Il recente provvedimento del Garante Privacy (doc. web n. 10201989) delinea un perimetro rigoroso in materia di accountability e privacy by design, sanzionando Verisure Italy s.r.l. per una pluralità di violazioni connesse alla gestione del funnel di acquisizione lead e all'esercizio dei diritti degli interessati.

• Leggi qui il provvedimento pubblicato dall'Autorità Garante Privacy (Registro dei provvedimenti n. 708 del 27 novembre 2025)

Sintesi della vicenda e profili di illiceità

L’istruttoria, originata da reclami e segnalazioni, ha appurato come la Società, nonostante le dichiarazioni formali di accoglimento delle istanze di cancellazione e opposizione, abbia proseguito nell'invio di comunicazioni promozionali. Il Garante ha rigettato la tesi del "mero errore materiale", qualificando tali episodi come sintomi di una carenza organizzativa e di un’inadeguata mappatura dei flussi di dati, in violazione degli artt. 12, 17 e 21 del Regolamento (UE) 2016/679 (GDPR).

Analisi critica dei pilastri del Provvedimento

1. L'invalidità del consenso "accorpato". Uno degli aspetti di maggior rilievo riguarda la raccolta del consenso tramite il sito web. La Società subordinava l’invio di un preventivo (telebooking) alla fornitura del numero telefonico, la quale comportava l'automatica accettazione della politica di privacy, comprensiva di finalità di marketing.

Il Garante ha ribadito che un consenso non granulare, né libero, né specifico - dove la volontà negoziale di ricevere un preventivo si confonde con la finalità promozionale - è radicalmente nullo ai sensi dell'art. 7, parr. 2 e 4 del GDPR. La pratica di rendere indistinguibili i trattamenti precontrattuali da quelli commerciali svuota di significato il diritto all’autodeterminazione dell’interessato.

2. La "continuità cronologica" e i limiti di conservazione (Teleselling)

Il Titolare ha tentato di giustificare un termine di conservazione di 12 mesi per il c.d. "teleselling", invocando una presunta continuità con la richiesta iniziale dell’utente.

L’Autorità ha smascherato tale prassi, rilevando come un arco temporale così ampio - specialmente in assenza di trasparenza - celi in realtà un autonomo trattamento per finalità di marketing. L’imposizione di un termine di 12 mesi è stata giudicata eccessiva e non proporzionata, configurando una violazione del principio di limitazione della conservazione (art. 5, par. 1, lett. e).

3. Mancanza di trasparenza per clienti ed ex clienti L'informativa rivolta ai contrattualizzati omettesse l'indicazione di termini granulari di conservazione, limitandosi a formule generiche ("periodo strettamente necessario"). Tale indeterminatezza è stata censurata poiché impedisce all'interessato di conoscere il momento certo della cancellazione dei propri dati, violando l'art. 13, par. 2, lett. a) del Regolamento.

Le Sanzioni e le Misure Correttive

Oltre alla sanzione pecuniaria di 400.000,00 euro (calcolata in misura dissuasiva ma ponderata sul fatturato), il Garante ha imposto:

• Il divieto di ogni ulteriore trattamento per finalità di marketing basato sui consensi invalidi raccolti via web.

• L'obbligo di cancellazione dei dati illecitamente trattati.

• L'adeguamento delle informative, con l'esplicitazione dei tempi di conservazione e delle basi giuridiche.

Il provvedimento Verisure funge da monito per le imprese che operano nel direct marketing: non è più tollerabile una gestione "opaca" dei consensi o l'utilizzo di scuse tecniche per giustificare ritardi nell'evasione dei diritti. L’accountability impone che la protezione dei dati sia integrata nei processi aziendali fin dalla loro progettazione (privacy by design), pena sanzioni che, come in questo caso, assumono anche una valenza reputazionale attraverso la pubblicazione accessoria dell'ordinanza

Immagine di copertina

Descrizione: Verisure

Copyright: Immagine Fortune Italia / https://www.fortuneita.com/2025/09/17/verisure-verso-una-ipo-da-oltre-3-miliardi-di-euro/