPO approva in 30 minuti.

Devo nominare un DPO se faccio cold email B2B in Italia?

Il DPO è obbligatorio se l'azienda effettua trattamenti su larga scala di dati personali in modo sistematico (GDPR Art. 37). Per la maggior parte delle PMI italiane che fanno cold email a 1.000-10.000 prospect/mese il DPO non è obbligatorio, ma è consigliato per le aziende sopra i 50 dipendenti o quelle che gestiscono dati di più di 50.000 prospect attivi. Il DPO può essere interno o esterno (consulente).

Quanto a lungo posso conservare i dati di un prospect italiano?

Le linee guida EDPB e Garante suggeriscono che il legittimo interesse per il marketing diretto si indebolisca dopo circa 18 mesi senza alcuna interazione. Pratica consigliata: documentate una retention policy di 24 mesi dall'ultimo contatto, oltre i quali i dati vengono cancellati automaticamente o ribasati su nuova LIA. Mantenete attività documentata (email aperte, click, risposte) per non perdere la base giuridica.

Pronto a lanciare cold email conformi al Garante?

Overloop unisce sequenze multicanale, opt-out automatico, dati a Bruxelles, sub-processor list pubblica e DPA firmabile. La piattaforma costruita per il B2B italiano. 14 giorni gratis, supporto in italiano.

Avvia il trial

B2B cold email Italia: la guida completa GDPR + Garante + Codice Privacy (2026)

Come abbiamo testato