Quando il "preventivo gratuito" nasconde campagne promozionali non autorizzate
Un box sul sito web per richiedere un preventivo gratuito che ha portato poi anni di telefonate, sms e contatti commerciali non autorizzati.
Il Garante privacy ha sanzionato* una società di videosorveglianza con 400.000,00 euro per aver trasformato una semplice richiesta di informazioni in attività di marketing invasivo.
La vicenda ci racconta che raccogliere un consenso valido per il trattamento dei dati personali in un’attività d’impresa o professionale per determinati fini non è un optional, ma un obbligo preciso.
La vicenda: a fronte della richiesta d un preventivo, marketing non autorizzato
La vicenda inizia con due segnalazioni al Garante privacy. Un ex cliente e un potenziale cliente lamentano che nonostante abbiano chiesto di non ricevere più comunicazioni promozionali, continuano ad arrivare sms e telefonate.
Nel primo caso, l'ex cliente aveva esercitato il diritto alla cancellazione dei dati e all'opposizione al marketing già a settembre 2024. La società aveva risposto che avrebbe provveduto entro i termini di legge. Ma gli sms promozionali sono continuati ad arrivare fino a novembre.
Nel secondo caso, un utente aveva richiesto un preventivo tramite sito web, poi aveva espressamente chiesto di non essere più contattato. La società aveva risposto di aver accolto la richiesta secondo quanto previsto dal GDPR ma dopo poco l’utente aveva ricevuto un nuovo sms promozionale.
Due storie diverse, ma con lo stesso problema: consensi raccolti in modo scorretto e procedure di gestione dei diritti inadeguate.
Le violazioni accertate dal Garante
L'indagine del Garante ha fatto emergere criticità strutturali nell’organizzazione del trattamento dei dati personali nell’impresa che vanno ben oltre i due casi segnalati. Le violazioni riguardavano tre aspetti fondamentali:
1. tardivo riscontro all’esercizio dei diritti degli interessati
Nel primo caso, la società ha impiegato 47 giorni per bloccare le campagne promozionali rivolte al primo segnalante e 64 giorni per comunicarglielo. Il termine previsto dal GDPR è di un mese.
La società si è giustificata sostenendo che il ritardo fosse dovuto al fatto che il reclamante non aveva specificato se fosse cliente o ex cliente. Ma il Garante ha chiarito che questa informazione deve già essere nella disponibilità del titolare del trattamento. Non può essere un onere dell'interessato fornire dettagli sull'organizzazione degli archivi aziendali.
Per il secondo segnalante, la società ha attribuito l'invio dell'sms a un'iniziativa autonoma di un agente della rete commerciale. Ma questo non esclude la responsabilità della società: chi agisce per conto del titolare deve ricevere istruzioni chiare e rispettarle.
La difficoltà nel gestire tempestivamente le richieste di cancellazione e opposizione è sintomo di un problema organizzativo: assenza di una mappatura efficace dei trattamenti e mancanza di coordinamento tra i database aziendali.
2. consenso non valido per attività di marketing
Il problema fondamentale era nel modo in cui la società raccoglieva il consenso per le attività promozionali.
Sul sito, per ottenere un preventivo (anche calcolato online), l'utente doveva inserire il proprio numero di telefono. L'azione di inserimento comportava automaticamente l'accettazione della "politica di privacy", che includeva anche il consenso a essere contattati "per ricevere informazioni relative a servizi e prodotti offerti".
Cliccando su un link era possibile accedere a un'informativa sintetica. E solo leggendo l'informativa estesa si comprendeva che i dati sarebbero stati usati anche per finalità di marketing.
Secondo il Garante, questo sistema presenta gravi criticità:
- consenso non libero: l'utente non poteva richiedere il preventivo senza accettare anche il marketing. Non c'era possibilità di scelta granulare
- consenso non specifico: non era chiaro quali trattamenti venissero autorizzati con quell'unica azione
- consenso non informato: le informazioni essenziali non erano immediatamente visibili
- consenso non inequivocabile: si confondeva la richiesta precontrattuale (il preventivo) con il consenso promozionale
In pratica, la società ha usato lo stesso presupposto - la fornitura del numero di telefono - per due finalità completamente diverse: contattare l'utente per il preventivo e farlo per attività commerciali.
Il Garante ha chiarito che inserire il numero per ottenere un preventivo è un'attività precontrattuale lecita. Ma usare quel numero per marketing richiede un consenso separato, specifico ed esplicito.
La società conservava i dati dei potenziali clienti per 12 mesi dalla richiesta di preventivo. Questo termine veniva giustificato dalla necessità di effettuare attività di "teleselling": ricontattare chi non aveva accettato il preventivo per presentare nuove offerte.
Secondo il Garante, 12 mesi sono un tempo eccessivo e sproporzionato rispetto alla finalità dichiarata. Soprattutto considerando che:
- nessuna informazione specifica veniva fornita su questa attività di ricontatto
- il termine di conservazione coincideva con quello previsto per il marketing, lasciando intendere che si trattasse in realtà della stessa attività la "continuità cronologica" tra richiesta di preventivo e ricontatto veniva di fatto annullata da un arco temporale così ampio
- la "continuità cronologica" tra richiesta di preventivo e ricontatto veniva di fatto annullata da un arco temporale così ampio
Anche con riferimento agli ex clienti, l'informativa non indicava i termini di conservazione dei dati per finalità promozionali, limitandosi a dichiarare genericamente che i dati sarebbero stati conservati "per il periodo strettamente necessario".
Questa formulazione non rispettava l'obbligo di indicare i periodi di conservazione o almeno i criteri per determinarli, come richiesto dall'articolo 13 del GDPR.
Cosa ha fatto la società sanzionata
Solo dopo l'intervento del Garante, la società ha avviato modifiche al proprio sistema, ossia ha:
- adottato una piattaforma per verificare automaticamente la categoria di appartenenza degli interessati (cliente, ex cliente, potenziale cliente)
- fornito istruzioni alla rete di agenti per verificare sempre la black list prima di effettuare contatti commerciali autonomi
fornito l'indirizzo e-mail in occasione di un acquisto concluso- modificato le procedure di raccolta dati sul sito, separando la richiesta di preventivo dal consenso al marketing
- previsto di aggiornare le informative per rendere più trasparenti le attività di telebooking, teleselling e marketing
Perché la sanzione è stata così elevata
Il Garante ha applicato una sanzione di 400.000,00 euro (pari allo 0,18% del fatturato della società), considerando:
- la gravità delle violazioni: riguardavano principi fondamentali come la libertà del consenso e la corretta informazione
- il carattere strutturale delle condotte illecite: non si trattava di errori occasionali ma di prassi consolidate
- il numero elevato di interessati coinvolti su scala nazionale
- la negligenza grave nella progettazione dei sistemi di raccolta del consenso
- il pregiudizio concreto subito dagli interessati, costretti a rivolgersi all'Autorità per far valere i propri diritti
Come attenuanti sono state considerate:
- l'assenza di precedenti sanzioni
- la collaborazione con l'Autorità
- l'adozione, seppur tardiva, di misure correttive
- il fatto che non siano stati trattati dati particolari
Oltre alla sanzione pecuniaria, il Garante ha disposto anche la pubblicazione del provvedimento sul proprio sito come sanzione accessoria, proprio per la gravità delle violazioni e il potenziale impatto su un numero elevato di persone.
Le misure imposte dal Garante
Oltre alla sanzione pecuniaria, il Garante ha ordinato alla società di:
- interrompere immediatamente ogni ulteriore trattamento per finalità di marketing dei dati acquisiti senza valido consenso
- cancellare tutti i dati trattati sulla base del consenso non valido (fatti salvi quelli necessari per altri trattamenti leciti)
- modificare l'informativa breve presente nel box di richiesta preventivo, specificando chiaramente che il numero di telefono sarà usato solo per la fornitura del preventivo e per eventuali ricontatti se la proposta fosse rimasta senza esito
- aggiornare le informative (breve ed estesa) per descrivere correttamente l'attività di teleselling e le relative basi giuridiche
Indicazioni pratiche per la tua organizzazione
Questo caso ci dà lo spunto per alcune indicazioni concrete per chiunque svolga attività di marketing, soprattutto online:
1. Il consenso va chiesto in modo chiaro e separato
Se raccogli dati per fornire un servizio (un preventivo, una consulenza, una prova gratuita), non puoi automaticamente usare quegli stessi dati per fare marketing. Serve un consenso autonomo, specifico e libero.
Nella pratica:
- usa checkbox separati per finalità diverse
- non preselezionare mai le caselle
- rendi visibili le informazioni essenziali
- permetti all'utente di scegliere cosa autorizzare e cosa no
2. L'informativa deve essere chiara e completa
L'informativa non è una formalità burocratica. Deve spiegare:
- quali dati raccogli
- per quali finalità
- su quale base giuridica
- per quanto tempo li conservi
- come si possono esercitare i diritti
Se prevedi trattamenti diversi, devi descriverli in modo distinto e comprensibile.
3. I tempi di conservazione dei dati devono essere proporzionati
Non puoi conservare i dati "per sempre". Devi definire:
- termini precisi di conservazione
- oppure criteri oggettivi per determinarli
Soprattutto per il marketing, i termini di conservazione devono essere ragionevoli e proporzionati alla finalità dichiarata. Non puoi giustificare 12 mesi di conservazione per "ricontattare chi non ha accettato il preventivo" quando, nei fatti, stai facendo attività promozionale generica.
4. Gestisci i diritti degli interessati in modo adeguato
Quando un* cliente o un utente ti chiede di:
- cancellare i suoi dati
- opporsi al marketing
- revocare il consenso
devi intervenire subito e in modo efficace. Hai un mese di tempo per rispondere.
Per farlo serve:
- una mappatura precisa di tutti i database in cui sono presenti i dati
- procedure chiare per inviare le richieste a tutti i sistemi
- coordinamento tra uffici interni e fornitori esterni
- formazione del personale e di agenti o collaborat* che agiscono per tuo conto
5. Presta attenzione alle fasi di transizione
Questo caso dimostra che i problemi organizzativi emergono spesso in momenti critici:
- passaggi tra diversi database
- campagne di marketing già approvate e avviate
- agenti che agiscono autonomamente
In questi casi serve un presidio ancora più rigoroso e procedure di controllo rafforzate.
La compliance è una protezione concreta
Questo provvedimento conferma un principio che ripetiamo spesso: la compliance GDPR non è un adempimento formale, ma una scelta concreta di cultura e responsabilità d'impresa e di cura delle persone.
Ma è anche necessaria per evitare conseguenze gravi, come:
- sanzioni economiche rilevanti
- danni reputazionali significativi
- perdita di fiducia da parte della clientela
- pubblicazione del provvedimento sanzionatorio
- contenziosi e richieste di risarcimento
Investire nella progettazione di un sistema di compliance solido - informative chiare, consensi validi, procedure efficaci per la gestione dei diritti, ... - non è un costo ma una decisione strategica che dà valore e protezione ad ogni organizzazione.
Iscriviti alla nostra newsletter
Per ricevere novità e approfondimenti sul tema della conformità delle organizzazioni (aziende, studi professionali, associazioni, enti): contratti, privacy, regole del digitale, sostenibilità, modello 231.
