Il Garante Privacy, con provvedimento n. 114 del 27 febbraio 2025, ha sanzionato una società per aver trattato in modo illecito i dati personali, in quanto ceduti a terzi per attività di telemarketing, in assenza di un idoneo consenso degli interessati, in quanto acquisito tramite form contenenti formule di c.d. “consenso omnibus” al trattamento dei dati personali.
Sebbene, infatti, il form utilizzato dalla società presentasse distinte formule per l’acquisizione del consenso non preselezionate (i.e. quella per l’invio di comunicazioni commerciali da parte della società, quella per la cessione a terzi ai fini promozionali e quella per finalità di profilazione), tuttavia quella relativa alla cessione dei dati personali a terzi per scopi di marketing e commerciali non consentiva di conferire un consenso libero, specifico e granulare ai sensi degli artt. 4, punto n. 11), 6 e 7 del GDPR e di fare venire meno l’opposizione avanzata dagli interessati mediante l’iscrizione al Registro Pubblico delle Opposizioni.
L’uso di formule per l’acquisizione del consenso al trattamento dei dati personali, per la cessione a terzi ai fini marketing, così ampie e generiche come quelle utilizzate tramite form di consenso “omnibus”, in sostanza, sono state ritenute dal Garante tali da:
- non permettere all’interessato di esprimere una volontà granulare e differenziata, per esempio in relazione alla categoria merceologica delle offerte commerciali che desidera ricevere (i.e. telefonia, forniture energetiche, servizi assicurativi, moda, auto ecc.)
- non consentire di manifestare agevolmente anche la propria volontà in ordine agli strumenti attraverso cui veicolare le comunicazioni promozionali
- non permettere di acquisire una valida, consapevole e inequivocabile manifestazione di volontà dell’interessato
- conseguentemente, condurre ad un’incontrollabile diffusione di dati personali a favore di una platea indistinta di operatori, minando anche la possibilità di esercitare efficacemente i diritti riconosciuti dalla legge a favore dei soggetti interessati.
La manifestazione di volontà in ordine alla cessione dei dati a terzi per finalità di marketing, può considerarsi realmente libera soltanto se all’interessato è garantita una scelta effettiva e il controllo sui propri dati personali (così come da Linee guida n. 5/2020 sul consenso ai sensi del GDPR, par. 3.1); tale prerogativa risulta frustrata con l’uso di formule di consenso e accorgimenti grafici che hanno l’effetto di trasferire i dati personali a una platea indistinta di destinatari, operante in settori anche molto diversi tra loro o addirittura a call center plurimandatari.
L’interessato deve essere posto in condizione di manifestare in maniera libera, granulare e specifica la propria volontà e dunque di potere scegliere anche per macro-categorie rispetto a quali prodotti o servizi, ricevere comunicazioni promozionali (p.e. attraverso l’implementazione di appositi form che consentano di selezionare macro-categorie merceologiche o categorie di destinatari): al contrario, l’interessato che voglia ricevere per esempio soltanto offerte relative ai servizi di fornitura energetica, “è posto dinanzi alla binaria condizione di non conferire alcun consenso, oppure di conferirlo e ricevere una moltitudine di comunicazioni commerciali riguardanti anche servizi che nulla hanno a che vedere con l’ambito energetico, con una conseguente e indebita intrusione nella propria sfera di riservatezza e un’irrimediabile perdita di controllo sui propri dati personali“.
L’uso di formule di “consenso omnibus” per il trattamento dei dati personali, peraltro, redendo difficoltoso risalire alla fonte dei dati e al titolare del trattamento, mina la possibilità di esercitare i diritti riconosciuti all’interessato anche in ordine alla scelta dei mezzi utilizzati per la ricezione delle comunicazioni commerciali.
Conclusivamente, il Garante ha ritenuto che la società abbia violato:
- gli artt. 5, 6, 7, 24, 32 e 25 del GDPR, nonché dell’art. 130 del Codice Privacy, per aver effettuato trattamenti di dati personali in contrasto con i principi di liceità e responsabilizzazione, in assenza di un’idonea base giuridica e mettendo in atto misure tecniche e organizzative non adeguate a garantire, fin dalla progettazione, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento;
- gli artt. 5, 24, 25, 28, 29 e 32 del GDPR per avere effettuato trattamenti di dati personali avvalendosi di soggetti interni ed esterni all’organizzazione aziendale, in violazione degli obblighi gravanti sul titolare del trattamento in ordine all’individuazione, formazione, direzione e monitoraggio sull’operato dei soggetti designati (cd. culpa in eligendo e culpa in vigilando)
- gli artt. 5, 6, 7, 9, 12 e 13 del GDPR, nonché dell’art. 111 bis Codice Privacy, per avere effettuato trattamenti di dati personali in assenza della previa e corretta individuazione della base giuridica del trattamento e del conferimento della prescritta informativa.
