L'acquisto di lead comporta per definizione il trattamento di dati personali: nome, dati di contatto, descrizione di un bisogno. In Svizzera, questo trattamento è disciplinato dalla legge federale sulla protezione dei dati (nLPD), entrata in vigore nella sua versione rivista a settembre 2023. Non mira a impedire l'acquisto di lead, che resta una pratica commerciale perfettamente legale, ma a garantire che le persone i cui dati circolano abbiano dato il loro consenso e mantengano un controllo sull'uso che ne viene fatto.
Questo dossier presenta i principi generali applicabili all'acquisto di lead B2B in Svizzera. Non costituisce una consulenza legale personalizzata: per qualsiasi domanda specifica alla vostra situazione, resta consigliato il parere di un consulente legale. L'obiettivo qui è darvi i riferimenti per dialogare utilmente con un fornitore e valutarne la serietà su questo punto.
Cosa dice la nLPD sui dati di un cliente finale
La nLPD disciplina il trattamento di qualsiasi dato che permetta di identificare una persona fisica — il che include un nome, un numero di telefono, un indirizzo e-mail o un indirizzo postale, i dati tipicamente contenuti in un lead. Il principio centrale è quello della trasparenza e della finalità: una persona deve sapere a cosa serviranno i suoi dati nel momento in cui li comunica, e questi dati devono essere usati solo in tale ambito preciso.
Applicato all'acquisto di lead, questo significa che il cliente che compila un modulo di richiesta deve essere informato chiaramente che verrà ricontattato da uno o più professionisti del settore interessato per rispondere alla sua richiesta. Questa informazione deve apparire in modo visibile al momento della raccolta, non in condizioni generali illeggibili o in un testo separato da dover cercare.
Il consenso: cosa è richiesto concretamente
Il consenso a essere ricontattati deve essere libero, specifico e informato: la persona deve capire a cosa acconsente, senza casella pre-selezionata né formulazione ambigua che la spinga ad accettare senza prestarvi attenzione. Una casella da spuntare attiva (non selezionata di default), associata a un testo chiaro del tipo «accetto di essere ricontattato da un professionista del settore per questa richiesta», costituisce una pratica conforme ampiamente adottata dalle piattaforme serie.
Questo consenso deve inoltre essere tracciato e registrato temporalmente dal fornitore, in modo da poterne dimostrare l'esistenza in caso di contestazione. Un fornitore che non può provare l'origine e il momento del consenso — o che si limita ad affermare che «tutti i dati sono conformi» senza dettagli — non offre garanzie sufficienti per un acquisto di lead sereno.
Gli obblighi dell'impresa che compra lead
Ricevendo i dati di contatto di un cliente tramite un lead, la vostra impresa diventa a sua volta responsabile del trattamento di questo dato personale, ai sensi della nLPD. Concretamente, ciò comporta diversi obblighi: conservare il dato solo per il tempo necessario a trattare la richiesta (nessuna conservazione indefinita «per ogni evenienza»), non trasmetterlo a terzi senza base legale, e rispettare il diritto del cliente a opporsi a un contatto successivo se lo richiede.
Ciò implica anche verificare, almeno una volta, come il vostro fornitore raccoglie il consenso — un fornitore affidabile deve poter rispondere a questa domanda senza esitazioni. In caso di dubbio sulla conformità di un fornitore, il rischio giuridico resta legato all'impresa che utilizza i dati, non solo a quella che li ha raccolti in origine.
Gli obblighi del fornitore di lead
Un fornitore di lead serio deve poter dimostrare l'origine di ogni consenso raccolto (modulo, registrazione temporale, testo esatto presentato al cliente), limitare il numero di imprese a cui uno stesso dato viene trasmesso a quanto dichiarato al cliente (un lead indicato come «condiviso tra 3 imprese» non dovrebbe essere rivenduto a dieci), e permettere in qualsiasi momento a un cliente finale di far valere il proprio diritto di accesso o opposizione sui propri dati.
Questi obblighi non sono semplici formalità: condizionano l'affidabilità stessa del lead. Un consenso mal raccolto o mal tracciato non è solo un rischio giuridico, è spesso anche il segno di un dato di qualità inferiore — raccolto senza un reale impegno del cliente, quindi statisticamente meno propenso a trasformarsi in un appuntamento.
Buone pratiche di conformità prima di acquistare
Prima di impegnarvi con un fornitore, alcune verifiche semplici permettono di limitare il rischio: chiedete come viene raccolto il consenso e se questo punto può essere documentato su richiesta; verificate che il fornitore precisi il livello di condivisione dichiarato (esclusivo o condiviso tra quante imprese); e assicuratevi che esista una procedura chiara se un cliente finale desidera opporsi a un contatto successivo.
Sul fronte interno, formalizzate una regola semplice per il vostro team: conservare i dati di un lead solo per il tempo necessario a trattare la richiesta, ed eliminare i contatti che non hanno avuto esito dopo un periodo ragionevole. Questa disciplina resta la migliore protezione, indipendentemente dalla qualità del fornitore scelto, e si applica a qualsiasi dato cliente trattiate, non solo ai lead acquistati.