In sintesi
Una giovane azienda italiana, Ventive S.r.l., è stata multata dal Garante Privacy per 4.000 euro per aver inviato e-mail promozionali a persone senza il loro permesso e senza spiegare loro come aveva ottenuto i loro contatti. L'azienda aveva comprato questi indirizzi e-mail da una piattaforma online (Lusha), pensando fosse tutto regolare. Il Garante ha chiarito che per il marketing via e-mail serve sempre un permesso specifico (il consenso) da parte delle persone, e non è sufficiente dire che si ha un "interesse legittimo". Questo caso insegna che anche le piccole aziende devono stare molto attente a come raccolgono e usano i dati personali per le loro campagne di marketing.
Cosa fare
- Chiedete sempre il permesso esplicito (consenso) alle persone prima di inviare loro e-mail pubblicitarie o di marketing
- Spiegate chiaramente ai vostri clienti come avete ottenuto i loro dati e come li userete (questa è l'informativa privacy)
- Non comprate o usate liste di contatti da altre aziende senza essere certi che questi contatti siano stati raccolti legalmente e che possiate usarli per il marketing
Cosa evitare
- Non inviare e-mail promozionali senza il permesso specifico delle persone
- Non date per scontato che accettare un collegamento su un social network professionale (come LinkedIn) dia il permesso per il marketing diretto
- Non fidatevi ciecamente delle piattaforme che vendono contatti senza fare i vostri controlli sulla legalità della loro raccolta e del loro utilizzo
Contesto
Il procedimento ha avuto origine da un reclamo presentato il 18 marzo 2025 da un utente che aveva ricevuto, il 27 febbraio 2025, una comunicazione promozionale via e-mail professionale da parte della Società Ventive S.r.l., subito dopo aver accettato una richiesta di contatto su LinkedIn da un dipendente della stessa. L'indirizzo e-mail del reclamante non era presente su LinkedIn. Alla richiesta di chiarimenti sull'origine dei dati, la Società ha risposto di averli acquisiti tramite l'applicazione Lusha. La successiva richiesta di documentazione attestante il consenso del reclamante è rimasta senza riscontro. L'Ufficio del Garante ha avviato un'istruttoria, contestando alla Società possibili violazioni relative al trattamento di dati personali per finalità di marketing in assenza di idonea base giuridica e di adeguata informazione. Ventive S.r.l., una realtà giovane e in rapida crescita, ha dichiarato di aver utilizzato Lusha tra febbraio e maggio 2025 per acquisire circa 500 contatti (di cui 132 effettivamente utilizzati per comunicazioni commerciali), confidando erroneamente nella liceità dell'origine dei dati e sul "legittimo interesse" di Lusha, scoprendo solo dopo il reclamo che Lusha non si basava sul consenso specifico per la cessione a terzi per finalità promozionali. Dopo aver dubitato della legittimità, la Società ha interrotto l'abbonamento e cessato l'utilizzo della piattaforma, avviando un percorso di adeguamento.
La decisione
Il Garante ha accertato l'illiceità del trattamento effettuato da Ventive S.r.l. per violazione dell'Art. 5, par. 1, lett. a) e Art. 14 del Regolamento (UE) 2016/679 (GDPR), e dell'Art. 130, comma 2 del D.Lgs. 196/2003 (Codice Privacy). La Società ha effettuato trattamenti di dati personali per finalità commerciali (marketing diretto via e-mail) in assenza di idonea base giuridica (il consenso, richiesto dalla normativa speciale dell'Art. 130 del Codice Privacy) e senza fornire alcuna informazione agli interessati circa le caratteristiche del trattamento in corso. Il Garante ha respinto la difesa della Società, che invocava la buona fede e l'affidamento su Lusha, evidenziando che l'errore sulla liceità della condotta non è scusabile se non inevitabile e che un titolare deve sempre verificare la liceità della raccolta e del trattamento dei dati, specialmente quando acquisiti da terzi. L'accettazione di un contatto su LinkedIn non è considerata un valido fondamento per l'invio di comunicazioni commerciali. Nonostante la Società abbia cessato l'utilizzo della piattaforma e avviato un percorso di adeguamento, il Garante ha ritenuto necessarie l'applicazione di una sanzione amministrativa pecuniaria di 4.000 euro e la sanzione accessoria della pubblicazione del provvedimento sul proprio sito internet istituzionale.
Articoli GDPR violati
| Articolo | Descrizione | Rilevanza |
|---|---|---|
|
5 par.1 lett.a GDPR |
Principi di liceità, correttezza e trasparenza del trattamento dei dati personali. | violato per l'invio di comunicazioni commerciali in assenza di idonea base giuridica (consenso) e per la mancata trasparenza riguardo all'origine dei dati e alle modalità di trattamento. |
|
14 GDPR |
Obbligo di fornire informazioni agli interessati quando i dati non sono ottenuti direttamente da loro. | violato per non aver fornito alcuna informazione sul trattamento dei dati acquisiti da terzi per finalità commerciali. |
|
130 par.2 Codice Privacy |
Disciplina speciale sull'uso di sistemi automatizzati di chiamata senza intervento di un operatore per l'invio di materiale pubblicitario, che richiede il consenso preventivo. | violato per l'invio di comunicazioni commerciali via e-mail senza il consenso specifico e preventivo dell'interessato, non potendo fondare tale trattamento sul legittimo interesse. |
Misure imposte
Pubblicazione del provvedimento sul sito del Garante
Sanzione
Il Garante ha ordinato alla Ventive S.r.l. il pagamento di una sanzione amministrativa pecuniaria di 4.000 euro per le violazioni degli artt. 5, par. 1, lett. a) e 14 del Regolamento e dell'art. 130, comma 2 del Codice Privacy. La sanzione è stata quantificata tenendo conto della gravità delle violazioni (marketing senza base giuridica e informativa), del carattere gravemente colposo della condotta, ma anche di attenuanti quali le misure prontamente adottate, la prima violazione, la collaborazione, l'assenza di dati particolari e le ridotte dimensioni economiche della Società. È stata altresì disposta la sanzione accessoria della pubblicazione del provvedimento sul sito del Garante.
Termini: entro 30 giorni dalla notificazione del presente provvedimento
Implicazioni pratiche
Questo provvedimento enfatizza la necessità critica di stabilire una base giuridica solida e di garantire la trasparenza attraverso l'informativa in ogni attività di trattamento dati, specialmente nel marketing diretto e nell'acquisizione di dati da terzi. Le aziende non possono affidarsi ciecamente alle dichiarazioni di conformità di fornitori esterni senza condurre una propria adeguata due diligence. Il Garante ribadisce che per l'invio di comunicazioni promozionali via e-mail è richiesto il consenso esplicito dell'interessato, escludendo il legittimo interesse in virtù della normativa speciale (Art. 130 del Codice Privacy). L'accettazione di un contatto su una piattaforma professionale come LinkedIn non è sufficiente a costituire un consenso valido per il marketing diretto. Le aziende, comprese le PMI e le startup, devono investire nella compliance GDPR fin dalle fasi iniziali della loro crescita e sviluppo.
Azioni da fare
- Verificare la base giuridica per ogni trattamento di dati personali, in particolare per il marketing diretto
- Ottenere il consenso esplicito e documentato per l'invio di comunicazioni commerciali via e-mail
- Fornire un'informativa completa e trasparente agli interessati, specialmente se i dati sono acquisiti da terzi, indicando l'origine dei dati e le finalità del trattamento
- Eseguire una due diligence rigorosa sui fornitori di servizi di data enrichment o lead generation, richiedendo documentazione probatoria sulla liceità della raccolta e della cessione dei dati
- Implementare e mantenere procedure interne per la gestione dei consensi e delle informative
- Formare il personale sulla normativa privacy e sulle responsabilità legate al trattamento dei dati personali
Errori da evitare
- Non fare affidamento esclusivo sul legittimo interesse come base giuridica per il marketing diretto via e-mail
- Non acquisire dati personali da terzi senza verificarne con attenzione l'origine, la liceità del trattamento e la possibilità di riutilizzo per le proprie finalità
- Non inviare comunicazioni commerciali senza il consenso o altra base giuridica valida e specifica
- Non omettere l'informativa agli interessati, specialmente quando i dati non sono stati raccolti direttamente da loro
- Dare per scontato che l'accettazione di un collegamento su LinkedIn costituisca consenso al marketing diretto.
Domande di self-assessment
- Qual è la base giuridica specifica per ogni trattamento di dati personali nella nostra azienda, specialmente per il marketing?
- Abbiamo ottenuto il consenso esplicito e verificabile per tutte le nostre attività di marketing via e-mail?
- La nostra informativa privacy è completa, trasparente, facilmente accessibile e include le fonti di acquisizione dati da terzi?
- Abbiamo implementato un processo di due diligence per i fornitori di dati o servizi di lead generation per assicurarci della loro conformità GDPR?
- Il nostro personale è adeguatamente formato sugli obblighi GDPR relativi al marketing e all'acquisizione e trattamento dei dati personali?
Riferimenti
Normativa nazionale: D.Lgs. 196/2003 · D.Lgs. 10 agosto 2018, n. 101 · Legge n. 689/1981
Note
Il provvedimento mette in luce una problematica crescente relativa all'utilizzo acritico di piattaforme digitali che offrono servizi di 'lead generation' o 'data enrichment', fornendo dati personali senza adeguate e sostanziali garanzie sulla liceità della raccolta, delle operazioni successive e della cessione a terzi. Il Garante avverte i titolari della responsabilità diretta in caso di affidamento non verificato su tali servizi.
