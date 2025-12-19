Il marketing diretto continua a essere uno dei terreni più scivolosi del diritto della protezione dei dati personali. Non tanto perché manchino le regole, quanto perché persiste – in molte organizzazioni – una sottovalutazione strutturale del significato giuridico del consenso, del diritto di opposizione e, più in generale, del principio di responsabilizzazione (accountability) imposto dal Regolamento (UE) 2016/679.
Il provvedimento con cui il Garante per la protezione dei dati personali ha sanzionato Verisure Italia S.r.l. per 400.000 euro si inserisce in questo solco, ma presenta profili di particolare interesse, perché colpisce pratiche di marketing ancora oggi diffusissime: l'accorpamento del consenso alla richiesta di un servizio e la gestione approssimativa – quando non tardiva – delle opposizioni degli interessati.
Indice
- 1. Il caso: dal reclamo individuale all’istruttoria dell’Autorità
- 2. Il diritto di opposizione non è una “richiesta da smaltire con calma”
- 3. Il nodo centrale: il consenso “incorporato” nella richiesta di preventivo
- 4. Informative carenti e consenso non informato
- 5. Conservazione dei dati e teleselling: quando il tempo diventa eccessivo
- 6. Le misure correttive: non solo la sanzione economica
- 7. Considerazioni conclusive: il marketing non è una zona franca
- Formazione in materia per professionisti
- Ti interessano questi contenuti?
1. Il caso: dal reclamo individuale all’istruttoria dell’Autorità
L’istruttoria trae origine da due segnalazioni distinte, accomunate però da un identico esito: la ricezione reiterata di comunicazioni promozionali nonostante l’esercizio del diritto di opposizione.
Nel primo caso, un ex cliente della società continuava a ricevere SMS di natura pubblicitaria anche dopo aver manifestato espressamente la propria volontà di non essere più contattato. Nel secondo, un potenziale cliente, che si era limitato a richiedere un preventivo tramite il sito web della società, aveva iniziato a ricevere telefonate, e-mail e messaggi promozionali, senza aver mai prestato un consenso valido e specifico al marketing diretto.
In entrambi i casi, l'Autorità ha rilevato che le comunicazioni commerciali proseguivano nonostante l'esercizio del diritto di opposizione, diritto che il GDPR riconosce in modo chiaro e rafforzato agli articoli 21 e 7, e che impone al titolare del trattamento un obbligo di immediata cessazione del trattamento per finalità di marketing.
2. Il diritto di opposizione non è una “richiesta da smaltire con calma”
Uno dei profili più critici emersi riguarda la gestione delle richieste di opposizione. Verisure Italia, secondo quanto accertato dal Garante, trattava tali richieste con ritardo, superando i termini previsti dal Regolamento.
È opportuno ricordare che il diritto di opposizione al marketing diretto ha una natura peculiare: non richiede valutazioni discrezionali da parte del titolare, né bilanciamenti di interessi. L’opposizione produce effetti immediati e vincolanti. Continuare a trattare i dati personali dopo che l’interessato ha manifestato la propria contrarietà equivale a un trattamento privo di base giuridica, dunque illecito ai sensi dell’art. 6 GDPR.
La persistenza delle comunicazioni promozionali, anche solo per inerzia organizzativa o inefficienza dei flussi interni, non può essere giustificata. E il Garante, ancora una volta, ribadisce che l’adeguamento alla normativa non si esaurisce nella predisposizione formale di procedure, ma richiede che tali procedure funzionino concretamente.
3. Il nodo centrale: il consenso “incorporato” nella richiesta di preventivo
Il cuore del provvedimento riguarda però il modo in cui la società raccoglieva il consenso al marketing tramite il proprio sito web.
Dall’istruttoria è emerso che il form online per la richiesta di preventivo non consentiva una distinzione chiara e autonoma tra la finalità contrattuale (ottenere un’offerta personalizzata) e la finalità di marketing diretto. In sostanza, il semplice inserimento del numero di telefono da parte del potenziale cliente veniva interpretato come un comportamento concludente idoneo a legittimare successive telefonate promozionali.
Questa impostazione è stata ritenuta incompatibile con i requisiti del consenso previsti dagli artt. 4, n. 11, e 7 del GDPR. Il consenso, per essere valido, deve essere libero, specifico, informato e inequivocabile. Non può essere presunto, né tantomeno “dedotto” da un’azione necessaria per accedere a un servizio richiesto dall’interessato.
Accorpare il consenso al marketing alla richiesta di un preventivo significa, di fatto, porre l’interessato di fronte a un’alternativa fittizia: o rinuncia al servizio, o accetta di essere contattato per finalità promozionali. Una pratica che la giurisprudenza e le autorità di controllo hanno da tempo qualificato come lesiva della libertà di autodeterminazione informativa.
4. Informative carenti e consenso non informato
A rendere ancora più fragile l’impianto giuridico del trattamento concorreva la mancanza di un’adeguata informativa. Il Garante ha rilevato che le informazioni fornite agli interessati non consentivano una comprensione chiara delle finalità di marketing, delle modalità di contatto e dei diritti esercitabili.
Il consenso, oltre che libero, deve essere informato. E l’informazione non può essere generica, né relegata in documenti difficilmente accessibili o formulata in modo ambiguo. Anche sotto questo profilo, il provvedimento si inserisce in una linea interpretativa ormai consolidata: l’informativa non è un adempimento burocratico, ma uno strumento sostanziale di trasparenza.
5. Conservazione dei dati e teleselling: quando il tempo diventa eccessivo
Un ulteriore elemento censurato dall’Autorità riguarda il periodo di conservazione dei dati dei potenziali clienti. Verisure Italia prevedeva un termine di 12 mesi per il trattamento dei dati ai fini di teleselling, ritenendo legittimo ricontattare il potenziale cliente anche qualora il preventivo non fosse stato accettato.
Il Garante ha giudicato tale periodo eccessivo e sproporzionato rispetto alla finalità perseguita, in violazione del principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. e) GDPR. Anche in assenza di una durata rigidamente predeterminata dalla norma, il titolare è tenuto a dimostrare la necessità concreta del periodo di conservazione prescelto. In mancanza di tale dimostrazione, il trattamento eccede quanto necessario ed è, quindi, illecito.
6. Le misure correttive: non solo la sanzione economica
Oltre alla sanzione amministrativa pecuniaria di 400.000 euro, il provvedimento impone una serie di misure correttive di particolare impatto operativo. L’Autorità ha vietato l’ulteriore trattamento dei dati personali acquisiti illecitamente, ordinato la cancellazione di quelli raccolti in assenza di un valido consenso e imposto l’adeguamento delle informative privacy al GDPR.
È stato inoltre richiesto alla società di comunicare al Garante, entro sessanta giorni dalla notifica del provvedimento, le misure adottate per conformarsi alla normativa. Un obbligo che richiama direttamente il principio di accountability: non basta dichiarare di essere conformi, occorre dimostrarlo.
Il Garante ha preso atto delle iniziative correttive già avviate dalla società nel corso dell’istruttoria, ma ciò non ha impedito l’irrogazione della sanzione, segno che la collaborazione, pur rilevante, non può sanare ex post violazioni strutturali.
7. Considerazioni conclusive: il marketing non è una zona franca
Questo provvedimento offre l’ennesima conferma di un principio che, a distanza di anni dall’entrata in vigore del GDPR, dovrebbe ormai essere acquisito: il marketing diretto non gode di alcuna corsia preferenziale. Anzi, è uno degli ambiti in cui il rispetto delle regole deve essere massimo, proprio perché incide direttamente sulla sfera privata delle persone.
Continuare a considerare il consenso come un automatismo, l’opposizione come un fastidio operativo e la conservazione dei dati come una scelta discrezionale espone le organizzazioni a rischi giuridici, reputazionali ed economici sempre più concreti.
Il messaggio del Garante è chiaro: non esiste preventivo, modulo online o strategia commerciale che possa legittimare scorciatoie sul terreno dei diritti fondamentali. E, soprattutto, non esiste marketing efficace che possa prescindere dal rispetto della volontà degli interessati.
