Nota al provvedimento del Garante per la protezione dei dati personali, 27 novembre 2025
1. Premessa
Con il provvedimento del 27 novembre 2025 il Garante per la protezione dei dati personali ha accertato plurime violazioni del Regolamento (UE) 2016/679 in capo ad un’importante azienda operante nella gestione di servizi pubblici locali, sanzionandola per irregolarità connesse alle modalità di registrazione all’area riservata del sito web e al trattamento dei dati personali per finalità promozionali.
La decisione si inserisce nel solco di una giurisprudenza amministrativa ormai consolidata, che privilegia una lettura sostanziale degli obblighi privacy, valorizzando il principio di accountability e la capacità effettiva del titolare di governare i rischi per i diritti e le libertà degli interessati.
2. La vicenda istruttoria e il sistema di accesso all’area riservata
L’istruttoria prende avvio da una segnalazione concernente le modalità di accesso all’area riservata del sito dell’azienda, riservata ai clienti per la consultazione dei dati relativi ai servizi erogati. Il Garante accerta che la registrazione avveniva mediante inserimento del codice fiscale e creazione di credenziali, senza l’adozione di adeguate misure di verifica dell’identità del soggetto che effettuava l’accesso.
Secondo l’Autorità, tale modalità non garantiva un livello di sicurezza adeguato al rischio, in quanto il codice fiscale costituisce un dato facilmente reperibile e non idoneo, da solo, a prevenire accessi indebiti. Ne discende la violazione dell’art. 32 GDPR, sotto il profilo dell’inadeguatezza delle misure tecniche e organizzative adottate dall’azienda per proteggere i dati personali trattati attraverso l’area riservata.
3. La raccolta dei consensi e le criticità del processo di registrazione
Un profilo centrale del provvedimento riguarda la gestione dei consensi al trattamento dei dati per finalità promozionali. Il Garante rileva che, in sede di registrazione, l’azienda utilizzava formule di acquisizione del consenso non sufficientemente granulari, con il rischio di confondere i trattamenti necessari all’erogazione dei servizi con quelli ulteriori di marketing e customer satisfaction.
L’Autorità evidenzia come i consensi risultassero preimpostati o comunque non chiaramente distinguibili, compromettendo la libertà di scelta dell’interessato. In tale contesto, il consenso non poteva ritenersi valido ai sensi degli artt. 4, n. 11, e 7 GDPR, poiché non espressione di una volontà specifica, informata e inequivocabile.
Il provvedimento ribadisce che il consenso non può essere “assorbito” nella registrazione a un servizio digitale, né giustificato dall’interesse commerciale del titolare a promuovere ulteriori servizi.
4. Tempi di conservazione e violazione del principio di limitazione
Il Garante censura, inoltre, l’azienda per la determinazione inadeguata dei tempi di conservazione dei dati personali trattati per finalità promozionali. Dall’istruttoria emerge che la società aveva individuato periodi di conservazione ampi e non adeguatamente giustificati, tali da esporre gli interessati a un trattamento protratto nel tempo senza un effettivo collegamento con le finalità originarie.
Secondo l’Autorità, la mancata indicazione di criteri chiari e trasparenti viola il principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. e), GDPR, nonché gli obblighi informativi previsti dagli artt. 13 e 14 del Regolamento.
5. Accountability e carenze organizzative
Dalla motivazione del provvedimento emerge una critica netta all’assetto organizzativo dell’azienda. Le violazioni non vengono ricondotte a singoli errori operativi, bensì a un sistema complessivamente inadeguato a garantire la protezione dei dati by design e by default.
Il Garante richiama espressamente il principio di accountability, sottolineando come spetti al titolare dimostrare di aver progettato i processi digitali – dalla registrazione all’area riservata alla gestione dei consensi – in modo coerente con i rischi del trattamento. L’adozione di informative formali o di procedure standard non è sufficiente se non accompagnata da misure tecniche e organizzative effettivamente idonee.
6. Sanzione, pubblicazione e funzione deterrente
Alla luce delle violazioni accertate, il Garante irroga all’azienda una sanzione amministrativa pecuniaria significativa, tenendo conto della natura dei dati trattati, del numero di interessati potenzialmente coinvolti e della durata delle condotte.
Particolarmente rilevante è la decisione di disporre la pubblicazione del provvedimento, quale misura accessoria con funzione deterrente ed educativa. Secondo l’Autorità, la pubblicazione risponde all’esigenza di promuovere una corretta applicazione della normativa privacy in un settore – quello dei servizi digitali ai clienti – caratterizzato da rischi strutturali elevati.
7. Considerazioni conclusive
Il caso in oggetto conferma l’orientamento rigoroso del Garante verso una compliance privacy sostanziale, che non tollera soluzioni meramente formali o affidate a automatismi tecnologici. La protezione dei dati personali deve essere incorporata nei processi organizzativi e digitali del titolare, in modo coerente con i principi di responsabilizzazione, proporzionalità e tutela effettiva dei diritti degli interessati.
Il provvedimento rappresenta dunque un monito per tutti i gestori di servizi digitali e utility: l’innovazione tecnologica e la digitalizzazione dei rapporti con l’utenza devono procedere di pari passo con un governo consapevole e strutturato del rischio privacy.
Avv. Adamo Brunetti
