Garante Privacy sanziona Verisure per 400.000 euro: marketing e consenso sotto la lente
Gennaio 12, 2026
Compliance come vantaggio competitivo: da obbligo normativo a leva di crescita
Febbraio 12, 2026 𝐌𝐢𝐬𝐮𝐫𝐞 𝐝𝐢 𝐬𝐢𝐜𝐮𝐫𝐞𝐳𝐳𝐚 𝐢𝐧𝐚𝐝𝐞𝐠𝐮𝐚𝐭𝐞: 𝐢𝐥 𝐆𝐚𝐫𝐚𝐧𝐭𝐞 𝐬𝐚𝐧𝐳𝐢𝐨𝐧𝐚 𝐀𝐢𝐦𝐚𝐠 𝐒.𝐩.𝐀.
Il Garante ha accertato l’illiceità di plurimi trattamenti di dati personali effettuati da Aimag S.p.A., irrogando una sanzione amministrativa pecuniaria di 300.000€ e disponendo specifiche misure correttive.
Il procedimento trae origine da una segnalazione relativa alle modalità di registrazione all’area riservata del sito www.aimag.it, che consentiva agli utenti l’accesso a bollette, storico dei consumi e ulteriori dati personali.
Dall’istruttoria è emerso che la registrazione poteva avvenire mediante il solo inserimento del codice fiscale e di un indirizzo mail, senza alcuna verifica sull’identità del soggetto registrante né sulla titolarità della casella di posta elettronica.
Secondo il Garante, tale sistema non risultava adeguato rispetto al contesto, alle finalità del trattamento e ai rischi per i diritti e le libertà degli interessati. In particolare, il codice fiscale è stato ritenuto un dato facilmente ricavabile, anche tramite strumenti online liberamente accessibili, e pertanto inidoneo a fungere da misura di sicurezza. L’assenza di controlli sull’indirizzo mail aggravava ulteriormente il rischio di accessi abusivi a dati personali idonei a delineare un profilo dettagliato delle abitudini di consumo degli utenti.
L’Autorità ha quindi accertato la violazione degli artt. 5, 24, 25 e 32 del GDPR, rilevando la mancata adozione di misure tecniche e organizzative adeguate a garantire un livello di sicurezza proporzionato al rischio
Ulteriori violazioni sono state riscontrate in relazione ai trattamenti per finalità promozionali. I consensi venivano acquisiti mediante form con caselle preselezionate, in contrasto con la nozione di consenso libero, specifico, informato e inequivocabile di cui agli artt. 4 e 7 del GDPR e al Cons. 32. Le informative sono state inoltre giudicate carenti e contraddittorie, in violazione degli artt. 5, 6 e 13 del GDPR, per l’assenza di un’idonea base giuridica dei trattamenti promozionali e per il difetto di trasparenza.
Con riferimento ai tempi di conservazione dei dati per finalità di marketing, fissati in cinque anni, il Garante ha rilevato la violazione del principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. e), del GDPR, poiché determinati sulla base di criteri contrattuali e difensivi e non delle caratteristiche del trattamento promozionale e delle aspettative dell’interessato.
Oltre alla sanzione pecuniaria, l’Autorità ha ingiunto alla Società di adottare misure di sicurezza adeguate per l’accesso all’area riservata e di aggiornare le modalità di acquisizione del consenso e le relative informative, disponendo altresì la pubblicazione del provvedimento sul proprio sito istituzionale. Il provvedimento conferma l’orientamento rigoroso del Garante in tema di sicurezza degli accessi digitali e validità del consenso.