L'assetto normativo italiano del trattamento dei dati personali richiede - salve alcune eccezioni contenute nell'art.12 della legge 675/96 - il preventivo consenso dell'interessato. In altri termini, questo significa che senza il placet del "profilando" non dovrebbe essere possibile fare alcunchè su quei dati (nemmeno raccoglierli). Questa impostazione può essere sintetizzata con le parole "opt-in".
L'opt-in non è tuttavia un criterio assoluto, come dimostrano alcune direttive comunitarie ( 97/7/CE sui contratti a distanza e 2000/31/CE sul commercio elettronico) che a certe condizioni consentono il trattamento dei dati se l'interessato non si è dichiarato esplicitamente contrario. Questo approccio prende il nome di "opt-out".

Fra i due estremi, l'Unione europea si è mostrata molto più incline verso l'opt-in che verso l'opt-out, almeno fino ad ora. Lo scorso 11 luglio, infatti - si legge nel comunicato dell'AIDiM (Associazione Italiana Direct Marketing) - il Comitato per le libertà e i diritti dei cittadini, giustizia e affari interni, del Parlamento europeo ha approvato un rapporto sulla proposta per la direttiva europea sulla comunicazione elettronica e la riservatezza dei ati. Il rapporto si esprime a favore di un sistema di opt-out per la messaggistica elettronica (e-mail, SMS, etc.).

E' ancora presto per parlare di "cambio di rotta" - specie perché in precedenza altri importanti comitati avevano ribadito l'opportunità di non discostarsi dall'opt-in - ma sicuramente è necessario cominciare a porsi dei problemi di coordinamento normativo, considerato che le tecniche di direct marketing e di analisi dei dati sono per loro natura "trasversali". Basta pensare alla complessa problematica della raccolta e gestione del consenso dell'interessato. Che sulla base delle "eccezioni" previste dalla normativa opt-out non sarebbe necessario, ma che diventa obbligatorio quando i trattamenti escono dai limiti nei quali potevano essere concretizzati "all'insaputa" del "profilando".

Al di là degli aspetti tecnico-giuridici, tuttavia, il dibattito sulla disciplina del trattamento dei dati personali è fortemente permeato dalle necessità delle imprese la cui attività è basata sul trattamento dei dati per gli scopi più diversi. Che spesso vedono in una regolamentazione più protettiva per l'utente null'altro se non ostacoli e pastoie burocratiche.
Alcuni autorevoli commentatori giungono addirittura ad affermare "che se in passato fosse stata limitata sulla base del consenso preventivo la possibilità di promuovere la vendita di nuovi prodotti, lo sviluppo economico ed il progresso tecnologico sarebbero stati assai più lenti. Vedi Scusi, ma lei è "optinista" o "optautista? di Marco Maglio). Rivendicando poi l'autonomia della "comunicazione commerciale" (buona e desiderabile) dallo spam (cattivo e da rifiutare) con cui la prima nulla avrebbe a che vedere.

E' vero, le grandi aziende (ma quelle "grandi" sul serio e non tanto per gli aspetti "dimensionali") tengono ben distinto lo spam - che non praticano - dalla comunicazione commerciale "seria". Ma è anche vero che esiste da sempre - e non accenna certo a contrarsi - un fiorente mercato (più o meno) nero di liste (piene di "rumore" e di errori) vendute sottobanco, nemmeno stessimo parlando dell'ultima droga sintetica uscita sul mercato. Di primo acchito sembrerebbe che la notevole quantità dell'offerta di informazioni sottintenda una domanda ancora più consistente. In realtà la strabordante offerta di liste non rispecchia l'esistenza di una altrettanto consistente "domanda" da parte delle aziende. Che nella maggioranza dei casi non basano le proprie strategie principali sull'uso di liste e sullo spam. E in altri non hanno nemmeno idea di come utilizzarle. Si potrebbe quasi arrivare a dire che il cliente di un venditore di liste è... un altro venditore di liste!

In una radicalizzazione semplificatrice del ragionamento si potrebbe dire che in realtà, con buona pace delle affermazioni di principio contenute già nei manuali di direct marketing di trent'anni fa e delle dichiarazioni di facciata, l'unica cosa che conta è raggiungere quante più persone possibile con una percentuale di revenue la più elevata possibile. Se per raggiungere questo risultato serve spammare l'universo... bene, che lo si faccia.
E' evidente che un tema così complesso non può sciogliersi in estremismi o arroccamenti. Certo, è, tuttavia, che il nodo irrisolto del trattamento dei dati personali è - ancora una volta - culturale prima che giuridico o economico.

Bisogna distinguere innanzi tutto quello che - nei fatti - è "commercio" di dati da quanto invece appartiene alla pura prestazione di un servizio che non richiede profilazioni esasperate (e malfunzionanti) ma semplicemente una quantità minima di informazioni fornite direttamente dalla persona interessata ad un certo prodotto (illuminanti i ragionamenti di Giancarlo Livraghi su queste pagine  e su gandalf.it, indipendentemente ripresi da Seth Godin nel suo interessante Permission Marketing).
In questo quadro concettuale, la prospettiva dell'opt-out è fondamentalmente ispirata alla comunicazione passiva e monodirezionale, quella dell'opt-in alla ricerca del contatto con le persone. E in una reale forma di comunicazione elettronica interattiva, che vede nell'internet un vero e proprio cardine, quella richiesta di consenso che viene percepita da qualcuno come "pastoia" si trasforma in potente strumento di relazione diretto a creare valore (che non necessariamente significa "transazione commerciale").