Con un articolato provvedimento adottato il 27 novembre 2025, il Garante per la protezione dei dati personali ha irrogato una sanzione amministrativa di 400.000 euro nei confronti di una grande società operante su scala nazionale nel settore dei servizi tecnologici e della sicurezza, accertando plurime e sistemiche violazioni della disciplina in materia di protezione dei dati personali, con particolare riferimento al marketing diretto e alla gestione dei diritti degli interessati (premere qui per leggere).
Il caso rappresenta uno dei più significativi interventi recenti dell’Autorità in tema di consenso, telemarketing e accountability organizzativa, evidenziando come pratiche apparentemente diffuse possano risultare radicalmente incompatibili con il GDPR.
L’origine del procedimento
Il procedimento trae origine da più iniziative di tutela individuale, consistenti in un reclamo e in una successiva segnalazione, presentati da due soggetti distinti che lamentavano la ricezione reiterata di comunicazioni promozionali indesiderate (sms, telefonate, e-mail), nonostante l’avvenuto esercizio dei diritti di opposizione e cancellazione.
In entrambi i casi, la società aveva formalmente riscontrato le richieste, dichiarando di averle prese in carico e di volerle soddisfare nei termini di legge, ma nei fatti aveva continuato a trattare i dati per finalità commerciali, determinando un evidente scollamento tra dichiarazioni formali e operatività concreta.
Il tardivo e ineffettivo riscontro ai diritti degli interessati
L’istruttoria ha consentito di accertare che le richieste di cancellazione e opposizione non erano state eseguite entro il termine di un mese previsto dall’art. 12 GDPR, che l’effettivo blocco delle comunicazioni era avvenuto oltre quaranta giorni dopo l’istanza, nonché che la conferma agli interessati era stata inviata con ulteriore ritardo e che le richieste non erano state propagate tempestivamente a tutti i sistemi e a tutte le campagne già attive.
Il Garante ha escluso che tali ritardi potessero qualificarsi come meri errori materiali, rilevando invece una carenza strutturale nell’organizzazione dei flussi di dati, in violazione dei principi di responsabilizzazione e protezione dei dati fin dalla progettazione.
Ne è derivato l’accertamento della violazione degli artt. 12, 17 e 21 GDPR.
Il nodo centrale: marketing e telecontatto dei potenziali clienti
Il cuore del provvedimento riguarda le modalità con cui la società contattava i potenziali clienti che avevano richiesto un preventivo tramite il sito web.
Dall’analisi tecnica è emerso che:
- l’inserimento del numero di telefono costituiva condizione necessaria per accedere al servizio;
- non era prevista alcuna scelta granulare sulle diverse finalità del trattamento;
- l’utente non poteva ottenere il preventivo senza accettare implicitamente di essere ricontattato anche per finalità promozionali;
- l’informativa “sintetica” era accessibile solo tramite un link secondario, non immediatamente visibile.
In concreto, la richiesta di misure precontrattuali (preventivo) risultava inscindibilmente legata all’accettazione di attività di marketing e teleselling.
L’invalidità del consenso
Il Garante ha ritenuto radicalmente invalido il consenso così raccolto, poiché:
- non libero, essendo imposto come condizione per ottenere il servizio;
- non specifico, in quanto riferito a più finalità eterogenee;
- non informato, per l’assenza di un’informazione chiara e preventiva;
- non inequivocabile, poiché desunto da un comportamento meramente strumentale.
La conseguenza è stata l’accertata violazione degli artt. 7, parr. 2 e 4, e 5, par. 1, lett. a) GDPR, con declaratoria di illiceità dei trattamenti di marketing diretto.
Conservazione eccessiva dei dati e teleselling
Ulteriore profilo critico ha riguardato la conservazione dei dati per finalità di teleselling.
La società conservava i dati dei potenziali clienti per 12 mesi dalla richiesta di contatto, giustificando tale durata con esigenze organizzative e commerciali.
Il Garante ha ritenuto tale termine:
- sproporzionato rispetto alla finalità dichiarata;
- idoneo a trasformare il teleselling in marketing mascherato;
- incompatibile con il principio di limitazione della conservazione.
È stata quindi accertata la violazione dell’art. 5, par. 1, lett. e) GDPR.
Clienti ed ex clienti: informative carenti
Con riferimento ai trattamenti basati sul consenso nei confronti di clienti ed ex clienti, l’Autorità ha rilevato che l’informativa:
- non indicava alcun termine di conservazione;
- si limitava a formule generiche e indeterminate;
- rimetteva di fatto al titolare la decisione unilaterale sulla durata del trattamento.
Tale impostazione è stata ritenuta in contrasto con gli artt. 5, par. 1, lett. e), e 13, par. 2, lett. a) GDPR, per violazione degli obblighi di trasparenza e prevedibilità.
La sanzione e le misure correttive
Tenuto conto della gravità e natura strutturale delle violazioni, dell’elevato numero di interessati potenzialmente coinvolti, del carattere gravemente negligente delle condotte e del ruolo rilevante del titolare nel mercato nazionale,
il Garante ha:
- irrogato una sanzione di 400.000 euro;
- disposto il divieto di ulteriori trattamenti di marketing basati su consensi invalidi;
- ordinato la cancellazione dei dati illecitamente trattati;
- imposto l’adeguamento delle informative e dei meccanismi di raccolta del consenso;
- disposto la pubblicazione del provvedimento come sanzione accessoria.
Considerazioni conclusive
Il provvedimento sancisce un principio di portata generale: la richiesta di un servizio non può mai essere usata come leva per imporre attività di marketing.
Il consenso non è una formalità, ma un atto di autodeterminazione informativa che deve rimanere libero, separato e reversibile.
Ogni scorciatoia progettuale, soprattutto quando adottata su larga scala, espone il titolare a rischi sanzionatori elevatissimi.
Nel marketing digitale, l’efficienza non può prevalere sulla legalità.
Sull'autore
