Responsabilità elusa e consensi opachi: il Garante sanziona NCA per 45.000 euro
Con il provvedimento n. 330 del 4 giugno 2025 (premere qui per leggere) il Garante per la protezione dei dati personali ha comminato una sanzione amministrativa di € 45.000,00 alla società Noi Compriamo Auto S.r.l. (NCA), rilevando una pluralità di violazioni in materia di trattamento dei dati personali, tutte riconducibili a pratiche scorrette di email marketing.
L’istruttoria trae origine da un reclamo presentato da un utente che, pur non avendo mai conferito alcun consenso, ha ricevuto numerose comunicazioni pubblicitarie indesiderate, inviate per conto di NCA tramite terzi soggetti, con indirizzi e modalità opache.
Una catena opaca di soggetti e responsabilità
Il cuore della violazione risiede nella mancata chiarezza circa la titolarità del trattamento: NCA ha affidato a partner terzi l’attività promozionale, sostenendo che il consenso fosse stato acquisito da altri soggetti, attraverso portali come yoursavingfiesta.com e streamail.pro, risultati sconosciuti al reclamante e privi di qualsiasi garanzia di compliance normativa.
Le società coinvolte si sono giustificate allegando log di registrazione contenenti indirizzi IP e timestamp, documentazione che il Garante ha giudicato inidonea a dimostrare un consenso effettivo e consapevole, poiché non supportata da sistemi di double opt-in, né da meccanismi di prova non alterabili.
Il ruolo attivo del titolare e la fallacia delle manleve
Il Garante ha ribadito che, anche in presenza di soggetti terzi che operano in nome e per conto del titolare, NCA mantiene la piena responsabilità per la liceità del trattamento.
La presenza nei contratti di clausole di manleva e dichiarazioni generiche di conformità normativa non esime il titolare da obblighi fondamentali: selezione, vigilanza e controllo continuo dei propri responsabili del trattamento, secondo i dettami dell’art. 28 GDPR.
Violazioni accertate: una panoramica normativa
Il provvedimento ha confermato la violazione di ben quattro disposizioni chiave:
- art. 28 GDPR: mancata corretta disciplina dei rapporti con i responsabili del trattamento;
- art. 6, par. 1, lett. a) GDPR e art. 130 Codice Privacy: assenza di un consenso valido all’invio di email promozionali;
- art. 5, par. 2 e art. 24 GDPR: mancata accountability nella gestione delle campagne pubblicitarie;
- art. 12, par. 2 GDPR: ostacolo all’esercizio dei diritti dell’interessato, per effetto di filtri antispam non adeguatamente gestiti.
Sanzione pecuniaria e obbligo di pubblicazione
Tenuto conto della gravità delle violazioni, della natura colposa del comportamento societario e della mancanza di controlli ex ante ed ex post, il Garante ha applicato una sanzione di € 45.000,00, pari allo 0,23% della sanzione edittale massima. La decisione prevede anche la pubblicazione dell’ordinanza ingiunzione sul sito dell’Autorità, in applicazione dell’art. 166 del Codice.
Indicazioni operative per i titolari del trattamento
Il provvedimento si presta ad una riflessione urgente sulla necessità di riconsiderare l’intero ecosistema del marketing digitale, a partire dalla documentazione del consenso, fino alla qualificazione contrattuale e sostanziale dei partner esterni.
Non è più sufficiente demandare ad altri l’onere della conformità. È bensì essenziale:
- implementare procedure trasparenti di raccolta del consenso, preferibilmente con meccanismi di double opt-in;
- formalizzare correttamente i ruoli tra titolari e responsabili del trattamento;
- monitorare attivamente i partner;
- semplificare l’esercizio dei diritti degli interessati attraverso canali efficienti e presidiati.
La responsabilità non si esternalizza. E nemmeno la fiducia degli utenti.
The post E-mail promozionali e privacy violata: la sanzione che risveglia le coscienze digitali first appeared on Osservatorio Italiano sul Diritto delle Nuove Tecnologie.
