Garante Privacy sanziona Verisure per 400.000 euro: marketing e consenso sotto la lente
Gennaio 12, 2026Compliance come vantaggio competitivo: da obbligo normativo a leva di crescita
Febbraio 12, 2026๐๐ข๐ฌ๐ฎ๐ซ๐ ๐๐ข ๐ฌ๐ข๐๐ฎ๐ซ๐๐ณ๐ณ๐ ๐ข๐ง๐๐๐๐ ๐ฎ๐๐ญ๐: ๐ข๐ฅ ๐๐๐ซ๐๐ง๐ญ๐ ๐ฌ๐๐ง๐ณ๐ข๐จ๐ง๐ ๐๐ข๐ฆ๐๐ ๐.๐ฉ.๐.
Il Garante ha accertato lโilliceitร di plurimi trattamenti di dati personali effettuati da Aimag S.p.A., irrogando una sanzione amministrativa pecuniaria di 300.000โฌ e disponendo specifiche misure correttive.
Il procedimento trae origine da una segnalazione relativa alle modalitร di registrazione allโarea riservata del sito www.aimag.it. Questo sito consentiva agli utenti lโaccesso a bollette, storico dei consumi e ulteriori dati personali.
Dallโistruttoria รจ emerso che la registrazione poteva avvenire mediante il solo inserimento del codice fiscale e di un indirizzo mail. Tuttavia, non cโera alcuna verifica sullโidentitร del soggetto registrante nรฉ sulla titolaritร della casella di posta elettronica.
Secondo il Garante, tale sistema non risultava adeguato rispetto al contesto, alle finalitร del trattamento e ai rischi per i diritti e le libertร degli interessati. In particolare, il codice fiscale รจ stato ritenuto un dato facilmente ricavabile, anche tramite strumenti online liberamente accessibili. Pertanto, รจ considerato inidoneo a fungere da misura di sicurezza. Inoltre, lโassenza di controlli sullโindirizzo mail aggravava ulteriormente il rischio di accessi abusivi a dati personali idonei a delineare un profilo dettagliato delle abitudini di consumo degli utenti.
LโAutoritร ha quindi accertato la violazione degli artt. 5, 24, 25 e 32 del GDPR. Ha rilevato la mancata adozione di misure tecniche e organizzative adeguate a garantire un livello di sicurezza proporzionato al rischio.
Ulteriori violazioni sono state riscontrate in relazione ai trattamenti per finalitร promozionali. I consensi venivano acquisiti mediante form con caselle preselezionate, in contrasto con la nozione di consenso libero, specifico, informato e inequivocabile di cui agli artt. 4 e 7 del GDPR e al Cons. 32. Le informative sono state inoltre giudicate carenti e contraddittorie, in violazione degli artt. 5, 6 e 13 del GDPR. Queste violazioni si riferiscono allโassenza di unโidonea base giuridica dei trattamenti promozionali e al difetto di trasparenza.
Con riferimento ai tempi di conservazione dei dati per finalitร di marketing, fissati in cinque anni, il Garante ha rilevato la violazione del principio di limitazione della conservazione di cui allโart. 5, par. 1, lett. e), del GDPR. Questo poichรฉ i tempi erano determinati sulla base di criteri contrattuali e difensivi e non delle caratteristiche del trattamento promozionale e delle aspettative dellโinteressato.
Oltre alla sanzione pecuniaria, lโAutoritร ha ingiunto alla Societร di adottare misure di sicurezza adeguate per lโaccesso allโarea riservata e di aggiornare le modalitร di acquisizione del consenso e le relative informative, disponendo altresรฌ la pubblicazione del provvedimento sul proprio sito istituzionale. Il provvedimento conferma lโorientamento rigoroso del Garante in tema di sicurezza degli accessi digitali e validitร del consenso.

