ec.europa.eu/justice/policies/privacy/index_en.htm
garanteprivacy.it/garante/doc.jsp?ID=29840
Il double opt-in è ormai una best practice acquisita e suggerita; la manleva circa lo sfruttamento commerciale di un indirizzo dovrebbe intendersi come il permesso, fornito dall'utente, nel consentire la ricezione di informazioni di terzi e non come il consenso alla vendita del proprio indirizzo.
E' evidentemente equiparabile ad una clausola vessatoria: immagina che io dia il consenso a sfruttare "commercialmente" il mio indirizzo e tu lo rivenda ad un'infinità di attori.
Io riceverei costantemente mail ogni secondo, solo perchè tu hai rivenduto il mio indirizzo ad un numero infinito di aziende?
Quindi la prassi dovrebbe essere che, in caso di acquisizione di un indirizzo in relazione, ad esempio, ad un contratto che preveda l'erogazione di un bene o servizio, si possono inviare sia e-mail transazionali (senza unsubscribe policy) sia e-mail non sollecitate (senza unsubscribe policy) ma attinenti al contratto in essere (non sono transazionali ma sono ad esse equiparabili in quanto il comportamento dell'utente soggiace alla conclusione del contratto).
Inversamente, nel caso di interesse ad approntare comunicazioni non sollecitate cicliche (newsletter/ml), puoi inviare qualsiasi genere di messaggio purchè:
l'utente si sia iscritto e tu ne abbia le prove (url, ip, ora), possibilmente con procedura di double opt-in
l'utente abbia la possibilità di rimuoversi in ogni momento
Ecco perchè si tende a distinguere la newsletter dal database anagrafico vero e proprio; infatti un individuo può rimuoversi dalle comunicazioni ricorrenti MA il fornitore deve mantere la facoltà di informare l'utente in relazione ad una prestazione in corso di erogazione o erogata.
Circa il tuo quesito, devi avere in carico una prova; non avendola, anche se in buona fede, non hai appigli.