LA SANZIONE DEL MERCOLEDÌ: telemarketing aggressivo, consensi inesistenti e liste opache — sanzionata azienda del settore energia

/ Diritto delle nuove tecnologie / Di
Tempo di lettura stimato:3 Minuti, 53 Secondi

Con il provvedimento n. 539 del 25 settembre 2025 (premere qui per leggere), il Garante per la protezione dei dati personali ha applicato una sanzione di 35.000 euro a una società di medie dimensioni operante nel settore energetico, per gravi violazioni nella gestione delle attività di telemarketing e teleselling.

Il caso è di particolare rilievo perché mostra — con dovizia di elementi probatori — un sistema commerciale privo di controlli sulla provenienza dei dati, incapace di garantire il rispetto dei diritti degli interessati e caratterizzato da dinamiche operative approssimative nell’intera filiera dei contatti telefonici.

1. Origine del procedimento

La vicenda nasce da un reclamo e da 22 segnalazioni pervenute nel corso di un anno, tutte accomunate dalla stessa condotta: chiamate promozionali indesiderate provenienti da numerazioni non iscritte al Registro degli Operatori di Comunicazione e Postali, rivolte a persone che avevano già esercitato:

  • l’opposizione alle chiamate commerciali tramite Registro Pubblico delle Opposizioni;
  • diritti di accesso e cancellazione ai sensi degli artt. 15 e ss. GDPR.

L’azienda non aveva mai fornito riscontro a tali istanze.

2. La gestione dei dati e delle liste di contatto

Dall’istruttoria emerge che la società aveva affidato la composizione delle liste di contattabilità a un list provider extra-UE, con sede in un Paese non coperto da decisione di adeguatezza.

Le liste contenevano presunti consensi per 50.000 contatti, ma:

  • non esisteva alcuna prova dell’acquisizione valida del consenso;
  • la società non aveva effettuato controlli sulla formazione delle liste;
  • non risultava traccia delle verifiche obbligatorie presso il Registro Pubblico delle Opposizioni;
  • venivano utilizzate numerazioni non iscritte al ROC, senza distinzione tra numerazioni aziendali e numerazioni per attività promozionali.

La società si difende sostenendo errori tecnici, “sviste”, difficoltà organizzative e problemi di comunicazione con i fornitori, ma senza mai documentare adeguatamente un solo consenso valido.

3. Errori formali e sostanziali nel ruolo dei soggetti

L’analisi ha evidenziato una errata qualificazione dei ruoli nella catena del trattamento:

  • la società sosteneva di essere responsabile del trattamento per conto del list provider;
  • in realtà, secondo i criteri dell’art. 4, n. 7 GDPR, la società era titolare autonomo, poiché determinava finalità, mezzi e obiettivi commerciali;
  • anche il fornitore estero operava come titolare autonomo nell’acquisizione e cessione delle liste.

Una ricostruzione contraria alla normativa europea e alle Linee guida 07/2020, che impone ai titolari verifiche stringenti sull’intera filiera di trattamento, soprattutto quando si acquistano contatti da operatori esteri.

4. Diritti degli interessati: risposte ignorate

La società:

  • non ha mai risposto alla richiesta di accesso e cancellazione del reclamante;
  • non ha gestito le istanze verbali ricevute dagli utenti durante le telefonate;
  • non ha attivato processi interni per tracciare e riscontrare le richieste ex artt. 12–22 GDPR.

Il diritto degli interessati veniva dunque sistematicamente eluso.

5. Il form di ricontatto del sito web

Il Garante ha inoltre rilevato che il form on-line per le richieste di ricontatto:

  • non verificava l’identità dell’utente;
  • non prevedeva una procedura di conferma (double opt-in);
  • non indicava un’informativa conforme all’art. 13 GDPR;
  • consentiva l’inserimento di dati senza alcun filtro o controllo.

La società aveva promesso aggiornamenti, ma al momento del provvedimento le criticità risultavano ancora presenti.

6. Valutazione giuridica e violazioni accertate

L’Autorità ha ritenuto integrate le seguenti violazioni:

  • artt. 5, 6, 7 e 24 GDPR + art. 130 Codice Privacy: attività promozionale senza base giuridica;
  • artt. 12, 15, 17 e 21 GDPR: mancato riscontro ai diritti dell’interessato;
  • artt. 5 e 24 GDPR: errata individuazione dei ruoli e assenza di accountability;
  • artt. 5 e 13 GDPR: trattamento dei dati tramite form online non conforme.

Nonostante alcune misure correttive avviate tardivamente, la condotta è stata ritenuta gravemente colposa, soprattutto per la reiterazione delle chiamate e l’assenza di controlli effettivi.

7. La decisione del Garante

Il Garante ha:

  • dichiarato illecito il trattamento;
  • imposto il divieto di ulteriori trattamenti sui dati degli interessati coinvolti;
  • ordinato l’adozione di misure correttive, inclusa la revisione dei rapporti con i fornitori esteri;
  • disposto la pubblicazione del provvedimento;
  • irrogato una sanzione di 35.000 euro, calibrata su:
    • numero elevato di segnalazioni;
    • uso sistemico di consensi inesistenti;
    • assenza di controlli sul Registro Pubblico delle Opposizioni;
    • utilizzo di numerazioni non iscritte al ROC.

Conclusioni

Il caso conferma l’orientamento rigoroso dell’Autorità in materia di telemarketing:
non è ammesso alcun automatismo, nessuna scorciatoia e nessuna delega in bianco ai list provider.

Il titolare deve dimostrare, con documenti concreti e verificabili, la liceità dell’intero processo.
La responsabilità non si esternalizza.

The post LA SANZIONE DEL MERCOLEDÌ: telemarketing aggressivo, consensi inesistenti e liste opache — sanzionata azienda del settore energia first appeared on Osservatorio Italiano sul Diritto delle Nuove Tecnologie.

error: Misure tecnologiche di protezione attive ex art. 11 WIPO Copyright Treaty, §1201 del DMCA, art. 6, dir. 29/2001/CE, art. 102-quater, l. 22 aprile 1941, n. 633, art. 171-ter, l. 22 aprile 1941, n. 633.