VEDI ANCHE

- Newsletter del 17 dicembre 2025

- Provvedimento del 16 gennaio 2026

[doc. web n. 10201989]

Provvedimento del 27 novembre 2025

Registro dei provvedimenti
n. 708 del 27 novembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con comunicazione prot. n. 40387 del 26 marzo 2025 (notificata in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente richiamata, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Verisure Italy s.r.l. (di seguito, anche, “Verisure”, la “Società” o il “Titolare”), in persona del legale rappresentante pro-tempore, con sede legale in Roma (RM), viale dell’Oceano Pacifico, 171/173, 00144, C.F. 12454611000.

Il procedimento trae origine da un reclamo del 12 novembre 2024 (prot. n. 133207 del 13 novembre 2024) e una successiva segnalazione del 12 febbraio 2025 (prot. n. 18695 del 13 febbraio 2025), atti provenienti da due differenti soggetti, con i quali si informava l’Autorità del fatto che la Società, nonostante dichiarasse di aver accolto i diritti esercitati dagli interessati al trattamento, nella pratica non vi dava seguito e perseverava nell’invio di comunicazioni commerciali indesiderate.

In particolare, con il reclamo citato, un ex cliente della Società lamentava la ricezione di due sms promozionali (in data 5 e 12 novembre 2024), nonostante il reclamante avesse richiesto, in data 19 settembre 2024, tramite mail, la cancellazione dei propri dati ed esercitato l’opposizione ad ogni comunicazione pubblicitaria e la Società avesse risposto, in data 4 ottobre 2024, che avrebbe accolto tali richieste nel termine di cui all’art. 12 del Regolamento.

Parimenti, anche nel caso della segnalazione, un potenziale cliente della Società informava l’Autorità che, in seguito alla richiesta di un preventivo, riceveva telefonate, mail ed sms di natura pubblicitaria, da ultimo un sms in data 12 febbraio 2025, nonostante il segnalante avesse espresso, sia personalmente ad un addetto della Società, sia tramite mail del 31 ottobre 2024, la volontà di non ricevere più alcuna telefonata, e-mail o messaggio pubblicitario e la Società, con mail del 12 novembre 2024 del medesimo tenore di quella rivolta al reclamante, avesse confermato la presa in carico della richiesta e l’accoglimento della stessa «il prima possibile e certamente entro il termine previsto dall’art. 12 del Regolamento Europeo “GDPR” n. 679/2016».

1.2. La richiesta di informazioni formulata dall’Autorità

In data 18 novembre 2024 l’Ufficio ha formulato nei confronti del Titolare del trattamento una richiesta di informazioni, ai sensi dell’art. 157 del Codice, riguardo a quanto rappresentato nel reclamo del 12 novembre 2024.

Con riscontro inviato il 7 dicembre 2024 (ed acquisito con prot. n. 144662 del 9 dicembre 2024), la Società ha confermato che in data 4 ottobre 2024 aveva risposto al reclamante con l’impegno di adempiere a quanto richiesto nel più breve tempo possibile e comunque entro il termine di 30 giorni. Ciononostante, tale attività sarebbe stata rallentata dal fatto che lo stesso reclamante non avesse fornito alcuna precisazione relativamente al rapporto intrattenuto con la Società (cliente, ex cliente, potenziale cliente, dipendente, candidato o altro).

Poiché in data 5 novembre 2024 il reclamante ha segnalato la ricezione di ulteriori comunicazioni di natura promozionale, la Società ha disposto ulteriori indagini dalle quali è risultato che i dati del reclamante erano stati inseriti in una campagna di marketing rivolta ad ex clienti, già approvata e avviata al momento in cui la richiesta era stata presa in carico. L’invio del 5 novembre 2024 era quindi frutto di un “mero errore materiale” dovuto alla vicinanza delle tempistiche di lancio della campagna rispetto alla data di esercizio dei diritti.

La Società ha così disposto il blocco di tutte le campagne già approvate e avviate alla data di presa in carico della nuova richiesta del 5 novembre 2024 e, successivamente, ha informato di ciò il reclamante con comunicazione del 22 novembre 2024.

La Società ha chiarito, inoltre, che il reclamante era stato loro cliente dal 15 novembre 2020 al 20 aprile 2023 e, in sede di contrattualizzazione del rapporto, aveva fornito specifico consenso all’attività promozionale e alla ricezione di notizie e aggiornamenti sui loro prodotti e servizi.

Per quanto riguarda l’esercizio del diritto di opposizione, il Titolare informava di aver istituito un apposito canale e-mail ma gli interessati potevano usare anche altri canali, come la posta ordinaria e certificata, nonché una piattaforma dedicata. I dati dell’interessato venivano così inseriti in un’apposita black list interna criptata ai fini dell’esclusione della successiva campagna marketing e alla successiva cancellazione.

Conseguentemente, le attività di marketing in favore di clienti ed ex clienti – effettuate mediante comunicazioni telefoniche e più raramente tramite sms – sono basate sul consenso espresso al momento della sottoscrizione del contratto e acquisito tramite la compilazione di un’apposita informativa allegata al contratto.

Nei confronti invece dei potenziali clienti, la Società ha sostenuto di svolgere attività di telemarketing esclusivamente previo consenso prestato al momento della richiesta di preventivo fornendo il proprio recapito telefonico.

Più nello specifico, la Società ha descritto due distinti trattamenti entrambi originati dalla richiesta di preventivo sul sito: quelli di telebooking e teleselling. Per quanto riguarda le attività di telebooking, si tratta di comunicazioni dirette a fissare un incontro con un esperto affinché questo effettui una proposta di preventivo personalizzato sulla base dell’ispezione presso l’immobile. Per quanto riguarda, invece, l’attività di teleselling, la stessa risulta finalizzata alla conclusione del contratto tramite telefono laddove l’incontro con l’esperto di sicurezza sia già avvenuto ma non si sia concluso con la sottoscrizione del contratto (es. nel caso in cui il cliente abbia chiesto di posticipare l’installazione o necessitasse di tempo per confrontare altre soluzioni). L’attività di teleselling sarebbe, quindi, «parte della medesima sessione promozionale richiesta al cliente, presentando una continuità cronologica con la stessa e solo previo consenso dell’interessato».

Infine, la Società ha dichiarato che «i dati forniti dai potenziali clienti al momento in cui viene prestato il consenso vengono conservati e utilizzati per finalità di marketing per un periodo pari a 12 mesi, conformemente a quanto previsto nell’informativa privacy».

Con mail del 16 dicembre 2024 (prot. n. 148015 del 17 dicembre 2024), in sede di osservazioni al riscontro della Società, il reclamante ha rilevato che non potesse essergli imputata l’omessa indicazione di informazioni sul suo rapporto con la Società in quanto si trattava di informazioni legate all’organizzazione degli archivi della stessa. Parimenti riteneva irrilevante l’aver precedentemente acconsentito alle comunicazioni promozionali in quanto aveva successivamente richiesto la cancellazione dei dati.

1.3. Seconda richiesta di informazioni formulata dall’Autorità

Con la seconda richiesta di informazioni ex art. 157 del Codice (prot. 150251 del 20 dicembre 2024), l’Ufficio ha chiesto alla Società di fornire la documentazione attestante l’acquisizione del consenso del reclamante, in sede di sottoscrizione contrattuale, per scopi promozionali. Inoltre, si chiedeva di chiarire in che modo e con quale formulazione venisse richiesto ai potenziali clienti il consenso al marketing.

La Società ha risposto in data 9 gennaio 2025 (prot. n. 3198 del 13 gennaio 2025) producendo l’informativa sottoscritta dal reclamante e allegata al contratto del 15 novembre 2020, dalla quale si evinceva la prestazione del consenso per finalità promozionali.

Nei confronti dei potenziali clienti, per quanto riguarda l’attività di teleselling, nel ribadire che tale attività fosse «finalizzata alla conclusione telefonica del contratto qualora lo stesso non sia stato formalizzato ad esito dell’incontro con l’esperto di sicurezza Verisure», la Società ha chiarito che il: «il consenso viene acquisito, prima dell’avvio delle attività di trattamento, attraverso il box [per la richiesta di preventivo, ndr] posto sulla destra dell’home page del sito internet». Da tale box, cliccando sul link contenuto nel testo “accetti la politica di privacy”, si accedeva all’informativa privacy “in forma sintetica” dove si specificava che: «Con la compilazione del presente form, Lei dichiara di aver letto e compreso l’informativa privacy e acconsente al trattamento dei suoi dati personali da parte di Verisure Italy s.r.l. (Verisure), in qualità di titolare del trattamento, al fine di contattarLa (tramite un operatore incaricato) per fornirLe informazioni relative a servizi e prodotti offerti dalla stessa. Il conferimento dei dati è facoltativo e comporterà unicamente per Verisure l’impossibilità di contattarLa. Per esercitare i suoi diritti o chiedere maggiori informazioni sul trattamento dei suoi dati può scrivere a: […]».

La Società aggiungeva che quanto affermato nella “politica privacy sintetica” trovava corrispondenza nell’informativa estesa al numero iii delle finalità del trattamento. Ossia: «OffrirLe i prodotti, i servizi e le promozioni di Suo interesse, attraverso comunicazioni commerciali (marketing). Non è obbligato a comunicare i Suoi dati per la suddetta finalità, tuttavia la conseguenza, in caso di mancata comunicazione, è l’impossibilità di inviarLe promozioni ed informazioni commerciali (tali potranno essere realizzate attraverso diversi canali predisposti da Verisure, quali ad esempio: telefono, SMS/MMS o applicazioni di messaggistica istantanea). Tale trattamento è basato sul Suo specifico consenso, che potrà revocare in ogni momento».

Infine, la Società ha informato l’Autorità che fosse: «da tempo in fase di progettazione ed implementazione online il nostro nuovo sito internet, che presenterà sempre i due differenti funnel per il calcolo online del preventivo e per la comunicazione del numero di telefono; entrambi avranno un sistema di acquisizione del consenso basato su doppio checkbox, secondo lo schema che segue». Allegava quindi una tabella che, sia con riferimento alla sezione 1) dal titolo “Calcola il preventivo online” sia con riferimento alla sezione 2) dal titolo “Ti chiamiamo noi”, prevedeva il ricorso a due trattamenti entrambi basati sul consenso dell’interessato. Nel primo caso, relativo alla sezione 1), si prevedeva un consenso “obbligatorio” per il «trattamento dei dati per la ricezione di comunicazioni telefoniche per la finalizzazione dello studio di sicurezza secondo la politica di privacy» e uno “facoltativo” per il «trattamento dei dati secondo la politica di privacy per l’invio di comunicazioni e offerte commerciali». Parimenti, con riferimento alla sezione 2) relativa alla possibilità di inserire il proprio numero di telefono al fine di essere ricontattati, la Società ha invocato il ricorso a: un consenso “obbligatorio” per il trattamento dei dati «secondo la politica di privacy»; un consenso “facoltativo” per «l’invio di comunicazioni e offerte commerciali da parte di Verisure».

1.4. La ricezione della segnalazione

Nel corso dell’istruttoria preliminare e successivamente ai riscontri della Società, in data 12 febbraio 2025 (prot. n. 18695 del 13 febbraio 2025), è pervenuta una segnalazione da parte di un potenziale cliente che lamentava la ricezione di comunicazioni promozionali in seguito alla richiesta di un preventivo. Nonostante l’esercizio del diritto alla cancellazione dei propri dati e di opposizione alle comunicazioni commerciali, esercitati con mail del 31 ottobre 2024, e la conseguente mail del 12 novembre 2024 con la quale la Società ha confermato che avrebbe dato seguito alle richieste il prima possibile e comunque entro i termini di cui all’art. 12 del Regolamento, in data 12 febbraio 2025 il segnalante ha ricevuto un nuovo sms pubblicitario.

2. CONTESTAZIONE DELLE VIOLAZIONI

Esaminata la documentazione in atti, in via preliminarmente si rileva che, al fine di promuovere l’esame organico di tutte le questioni prospettate nelle istanze sopra richiamate, sebbene pervenute in tempi diversi, ai sensi dell’art. 10, comma 4, del regolamento interno n. 1/2019, l’Ufficio ha ritenuto opportuno trattare congiuntamente il reclamo di cui al fascicolo n. 420839 e la segnalazione di cui al fascicolo n. 446075 dal momento che le suddette doglianze sono state proposte nei confronti dello stesso titolare e hanno ad oggetto le medesime circostanze. La riunione dei suddetti procedimenti consente di dare piena attuazione ai principi di economicità e ragionevole durata del procedimento e di garantire, al contempo, il diritto di difesa e di non aggravamento del procedimento riconosciuto dalla legge al titolare del trattamento.

All’esito dell’istruttoria, l’Ufficio ha dunque adottato il sopra richiamato atto di contestazione n. 40387 del 26 marzo 2025, al quale si allegava anche la segnalazione successivamente ricevuta e afferente ai medesimi profili.

2.1. Tardivo adempimento all’esercizio dei diritti

Con tale atto si contestava il tardivo adempimento all’esercizio dei diritti del reclamante, avvenuto solo in data 5 novembre 2024 e comunicato in data 22 novembre 2024, determinando così la possibile violazione degli artt. 12, par. 3, 17 e 21 del Regolamento.

A tale violazione deve aggiungersi quella analoga di cui alla segnalazione del 12 febbraio 2025, con la quale si denunciava l’omesso o tardivo adempimento all’esercizio dei diritti del segnalante e, in particolare, all’opposizione alle comunicazioni promozionali.

2.2. Comunicazioni commerciali rivolte a potenziali clienti

Con riferimento alle attività di marketing mediante lo strumento telefonico nei confronti dei potenziali clienti si rileva quanto segue.

La Società ha predisposto, sul proprio sito, un box per la fornitura del preventivo secondo diverse modalità: 1) la possibilità di calcolarlo online; 2) la possibilità di essere contattati gratuitamente tramite telefono; 3) oppure quella di contattare il numero indicato. Nel caso delle prime due opzioni, l’utente era tenuto a fornire il proprio numero di telefono per perfezionare la procedura e, quindi, necessariamente, ad accettare “la politica di privacy” senza ricevere alcun tipo di informazione, anche sintetica. Infatti, al pari della procedura di contatto da parte della Società, che necessita della richiesta di un numero telefonico, anche la procedura di calcolo online (in realtà consistente in una serie di domande in merito alle caratteristiche dell’abitazione e al livello di sicurezza del luogo da sorvegliare) si concludeva comunque con la richiesta di fornire un numero di telefono.

Con specifico riferimento alla possibilità di essere contattati gratuitamente tramite telefono, solo se e dopo aver cliccato sul link contenuto nel testo “accetti la politica di privacy” all’interno del box era possibile accedere all’informativa sintetica (che quindi non era preventivamente e immediatamente visibile senza un’ulteriore azione dell’utente) la quale informava che: «Con la compilazione del presente form, Lei dichiara di aver letto e compreso l’informativa privacy e acconsente al trattamento dei suoi dati personali da parte di Verisure Italy s.r.l. (Verisure), in qualità di titolare del trattamento, al fine di contattarLa (tramite un operatore incaricato) per fornirLe informazioni relative a servizi e prodotti offerti dalla stessa. Il conferimento dei dati è facoltativo e comporterà unicamente per Verisure l’impossibilità di contattarLa».

In sede di riscontro alla prima richiesta di informazioni, con nota del 7 dicembre 2024 la Società ha dichiarato che: «I soggetti, infatti, che vengono contattati attraverso tali attività di marketing sono unicamente soggetti che hanno inoltrato, mediante il sito internet della società una richiesta di preventivo fornendo il proprio recapito telefonico». Nonché, in riscontro alla seconda richiesta di informazioni, con nota del 9 gennaio 2025, la Società ha chiarito che quanto affermato nella “politica privacy sintetica” trova corrispondenza nell’informativa estesa, al “numero iii” delle finalità del trattamento, che faceva esplicita menzione dell’invio di “comunicazioni commerciali (marketing)”.

Inoltre, la Società ha aggiunto che: «I dati forniti dai potenziali clienti al momento in cui viene prestato il consenso vengono conservati e utilizzati per finalità di marketing per un periodo pari a 12 mesi» (cfr. risposta del 7 dicembre 2024). Deve quindi ritenersi che tale termine trovi applicazione ai dati forniti in sede di richiesta di preventivo individuando come dies a quo la data di inserimento del numero di telefono nell’apposito box, attività che la Società ha ritenuto di equiparare alla prestazione di un consenso rilevante ai sensi del Regolamento.

Tale ricostruzione trovava ulteriore riprova nella nota del 9 gennaio 2025 dove la Società ha lasciato intendere che le finalità di telebooking e marketing fossero basate su due consensi. Infatti, in chiusura alla nota citata, la Società ha informato dell’intenzione di apportare modifiche al sito Internet che, però, non avrebbero intaccato i meccanismi di funzionamento dei «due differenti funnel per il calcolo online del preventivo e per la comunicazione del numero di telefono». In tale sede si confermava infatti che entrambi i funnel avrebbero continuato a basarsi su un sistema di acquisizione del consenso basato su doppio checkbox. Ossia, con specifico riferimento alla fornitura del numero di telefono (uno dei due “funnel” citati), si richiedeva un consenso obbligatorio per la fornitura del servizio e uno facoltativo per l’invio di “comunicazioni e offerte commerciali”.

A prescindere da ciò, la possibilità di esprimere due consensi specifici risultava comunque una eventualità solo dichiarata ma nella pratica non perseguibile. In concreto, infatti, non risultava che i potenziali clienti potessero esprimere alcun consenso in quanto l’unica azione permessa era l’inserimento del numero di telefono. Nessuna casella o opzione selezionabile era disponibile per l’espressione di un consenso ma l’inserimento del numero comportava l’accettazione della “politica di privacy”, ivi compreso l’essere contattati per ricevere informazioni relative ai servizi e prodotti offerti dalla Società. A fortiori, non risultava che gli interessati potessero negare o esprimere un consenso granulare e specifico per le altre e diverse finalità e, in particolare, il marketing.

Conseguentemente, risultava possibile concludere che il Titolare effettuasse attività di marketing (e contestualmente, come si avrà modo di chiarire, anche di “teleselling”) sul presupposto della fornitura del numero di telefono per finalità di telebooking invece che sulla base di uno specifico consenso.

Così ricostruiti i presupposti e le modalità di marketing telefonico nei confronti di potenziali clienti, l’Ufficio contestava le seguenti criticità:

- il consenso per finalità di telebooking non risultava essere una base giuridica idonea, soprattutto in considerazione del fatto che l’obbligatorietà dello stesso contrastava con la natura necessariamente libera ed incondizionata di tale presupposto, venendosi a determinare una violazione del principio di liceità del trattamento nonché di libertà del consenso, ciò in possibile violazione degli artt. 5, par. 1, lett. a); 6 e 7 del Regolamento;

- l’ottenimento di un consenso per più finalità tramite il box per la richiesta di preventivo non poteva essere considerato valido perché privo dei requisiti di libertà, specificità, informazione e inequivocabilità legislativamente previsti ex artt. 4, par. 1, n. 11) e 7 del Regolamento. All’atto dell’inserimento del proprio numero di telefono per la richiesta di un preventivo, infatti, il potenziale cliente non era in grado di sapere, né di prevedere, che i suoi dati potessero essere utilizzati per finalità diverse da quella relativa alla fornitura del preventivo (telebooking). L’interessato riceveva un’informazione generica, ossia il fatto che inviando il numero avrebbe accettato anche “la politica di privacy”, senza alcuna effettiva indicazione sui trattamenti svolti. Qualche elemento in più era contenuto nell’informativa breve o sintetica, non immediatamente visibile ma raggiungibile solo tramite click sul link inserito nel box, che comunque necessitava di essere accompagnata dalla lettura dell’informativa estesa per avere chiara evidenza della finalità di marketing. Dunque, sebbene il Titolare dichiarasse che il conferimento dei dati fosse facoltativo, nei fatti non dava modo all’interessato di: esprimere un consenso granulare e specifico per i diversi trattamenti, non riconoscendo all’interessato la possibilità di rifiutare il marketing o il teleselling se non a costo di rinunciare anche al telebooking. Il consenso risultava quindi non informato e non specifico. Inoltre, la richiesta di consenso non poteva essere considerata esplicita e inequivocabile in quanto si confondeva e risultava accorpata alla richiesta di una misura precontrattuale (la richiesta di preventivo). Tale modalità di richiesta dei consensi era suscettibile di porsi in contrasto con i principi a presidio di un valido consenso e quindi idonea alla violazione degli artt. 7, parr. 2 e 4, del Regolamento;

- inoltre, sebbene il Titolare dichiarasse che il teleselling fosse parte della medesima sessione promozionale richiesta dal cliente, l’individuazione di un termine di conservazione dei dati di 12 mesi dalla richiesta di contatto risultava essere un periodo eccessivo e comunque tale da far venir meno quella “continuità cronologica” con l’attività di telebooking. Infatti, tale durevole arco di contattabilità sembrava in realtà celare un autonomo trattamento per finalità di marketing. Eventualità che sembrerebbe essersi realizzata nella misura in cui nell’ambito dell’attività di teleselling il Titolare sembrava perseguire anche e soprattutto la finalità di marketing. La scelta di un termine di conservazione dei dati così ampio – oltre a evitare l’espressione di un autonomo consenso integrando le violazioni già prospettate – era suscettibile di porsi in contrasto con il principio di limitazione della conservazione dei dati con specifico riferimento alla finalità di teleselling e quindi idonea alla violazione dell’art. 5, par. 1, lett. e), del Regolamento.

2.3. Comunicazioni commerciali rivolte ad ex clienti

Con riferimento alle comunicazioni commerciali nei confronti di clienti ed ex clienti, basate sul consenso prestato «mediante la compilazione e la sottoscrizione di un’apposita informativa allegata alle condizioni generali del contratto», si rilevava che tale informativa, nell’indicare i trattamenti ulteriori che la Società effettuava previo consenso dell’interessato – ossia i trattamenti promozionali da parte di Verisure, altre società del Gruppo Verisure o società terze partner, nonché profilazione per personalizzare i servizi – non prevedesse un termine di conservazione dei dati né alcun criterio per determinarlo. La Società si limitava a specificare che: «conserverà i Suoi dati per il periodo strettamente necessario al conseguimento delle finalità di cui sopra, al termine del quale i dati saranno immediatamente cancellati».

Tale indicazione risultava generica ed aleatoria, non in linea con la prescrizione di cui all’art. 13, par. 2, lett. a), del Regolamento che impone al titolare di indicare: «il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo».

L’assenza di uno specifico termine di conservazione dei dati per finalità ulteriori rispetto a quelle sottese all’attività negoziale sembrava porsi in contrasto con il principio di limitazione della conservazione dei dati e con gli obblighi di informazione e, quindi, idonea a configurare la violazione degli artt. 5, par. 1, lett. e); e 13, par. 2, lett. a) del Regolamento.

La violazione di tali principi poteva essere astrattamente idonea a compromettere la liceità dei relativi trattamenti anche oltre la durata del rapporto negoziale, in possibile violazione degli artt. 5, par. 1, lett. a); e 6, del Regolamento.

2.4. Riepilogo delle violazioni contestate

In conclusione, pur ritenendo meritevoli di considerazione le iniziative intraprese dalla Società per migliorare la gestione delle richieste di esercizio dei diritti, l’Ufficio ha contestato la possibile violazione degli: art. 5, par. 1, lett. a) ed e); art. 6; art. 7, parr. 2 e 4; art. 12, par. 3; 13, par. 2, lett. a); art. 17; e art. 21 del Regolamento, per aver la Società scorrettamente effettuato i trattamenti di dati personali come sopra ricostruiti e per non avere fornito tempestivo riscontro ed idonea esecuzione all’esercizio dei diritti di opposizione e cancellazione.

3. ESERCIZIO DEL DIRITTO DI DIFESA DA PARTE DEL TITOLARE

La Società, esercitando il proprio diritto di difesa, ha trasmesso la propria memoria difensiva in data 12 maggio 2025 (prot. n. 141255 di pari data) e, contestualmente, ha chiesto di essere audita ai sensi dell’art. 166, comma 6, del Codice e dell’art. 13 del regolamento interno del Garante n. 1/2019.

3.1. Adempimento all’esercizio dei diritti

Nel ribadire che il ritardo nella gestione del reclamo non sia stato in alcun modo dovuto alla volontà di danneggiare l’interessato o di impedirgli il legittimo esercizio dei propri diritti, la Società ha fatto rinvio a quanto esposto nei riscontri alle richieste di informazione specificando che:

- nella comunicazione del 19 settembre 2024, il reclamante si era limitato a chiedere di non ricevere più informazioni commerciali senza precisare di essere stato un cliente;

- dopo il primo riscontro del 4 ottobre 2024, la Società si era immediatamente attivata, nell’erronea convinzione che il reclamante fosse un potenziale cliente (e non un ex cliente), per procedere con l’inserimento dei suoi dati nella “black list” e la cancellazione dei dati presenti dai sistemi;

- solo con la seconda comunicazione del reclamante, del 5 novembre 2024, si era accorta che questo fosse un ex cliente che, pertanto, aveva espresso il consenso alla ricezione di messaggi promozionali e aggiornamenti sui prodotti e servizi. Per questo motivo, i suoi dati erano stati inseriti in una campagna promozionale già approvata e avviata e che la Società non è riuscita a intercettare e bloccare;

- il fatto fosse da considerarsi «una sfortunata circostanza di natura occasionale e isolata», anche in considerazione del fatto che non vi sono stati altri reclami o azioni giudiziarie per violazione dei diritti degli interessati;

- la Società ha cancellato i dati del reclamante non più necessari e bloccato l’invio di ulteriori comunicazioni non richieste.

Con riferimento alla segnalazione con la quale un potenziale cliente lamentava la ricezione di un sms promozionale, nonostante avesse precedentemente ricevuto conferma dell’accoglimento della sua richiesta di cancellazione ed opposizione, la Società ha affermato che tale sms non era stato inviato dalla stessa bensì autonomamente da un suo agente, tramite proprio telefono e in buona fede. Secondo la Società, il ricontatto era avvenuto quindi «in modo autonomo e non per [suo] conto».

Nonostante non abbia informato ulteriormente il segnalante, il 12 novembre 2024 la Società ha ordinato all’agente di non inviargli ulteriori comunicazioni e cancellare i dati nonché ribadito l’importanza di attenersi alle istruzioni impartite. Inoltre, avviava un processo di revisione della procedura di gestione dell’esercizio dei diritti da parte degli agenti della propria rete di vendita.

A fronte di 675 richieste di esercizio dei diritti gestite correttamente nel 2024, la Società ha dichiarato di aver efficientato la gestione di tali richieste ricorrendo ad apposita piattaforma che verifica prontamente ed autonomamente la categoria di appartenenza degli interessati (e.g., clienti, potenziali clienti), nonché fornito «idonee istruzioni alla rete agenziale in modo che verifichi e controlli sempre la black list della Società prima di intraprendere autonome iniziative commerciali».

3.2. Comunicazioni commerciali rivolte ai potenziali clienti

La Società ha chiarito di effettuare attività di telebooking raccogliendo il numero di telefono tramite sito Internet, le pagine social o anche rispondendo a chiamate o altri tipi di contatto. Inoltre, a parziale rettifica di quanto dichiarato con comunicazione del 9 gennaio 2025, ha dichiarato che il telebooking trovasse riferimento nell’informativa estesa al “numero ii” delle finalità del trattamento, quale attività necessaria per gestire e rispondere alle richieste degli interessati inerenti ai prodotti/servizi della Società, quindi in esecuzione di un contratto o di misure precontrattuali ex art. 6, par. 1, lett. b) del Regolamento.

Solo qualora, all’esito dell’appuntamento telefonico o dell’incontro in presenza con l’esperto della sicurezza, «il potenziale cliente non ricontatti Verisure per aggiornarlo in merito alla propria decisione e/o non venga concluso il contratto […], la Società ricontatta nuovamente il potenziale cliente, chiamandolo al numero di telefono in precedenza fornito, per chiedere un aggiornamento ed eventualmente presentare ulteriori offerte economiche pur sempre relative al prodotto/servizio verso cui il potenziale cliente ha mostrato il proprio interesse».

Secondo il Titolare, tale attività si poneva in assoluta continuità con la richiesta di preventivo e, in nessun caso, svolgeva attività invasive, contattando interessati che non abbiano mai manifestato una forma di interesse ai servizi forniti dalla Società e si limitava a processare soltanto il numero di telefono e i dati identificativi.

Inoltre, la Società ha sostenuto che: «non utilizza la manifestazione di interesse ricevuta dal potenziale cliente per svolgere una attività di teleselling che non tenga in considerazione i reali interessi e le necessità del potenziale cliente o per inviare comunicazioni di carattere commerciale generali. Il trattamento del numero di telefono del potenziale cliente è sempre unicamente finalizzato a supportare la sua richiesta di intervento».

Infine, tornando sulla possibilità di apportare modifiche al sito come indicato nella comunicazione del 9 gennaio 2025, ha dichiarato che: «le formulazioni contenute nelle tabelle di cui alla nota inviata in data gennaio 2025 rappresentavano una mera proposta al vaglio della Società alla data di invio della citata nota, ma che – a seguito di ulteriori valutazioni e approfondimenti – non saranno adottate secondo quanto indicato nella citata nota».

In ogni caso, la Società ha affermato di aver agito in buona fede, nella ferma convinzione di rispettare la normativa e non volendo in alcun modo ledere i diritti degli interessati. In conseguenza dei rilievi mossi dall’Autorità, ha comunque avviato un’analisi interna per modificare i processi attualmente in essere e aggiornare ulteriormente l’informativa al fine di rendere ancora più trasparente la descrizione delle attività svolte e delle basi giuridiche utilizzate. Con rifermento al direct marketing ha aggiunto che stesse valutando di:

- aggiornare l’informativa al fine di meglio distinguere le attività di telebooking e direct marketing esplicitando i casi d’uso e le diverse basi giuridiche su cui sono fondate;

- mettere nelle condizioni anche i potenziali clienti di esplicitare il consenso all’utilizzo dei propri dati (numero di telefono e identità) anche per future attività di direct marketing e teleselling che prescindano dalla richiesta di contatto.

Da ultimo, con riguardo al termine di conservazione dei dati per finalità di teleselling, pari a 12 mesi dalla richiesta di contatto per il preventivo, il Titolare ha ritenuto tale termine “proporzionato” non più sulla base della “continuità cronologica”, ma sull’esigenza di poter ricontattare gli utenti situati in aree non ancora coperte dal servizio. Pertanto la Società necessiterebbe di un tempo ragionevole che le consenta di ricontattare i clienti che: «pur avendo manifestato interesse per il servizio lasciando volontariamente il proprio numero di telefono nel funnel presente sul Sito, non hanno aderito alla proposta di preventivo da parte del personale della Società o non hanno potuto neppure ricevere tale preventivo a causa della mancata copertura del servizio nella loro area. Questo consente alla Società di mantenere un’interazione coerente – e non invasiva – con i potenziali clienti, garantendo loro un’esperienza informativa più completa e personalizzata». Peraltro la Società svolge, nell’arco dei 12 mesi, limitati tentativi di ricontatto.

Resta ferma la possibilità per il potenziale cliente, dopo aver contattato la Società e aver richiesto la visita dell’operatore, di esercitare l’opt-out dichiarando esplicitamente di non voler più essere contattato e non aver più interesse alla conclusione del contratto.

La Società ha quindi comunicato l’intenzione di esplicitare e rendere più trasparenti, distinti e granulari i tempi di conservazione per il telebooking e il direct marketing.

3.3.  Comunicazioni commerciali rivolte a clienti ed ex clienti

In relazione al termine di conservazione dei dati per finalità come il marketing, nei confronti di clienti ed ex clienti, la Società ha precisato che, sebbene l’informativa «non contenga l’indicazione di un termine granulare oltre al quale detti dati saranno cancellati», la stessa, per prassi interna, non contatta gli ex clienti con contratti scaduti o cessati da oltre 24 mesi, termine che sarà esplicitato nelle nuove informative.

Nel definire “fondamentali” per il suo business le attività di ricontatto degli ex clienti (c.d. win back), la Società ha ritenuto incontrovertibile la sussistenza di un fondamento di legittimità alla base delle campagne rivolte agli ex-clienti e specificava che i tentativi di ricontatto nei loro confronti fossero limitati e non superiori ai 3 tentativi.

Nell’ambito di una più generale valutazione sui tempi di conservazioni, la Società metteva al corrente della possibilità di «modificare i periodi di conservazione dei dati personali attualmente stabiliti con riferimento ai potenziali clienti, ai clienti e agli ex clienti trattati per finalità commerciali, differenziandoli a seconda della categoria di appartenenza […]».

3.4. Ulteriori elementi

Infine, la Società ha dichiarato:

- che le violazioni contestate siano da considerarsi di bassa gravità;

- di aver agito in buona fede o comunque di qualificare le violazioni come colpose;

- di aver adottato misure tecniche per segregare e proteggere i dati, svolto attività di training periodico del personale, adottato policy e procedure a tutela dei dati personali, nonché attività di revisione e adeguamento della propria governance privacy;

- l’assenza di precedenti provvedimenti sanzionatori e la condotta collaborativa;

- che il trattamento non ha avuto ad oggetto categorie particolari di dati personali ovvero dati relativi a condanne penali e reati;

Come richiesto dall’Autorità e riportato in memoria difensiva, la Società ha inoltre fornito i seguenti dati numerici relativi ai trattamenti:   

[OMISSIS]

3.5. L’audizione della Società

In data 19 giugno 2025 si è svolta presso la sede dell’Autorità l’audizione della Società che, nel riportarsi alle dichiarazioni già espresse in sede di memoria difensiva, ha illustrato le migliorie che intende apportare: in particolare il potenziamento dei canali di gestione dell’esercizio dei diritti, specie in relazione alla rete di agenti, e il tracciamento delle richieste di cancellazione o opposizione alla ricezione di messaggi promozionali.

Con riferimento a quanto oggetto di istruttoria, si rileva, in via preliminare, il chiarimento relativo al fatto che l’attività di “marketing diretto” ricomprenda anche il teleselling. Tale chiarimento risulta opportuno nella misura in cui aiuta a contestualizzare i riferimenti al marketing contenuti nella documentazione legale e difensiva con l’attività concretamente effettuata.

La Società ha poi informato di aver provveduto a individuare autonome basi giuridiche per le attività di telebooking e marketing diretto ossia, rispettivamente, la base giuridica precontrattuale e il consenso.

Più nello specifico, con riferimento al telebooking, vengono raccolti, tramite box sul sito, il numero di telefono e il CAP di residenza del potenziale cliente. I dati vengono conservati per 4 mesi. Tale termine è ritenuto congruo nella misura in cui, se il CAP indicato riguarda una zona al momento non coperta dal servizio della Società, il numero di telefono viene conservato per un futuro contatto. Diversamente, se il CAP afferisce a zone coperte dalla Società, il contatto avviene in un paio di giorni.

La Società ha poi precisato di non acquistare da terzi liste di contatto, né di fornire le proprie per attività di marketing per conto di terzi. Inoltre, i numeri inseriti nel box per la richiesta di preventivo non sono soggetti a verifica tramite sms di conferma. Ciò anche in considerazione del fatto che, a volte, vengono inserite numerazioni di telefono fisso.

Con riferimento al direct marketing, effettuato sulla base del consenso, la Società ha chiarito che, dopo l’intervento dell’Autorità, questo viene raccolto nella chiamata di contatto (telebooking) sulla base di un apposito script o al primo momento utile. I dati così acquisiti vengono conservati per 12 mesi.

Con riferimento invece agli ex clienti, ha confermato la conservazione dei dati per 24 mesi dalla chiusura del contratto per finalità di win-back.

In ottemperanza a quanto dichiarato, la Società ha in corso la modifica delle informative.

Da ultimo, la Società ha chiesto, qualora l’Autorità ritenga di pubblicare l’eventuale provvedimento a chiusura dell’istruttoria, di omettere il nome e i riferimenti societari.

4. VALUTAZIONI DELL’AUTORITÀ

All’esito dell’attività istruttoria, valutate le argomentazioni addotte dalla Società, di cui il dichiarante risponde ai sensi dell’art. 168 del Codice, si ritiene che le stesse non risultino idonee ad escluderne la responsabilità.

5.1. Tardivo adempimento all’esercizio dei diritti

Dalla documentazione in atti risulta che il reclamante abbia continuato a ricevere comunicazioni promozionali nonostante l’avvenuto esercizio dei diritti alla cancellazione e di opposizione.

Risulta inoltre accertato, né contestato dal Titolare, che a fronte dell’esercizio dei diritti avvenuto in data 19 settembre 2024, solo in data 5 novembre 2024 ha disposto il blocco di tutte le campagne pubblicitarie, anche già approvate e avviate, e solo in data 22 novembre 2024 ne ha dato comunicazione al reclamante. In altre parole, il Titolare ha dato attuazione ai diritti esercitati dal reclamante dopo 47 giorni, ossia 17 giorni dopo il termine di un mese previsto dall’art. 12 del Regolamento, e dopo 64 giorni ne ha dato riscontro, ossia 34 giorni dopo il predetto termine stabilito dalla legge.

Il Titolare ha qualificato il fatto come «una sfortunata circostanza di natura occasionale». Per quanto possa capitare che, come per ogni attività, anche per la risposta all’esercizio dei diritti possa comunque residuare un certo margine di errore, non sembra potersi condividere la tesi per cui l’adempimento sia stato rallentato dal fatto che il reclamante non avesse fornito alcuna precisazione relativamente al rapporto intrattenuto con la Società in quanto si trattava di un’informazione che, se ritenuta rilevante ai fini dei riscontri ai diritti esercitati dagli interessati, avrebbe dovuto già essere a disposizione del Titolare e la cui reperibilità dipende dall’organizzazione che lo stesso intende darsi, non potendo certamente essere un onere da attribuire al cliente/reclamante.

Conseguentemente, il fatto che solo con la ricezione di un’ulteriore doglianza il Titolare si sia accorto che il reclamante fosse un ex cliente e non un potenziale cliente, sembra essere sintomatico di un’organizzazione non idonea e di una non adeguata mappatura dei trattamenti svolti. È infatti onere esclusivo del titolare del trattamento (in base al principio di accountability e quelli di data protection by design e by default, di cui rispettivamente agli artt. 5, par. 2 e 25 del Regolamento) dotarsi di sistemi organizzativi e tecnici idonei a mappare i trattamenti e identificare correttamente gli interessati. La difficoltà nell’individuare un interessato e nel propagare la sua richiesta di opposizione a tutti i database aziendali – inclusa, come nel caso di specie, una campagna per ex clienti già “approvata e avviata” – non costituisce un errore materiale scusabile, ma è sintomo di una carenza organizzativa e di un’inadeguata gestione dei flussi di dati.

Inoltre, la tesi dell’episodio isolato è smentita per tabulas dal fatto che anche nei confronti del segnalante il Titolare ha dato tardiva attuazione all’esercizio dei diritti. Anche in questo caso, infatti, nonostante il Titolare avesse formalmente dichiarato di aver preso in carico la richiesta, nei fatti è stato necessario un ulteriore sollecito dell’interessato affinché la Società si rendesse conto che il trattamento era ancora in corso. Se ne può desumere che, anche nei confronti del segnalante, quale potenziale cliente (diversamente dal reclamante che invece è un ex cliente), l’esito dell’esercizio dei diritti è stato il medesimo: il Titolare ha dimostrato di non essere in grado di qualificare correttamente gli interessati e, quindi, non ha potuto dare effettiva soddisfazione ai diritti dagli stessi esercitati.

Nel caso della segnalazione, il Titolare ha dichiarato che l’ulteriore sms di natura promozionale era frutto dell’autonoma iniziativa di un suo agente. Ciò non esclude che tale agente agisse nell’ambito dei rapporti con il Titolare, tant’è che questo è correttamente intervenuto per ordinare all’agente di non inviare ulteriori comunicazioni e cancellare i dati.

La Società, in qualità di titolare del trattamento, è tenuta a garantire che chiunque agisca sotto la sua autorità (inclusi gli agenti, qualificati dalla stessa Società come responsabili del trattamento) tratti i dati solo su sua istruzione (art. 29 del Regolamento) e che siano adottate misure idonee (art. 24) a garantire l’effettività dell’esercizio dei diritti.

Ciò è proprio quanto il Titolare dichiara di aver fatto solo dopo la scoperta degli episodi contestati quando afferma di aver adottato un’apposita piattaforma che verifica la categoria di appartenenza degli interessati, nonché fornendo idonee istruzioni alla rete agenziale in modo che questa verifichi e controlli sempre la black list dei contatti prima di intraprendere autonome iniziative commerciali.

Si ritiene quindi di accertare e confermare la violazione degli artt. 12, par. 3, 17 e 21 del Regolamento, con riferimento alla tardiva esecuzione all’esercizio dei diritti di cancellazione e opposizione.

5.2. Comunicazioni commerciali rivolte a potenziali clienti

Dalle risultanze istruttorie e dalla documentazione in atti, risulta che il Titolare abbia effettuato trattamenti per tre finalità differenti (telebooking, marketing e teleselling) sulla base dello stesso presupposto (la fornitura del numero di telefono) e in assenza di idonea informazione.

5.2.1. Finalità di telebooking

Il primo trattamento, di c.d. telebooking, si basava sulla raccolta del numero di telefono e dei dati identificativi dell’interessato al fine di contattare lo stesso per fissare un incontro con un esperto che avrebbe poi proposto un preventivo personalizzato.

Ancorché in sede di secondo riscontro alla richiesta di informazioni il Titolare abbia fatto riferimento a un consenso obbligatorio quale base giuridica di tale trattamento, nella pratica non risulta che sia stato richiesto alcun consenso così come, sia nell’informativa adottata al momento dei fatti, sia in sede di memoria difensiva, tale trattamento risultava necessario all’esecuzione di misure precontrattuali richieste dell’interessato ex art. 6, par. 1, lett. b), del Regolamento.

Nel ritenere adeguata, nel caso concreto, la scelta di tale fondamento di liceità, ai sensi degli artt. 11 e 14 del regolamento interno n. 1/2019 si dispone l’archiviazione della contestazione relativa alla presunta violazione degli artt. 5, par. 1, lett. a); 6 e 7 del Regolamento.

5.2.2. Finalità di marketing e teleselling

L’Ufficio ha contestato la validità del consenso raccolto per le finalità ulteriori di marketing e teleselling, in quanto accorpato alla richiesta di misure precontrattuali (telebooking).

Quanto al marketing, le difese della Società e, in particolare, l’ammissione resa in sede di audizione, confermano la fondatezza della contestazione. In sede di audizione il Titolare ha chiarito di aver sostanzialmente considerato il teleselling come una modalità per effettuare marketing diretto, tant’è che ha subito dopo dichiarato l’adozione di misure che «tengono conto dei rilievi dell’ufficio dal momento che l’originaria interpretazione della società era di considerare possibile effettuare le attività di marketing con i dati acquisiti tramite telebooking».

L’analisi del meccanismo di raccolta dati tramite box sul sito (vigente al momento dei fatti) dimostra che la possibilità di esprimere un consenso specifico per finalità di marketing diretto fosse solo teorica in quanto, nella pratica, non è stata prevista alcuna modalità che consentisse di esprimere un consenso specifico e granulare per tale ulteriore finalità ovvero di non esprimerlo affatto. L’interessato poteva solo inserire il numero di telefono nella relativa casella e successivamente cliccare “invia”. Tale azione comportava anche l’accettazione a ricevere “informazioni relative a servizi e prodotti offerti dalla stessa”.

Così facendo il Titolare ha individuato il fondamento di liceità del trattamento per finalità di marketing nel medesimo presupposto della fornitura del preventivo. In altre parole, ha accorpato e reso indistinguibile il consenso per finalità di marketing con la distinta volontà negoziale diretta alla fornitura di un preventivo.

Deve quindi ritenersi accertata l’invalidità del consenso quale base giuridica per il trattamento dei dati per la finalità di marketing diretto in quanto:

-  la richiesta di consenso non risulta specifica e granulare con riferimento ai trattamenti diversi e ulteriori rispetto al telebooking;

- l’assenza di informazioni utili in sede di richiesta di consenso rende lo stesso non preventivamente informato;

- l’acquisizione dello stesso consenso all’interno del medesimo meccanismo con cui si acquisisce la volontà dell’interessato a ricevere il preventivo rende indistinguibile la richiesta di consenso per finalità ulteriori dal consenso negoziale per la fornitura del preventivo;

- la modalità complessiva di acquisizione del consenso per finalità di marketing è tale da ritenere non libera la prestazione dello stesso.

Si conferma quindi la violazione dell’art. 7, parr. 2 e 4, del Regolamento.

Conseguentemente, la violazione delle norme relative al consenso rende illeciti i trattamenti di dati personali per finalità di marketing su di esso fondati.

5.3. Termine di conservazione dei dati per finalità di teleselling

In sede di notifica dell’atto di avvio del procedimento sanzionatorio, l’Ufficio aveva contestato che l’individuazione di un termine di conservazione dei dati di 12 mesi dalla richiesta di contatto per finalità di teleselling risultava eccessivo e tale da far venir meno quella “continuità cronologica” con l’attività di telebooking.

L’assenza di qualsivoglia informazione sullo svolgimento di tale trattamento, nonché l’applicazione allo stesso del termine di conservazione dei dati previsto per il marketing, oltre ad eliminare ogni consapevolezza da parte degli interessati sulla possibilità di essere ricontatti per tale fine, sono elementi a riprova dell’eccessività di tale termine per il perseguimento di un interesse – quello di addivenire al perfezionamento del contratto in seguito ad una proposta rimasta priva di accettazione – che, solitamente, si esaurisce nell’arco di pochi giorni.

In sede difensiva, il Titolare ha fornito inoltre una nuova giustificazione per il termine di cui sopra: la necessità di ricontattare, in un momento futuro, i potenziali clienti situati in aree non ancora coperte dal servizio.

Pur ritenendo in astratto legittimo tale interesse, si rileva che la previsione di questo specifico tempo di conservazione non risulti proporzionato innanzitutto nei confronti di quei soggetti che, una volta contattati e dopo lo svolgimento della visita dell’esperto di sicurezza, non hanno accettato il preventivo per motivi evidentemente diversi da quello di trovarsi in una zona non coperta dal servizio. Un termine di conservazione dei dati così lungo, tanto più in assenza di una previa adeguata informazione all’utenza o della richiesta di un consenso, si tramuterebbe, come già rilevato, nella ingiustificata possibilità di sollecitare, anche a distanza di mesi, un comportamento negoziale da parte dell’utenza. L’ulteriore negativa conseguenza è che, così strutturata, tale finalità si presti a possibili abusi, come quello di trasformarsi in una facile occasione di marketing in assenza di un previo consenso.

Diversamente, se si reputasse legittima la prassi proposta del Titolare, l’interessato rimarrebbe privo di tutela preventiva perché potrebbe soltanto opporsi al momento del contatto e, dunque, a comunicazione indesiderata già ricevuta.

Nel caso di specie, anche sulla base della segnalazione ricevuta, è possibile affermare che: l’interessato non avrebbe potuto esplicitamente opporsi a un trattamento che non sapeva che sarebbe stato effettuato; non è possibile (né lecito) desumere dalla sua inerzia dinanzi alla fornitura del preventivo l’interesse a essere ricontattato, ancor più dopo che sia trascorso molto tempo; inoltre, pesa negativamente, a discapito del Titolare, il fatto che nel caso concreto l’attività di teleselling sia in modo poco chiaro intrecciata all’attività di marketing. Inoltre, il Titolare ha fornito pochi e non decisivi elementi di valutazione con riferimento alla non invasività dei ricontatti.

A poco rileva la dichiarazione di rispettare la volontà del cliente che: «dopo aver contattato la Società e aver richiesto la visita dell’operatore, esplicitamente dichiari di non voler più essere contattato e non aver più interesse alla conclusione del contratto». Diversamente, prova troppo la possibilità di esercitare l’opt-out da tale trattamento nelle forme «indicate nell’Informativa». Infatti, le uniche informazioni relative all’esercizio del diritto di opposizione, cancellazione o alla revoca, contenute nell’informativa estesa facevano riferimento, ancora una volta, al trattamento dei dati per finalità di marketing.

Valutazioni simili possono essere svolte nei confronti di quei potenziali clienti che il preventivo non l’hanno mai ricevuto o non l’hanno potuto accettare perché situati in aree non coperte dal servizio.

In sede di audizione, la Società ha meglio definito i termini di conservazione dei dati per le finalità di telebooking e marketing diretto.

Con riferimento all’attività di contatto (telebooking), fondata sulla base giuridica precontrattuale, i dati sono conservati per 4 mesi. In tale termine, se il CAP fornito dal potenziale cliente è indicativo di una zona non coperta dal servizio della Società, «non viene effettuata la chiamata ma il numero viene conservato per 4 mesi poiché le aree di copertura vengono costantemente aggiornate anche a seguito delle richieste pervenute tramite detto canale». Diversamente, il potenziale cliente viene contattato entro un paio di giorni.

Per quanto riguarda l’attività di direct marketing, entro la quale la Società ha dichiarato di svolgere anche l’attività di teleselling, è stato confermato il periodo di conservazione di 12 mesi.

Proprio la circostanza che il Titolare si riservi fino a 4 mesi di tempo per contattare i potenziali clienti che si trovano in zone non coperte dal servizio, fa venir meno, anche nei confronti di questa specifica tipologia di clienti, ogni distinzione nei confronti dei potenziali clienti situati in zone coperte dal servizio. Semmai, per i primi potrebbe residuare un tempo inferiore per ulteriori solleciti qualora la proposta di preventivo avvenisse allo scadere del quarto mese. Infatti, poiché il termine di 12 mesi per il teleselling è calcolato dalla fornitura del numero telefonico, se tale cliente venisse contattato dopo 4 mesi, alla Società residuerebbero 8 mesi per ulteriori contatti a fini di teleselling, divenendo ulteriore riprova della non necessità dell’indistinto termine di conservazione dei dati di 12 mesi. A ciò deve aggiungersi che, coincidendo tale termine con quello per il marketing, anche in questo caso si conferma che il reale interesse del Titolare è rivolto al marketing.

Tutto ciò premesso, nel caso concreto e con specifico riferimento alle modalità con le quali il Titolare ha inteso strutturare il trattamento di teleselling, soprattutto in considerazione dell’assenza di ogni informazione e indicazione agli interessati sulla presenza e sulle condizioni di tale trattamento, l’Autorità ritiene eccessivo e non giustificato un termine di conservazione dei dati di 12 mesi dalla richiesta di contatto nei confronti di tutti i potenziali clienti.

Devono considerarsi così confermati gli addebiti mossi in sede di contestazione e accertata la violazione dell’art. 5, par. 1, lett. e), del Regolamento, con riferimento alla lesione del principio di limitazione della conservazione dei dati in relazione al trattamento di teleselling.

5.4. Comunicazioni commerciali rivolte a clienti ed ex clienti

Con riferimento alle comunicazioni commerciali rivolte a clienti ed ex clienti l’Ufficio ha contestato l’assenza dell’indicazione di un termine di conservazione dei dati per i trattamenti basati sul consenso dell’interessato, tra questi anche quelli a fini promozionali.

Nella sua memoria difensiva, il Titolare ha riconosciuto che l’informativa «non contenga l’indicazione di un termine granulare oltre al quale detti dati saranno cancellati» sicché tale aspetto deve essere considerato non contestato e, quindi, pacificamente ammesso.

Sebbene il Titolare abbia dichiarato di seguire internamente una propria regola sulla cancellazione dei dati, proprio perché la stessa non è stata comunicata all’interessato o comprovata all’autorità di controllo sulla base del principio di responsabilizzazione, non può essere tenuta in considerazione. Inoltre, nel caso di specie, poiché tale parametro temporale non è stato indicato all’interno dell’informativa, in mancanza di una revoca da parte dell’interessato il trattamento avrebbe potuto astrattamente proseguire sine die.

Nel merito, come chiarito più volte dal Garante (a partire dal provvedimento n. 181 del 15 ottobre 2020, doc. web n. 9486485) il consenso al trattamento dei dati personali per finalità promozionali, in quanto massima espressione dell’autodeterminazione dell’individuo, deve innanzitutto considerarsi scisso e non condizionato dall’esistenza o meno di un rapporto contrattuale e deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall’interessato, a condizione che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento nonché dei tempi di conservazione stabiliti dal titolare, e indicati nell’informativa come previsto dall’art. 13, par. 2, lett. a) del Regolamento nonché nel rispetto dell’art. 5, par. 1, lett. e) del Regolamento.

L’indicazione in base alla quale la Società «conserverà i Suoi dati per il periodo strettamente necessario al conseguimento delle finalità di cui sopra» non può essere considerata idonea a soddisfare la previsione di cui all’art. 13, par. 2, lett. a) del Regolamento che consente al titolare di indicare anche solo i criteri utilizzati per determinare il periodo di conservazione dei dati. Tale formulazione risulta infatti indeterminata e rimessa alla mera volontà del Titolare, sicché non idonea ad integrare un criterio di calcolo certo e utile all’interessato per determinare il momento di cancellazione dei suoi dati.

Devi quindi accertarsi la violazione del principio di limitazione della conservazione dei dati e degli obblighi di informazione in materia e, quindi, la violazione degli artt. 5, par. 1, lett. e); e 13, par. 2, lett. a) del Regolamento.

In ottemperanza al principio sopra citato, nella fattispecie oggetto di istruttoria il consenso originariamente prestato per finalità ulteriori è deve ritenersi valido.  Si ritiene pertanto di dover archiviare la presunta violazione degli artt. 5, par. 1, lett. a) e 6, del Regolamento con riferimento ai trattamenti svolti oltre la durata del rapporto negoziale.

5. SULL’OSCURAMENTO DEL NOME E DEI RIFERIMENTI SOCIETARI

In sede di audizione la Società ha chiesto, qualora l’Autorità ritenga di pubblicare l’eventuale provvedimento a chiusura dell’istruttoria, di omettere il nome e i riferimenti societari. Ciò al fine di evitare possibili speculazioni da parte dei competitor.

Con riferimento ai provvedimenti del Garante, in ottemperanza al principio di trasparenza dell’azione amministrativa, l’art. 154-bis comma 3 del Codice ne dispone espressamente la pubblicazione.

Tale norma rinvia alla disciplina di maggior dettaglio cristallizzata nella fonte regolamentare interna di cui all’art. 37 del regolamento n. 1/2019, il cui primo comma dispone che: «i provvedimenti del Garante sono pubblicati tempestivamente sul sito web dell’Autorità e sono reperibili mediante i comuni motori di ricerca». Il comma 3 del medesimo articolo prevede, inoltre, l’adozione delle opportune misure per salvaguardare la protezione dei dati personali degli interessati eventualmente coinvolti nei provvedimenti, disponendo a tal fine che: «d) […] In ogni caso non formano oggetto di pubblicazione i nominativi degli istanti nonché delle persone fisiche che li rappresentano».

Premesso tale quadro normativo, la pubblicazione dei provvedimenti del Garante risponde ai compiti dell’Autorità di promuovere la consapevolezza del pubblico riguardo alle norme, alle garanzie, ai diritti o anche ai rischi sottesi al trattamento dei dati personali, nonché in relazione agli obblighi imposti ai titolari e responsabili del trattamento (cfr. art. 57, par. 1, lett. b e d).

Sicché, salvo esigenze particolari e documentate, per lo più connesse alla necessità di garantire che dalla pubblicazione di un provvedimento non possa derivare un pregiudizio in capo all’interessato del trattamento, i provvedimenti del Garante recano in chiaro l’indicazione del titolare del trattamento.

Per tutti questi motivi si ritiene pertanto di non poter accogliere la richiesta del Titolare volta all’omissione del nome e dei riferimenti societari.

6. SANZIONE ACCESSORIA ALLA PUBBLICAZIONE DELL’ORDINANZA-INGIUNZIONE

L’impossibilità di accogliere l’istanza di oscuramento dei riferimenti societari risulta tanto più giustificata nei casi in cui, in base all’art. 166, comma 7 del Codice, l’Autorità ritenesse opportuno disporre anche la pubblicazione dell’ordinanza-ingiunzione quale “sanzione amministrativa accessoria”.

Nel caso concreto, in considerazione della gravità delle violazioni rilevate, vertenti sulla lesione dei principi che impongono l’adozione di adeguata informazione nonché l’individuazione di adeguati fondamenti di liceità del trattamento, del fatto che tali violazioni hanno recato pregiudizio agli interessati che sono stati costretti a rivolgersi all’Autorità di controllo per ottenere il rispetto dei propri diritti, nonché in considerazione del ruolo rivestito dal titolare nel contesto nazionale e, soprattutto, del fatto che le sue condotte illecite sono suscettibili di coinvolgere interessati su tutto il territorio nazionale, nell’ordine delle centinaia di migliaia (come dichiarato in sede di memoria difensiva nonché ulteriormente comprovato dalle segnalazioni che l’Autorità tutt’ora continua a ricevere nei confronti del Titolare), l’Autorità ritiene necessario disporre anche la sanzione accessoria alla pubblicazione dell’ordinanza-ingiunzione.

7. CONCLUSIONI

All’esito di quanto sopra esposto, si ritiene accertata l’illiceità dei trattamenti presi in esame e la responsabilità di Verisure Italy s.r.l. in ordine alle seguenti violazioni:

- artt. 12, par. 3; 17 e 21 del Regolamento, per aver dato tardiva esecuzione all’esercizio dei diritti di cancellazione e opposizione;

- art. 7, parr. 2 e 4, del Regolamento, per aver effettuato attività di marketing sulla base di un consenso invalido come chiarito al paragrafo 5.2.2;

- artt. 5, par. 1, lett. e), del Regolamento, per la violazione del principio di limitazione della conservazione relativo al termine di cancellazione dei dati per finalità di teleselling;

- artt. 5, par. 1, lett. e); e 13, par. 2, lett. a) del Regolamento, per la violazione del principio di limitazione della conservazione dei dati e degli obblighi di informazione con riferimento ai tempi di conservazioni per i trattamenti basati sul consenso nei confronti degli interessati clienti ed ex clienti.

Si dispone, invece, l’archiviazione delle contestazioni relative alle presunte violazioni degli artt. 5, par. 1, lett. a); 6 e 7 del Regolamento, con riferimento al fondamento di liceità per il trattamento di telebooking, nonché degli artt. 5, par. 1, lett. a) e 6, del Regolamento, con riferimento al trattamento dei dati degli ex clienti.

Accertata l’illiceità dei trattamenti presi in esame, si rende necessario:

a) imporre, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento per finalità di marketing dei dati dei potenziali clienti acquisiti in assenza di un valido consenso sulla base del box disponibile sul sito internet;

b) per l’effetto, imporre alla Società, ai sensi dell’art. 58, par. 2, lett. g) del Regolamento, la cancellazione dei dati trattati per le predette finalità di marketing, facendo salvi quelli necessari per altri trattamenti leciti;

c) ingiungere, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di conformare i trattamenti alle disposizioni del Regolamento con riferimento agli obblighi di informazione relativi all’informativa breve contenuta del box per l’acquisizione del numero di telefono. Nella specie e in considerazione delle modifiche nei trattamenti illustrate dal Titolare nelle sue difese, risulta necessario che tale informativa dichiari esplicitamente che il numero di telefono e gli altri dati eventualmente forniti saranno usati esclusivamente per contattare l’utente nell’ambito della procedura di fornitura di un preventivo personalizzato, nonché per attività di ricontatto qualora la proposta di preventivo rimanga senza esito;

d) ingiungere, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di conformare i trattamenti alle disposizioni del Regolamento, con particolare riferimento agli obblighi di informazione relativi al trattamento di teleselling, sia nell’informativa breve che in quella estesa;

e) adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti del Titolare della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

8. ORDINANZA INGIUNZIONE

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti del Titolare della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento (pagamento di una somma fino a € 20.000.000,00 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore);

Per la determinazione del massimo edittale della sanzione pecuniaria, occorre pertanto fare riferimento al fatturato della Società, come ricavato dalle informazioni economiche e tributarie acquisite e quindi si determina tale massimo edittale, nel caso in argomento, in € 20.000.000,00.

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.

Nel caso in esame, assumono rilevanza:

a) la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), tenuto conto dell’oggetto e delle finalità dei trattamenti, riconducibili ad attività di marketing diretto realizzate con mezzi invasivi, idonei a veicolare messaggi promozionali indesiderati, nonché l’elevato numero di interessati potenzialmente coinvolti nei trattamenti illeciti e la circostanza che l’acquisizione illecita del consenso sul sito web ha natura strutturale e non episodica, come confermato dall’ammissione della Società in audizione. [OMISSIS]

b) quale fattore aggravante, il carattere gravemente negligente delle condotte (art. 83, par. 2, lett. b) del Regolamento) del Titolare nell’implementazione dei principi di privacy by design, sia nella progettazione dei sistemi di raccolta del consenso, sia nei sistemi di gestione dei flussi di dati relativi all’esercizio dei diritti nonché nel fornire adeguata informazione sui trattamenti effettuati;

c) quale fattore attenuante, la circostanza che il Titolare, sebbene solo a seguito dell’avvio del procedimento, ha dimostrato un atteggiamento proattivo nell’adeguarsi. Ha avviato un processo di revisione della propria governance privacy, includendo l’aggiornamento delle procedure di gestione dei diritti e la revisione delle informative e delle basi giuridiche (art. 83, par. 2, lett. c) del Regolamento)

d) quale fattore attenuante, la circostanza che il Titolare non sia stato prima d’ora destinatario di un provvedimento correttivo e sanzionatorio da parte del Garante (art. 83, par. 2, lett. e) del Regolamento);

e) quale fattore attenuante, il fatto che il trattamento non ha avuto ad oggetto categorie particolari di dati personali ovvero dati relativi a condanne penali e reati (art. 83, par. 2, lett. g) del Regolamento);

f) quale fattore attenuante, la cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e limitarne i possibili effetti negativi (art. 83, par. 2, lett. f) del Regolamento);

In base al complesso degli elementi sopra indicati e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative e funzionali della Società, si ritiene debba applicarsi la sanzione amministrativa del pagamento di una somma di euro 400.000,00 (quattrocentomila/00), pari allo 0,18% del fatturato.

Nel caso in argomento si ritiene che debba applicarsi anche la sanzione accessoria della pubblicazione sul sito del Garante della presente ordinanza ingiunzione, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della particolare gravità delle violazioni e del disvalore delle condotte, con riferimento all’elusione dei principi in materia di consenso per finalità di marketing mediante strumenti elettronici, nonché per il potenziale coinvolgimento di una moltitudine di interessati del trattamento su scala nazionale.

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) impone a Verisure Italy s.r.l., ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento dei dati acquisiti in assenza di adeguata base giuridica per finalità di marketing;

b) impone a Verisure Italy s.r.l., ai sensi dell’art. 58, par. 2, lett. g) del Regolamento, la cancellazione dei dati trattati sulla base di un consenso non valido;

c) ingiunge a Verisure Italy s.r.l., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di conformare i trattamenti alle disposizioni del Regolamento con riferimento agli obblighi di informazione relativi all’informativa breve contenuta del box per l’acquisizione del numero di telefono e, in particolare, di dichiarare esplicitamente che il numero di telefono e gli altri dati eventualmente forniti saranno usati esclusivamente per contattare l’utente nell’ambito della procedura di fornitura di un preventivo personalizzato nonché per attività di ricontatto qualora la proposta di preventivo rimanga senza esito;

d) ingiunge a Verisure Italy s.r.l., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di conformare i trattamenti alle disposizioni del Regolamento, con particolare riferimento agli obblighi di informazione relativi al trattamento di teleselling, sia nell’informativa breve che in quella estesa;

e) ingiunge a Verisure Italy s.r.l., ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di sessanta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nei punti precedenti può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

ORDINA

a Verisure Italy s.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Roma (RM), viale dell’Oceano Pacifico, 171/173, 00144, C.F. 12454611000, di pagare la somma di euro 400.000,00 (quattrocentomila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 400.000,00 (quattrocentomila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

a) la pubblicazione del presente provvedimento, ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019, nonché l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante della presente ordinanza di ingiunzione, come previsto dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019;

b) l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 novembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Montuori