Nota al provvedimento del Garante per la protezione dei dati personali, 27 novembre 2025, n. 10201989
1. Premessa
Con il provvedimento del 27 novembre 2025, n. 10201989, il Garante per la protezione dei dati personali interviene in modo particolarmente incisivo sul tema delle comunicazioni commerciali e, più in generale, sulla corretta individuazione delle basi giuridiche del trattamento, sulla gestione dei diritti degli interessati e sulla strutturazione dei processi interni dei titolari del trattamento.
Il caso esaminato offre l’occasione per ribadire alcuni principi cardine del GDPR – consenso, accountability, limitazione della conservazione e diritto di opposizione – riletti in chiave organizzativa e non meramente formale. Il provvedimento si segnala infatti per la valorizzazione delle carenze strutturali e procedurali del titolare, più che per la singola condotta materiale contestata.
2. L’origine del procedimento e il perimetro dell’istruttoria
L’istruttoria prende le mosse da un reclamo e da una successiva segnalazione, entrambi riferiti alla persistente ricezione di comunicazioni promozionali nonostante l’esercizio, da parte degli interessati, dei diritti di cancellazione e di opposizione al trattamento. In entrambi i casi, il titolare aveva formalmente riscontrato le richieste, impegnandosi a darvi seguito nei termini di cui all’art. 12 GDPR, ma aveva poi continuato a trattare i dati per finalità di marketing.
Il Garante decide di trattare congiuntamente i due procedimenti, valorizzando l’identità soggettiva del titolare e l’omogeneità delle doglianze, in una logica di economicità e completezza dell’azione amministrativa. Sin dalle prime battute, emerge come il nodo centrale non sia l’episodicità delle comunicazioni indesiderate, bensì la capacità dell’organizzazione del titolare di intercettare, qualificare e propagare correttamente le richieste degli interessati all’interno dei propri sistemi.
3. Il tardivo riscontro ai diritti e il principio di accountability
Uno dei profili più rilevanti del provvedimento riguarda l’accertamento del tardivo adempimento all’esercizio dei diritti di cancellazione e opposizione. Il Garante accerta che il titolare abbia dato concreta attuazione alle richieste ben oltre il termine di un mese previsto dall’art. 12, par. 3, GDPR, continuando nel frattempo a inviare comunicazioni promozionali.
Particolarmente significativa è la motivazione con cui l’Autorità respinge la tesi difensiva secondo cui il ritardo sarebbe stato determinato dalla mancata indicazione, da parte dell’interessato, della propria “qualifica” (cliente, ex cliente o potenziale cliente). Secondo il Garante, tale argomento è sintomatico di una carenza organizzativa: l’onere di classificare correttamente gli interessati e di mappare i trattamenti grava esclusivamente sul titolare, in forza del principio di accountability e dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita.
L’incapacità di bloccare tempestivamente campagne già approvate e avviate, così come la difficoltà di coordinare l’azione della rete di agenti, viene letta non come errore occasionale, ma come indice di un sistema non idoneo a garantire l’effettività dei diritti riconosciuti dal GDPR.
4. Telebooking, marketing e teleselling
Il cuore del provvedimento è rappresentato dall’analisi delle modalità di raccolta del numero di telefono e delle basi giuridiche invocate per le successive attività di contatto. Il Garante ricostruisce puntualmente come, nella pratica, il titolare abbia utilizzato la fornitura del numero di telefono per finalità di telebooking come presupposto unitario per una pluralità di trattamenti ulteriori, tra cui il marketing e il teleselling.
L’Autorità distingue correttamente il trattamento necessario all’esecuzione di misure precontrattuali – ritenuto lecito se fondato sull’art. 6, par. 1, lett. b), GDPR – dalle attività di marketing diretto, per le quali è richiesto un consenso libero, specifico, informato e inequivocabile. Ciò che viene censurato non è tanto la finalità in sé, quanto la modalità di acquisizione del consenso, che risulta accorpato e indistinguibile dalla richiesta di preventivo.
Secondo il Garante, il meccanismo utilizzato dal titolare non consentiva all’interessato di esprimere un consenso granulare, né di rifiutare le comunicazioni commerciali senza rinunciare alla richiesta di preventivo. Ne deriva un consenso viziato sotto plurimi profili: mancanza di libertà, difetto di specificità, carenza informativa e assenza di inequivocabilità.
5. Il termine di conservazione e la perdita della “continuità cronologica”
Un ulteriore passaggio di rilievo riguarda la valutazione del termine di conservazione dei dati per finalità di teleselling, fissato dal titolare in dodici mesi dalla richiesta di contatto. Il Garante esclude che un arco temporale così ampio possa essere giustificato sulla base della continuità con l’attività di telebooking, evidenziando come tale durata finisca per mascherare un autonomo trattamento di marketing.
L’Autorità sottolinea che, in assenza di un’adeguata informazione e di una base giuridica distinta, la conservazione prolungata dei dati espone gli interessati a ricontatti indesiderati e svuota di contenuto il principio di limitazione della conservazione. Anche sotto questo profilo, la censura investe la progettazione complessiva del trattamento e non il singolo episodio di contatto.
Analoga valutazione viene svolta con riferimento ai clienti ed ex clienti, per i quali l’informativa non indicava alcun termine di conservazione o criterio idoneo a determinarlo, rimettendo di fatto alla discrezionalità del titolare la durata del trattamento.
6. Pubblicazione del provvedimento e funzione deterrente
Non meno rilevante è la decisione del Garante di disporre la pubblicazione del provvedimento, respingendo la richiesta di anonimizzazione avanzata dal titolare. L’Autorità richiama il principio di trasparenza dell’azione amministrativa e la funzione educativa e deterrente della pubblicazione, specie in presenza di violazioni che incidono su diritti fondamentali e che possono coinvolgere un numero elevato di interessati.
La pubblicazione viene qualificata come sanzione accessoria proporzionata alla gravità delle violazioni accertate, alla diffusione territoriale delle condotte e al ruolo economico del titolare nel mercato di riferimento.
7. Considerazioni conclusive
Il provvedimento del 27 novembre 2025 rappresenta un chiaro monito ai titolari del trattamento: la conformità al GDPR non può essere affidata a dichiarazioni di principio o a risposte formali agli interessati, ma richiede un assetto organizzativo coerente, tracciabile e capace di reagire tempestivamente all’esercizio dei diritti.
Il Garante ribadisce una lettura sostanziale dei principi di liceità, correttezza e trasparenza, nella quale il consenso non può essere diluito o “assorbito” in meccanismi precontrattuali, e i diritti degli interessati non possono essere sacrificati sull’altare dell’efficienza commerciale. Ne emerge una visione esigente dell’accountability, che impone ai titolari di ripensare i propri processi interni in chiave di effettiva tutela dei diritti fondamentali.
Avv. Adamo Brunetti
