Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

provvedimenti

Sette anni di GDPR e privacy ancora all’abc: la lezione dalla sanzione a Verisure e Aimag

Home News, attualità e analisi Cyber sicurezza e privacy
Partecipa al dibattito
Indirizzo copiato

Il Garante Privacy sanziona Verisure Italia e Aimag, ma le condotte multate sembrano appartenere alla preistoria del Regolamento. Ecco cosa ci insegnano questi due casi

Pubblicato il 18 dic 2025
Tania Orrù

Privacy Officer e Consulente Privacy

GDPR AI assicurazioni; Sanzione del Garante Privacy a Verisure Italia e Aimag: sette anni di GDPR, zero progressi

A più di sette anni dall’applicazione del GDPR (il Regolamento europeo sulla protezione dei dati, in vigore dal 2018) e a trent’anni dal Codice privacy, continuiamo a leggere provvedimenti fondati su consensi “forzati”, informative scivolose, opposizioni ignorate e misure di sicurezza elementari mancanti.

Sembra un problema di credibilità del sistema. Non tanto perché “il Garante sanziona”, quanto perché le condotte sanzionate sembrano appartenere alla preistoria del Regolamento, mentre si presentano nel 2025 come incidenti ancora ordinari.

Il risultato è una sensazione scomoda, quasi imbarazzante: non stiamo litigando sulle sfumature, stiamo inciampando ancora sulle basi.

Ecco i motivi della sanzioni del Garante Privacy a Verisure Italia e Aimag e perché ancora la privacy è rimasta all’Abc.

Ispezioni privacy 2025, ecco cosa devono sapere le aziende

Due casi e lo stesso problema: il GDPR trattato come carta, non come processo

Le due recenti sanzioni del Garante, rispettivamente nei confronti di Verisure Italia e di Aimag, sono esempi utili (e disarmanti), perché mostrano due facce dello stesso problema strutturale.
Da un lato, il marketing che continua a comportarsi come se il consenso fosse un dettaglio contrattuale e non una scelta dell’interessato. Dall’altro, la sicurezza dei canali digitali gestita come un requisito tecnico da spuntare, più che come protezione effettiva del cliente.
In mezzo, l’elefante nella stanza: l’idea, dura a morire, che la privacy sia un “tema legale” confinabile in un non meglio precisato “documento” (o nelle famose “carte”), anziché un insieme di controlli che deve funzionare ogni giorno, davanti a utenti reali, con dati reali.

Verisure: 400mila euro per marketing indesiderato e consenso “presunto”

Nel caso Verisure Italia, il Garante per la protezione dei dati personali ha comminato una sanzione amministrativa di 400.000 euro per trattamento illecito di dati personali a fini di marketing, a fronte di una serie di condotte che hanno inciso direttamente sull’effettività dei diritti riconosciuti agli interessati dal GDPR.
Il procedimento trae origine dal reclamo di un ex cliente che, pur avendo esercitato il diritto di opposizione al trattamento dei propri dati personali per finalità promozionali, ha continuato a ricevere SMS pubblicitari.
A questo primo episodio, si è affiancata la segnalazione di un potenziale cliente che, dopo aver richiesto un preventivo tramite il sito della società, aveva iniziato a ricevere telefonate, email e messaggi promozionali, senza aver espresso un consenso valido e specifico.
L’elemento centrale della vicenda è rappresentato dalla dinamica complessiva del trattamento. Le comunicazioni commerciali sono infatti proseguite, nonostante l’esercizio del diritto di opposizione, che nel contesto del marketing diretto dovrebbe produrre un effetto immediato e definitivo.
Il Garante ha rilevato che le richieste di opposizione non venivano gestite in modo tempestivo e che la società continuava a trattare i dati personali per finalità promozionali anche oltre i termini previsti dal Regolamento, svuotando di fatto il diritto di opposizione della sua funzione di tutela effettiva.

La chiarezza dell’opposizione al marketing nel GDPR

Nel GDPR (General Data Protection Regulation), il diritto di opposizione al marketing diretto è concepito come un comando chiaro e non equivoco.

L’articolo 21 del Regolamento stabilisce in modo esplicito che, qualora l’interessato si opponga al trattamento dei dati personali per finalità di marketing diretto, tali dati non possono più essere trattati per tali finalità.

Si tratta di una disposizione volutamente semplice, pensata per essere comprensibile anche a chi non ha competenze giuridiche, proprio perché incide su situazioni concrete e ricorrenti della vita quotidiana, come la ricezione di telefonate o messaggi promozionali indesiderati.

Alla luce di questo impianto normativo, il fatto che un’organizzazione continui a contattare soggetti che hanno esercitato il diritto di opposizione non può essere ricondotto a una mera incertezza interpretativa.

Ci si trova piuttosto di fronte a un malfunzionamento dei processi interni di gestione dei consensi e delle opposizioni, oppure, nella peggiore delle ipotesi, a una scelta consapevole di assumere il rischio di non conformità.

In entrambi i casi, il risultato è lo stesso: un diritto formalmente riconosciuto dalla norma che, nella pratica, perde la sua efficacia.

La richiesta di preventivo trattata come consenso al marketing

La parte più interessante del caso Verisure è la logica sottostante: il consenso, anziché essere raccolto come scelta separata, si “incolla” alla richiesta commerciale, diventando un tutt’uno con essa.
In altre parole, il semplice atto di chiedere un preventivo viene letto come comportamento equivalente a dire “sì, voglio essere contattato per marketing”.
Questa impostazione è esattamente ciò che il GDPR cerca di impedire: il consenso libero, specifico, informato e inequivocabile, non può essere ricavato per inerzia o per ambiguità della user journey.
Quando il confine tra servizio richiesto e promozione diventa labile, la compliance diventa design dell’ambiguità.

Tema retention: 12 mesi di “ripensamento” commerciale non sono un diritto naturale

Il Garante ha inoltre contestato a Verisure l’eccessiva lunghezza del periodo di conservazione dei dati dei potenziali clienti previsto per il teleselling, pari a dodici mesi.
Questo aspetto è cruciale perché mostra un’altra abitudine ricorrente: la retention viene spesso decisa dal marketing come se fosse un’esigenza interna indiscutibile, mentre nel Regolamento europeo sulla protezione dei dati la conservazione deve essere limitata a quanto necessario rispetto alle finalità.
Ma quante aziende sono dotate davvero di un ragionamento documentato e difendibile sul “perché proprio quel numero di mesi” e su “quali eventi fanno scattare la cancellazione”? E quante, invece, trattano la retention come un’estensione automatica del funnel commerciale?

Aimag, sicurezza inadeguata e consensi preflaggati: un errore già visto

Il secondo caso riguarda Aimag Spa, società che gestisce servizi nel settore energetico, idrico, ambientale e del teleriscaldamento.
Il provvedimento è particolarmente rilevante perché mette in relazione due ambiti che, nella prassi di molte organizzazioni, continuano ad essere trattati come compartimenti stagni: la sicurezza dei sistemi di accesso e la liceità dei trattamenti di marketing.
Il Garante ha infatti comminato una sanzione di 300.000 euro per una serie di violazioni che hanno riguardato tanto l’assenza di misure di sicurezza adeguate quanto l’utilizzo dei dati personali per finalità promozionali in mancanza di un’idonea base giuridica.
Nel corso dell’istruttoria, avviata a seguito di una segnalazione, l’Autorità ha accertato che la procedura di registrazione all’area riservata del sito della società non prevedeva alcun meccanismo efficace di verifica dell’identità dell’utente.

Era infatti sufficiente inserire il codice fiscale dell’intestatario del servizio e un indirizzo email qualsiasi per creare un account e accedere così, in modo non autorizzato, a informazioni personali quali l’indirizzo di abitazione, il numero di telefono e altri dati relativi alla fornitura.

Una modalità di accesso che esponeva un numero indeterminato di utenti al rischio di consultazione non autorizzata dei propri dati e che risulta difficilmente conciliabile con l’obbligo di adottare misure tecniche e organizzative adeguate al rischio.
Accanto alle criticità sul fronte della sicurezza, il Garante ha riscontrato violazioni altrettanto gravi in relazione al trattamento dei dati per finalità promozionali.
In calce al form di registrazione all’area riservata erano infatti presenti moduli di consenso già pre-selezionati (pre-flaggati) sul “sì”, relativi sia all’invio di comunicazioni pubblicitarie sia al trattamento per finalità di customer satisfaction, oltre all’accettazione dell’informativa privacy.

Tale modalità di raccolta del consenso, vietata in modo esplicito dal GDPR, compromette la libertà di scelta dell’interessato e rende il trattamento privo di una valida base giuridica.

L’altra violazione

A ciò si aggiungeva il mancato rispetto del principio di limitazione dei tempi di conservazione dei dati personali.
Nel loro insieme, queste violazioni restituiscono l’immagine di una gestione del digitale in cui l’area clienti viene trattata come un servizio funzionale e “neutro”, anziché come un canale ad alta concentrazione di rischio dal punto di vista della protezione dei dati personali.
Il caso Aimag mostra in modo plastico un equivoco ancora molto diffuso: si investe in piattaforme e servizi digitali senza investire con la stessa attenzione nella verifica dell’identità degli utenti, nella correttezza delle basi giuridiche e nella progettazione di processi realmente rispettosi dei diritti degli interessati.

Un equivoco che, nel 2025, non può più essere liquidato come una semplice svista tecnica.

Il consenso preflaggato è vietato da anni: non è “discutibile”

Se c’è un simbolo della compliance pigra è il checkbox pre-selezionato.
È l’oggetto che sembra innocuo e invece racconta moltissimo, cioè che l’obiettivo è massimizzare il sì e non raccogliere una scelta.
Il Comitato europeo per la protezione dei dati, nelle Linee guida 05/2020 sul consenso, ha chiarito in modo operativo i requisiti per un consenso valido e trattato come problematiche le dinamiche di inerzia e ambiguità.
A conferma, la Corte di giustizia dell’Unione europea, nel caso Planet49, ha affermato che il consenso non può essere validamente espresso tramite caselle preselezionate, perché silenzio, inattività o preselezione non soddisfano il requisito di un atto positivo inequivocabile.
Tutto molto chiaro. Almeno dovrebbe esserlo.

Violazioni GDPR, un problema di governance

A questo punto ci si deve chiedere come sia possibile che il sistema consenta ancora questi “errori”.

Se nel 2025 queste sono le violazioni, il problema è la governance.

Ecco le domande da porsi:

  • Perché un form di richiesta preventivo può essere costruito in modo da far passare per consenso ciò che consenso non è?
  • Come mai un processo di opposizione può essere gestito con ritardi o inefficienze tali da rendere la tutela di fatto fragile?
  • Perché un’area riservata può essere progettata senza un controllo serio dell’identità?

In aziende complesse, la risposta raramente è “ignoranza” (che, in ogni caso, non excusat), ma è governance. Ovvero è una catena decisionale, priorità di budget, conflitto tra funzione commerciale e funzione di controllo, mancanza di test, accountability lasciata in un file e non in un processo vivo.

Test reali e non solo carta

Nel 2025 un programma privacy serio dovrebbe invece includere test reali e non solo documenti.
Non serve parlare in astratto di accountability. Occorre chiedersi se qualcuno, internamente o tramite terzi, abbia mai simulato l’esperienza dell’utente che si oppone al marketing e poi verifica se viene ricontattato.
Serve chiedersi se qualcuno abbia mai provato a compilare un form come farebbe un cliente reale e a osservare se il consenso è davvero libero o se è “psicologicamente obbligato”. Bisogna chiedersi se qualcuno abbia mai tentato di registrarsi a un’area clienti con dati parziali per capire cosa succede.
Quando questi test non vengono fatti, la privacy è solo una narrazione aziendale, vuota.
Inoltre, il GDPR, pur essendo (volutamente) tecnologicamente neutro, sull’aspetto sicurezza è concettualmente severo, poiché richiede misure tecniche e organizzative adeguate al rischio.

Ciò significa che non esiste il “minimo sindacale” astratto, esiste il minimo ragionevole rispetto ai dati e alle minacce.
Se un’area riservata consente accessi non autorizzati, non ci sono bug di sistema, ma un fallimento di progettazione del rischio.

Le imprese investono in marketing, ma non nella catena di liceità

Le sanzioni sul marketing mostrano un pattern ricorrente: l’azienda investe in campagne, CRM, lead generation, automazioni, e poi tratta la base giuridica come un ostacolo burocratico da “sistemare” a posteriori.
Si tratta di un rovesciamento logico, dal momento che nel GDPR la liceità viene prima del canale.
Se un’organizzazione riesce a misurare conversion rate, churn e customer lifetime value con precisione maniacale, ci si chiede come sia possibile che non riesca a garantire che un’opposizione blocchi davvero l’invio di SMS.
Non servono competenze impossibili, basta effettuare una scelta di priorità.

Il mercato della consulenza, fra competenza e imitazione

Tema delicato è poi quello dei consulenti specializzati (o presunti tali), perché se delle violazioni di base persistono così a lungo, non possiamo guardare solo alle imprese.
Non è possibile, infatti, ignorare che una parte del mercato della consulenza ha costruito pacchetti di conformità basati su template, informative standard e check-list, che funzionano benissimo sulla carta, finché nessuno prova davvero il processo.
Ma, dato che la privacy è un sistema di decisioni e controlli e non un semplice set di documenti, se un consulente non entra nel merito del design dei form, della separazione delle finalità, della prova del consenso, della tracciabilità dell’opposizione, della retention effettiva e dei flussi verso i partner, allora, anziché compliance, sta facendo cosmetica.

DPO e accountability: il ruolo incide o certifica

Sottotraccia restano poi sempre altri interrogativi, ancora difficili da sciogliere:

  • Il DPO (Data Protection Officer) è messo nelle condizioni di incidere nell’orientare le decisioni del titolare oppure è usato come garanzia reputazionale?
  • O, peggio, esiste ma solo come nomina formale in organigramma?
  • Ha accesso ai team che progettano la user journey digitale e i flussi del CRM
  • Viene coinvolto a monte o solo a valle, quando “ormai è tutto pronto”?
  • Ha una linea diretta con il vertice, o resta confinato e, magari, insubordinato, in un circuito tecnico-legale che non decide budget, tempi, azioni?

Se l’accountability fosse reale, queste sanzioni dovrebbero attivare un riflesso immediato e cioè la revisione sostanziale dei processi e dei controlli e non l’aggiornamento di un’informativa.

La privacy è indicatore di qualità manageriale

La compliance privacy oggi è un indicatore di qualità manageriale, perché misura la capacità dell’organizzazione di trasformare regole in processi, e i processi in comportamenti coerenti.
Se una società non riesce a far rispettare un’opposizione, probabilmente fatica anche a governare altri consensi ed altre preferenze.
Se non riesce a proteggere un’area riservata, probabilmente ha debolezze anche in altri punti del perimetro digitale.
Inoltre, se esistono ancora comportamenti che danno luogo a queste sanzioni, la governance non è allenata a pensare in termini di rischio end-to-end.
La domanda giusta da porsi sarebbe quindi “in quali punti è più probabile che oggi, con utenti reali, un nostro processo fallisca?”.
Sarebbe un cambio di mentalità che si tradurrebbe in attività molto concrete: verificare che l’opposizione sia recepita immediatamente su tutti i canali e su tutti i fornitori, separare davvero la richiesta di servizio dalla scelta di marketing, tracciare e dimostrare il consenso con log coerenti, rivedere retention e cancellazione come meccanismi automatici e verificabili, progettare l’accesso alle aree riservate con un modello di identità robusto e proporzionato.
In altre parole, fare privacy come si fa qualità, con test e controlli.

Inciampare ancora sulle basi nel 2025: chi ci sta guadagnando

Le due recenti sanzioni del Garante funzionano come specchio, perché mostrano che la distanza tra norma e prassi non è ancora colmata.
E quando, dopo tutti questi anni, vediamo ancora consensi “di comodo” e diritti esercitati che però non bloccano davvero le campagne, non possiamo limitarci a dire che “manca cultura”.
Dobbiamo chiederci chi, in un sistema così, ottiene un vantaggio. Infatti trattare il consenso come accessorio e l’opposizione come intralcio produce un beneficio immediato: più contatti, più pressione commerciale, più opportunità di conversione.

Il GDPR serve proprio a impedire che quel beneficio si costruisca a spese della libertà di scelta dell’interessato.
Se il livello delle violazioni è ancora questo, la compliance sta fallendo, e il motivo è perché troppo spesso non conviene abbastanza, né alle aziende né a una parte del mercato che le assiste.
Finché non cambierà questa convenienza, continueremo a leggere sanzioni che sembrano scritte nel 2018 (o nel 1996), ma accadono (e, soprattutto, sono ancora necessarie) nel 2025.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

O
Tania Orrù
Privacy Officer e Consulente Privacy
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Zero-day Windows sfruttata sette anni

  • L'ANALISI TECNICA

    La zero-day in Windows sfruttata per 7 anni da gruppi APT e la responsabilità del patching

    24 Mar 2025

    di Sandro Sana

    Condividi
  • Attacchi informatici, l'Iran potrebbe colpire le aziende

  • cyber guerra

    Attacchi informatici, l'Iran potrebbe colpire le aziende

    24 Giu 2025

    di Marco Santarelli

    Condividi
  • GDPR AI assicurazioni; Sanzione del Garante Privacy a Verisure Italia e Aimag: sette anni di GDPR, zero progressi

  • la riflessione

    GDPR e intelligenza artificiale: ecco una “bussola” per il mondo assicurativo

    07 Mar 2025

    di Stefano Petrussi

    Condividi
  • CEREBRO indagini patrimoniali Garante privacy

  • IL PARERE

    CEREBRO, il sistema investigativo per le indagini patrimoniali che piace al Garante privacy

    10 Set 2025

    di Tania Orrù

    Condividi
0
Lascia un commento, la tua opinione conta.x