Il cliente ti chiede una campagna su WhatsApp. Tu prepari lista contatti, scrivi il messaggio, carichi tutto. Il giorno dopo l'account è bloccato. Oppure arriva una richiesta dal Garante. Non è raro: lo vediamo ogni giorno nei progetti che arrivano da noi. WhatsApp non è una newsletter email: le regole sono più strette, le piattaforme più attente, le sanzioni più salate.
Noi, di Meteora Web, gestiamo campagne di invio massivo WhatsApp per clienti dal 2017 — e prima di premere invio verifichiamo sempre tre cose: consenso valido, base giuridica corretta, rispetto delle policy di Meta. Se salti anche solo uno di questi punti, il tuo investimento pubblicitario si trasforma in un costo di compliance.
Questa guida ti spiega esattamente cosa serve per inviare WhatsApp a norma: non teoria giuridica astratta, ma azioni concrete che puoi implementare subito. Partiamo dal problema reale: stai per inviare messaggi a contatti che forse non hai mai autorizzato.
Quali Sono i Requisiti Legali per l'Invio Massivo WhatsApp?
Il quadro normativo si basa su tre pilastri: GDPR (Regolamento UE 2016/679), ePrivacy (Direttiva 2002/58/CE, recepita dal D.Lgs. 196/2003 modificato dal D.Lgs. 101/2018) e le Policy di WhatsApp Business Platform. Chiunque invii messaggi commerciali via WhatsApp deve rispettarli tutti.
Consenso Esplicito e Documentato
Non basta avere un numero di telefono. Devi dimostrare che il contatto ha scelto attivamente di ricevere comunicazioni via WhatsApp. Il consenso deve essere: libero, specifico, informato, inequivocabile. Un opt-in tramite checkbox in un modulo di contatto è valido solo se la finalità è chiara e separata da altre (es. “Accetto di ricevere promozioni via WhatsApp”).
Sponsored Protocol
Errore comune: raccogliere numeri da fiere o database acquistati e inviare messaggi senza aver mai chiesto il consenso WhatsApp. Questo è quasi sempre illegale.
Cosa fare subito: controlla ogni contatto nella tua lista e verifica se esiste un tracciamento dell'opt-in con data, ora, canale (es. modulo web, app, SMS di risposta). Se non c'è, non inviare.
Base Giuridica: Consenso o Legittimo Interesse?
Il GDPR offre due strade per il marketing diretto: consenso (art. 6.1.a) o legittimo interesse (art. 6.1.f). Tuttavia, per le comunicazioni elettroniche verso persone fisiche, l'ePrivacy richiede il consenso preventivo. In pratica, per B2C devi avere il consenso. Per B2B, il legittimo interesse può applicarsi se dimostri che il contatto professionale si aspetta di ricevere comunicazioni dal tuo settore e hai un collegamento genuino (es. cliente attuale, richiesta di preventivo). Ma attenzione: WhatsApp non è email — la piattaforma è più severa. Anche in B2B, meglio avere un consenso esplicito.
Diritto di Opposizione e Cancellazione
Ogni messaggio deve contenere un link per disiscriversi (opt-out). In WhatsApp, la soluzione più comune è rispondere con “STOP” o cliccare un link a una landing page. Devi elaborare la richiesta entro 24 ore e non re-inviare mai più.
Sponsored Protocol
Consiglio operativo: usa l'API di WhatsApp Business per gestire automaticamente i messaggi di opt-out e bloccare l'invio futuro. Non farlo manualmente.
Come Gestire il Consenso in Pratica su WhatsApp?
La parte più tecnica: come raccogliere e conservare la prova del consenso in modo che sia accettabile da un giudice o dal Garante.
Checklist del Consenso Valido
- Il contatto ha completato un'azione chiara: spuntato una checkbox, inviato un messaggio con “SI”, compilato un form dedicato.
- La finalità è specificata: “Riceverai offerte esclusive via WhatsApp”, non “Accetto la privacy policy”.
- Conserviamo la registrazione: database con timestamp, IP (se da web), copia del form inviato.
- Il nome del contatto è associato al consenso (es. “Mario Rossi ha accettato il 10/03/2026 ore 14:32 da modulo contatti”).
Implementazione Tecnica (esempio con WordPress + database)
// Esempio di registrazione consenso in WordPress
$user_phone = sanitize_text_field( $_POST['phone'] );
$timestamp = current_time( 'mysql' );
$ip = $_SERVER['REMOTE_ADDR'];
global $wpdb;
$wpdb->insert(
$wpdb->prefix . 'wa_consents',
array(
'phone' => $user_phone,
'consent_date' => $timestamp,
'ip' => $ip,
'source' => 'modulo-contatti'
)
);
Differenza Tra Sessioni e Template: Quale Scegliere per Essere a Norma?
WhatsApp Business API distingue due canali di comunicazione: sessioni (messaggi inviati entro 24 ore da un messaggio utente) e template (messaggi pre-approvati per iniziative marketing, anche fuori dalla finestra di 24 ore).
Sponsored Protocol
Sessioni: Sicure ma Limitate
Se un utente ti scrive per primo (es. “Vorrei info su...”), puoi rispondere liberamente entro 24 ore. Questo rientra nel customer service, non richiede consenso aggiuntivo se già esiste una relazione commerciale. Ma se nessuno ti scrive, non puoi usare le sessioni per avviare una conversazione.
Template: Marketing su Larga Scala
Per inviare messaggi promozionali a una lista di contatti che non ti hanno scritto di recente, devi usare i template (modelli approvati da Meta). Ogni template deve essere sottoposto a revisione e approvato da Meta. Inoltre, il contatto deve aver dato il consenso esplicito a ricevere messaggi di marketing via WhatsApp (non basta un generico “accetta comunicazioni”).
Errore comune: inviare messaggi promozionali tramite sessioni fingendo che l'utente abbia scritto. Meta lo rileva (pattern di attività) e blocca l'account.
Cosa Prevedono le Policy di WhatsApp Business Platform?
Oltre al GDPR, devi rispettare il WhatsApp Business Platform Policy (aggiornato regolarmente), che vieta:
- Spam, messaggi massivi non richiesti.
- Contenuti ingannevoli, offensivi, illegali.
- Uso di numeri non verificati o acquistati.
- Velocità di invio eccessiva (rate limiting).
Se infrangi le policy, Meta può sospendere il tuo account WhatsApp Business API (WABA) e tutti i numeri associati. Recuperarlo è complesso.
Sponsored Protocol
Raccomandazione pratica: usa un provider come Twilio (che abbiamo integrato nei nostri progetti) o MessageBird che gestiscono la compliance con Meta e forniscono API documentate. Ma ricordati: la responsabilità del consenso resta tua.
Come Documentare la Conformità per un Eventuale Controllo?
Il Garante per la protezione dei dati personali può chiederti di dimostrare come hai raccolto il consenso, chi ha inviato i messaggi, quali dati hai trattato. Preparati come segue:
Registro dei Trattamenti
Devi avere un registro che includa: finalità (marketing WhatsApp), base giuridica (consenso), categorie di dati (numero telefono, nome), periodi di conservazione, misure di sicurezza.
Prove di Consenso
Salva in un database protetto (non un foglio Excel sparsi) tutte le registrazioni di consenso: timestamp, sorgente, IP, copia della schermata del form o della conversazione WhatsApp. Noi usiamo un modello JSON in un database MySQL con backup crittografato.
Politica di Conservazione
Conserva i dati di consenso per tutta la durata del rapporto commerciale + 12 mesi dalla revoca. Dopo, cancella o anonimizza.
Cosa Fare Adesso — La Tua Checklist Operativa
- Verifica la tua lista contatti: per ogni numero, controlla se esiste un consenso esplicito per WhatsApp. Se manca, non inviare. Se è dubbio, chiedi di nuovo (es. SMS di re-opt-in).
- Implementa un sistema di registrazione del consenso: anche un semplice database con timestamp, telefono, sorgente. Se usi WordPress, crea una tabella personalizzata (es.
wa_consents) e salva ogni opt-in. - Scegli la modalità corretta (sessioni vs template): per marketing in uscita usa sempre template approvati. Non inviare mai messaggi promozionali come risposta a messaggi non richiesti.
- Includi opt-out in ogni messaggio: “Rispondi STOP per non ricevere più messaggi” o un link a una pagina di disiscrizione. Gestiscilo automaticamente via API.
- Documenta tutto: tieni un registro dei trattamenti aggiornato e le prove di consenso in un luogo sicuro.
- Leggi le policy di Meta: consulta la documentazione ufficiale di WhatsApp Business Platform almeno una volta al mese — cambiano.
Se tutto questo ti sembra complesso, non preoccuparti. Noi lo facciamo ogni giorno per aziende italiane, piccole e grandi. Possiamo impostare l'intero flusso — dalla raccolta consensi all'invio a norma — così tu ti concentri sul messaggio, non sulla compliance.
Sponsored Protocol
Zenith ZenApp è la piattaforma all-in-one per gestire la tua attività — clienti, agenda, scadenze, fatturazione e promemoria WhatsApp, tutto da browser. Senza installare nulla.
Scopri Zenith ZenApp →