Marketing e recenti Provvedimenti del Garante privacy

Marketing e recenti Provvedimenti del Garante privacy

3 novembre 2025

di Paola GRIBALDO

Le attività di marketing e il trattamento di dati personali

Il trattamento dei dati personali per finalità promozionali e commerciali richiede sempre particolare attenzione e preliminari valutazioni, dal momento che sono numerosi gli adempimenti da porre in essere e il rischio di incorrere in errori ed eventuali sanzioni è alto.

Nel corso degli ultimi anni, in particolare, vi è stata una grande attenzione da parte dell’Autorità Garante per la protezione dei dati personali (“Garante” o “Autorità Garante”), che ha inserito nei suoi Piani Ispettivi sia la verifica della corretta applicazione delle previsioni in materia di cookie e altri strumenti di tracciamento (Piano Ispettivo periodo luglio-dicembre 2022), sia accertamenti nei confronti di titolari del trattamento in ordine ai problemi concernenti il consenso al marketing e alla profilazione nonché in relazione allo svolgimento di campagne di telemarketing (Piano Ispettivo periodo gennaio-luglio 2024 e luglio-dicembre 2024 e prosecuzione delle attività nel Piano Ispettivo luglio-dicembre 2025).

Le maggiori criticità emerse nel corso delle istruttorie, come rilevate nelle contestazioni mosse dall’Autorità Garante, attengono:

  • (i) al consenso e alle modalità di acquisizione dello stesso;
  • (ii) al contenuto delle informative sul trattamento dei dati personali;
  • (iii) al periodo di conservazione dei dati personali trattati per finalità di marketing;
  • (iii) alla corretta individuazione dei ruoli privacy;
  • (iv) al controllo della filiera dei fornitori.

I provvedimenti emessi dal Garante nei confronti di aziende operanti in ambito marketing, oltre a contenere istruzioni, ammonimenti e prescrizioni sui temi di cui sopra, includono altresì numerose segnalazioni e indicazioni in merito ad altri aspetti, non strettamente connessi al marketing ma attinenti al sistema privacy di un Titolare o di un Responsabile e i relativi adempimenti obbligatori, dei quali è richiesto un puntuale e completo rispetto.

Tra gli aspetti più rilevanti si possono menzionare a titolo esemplificativo e non esaustivo:

  • (i) la corretta implementazione di un sistema di governance privacy aggiornato;
  • (ii) la necessità dello svolgimento periodico di sessioni formative privacy ad hoc dedicate al personale aziendale nonché della consegna di istruzioni e autorizzazione al trattamento dei dati personali aggiornate e personalizzate rispetto alle mansioni svolte e ai relativi trattamenti di dati personali;
  • (iii) la corretta individuazione delle basi giuridiche all’interno delle informative sul trattamento dei dati personali(1).

Consenso e informativa 

Come noto, il trattamento dei dati personali per finalità di marketing si fonda sull’art. 6, par. 1, lett. a) del Regolamento (UE) 2016/679 (“GDPR”), che richiede il consenso informato, libero, inequivocabile e specifico dell’interessato quale condizione di liceità, dovendosi escludere in linea generale, per tale trattamento, la sussistenza delle altre basi giuridiche.

A integrare il quadro vi è poi la previsione di cui all’art. 130 del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 e ss.mm. (“Codice Privacy”), da tenere in debita considerazione, che prevede al comma 1 che “l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente”, ferma restante l’applicabilità della disciplina specifica di cui alla Legge 11 gennaio 2018, n. 5 e della regolamentazione successiva(2).

Inoltre, al comma 4 del medesimo articolo è disciplinato il cosiddetto soft spam, ossia la possibilità per untitolare del trattamento di utilizzare, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, senza necessità di richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. In tali casi, sussiste un legittimo interesse del titolare, fatto salvo naturalmente il diritto dell’interessato di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente e previa ricezione dell’informativa che enuncia tale diritto.

Su questo punto, recentemente il Garante ha avuto occasione di ribadire che, in base alla disciplina contenuta nell’art. 130 del Codice Privacy, è evidente che con riferimento agli strumenti di comunicazione elettronica (es. telefono o sms) non possono essere invocate basi giuridiche diverse dal consenso e che l’ipotesi contemplata dall’art. 130 comma 4 attiene esclusivamente al canale della e-mail e sempre che l’interessato ne sia stato adeguatamente messo a conoscenza mediante l’informativa privacy. Il Garante ha puntualizzato, infatti, che la disposizione di cui all’art. 130 comma 4 del Codice privacy non è suscettibile di interpretazione estensiva(3).

Il consenso, salvo quanto sopra precisato, è dunque la condizione di liceità del trattamento dei dati per finalità di marketing che permette all’interessato di scegliere tale trattamento e di mantenerne il controllo, potendo in qualsiasi momento esercitare il proprio diritto di revoca. 

Le maggiori criticità, nella raccolta del consenso, sono ravvisabili in relazione a:

  • (i) form di acquisizione del consenso non idonei, in quanto contenenti un unico box per il rilascio del consenso per diverse e distinte finalità marketing (es. diretto, di terze parti, mediante profilazione, con cessione dei dati a terzi, etc.);
  • (ii) inadeguata informativa privacy che ometta di descrivere le finalità del trattamento correlate alla richiesta di consenso/i;
  • (iii) caselle preselezionate per il rilascio del consenso per finalità di marketing;
  • (iv) utilizzo di interfacce grafiche che portano l’utente, ossia il soggetto interessato, a rilasciare il consenso con modalità ingannevoli e fuorvianti, influenzando cioè la scelta dell’utente che dunque non potrà rilasciare un consenso davvero libero (c.d. dark pattern(4)).

Sulla mancanza dei requisiti di libertà, specificità e granularità del consenso nonché della mancanza di previa idonea informativa ex artt. 4 punto n. 11), 6 e 7 del GDPR, il Garante si è pronunciato in molteplici occasioni per richiamare le Linee Guida dell’European Data Protection Board (“EDPB”) n. 5/2020 sul consenso(5) e ribadire che se il titolare del trattamento ha riunito diverse finalità del trattamento e non ha chiesto il consenso separato per ciascuna di esse, non può esservi libertà dell’interessato.

Di recente, però, l’Autorità Garante ha esteso il concetto contestando le frequenti formulazioni utilizzate dai titolari all’interno delle informative privacy e/o dei form per il rilascio del consenso per finalità di cessione dei dati a terze parti per loro finalità di marketing (c.d. data monetization).

In tali casi, le formulazioni utilizzate per acquisire tale consenso sono ampie in quanto includono una platea numerosa e indistinta di cessionari di dati personali operanti in settori molto differenti fra loro.

Nella prassi, infatti, è frequentemente indicata solo la categoria merceologica dei terzi a cui i dati possono essere ceduti, senza specificazioni ulteriori sui singoli soggetti terzi. Da ciò ne consegue, secondo il Garante, che “l’interessato che voglia ricevere le offerte relative a uno o più delle categorie merceologiche ivi indicate o voglia riceverle tramite uno soltanto dei canali indicati è, di fatto, costretto a conferire un consenso unitario alla cessione indiscriminata dei propri dati a tutti, indistintamente, i soggetti terzi destinatari a scopi promozionali e non è posto nella condizione di esercitare agevolmente i diritti riconosciuti dalla vigente normativa(6).

In base alle considerazioni svolte dal Garante, anche l’accorgimento dell’inserimento del link “per la lista completa delle terze parti clicca qui” non è sufficiente a garantire la prestazione di un consenso davvero libero e incondizionato laddove rimandi a un elenco ancora più ampio di soggetti.

Pertanto l’utilizzo di formule per l’acquisizione del consenso al trattamento dei dati personali per la cessione a terzi ai fini marketing ampie e generiche, non permetterebbe all’interessato di esprimere una volontà granulare e differenziata in relazione alla categoria merceologica delle offerte commerciali che desidera ricevere (es. telefonia, forniture energetiche, servizi assicurativi, moda, auto etc.) dal momento che finisce per realizzare un’incontrollabile diffusione di dati personali a favore di una platea indistinta di operatori, minando anche la possibilità di esercitare efficacemente i diritti riconosciuti dalla legge a favore dei soggetti interessati.

Un breve cenno merita, inoltre, l’aspetto di non minore importanza della prova inequivocabile che il titolare è tenuto a fornire circa l’effettiva prestazione di un consenso da parte dell’interessato.

Da qui, ci si può ricollegare, riprendendo un recente provvedimento del Garante(7), all’annosa questione dell’obbligatorietà o meno del c.d. double opt-in. Il Garante, in merito alle modalità di documentazione del consenso, ha richiamato le indicazioni presenti nel Codice di condotta in materia di telemarketing e teleselling (approvato dall’Autorità Garante con Provvedimento n. 148 del 7 marzo 2024) che contempla due modalità di double opt-in: una c.d. “forte”, che richiede una conferma attiva (es. clic su link) e una più soft, che consiste nell’invio di un messaggio informativo all’utente in cui quest’ultimo viene informato circa il diritto di opporsi. Non è stata ad oggi sancita l’obbligatorietà del double opt-in forte, seppur consigliata, né il Garante lo ha espressamente affermato.

Tuttavia, in uno dei recenti provvedimenti sanzionatori in ambito marketing, l’Autorità Garante ha ribadito quanto già espresso in precedenti occasioni e cioè che il c.d. time-stamp del consenso, ossia log dell’iscrizione, non è sufficiente a documentare l’effettiva volontà dell’interessato, essendo più tutelante l’invio di una e-mail di conferma all’indirizzo registrato (double opt-in).

Nel caso di specie, la violazione principale non era stata l’assenza di un meccanismo di double opt-in “forte”, ma la totale inadeguatezza dei sistemi di tracciabilità del consenso utilizzati dai fornitori terzi incaricati dal titolare della generazione dei contatti promozionali (c.d. lead).

La vicenda, però, ha dato l’occasione al Garante di tornare sul tema puntualizzando che, pur non esistendo di un espresso obbligo normativo rispetto alla qualificazione del consenso con modalità double opt-in, “tra i requisiti di liceità del consenso di cui all’art. 7 del GDPR, si prefigura l’obbligo per il titolare di dimostrare che l’interessato ha prestato il proprio consenso. Tale dimostrazione, per quanto ormai noto allo stato dell’arte, non può considerarsi sufficientemente resa attraverso la presentazione di stampigliature – qualificate come file di log – recanti dati spesso disconosciuti dagli interessati, prive dei requisiti informatici di immodificabilità e concernenti liste formate da soggetti, spesso ubicati extra-UE, che non offrono garanzie adeguate(8).

In conclusione, è ormai pacifico che l’orientamento dell’Autorità Garante(9) sia di considerare la documentazione del consenso in modalità double opt-in come una garanzia maggiore e come una misura minima di protezione per l’interessato ma anche per lo stesso titolare, tenuto a comprovare la liceità del trattamento.

Periodo di conservazione dei dati personali

La validità del consenso può esser minata anche dalla carenza di informazioni contenute nell’informativa sulla durata del trattamento dei dati per il quale tale consenso è richiesto.

Nello specifico, il Garante ha evidenziato che laddove i periodi di conservazione dei dati personali siano indicati facendo riferimento genericamente solo “ai tempi strettamente necessari ad espletare le finalità illustrate” oppure senza alcuna indicazione in tal senso, ne deriva un trattamento di dati personali potenzialmente idoneo a dispiegare i suoi effetti per un tempo indeterminato.

Ciò comprime inevitabilmente il controllo dell’interessato sulle informazioni che lo riguardano, pertanto in assenza di idonee informazioni sulla durata del trattamento e sulla correlata conservazione dei dati, anche il conferimento del consenso dell’interessato risulta viziato(10).

Tali indicazioni, espresse in ambito marketing, sono naturalmente valide e da applicare a ogni finalità di trattamento di dati personali, in ossequio ai principi generali contenuti nel Considerando 39 del GDPR per cui “i dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento. Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica” e nel rispetto dell’art. 13 par. 2 lett. a) del GDPR che prescrive che nell’informativa privacy debba essere indicato “il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo”.

Ruoli privacy e controllo della filiera dei fornitori

Tema che, ancora oggi, nonostante i numerosi interventi del Garante(11) è presente nei provvedimenti emanati nei confronti di società che svolgono attività di marketing, è quello relativo alla corretta configurazione dei ruoli privacy.

Sul punto, come già indicato nelle Linee Guida dell’EDPB sul consenso n. 5/2020, si ricorda che la titolarità deve essere individuata sulla base di un criterio funzionale, a fronte di un’analisi fattuale piuttosto che formale e che “l’analisi delle clausole contrattuali che disciplinano i rapporti tra le diverse parti coinvolte può facilitare l’individuazione del soggetto (o dei soggetti) che opera(no) in qualità di titolare del trattamento. Anche se il contratto non stabilisce chi è il titolare del trattamento, esso può contenere elementi sufficienti per desumere chi decide in merito alle finalità e ai mezzi del trattamento(12).

Collegandosi a tale principio, il Garante ha ribadito che, essendo il titolare il soggetto che determina le finalità e i mezzi, cioè le modalità del trattamento ed essendo il responsabile il soggetto che opera per conto del titolare, eseguendone le istruzioni anche con un certo grado di autonomia senza tuttavia poter esercitare alcuna facoltà in ordine alla scelta delle finalità del trattamento, in ambito marketing il committente di una campagna promozionale relativa a propri prodotti o servizi, essendo il soggetto che determina la finalità promozionale del trattamento ed i mezzi per la sua effettuazione, oltre ad essere il soggetto nel cui interesse (anche inteso come ritorno economico) il trattamento è effettuato, si configura quale titolare del trattamento(13).

Invece, l’altro soggetto che partecipa all’erogazione del servizio, può essere, a seconda del concreto atteggiarsi dei ruoli fra le parti, un contitolare o un responsabile del trattamento con conseguente obbligo di formalizzazione dei rapporti ai sensi dell’art. 26 o dell’art. 28 del GDPR(14).

Con riferimento al connesso tema della verifica dei fornitori, incaricati dal titolare di svolgere una campagna marketing (su proprio database o su database del titolare, previa acquisizione degli adeguati consensi), sempre più spesso si assiste all’irrogazione di sanzioni legate anche all’utilizzo di responsabili del trattamento non adeguati, che non hanno fornito idonee garanzie in merito al trattamento dei dati personali. Nella gran parte dei casi la verifica preliminare sull’idoneità di un fornitore, da un punto di vista privacy, non è stata svolta da parte del titolare oppure tale verifica non è stata adeguata in quanto il fornitore è stato utilizzato pur in assenza di garanzie, ad esempio, sulla corretta e lecita acquisizione dei consensi necessari per il trattamento ai fini marketing.

Preme evidenziare che sono sempre doverosi i controlli sull’intera filiera del trattamento, di cui il titolare deve avere contezza e controllo, nonché l’implementazione delle misure di sicurezza tecniche e organizzative adeguate a scongiurare il rischio dell’attivazione di forniture derivanti da contatti e trattamenti illeciti(15). Le attività di verifica dei partner che agiscono in qualità di responsabili del trattamento dovrebbe, inoltre, essere svolta sia in fase di selezione che successivamente con lo svolgimento delle attività commissionate, mediante audit periodici, in modo tale che il titolare adempia agli obblighi di cui all’art. 28 del GDPR.

Recentemente il Garante ha sanzionato una società che aveva svolto attività di telemarketing e teleselling, avvalendosi di soggetti terzi, senza la previa e corretta attribuzione dei ruoli privacy e delle responsabilità che ne derivavano, violando i basilari doveri di accountability gravanti sul titolare del trattamento. Nel caso di specie, la società non aveva neanche provveduto al conferimento della nomina a responsabile del trattamento e della prescritta autorizzazione rispetto alla nomina di eventuali sub-responsabili, anch’essa fondamentale, “contravvenendo sia ai doveri di diligenza nella scelta e selezione di soggetti che possedessero adeguate competenze in materia di privacy (cd. culpa in eligendo), sia omettendo di vigilare adeguatamente sul loro operato (cd. culpa in vigilando)”(16).

Inoltre, il Garante ha precisato che “anche la presenza di clausole di manleva nei contratti sottoscritti con i partner, o le asserite garanzie di conformità da questi offerte in via pattizia, non possono essere considerate misure sufficienti per giustificare il mancato controllo preliminare e successivo da parte del titolare; tali aspetti infatti hanno valore unicamente rispetto alle eventuali responsabilità contrattuali delle parti ma non hanno alcun rilievo ai fini delle garanzie richieste dal quadro normativo a protezione dei dati personali(17).

Conclusioni

In considerazione dei numerosi adempimenti che riguardano molteplici aspetti delle attività di marketing, che non è stato possibile trattare in ogni loro declinazione nel presente contributo, si conclude ricordando che è imprescindibile svolgere un’analisi delle tipologie di trattamento di dati personali per finalità di marketing svolte nell’ambito aziendale e, conseguentemente, almeno di:

  • (i) verificare e aggiornare correttamente le informative privacy in modo tale che rispecchino esattamente i trattamenti svolti e che siano coerenti con la relativa richiesta di consenso/i;
  • (ii) assicurarsi di adottare un form idoneo per la raccolta dei dati personali e del relativo consenso, richiedendolo agli interessati con le modalità adeguate;
  • (iii) garantire la tracciabilità e la conservazione del consenso acquisito con modalità che ne garantiscano la documentabilità e l’inequivocabilità;
  • (iv)  stabilire un congruo e chiaro periodo di retention dei dati personali trattati per finalità di marketing
  • (v) selezionare i propri responsabili del trattamento verificandone prima l’adeguatezza privacy e richiedendo la lista dei sub-responsabili del trattamento, al fine di poter svolgere verifiche sull’intera filiera;
  • (vi) mappare i fornitori assicurandosi che sia loro attribuito il corretto ruolo privacy e che vi sia la conseguente formalizzazione tramite nomina ex art. 28 del GDPR o, in determinati casi, tramite accordo ex art. 26 del GDPR.

Intervento di Paola GRIBALDO | Autrice per Risk & Compliance Platform EuropeAvvocato – Director, Deloitte Legal

Per approfondimenti, consultare i seguenti link e/o riferimenti:

(1) Provvedimento n. 736 del 27 novembre 2024 del Garante per la protezione dei dati personali; Provvedimento n. 114 del 27 febbraio 2025 del Garante per la protezione dei dati personali.

(2) Decreto del Presidente della Repubblica 27 gennaio 2022, n. 26 “Regolamento recante disposizioni in materia di istituzione e funzionamento del registro pubblico dei contraenti che si oppongono all’utilizzo dei propri dati personali e del proprio numero telefonico per vendite o promozioni commerciali, ai sensi dell’articolo 1, comma 15, della legge 11 gennaio 2018, n. 5”.

(3) Provvedimento n. 553 del 12 settembre 2024 del Garante per la protezione dei dati personali.

(4) Provvedimento n. 114 del 27 febbraio 2025 del Garante per la protezione dei dati personali, pag. 18 “[..] l’utilizzo di accorgimenti testuali, grafici e tecnologici suscettibili di influenzare il comportamento dell’utente (p.e. sotto il profilo dell’agevole comprensione delle modalità e finalità del trattamento oppure del conferimento/revoca dei consensi) o addirittura preordinati a carpirne la volontà, non possono essere considerati in compliance con l’attuale normativa e influiscono anche sulla legittimità dei trattamenti effettuati utilizzando dati personali raccolti mediante le descritte modalità.” 

(5) Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679 dell’European Data Protection Board, adottate il 4 maggio 2020.

(6) Provvedimento n. 114 del 27 febbraio 2025 del Garante per la protezione dei dati personali.

(7) Provvedimento n. 330 del 4 giugno 2025 del Garante per la protezione dei dati personali.

(8) Provvedimento n. 330 del 4 giugno 2025 del Garante per la protezione dei dati personali, pag. 5.

(9) Provvedimento n. 429 del 15 dicembre 2022; Provvedimento n. 413 del 25 novembre 2021.

(10) Provvedimento n. 553 del 12 settembre 2024 del Garante per la protezione dei dati personali; Provvedimento n. 774 del 12 dicembre 2024 del Garante per la protezione dei dati personali.

(11) Ex multis, Provvedimento n. 332 del 16 settembre 2021 del Garante per la protezione dei dati personali, pag. 13 “i partner/fornitori, che trasmettono sms promozionali ai propri interessati al fine di promuovere dei servizi per conto di [committente] nonché al fine di “sollecitare i clienti a inviare un SMS con testo “OK” per essere ricontattati da  [committente] operano di fatto, e a tutti gli effetti, come se fossero stati ‘preposti dal titolare al trattamento di dati personali’, dunque in piena e sostanziale aderenza alla definizione del responsabile”.

(12) Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679 dell’European Data Protection Board, adottate il 4 maggio 2020.

(13) Provvedimento n. 248 del 29 aprile 2025 del Garante per la protezione dei dati personali.

(14)Del resto, se la realizzazione di una campagna promozionale può (auspicabilmente) apportare benefici in termini di incremento delle vendite, questa può anche comportare, se non correttamente eseguita, una lesione dei diritti delle persone nonché un danno proprio a quell’immagine aziendale che invece si voleva promuovere. È pertanto comprensibile che un committente abbia interesse ad esercitare quelle attività di selezione e vigilanza, proprie di chi opera come titolare del trattamento, che costituiscono per esso un obbligo (come previsto dall’art. 28 del Regolamento) ma allo stesso tempo anche una importante occasione di verificare la corretta esecuzione della commessa. Nel caso specifico, sulla base di quanto acquisito in atti, si è avuto l’invio di e-mail nel chiaro intento di promuovere servizi di NCA, benché tale attività sia stata materialmente effettuata da soggetti terzi cui la Società si sarebbe affidata”, Provvedimento n. 330 del 4 giugno 2025, pagg. 3-4.

(15) Provvedimento n. 114 del 27 febbraio 2025 del Garante per la protezione dei dati personali, pag. 19.

(16) Provvedimento n. 248 del 29 aprile 2025 del Garante per la protezione dei dati personali, pag. 8.

(17) Provvedimento n. 330 del 4 giugno 2025 del Garante per la protezione dei dati personali, pag. 5.

Related Items

data-protection-officer-dpoIl Data Protection Officer a cinque anni dall'entrata in vigore del GDPR: la survey dell'Autorità Garante
Continua a leggere
Cookie, fingerprinting e retention: come le piattaforme tracciano gli utenti anche senza consensoCookie, fingerprinting e retention: come le piattaforme tracciano gli utenti anche senza consenso
Continua a leggere
Pay or Consent: il Garante Privacy apre la consultazione pubblica su consenso informato e profilazione onlinePay or Consent: il Garante Privacy apre la consultazione pubblica su consenso informato e profilazione online
Continua a leggere

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *