Il marketing diretto continua a essere uno dei terreni più scivolosi del diritto della protezione dei dati personali. Non tanto perché manchino le regole, quanto perché persiste – in molte organizzazioni – una sottovalutazione strutturale del significato giuridico del consenso, del diritto di opposizione e, più in generale, del principio di responsabilizzazione (accountability) imposto dal Regolamento (UE) 2016/679.
Il provvedimento con cui il Garante per la protezione dei dati personali ha sanzionato Verisure Italia S.r.l. per 400.000 euro si inserisce in questo solco, ma presenta profili di particolare interesse, perché colpisce pratiche di marketing ancora oggi diffusissime: l’accorpamento del consenso alla richiesta di un servizio e la gestione approssimativa – quando non tardiva – delle opposizioni degli interessati. In materia di cybersicurezza, abbiamo organizzato il corso Linee guida per la governance dei dati e dell’intelligenza artificiale. Abbiamo anche pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon
Indice
- 1. Il caso: dal reclamo individuale all’istruttoria dell’Autorità
- 2. Il diritto di opposizione non è una “richiesta da smaltire con calma”
- 3. Il nodo centrale: il consenso “incorporato” nella richiesta di preventivo
- 4. Informative carenti e consenso non informato
- 5. Conservazione dei dati e teleselling: quando il tempo diventa eccessivo
- 6. Le misure correttive: non solo la sanzione economica
- 7. Considerazioni conclusive: il marketing non è una zona franca
- Formazione in materia per professionisti
- Ti interessano questi contenuti?
1. Il caso: dal reclamo individuale all’istruttoria dell’Autorità
L’istruttoria trae origine da due segnalazioni distinte, accomunate però da un identico esito: la ricezione reiterata di comunicazioni promozionali nonostante l’esercizio del diritto di opposizione.
Nel primo caso, un ex cliente della società continuava a ricevere SMS di natura pubblicitaria anche dopo aver manifestato espressamente la propria volontà di non essere più contattato. Nel secondo, un potenziale cliente, che si era limitato a richiedere un preventivo tramite il sito web della società, aveva iniziato a ricevere telefonate, e-mail e messaggi promozionali, senza aver mai prestato un consenso valido e specifico al marketing diretto.
In entrambi i casi, l’Autorità ha rilevato che le comunicazioni commerciali proseguivano nonostante l’esercizio del diritto di opposizione, diritto che il GDPR riconosce in modo chiaro e rafforzato agli articoli 21 e 7, e che impone al titolare del trattamento un obbligo di immediata cessazione del trattamento per finalità di marketing. Abbiamo anche pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon.
Formulario commentato della privacy
La nuova edizione dell’opera affronta con taglio pratico gli aspetti sostanziali e procedurali del trattamento dei dati personali alla luce delle nuove sfide poste dall’evoluzione normativa e tecnologica degli ultimi due anni. La disciplina di riferimento è commentata tenendo conto dei rilevanti interventi a livello europeo e nazionale (tra cui le Linee Guida EDPB, i regolamenti AI Act e DORA, l’attuazione della direttiva NIS 2), offrendo al Professionista una guida completa e aggiornata.Il libro è suddiviso in tredici sezioni, che coprono ogni aspetto della materia e tutti gli argomenti sono corredati da oltre 100 formule e modelli. Tra le novità più rilevanti:• Connessioni tra il nuovo AI Act e il GDPR, differenze tra FRIA e DPIA, valutazione dei rischi e incidenti• Gestione del personale: smart working, telelavoro e whistleblowing• Strumenti di monitoraggio: controlli a distanza dei lavoratori, cloud computing e gestione degli strumenti informatici in azienda• Tutela degli interessati: una guida completa su profilazione, processi decisionali automatizzati e sull’esercizio dei diritti• Strumenti di tutela: sanzioni, reclami, segnalazioni e ricorsi al Garante.Giuseppe CassanoDirettore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.Enzo Maria Tripodiattualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.Cristian ErcolanoPartner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2025
58.90 €
2. Il diritto di opposizione non è una “richiesta da smaltire con calma”
Uno dei profili più critici emersi riguarda la gestione delle richieste di opposizione. Verisure Italia, secondo quanto accertato dal Garante, trattava tali richieste con ritardo, superando i termini previsti dal Regolamento.
È opportuno ricordare che il diritto di opposizione al marketing diretto ha una natura peculiare: non richiede valutazioni discrezionali da parte del titolare, né bilanciamenti di interessi. L’opposizione produce effetti immediati e vincolanti. Continuare a trattare i dati personali dopo che l’interessato ha manifestato la propria contrarietà equivale a un trattamento privo di base giuridica, dunque illecito ai sensi dell’art. 6 GDPR.
La persistenza delle comunicazioni promozionali, anche solo per inerzia organizzativa o inefficienza dei flussi interni, non può essere giustificata. E il Garante, ancora una volta, ribadisce che l’adeguamento alla normativa non si esaurisce nella predisposizione formale di procedure, ma richiede che tali procedure funzionino concretamente.
3. Il nodo centrale: il consenso “incorporato” nella richiesta di preventivo
Il cuore del provvedimento riguarda però il modo in cui la società raccoglieva il consenso al marketing tramite il proprio sito web.
Dall’istruttoria è emerso che il form online per la richiesta di preventivo non consentiva una distinzione chiara e autonoma tra la finalità contrattuale (ottenere un’offerta personalizzata) e la finalità di marketing diretto. In sostanza, il semplice inserimento del numero di telefono da parte del potenziale cliente veniva interpretato come un comportamento concludente idoneo a legittimare successive telefonate promozionali.
Questa impostazione è stata ritenuta incompatibile con i requisiti del consenso previsti dagli artt. 4, n. 11, e 7 del GDPR. Il consenso, per essere valido, deve essere libero, specifico, informato e inequivocabile. Non può essere presunto, né tantomeno “dedotto” da un’azione necessaria per accedere a un servizio richiesto dall’interessato.
Accorpare il consenso al marketing alla richiesta di un preventivo significa, di fatto, porre l’interessato di fronte a un’alternativa fittizia: o rinuncia al servizio, o accetta di essere contattato per finalità promozionali. Una pratica che la giurisprudenza e le autorità di controllo hanno da tempo qualificato come lesiva della libertà di autodeterminazione informativa.
4. Informative carenti e consenso non informato
A rendere ancora più fragile l’impianto giuridico del trattamento concorreva la mancanza di un’adeguata informativa. Il Garante ha rilevato che le informazioni fornite agli interessati non consentivano una comprensione chiara delle finalità di marketing, delle modalità di contatto e dei diritti esercitabili.
Il consenso, oltre che libero, deve essere informato. E l’informazione non può essere generica, né relegata in documenti difficilmente accessibili o formulata in modo ambiguo. Anche sotto questo profilo, il provvedimento si inserisce in una linea interpretativa ormai consolidata: l’informativa non è un adempimento burocratico, ma uno strumento sostanziale di trasparenza.
5. Conservazione dei dati e teleselling: quando il tempo diventa eccessivo
Un ulteriore elemento censurato dall’Autorità riguarda il periodo di conservazione dei dati dei potenziali clienti. Verisure Italia prevedeva un termine di 12 mesi per il trattamento dei dati ai fini di teleselling, ritenendo legittimo ricontattare il potenziale cliente anche qualora il preventivo non fosse stato accettato.
Il Garante ha giudicato tale periodo eccessivo e sproporzionato rispetto alla finalità perseguita, in violazione del principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. e) GDPR. Anche in assenza di una durata rigidamente predeterminata dalla norma, il titolare è tenuto a dimostrare la necessità concreta del periodo di conservazione prescelto. In mancanza di tale dimostrazione, il trattamento eccede quanto necessario ed è, quindi, illecito.
6. Le misure correttive: non solo la sanzione economica
Oltre alla sanzione amministrativa pecuniaria di 400.000 euro, il provvedimento impone una serie di misure correttive di particolare impatto operativo. L’Autorità ha vietato l’ulteriore trattamento dei dati personali acquisiti illecitamente, ordinato la cancellazione di quelli raccolti in assenza di un valido consenso e imposto l’adeguamento delle informative privacy al GDPR.
È stato inoltre richiesto alla società di comunicare al Garante, entro sessanta giorni dalla notifica del provvedimento, le misure adottate per conformarsi alla normativa. Un obbligo che richiama direttamente il principio di accountability: non basta dichiarare di essere conformi, occorre dimostrarlo.
Il Garante ha preso atto delle iniziative correttive già avviate dalla società nel corso dell’istruttoria, ma ciò non ha impedito l’irrogazione della sanzione, segno che la collaborazione, pur rilevante, non può sanare ex post violazioni strutturali.
7. Considerazioni conclusive: il marketing non è una zona franca
Questo provvedimento offre l’ennesima conferma di un principio che, a distanza di anni dall’entrata in vigore del GDPR, dovrebbe ormai essere acquisito: il marketing diretto non gode di alcuna corsia preferenziale. Anzi, è uno degli ambiti in cui il rispetto delle regole deve essere massimo, proprio perché incide direttamente sulla sfera privata delle persone.
Continuare a considerare il consenso come un automatismo, l’opposizione come un fastidio operativo e la conservazione dei dati come una scelta discrezionale espone le organizzazioni a rischi giuridici, reputazionali ed economici sempre più concreti.
Il messaggio del Garante è chiaro: non esiste preventivo, modulo online o strategia commerciale che possa legittimare scorciatoie sul terreno dei diritti fondamentali. E, soprattutto, non esiste marketing efficace che possa prescindere dal rispetto della volontà degli interessati.
Formazione in materia per professionisti
Linee guida per la governance dei dati e dell’intelligenza artificiale
Un ciclo di quattro incontri per tradurre le norme su AI e protezione dei dati in procedure operative concrete. Dalla definizione delle policy alla costruzione del reporting e delle linee guida interne, il webinar offre ai professionisti della compliance strumenti immediatamenti applicabili:
• Basi giuridiche e accountability documentale: principi applicabili ai trattamenti tipici dell’ufficio legale, distinzione fra esigenze legali, difensive e operative, mappatura end-to-end del flusso “revisione clausole contrattuali” ed errori frequenti con relative contromisure.
• Criteri e controllo dei risultati: accettazione dei risultati di analisi e AI, registrazione dei casi d’uso e delle verifiche, esempi pratici di analytics.
• KPI, reporting e governance del dato: definizione e monitoraggio degli indicatori, progettazione di dashboard efficaci e policy interne per garantire tracciabilità e qualità dei dati.
• Integrazione AI e workflow aziendale: collegamento dell’AI con l’ecosistema aziendale, flusso “review automatizzata delle clausole” e linee guida “Uso dati e AI nell’ufficio legale”.
>>>Per info ed iscrizione<<<
Ti interessano questi contenuti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento