Garante Privacy sanziona Aimag per misure di sicurezza inadeguate: multa da 300.000 euro

gdpr

Garante Privacy sanziona Verisure per 400.000 euro: marketing e consenso sotto la lente

Gennaio 12, 2026
Compliance

Compliance come vantaggio competitivo: da obbligo normativo a leva di crescita

Febbraio 12, 2026
gdpr

Garante Privacy sanziona Verisure per 400.000 euro: marketing e consenso sotto la lente

Gennaio 12, 2026
Compliance

Compliance come vantaggio competitivo: da obbligo normativo a leva di crescita

Febbraio 12, 2026
gdpr

๐Œ๐ข๐ฌ๐ฎ๐ซ๐ž ๐๐ข ๐ฌ๐ข๐œ๐ฎ๐ซ๐ž๐ณ๐ณ๐š ๐ข๐ง๐š๐๐ž๐ ๐ฎ๐š๐ญ๐ž: ๐ข๐ฅ ๐†๐š๐ซ๐š๐ง๐ญ๐ž ๐ฌ๐š๐ง๐ณ๐ข๐จ๐ง๐š ๐€๐ข๐ฆ๐š๐  ๐’.๐ฉ.๐€.

Il Garante ha accertato lโ€™illiceitร  di plurimi trattamenti di dati personali effettuati da Aimag S.p.A., irrogando una sanzione amministrativa pecuniaria di 300.000โ‚ฌ e disponendo specifiche misure correttive.
Il procedimento trae origine da una segnalazione relativa alle modalitร  di registrazione allโ€™area riservata del sito www.aimag.it. Questo sito consentiva agli utenti lโ€™accesso a bollette, storico dei consumi e ulteriori dati personali.

Dallโ€™istruttoria รจ emerso che la registrazione poteva avvenire mediante il solo inserimento del codice fiscale e di un indirizzo mail. Tuttavia, non cโ€™era alcuna verifica sullโ€™identitร  del soggetto registrante nรฉ sulla titolaritร  della casella di posta elettronica.

Secondo il Garante, tale sistema non risultava adeguato rispetto al contesto, alle finalitร  del trattamento e ai rischi per i diritti e le libertร  degli interessati. In particolare, il codice fiscale รจ stato ritenuto un dato facilmente ricavabile, anche tramite strumenti online liberamente accessibili. Pertanto, รจ considerato inidoneo a fungere da misura di sicurezza. Inoltre, lโ€™assenza di controlli sullโ€™indirizzo mail aggravava ulteriormente il rischio di accessi abusivi a dati personali idonei a delineare un profilo dettagliato delle abitudini di consumo degli utenti.

Lโ€™Autoritร  ha quindi accertato la violazione degli artt. 5, 24, 25 e 32 del GDPR. Ha rilevato la mancata adozione di misure tecniche e organizzative adeguate a garantire un livello di sicurezza proporzionato al rischio.
Ulteriori violazioni sono state riscontrate in relazione ai trattamenti per finalitร  promozionali. I consensi venivano acquisiti mediante form con caselle preselezionate, in contrasto con la nozione di consenso libero, specifico, informato e inequivocabile di cui agli artt. 4 e 7 del GDPR e al Cons. 32. Le informative sono state inoltre giudicate carenti e contraddittorie, in violazione degli artt. 5, 6 e 13 del GDPR. Queste violazioni si riferiscono allโ€™assenza di unโ€™idonea base giuridica dei trattamenti promozionali e al difetto di trasparenza.

Con riferimento ai tempi di conservazione dei dati per finalitร  di marketing, fissati in cinque anni, il Garante ha rilevato la violazione del principio di limitazione della conservazione di cui allโ€™art. 5, par. 1, lett. e), del GDPR. Questo poichรฉ i tempi erano determinati sulla base di criteri contrattuali e difensivi e non delle caratteristiche del trattamento promozionale e delle aspettative dellโ€™interessato.

Oltre alla sanzione pecuniaria, lโ€™Autoritร  ha ingiunto alla Societร  di adottare misure di sicurezza adeguate per lโ€™accesso allโ€™area riservata e di aggiornare le modalitร  di acquisizione del consenso e le relative informative, disponendo altresรฌ la pubblicazione del provvedimento sul proprio sito istituzionale. Il provvedimento conferma lโ€™orientamento rigoroso del Garante in tema di sicurezza degli accessi digitali e validitร  del consenso.

 

 

Comments are closed.