Does ePrivacy apply to AI-generated messages?

Yes. ePrivacy is technology-neutral — an AI sending a marketing email, SMS, or WhatsApp message is treated identically to a human sending one.

Does GDPR consent satisfy ePrivacy?

No. ePrivacy is lex specialis and requires separate compliance. GDPR consent does not automatically satisfy ePrivacy's prior opt-in requirement.

What about B2B outbound?

B2C always requires opt-in. B2B rules vary by Member State — some allow opt-out for corporate addresses, others (e.g. Germany) apply stricter rules.

Is the ePrivacy Regulation coming?

The standalone Regulation was withdrawn in February 2025. Targeted ePrivacy amendments are now part of the Digital Omnibus Package under negotiation.

Conformità AI ePrivacy — Consenso per la Messaggistica AI Outbound

Ultimo aggiornamento: 8 aprile 2026 · 8 min di lettura · Revisionato dal team di compliance Audact · Direttiva 2002/58/CE

La Direttiva ePrivacy disciplina l'atto di inviare comunicazioni elettroniche. Si applica a ogni messaggio outbound generato dall'AI — e-mail, SMS, WhatsApp o chiamata vocale — indipendentemente dal fatto che sia stato composto da un essere umano o dall'AI.

Cos'è la Direttiva ePrivacy?

La Direttiva ePrivacy (2002/58/CE) è la legge principale dell'UE che disciplina la privacy delle comunicazioni elettroniche. È lex specialis rispetto al GDPR — dove ePrivacy ha una regola specifica, prevale sul GDPR.

In pratica: ePrivacy disciplina l'invio della comunicazione e l'accesso al dispositivo. Il GDPR disciplina il successivo trattamento dei dati personali raccolti. Richiedono conformità separata — il consenso GDPR non soddisfa automaticamente i requisiti ePrivacy, e viceversa.

Direttiva ePrivacy vs Regolamento ePrivacy: cosa cambia per l'AI

La Direttiva del 2002 (modificata nel 2009) è uno strumento giuridico recepito diversamente in ogni Stato membro, motivo per cui il TDDDG tedesco, il Telecommunicatiewet olandese e il PECR britannico sembrano superficialmente simili ma divergono nei dettagli. Il proposto Regolamento ePrivacy avrebbe sostituito il patchwork con un testo unico direttamente applicabile, rafforzando le regole su cookie, traffico machine-to-machine e trattamento dei metadati. Dopo otto anni di stallo la Commissione ha formalmente ritirato il dossier l'11 febbraio 2025.

Per i deployer AI la conseguenza pratica è che nulla cambia immediatamente: la Direttiva rimane in vigore e lo stesso regime basato sull'opt-in continua ad applicarsi alla messaggistica AI outbound. Ma il Pacchetto Omnibus Digitale proposto nel novembre 2025 contiene modifiche mirate a ePrivacy — in particolare riguardo all'affaticamento del consenso ai cookie e alle basi di interesse legittimo per l'analisi — che probabilmente entreranno in vigore nel 2027. I fornitori AI dovrebbero progettare oggi la loro raccolta del consenso in modo che la base giuridica possa essere rimappata senza raccogliere nuovamente il consenso.

Articoli chiave per i deployer AI

Article 13 — Comunicazioni non sollecitate

Richiede il consenso preventivo opt-in prima di inviare marketing diretto tramite sistemi di chiamata automatizzati, e-mail, SMS, fax o qualsiasi messaggistica elettronica. È tecnologicamente neutro: un'AI che invia un'e-mail di marketing è trattata identicamente a un essere umano che ne invia una.

Chatbot AI che avvia un messaggio WhatsApp → consenso richiesto
AI che invia e-mail di marketing → consenso richiesto
Campagne SMS generate dall'AI → consenso richiesto
Chiamate vocali AI outbound → consenso richiesto

Article 13(2) — Eccezione di soft opt-in

Un'eccezione che consente il marketing senza nuovo consenso se: (a) l'indirizzo e-mail è stato ottenuto nel contesto di una vendita o servizio, (b) il marketing riguarda prodotti/servizi simili e (c) viene fornito un opt-out facile al momento della raccolta e in ogni messaggio.

Article 5(3) — Cookie e accesso ai dispositivi

Richiede il consenso prima di archiviare o accedere alle informazioni sull'apparecchiatura terminale di un utente. Per i chatbot AI, si applica quando il chatbot inserisce cookie di tracciamento — non alla conversazione stessa.

Consenso ai cookie e tracciamento AI ai sensi di ePrivacy

L'Article 5(3) è tecnologicamente neutro: si applica a qualsiasi archiviazione di, o accesso a, informazioni sull'apparecchiatura terminale di un utente. Copre i classici cookie HTTP, ma anche l'archiviazione locale del browser, le librerie di fingerprinting e gli SDK che i motori di personalizzazione AI incorporano nei siti web e nelle app mobile. Se i dati vengono successivamente inseriti in un modello di raccomandazione o in un'AI di targeting comportamentale, la base giuridica per la lettura o la scrittura iniziale deve comunque essere un consenso valido di grado GDPR — acquisito prima che lo script si attivi. CNIL, il Garante e l'AP olandese hanno tutti confermato che «rifiuta tutto» deve essere tanto facile quanto «accetta tutto».

Per gli agenti vocali o chat AI la questione dei cookie è solitamente limitata alla proprietà web circostante — ma le notifiche web push basate sull'AI, la messaggistica in-app e i modelli vocali on-device attivano il 5(3) nel momento in cui memorizzano lo stato. Audact tratta ogni decisione di consenso come un evento verificabile, il che consente ai clienti di dimostrare la validità dei cookie anche quando lo stack front-end cambia.

Esenzioni B2B ai sensi di ePrivacy per le comunicazioni AI

Il trattamento B2B è la parte più frammentata di ePrivacy. La Direttiva consente agli Stati membri di permettere il marketing diretto alle persone giuridiche su base opt-out, ma non lo richiede. Il PECR britannico esonera gli abbonati aziendali dal rigido opt-in per le chiamate live e i fax (ma non per SMS o e-mail ai singoli dipendenti). La Francia consente similarmente il marketing opt-out agli indirizzi professionali purché il messaggio sia correlato al lavoro del destinatario. La Germania adotta la posizione opposta: §7 UWG richiede il consenso espresso preventivo anche per le e-mail B2B, con eccezioni molto limitate.

Per i sistemi AI outbound la regola operativa è semplice: un singolo flag globale di «esenzione B2B» non è conforme per design. Il motore di policy deve risolvere il paese del destinatario, il canale e la natura del messaggio prima di ogni invio, e registrare tale decisione per il regolatore. Audact fornisce queste regole per giurisdizione out of the box.

B2B vs B2C

Il B2C richiede sempre l'opt-in. Il trattamento B2B varia per Stato membro: alcuni (es. UK, Francia) consentono di contattare gli indirizzi e-mail aziendali su base opt-out per prodotti business-related. Altri (es. Germania) applicano regole più severe. Il Policy Engine di Audact gestisce automaticamente queste differenze per paese.

Applicazione e sanzioni

Applicata dalle autorità nazionali (tipicamente le Autorità di Protezione dei Dati). Poiché ePrivacy è una Direttiva — non un Regolamento — le sanzioni variano per Stato membro:

Germania (TDDDG): Fino a €300.000
UK (PECR): Sanzioni ai sensi del PECR, con penalità più elevate possibili dove le violazioni si sovrappongono al GDPR
Paesi Bassi: L'AP olandese ha avvertito 50 organizzazioni nell'aprile 2025 per violazioni dei cookie
Francia (CNIL): Applicazione severa, blocca i cookie prima del consenso, vieta i dark pattern

Il EDPB ha confermato che le violazioni di ePrivacy possono essere considerate nelle sanzioni GDPR quando la stessa autorità applica entrambe.

Regolamento ePrivacy — cosa è successo?

Il Regolamento ePrivacy autonomo è stato formalmente ritirato dalla Commissione Europea l'11 febbraio 2025 dopo anni di negoziati falliti. Invece, le modifiche mirate a ePrivacy fanno ora parte del Pacchetto Omnibus Digitale (proposto nel novembre 2025), attualmente in negoziazione con accordo politico atteso entro la fine del 2026.

Come aiuta Audact

Verifica del consenso: Il Policy Engine valida lo stato opt-in prima che venga inviata qualsiasi comunicazione AI outbound
Regole per paese: Requisiti di consenso e opt-out specifici per giurisdizione applicati automaticamente
Registrazione delle prove: Ogni verifica del consenso viene registrata con prove crittografiche per gli audit dei regolatori
Validazione del soft opt-in: Verifica automatica che le condizioni dell'Article 13(2) siano soddisfatte prima di consentire le comunicazioni

Domande frequenti

ePrivacy si applica ai messaggi generati dall'AI?

Sì. ePrivacy è tecnologicamente neutro — un'AI che invia un'e-mail, un SMS o un messaggio WhatsApp di marketing è trattata identicamente a un essere umano che ne invia uno.

Il consenso GDPR soddisfa ePrivacy?

No. ePrivacy è lex specialis e richiede una conformità separata. Il consenso GDPR non soddisfa automaticamente il requisito di opt-in preventivo di ePrivacy.

E il B2B outbound?

Il B2C richiede sempre l'opt-in. Le regole B2B variano per Stato membro — alcuni consentono l'opt-out per gli indirizzi aziendali, altri (es. Germania) applicano regole più severe.

Il Regolamento ePrivacy sta arrivando?

Il Regolamento autonomo è stato ritirato a febbraio 2025. Le modifiche mirate a ePrivacy fanno ora parte del Pacchetto Omnibus Digitale in negoziazione.

Confronta le leggi di compliance AI dell'UE

Legge	Scadenza	Chi	Sanzione
EU AI Act Art. 50	2 ago 2026	Tutti i deployer AI nell'UE	€7,5M / 1,5% fatturato
NL Telecomwet	1 lug 2026	Marketing outbound a consumatori NL	€900k / 10% fatturato
GDPR	In vigore	Qualsiasi responsabile del trattamento di dati personali UE	€20M / 4% fatturato
DSA	In vigore (feb 2024)	Intermediari e VLOP	6% fatturato globale
ePrivacy	In vigore	Mittenti di comunicazioni elettroniche	Varia per Stato membro

Risorse di compliance correlate

Avvertenza: Questa pagina è solo a scopo informativo e non costituisce consulenza legale. Consulta un consulente legale qualificato per i tuoi specifici obblighi di compliance.

← Torna alla home

Conformità AI ePrivacy per le comunicazioni elettroniche