Dati personali e servizi essenziali: il Garante richiama le aziende al rispetto del GDPR

controlli difensivi privacy dipendenti

Avv. Giuseppe Croari – Dott.ssa Silvia Di Paola

 

Il Garante per la protezione dei dati personali è recentemente intervenuto sanzionando una società concessionaria di servizi idrici e di gestione dei rifiuti con una multa di 300.000 euro, a causa dell’inadeguatezza delle misure di sicurezza, della mancata validità del consenso e della non corretta determinazione dei tempi di conservazione dei dati.

Il Provvedimento trae origine da una segnalazione relativa alle modalità di registrazione all’area riservata del sito della società; l’utente, in particolare, lamentava che nell’area personale fosse possibile consultare lo storico dei consumi e delle bollette, oltre a indirizzo, abitazione e numero di telefono (fisso e cellulare), semplicemente registrandosi con una qualunque mail e il codice fiscale, senza che la società verificasse l’effettiva riconducibilità dell’account alla persona che si registrava.

Oltretutto, all’esito di un accesso al sito effettuato dall’Autorità, emergeva che, nell’area riservata, erano presenti ben tre moduli di consenso già preselezionati sul “Sì”, senza un collegamento diretto a un’informativa privacy specifica. Sebbene il sito contenesse la Privacy Policy, la Cookie Policy, l’Informativa clienti e quella relativa alle interazioni con le pagine social aziendali, tali informative non erano facilmente accessibili durante la registrazione. Inoltre, la società prevedeva un periodo di conservazione dei dati per finalità di marketing di cinque anni.

Al termine dell’istruttoria, dunque, l’Autorità riscontrava la violazione degli articoli 5, 24, 25 e 32 del GDPR e irrogava la relativa sanzione.

 

La validità del codice fiscale come misura di sicurezza

Il Garante si è, anzitutto, pronunciato sulla validità del codice fiscale quale misura di sicurezza per l’accesso all’area riservata. Secondo l’Autorità, il codice fiscale non può più essere considerato un dato “riservato” o difficile da reperire, visto che oggi esistono strumenti online che permettono di risalire a questo dato a partire dalle informazioni anagrafiche, spesso facilmente reperibili sui social network o in altre fonti pubbliche.

Di conseguenza, il Garante ha rigettato l’argomentazione della società secondo cui l’utilizzo del codice fiscale, combinato con la creazione di una password e l’impiego di un’e-mail, rappresenta una misura adeguata, anche tenendo conto della necessità di non rendere troppo complicato l’accesso ai servizi digitali da parte degli utenti.

La validità del consenso ai fini di marketing

Il Garante si è, inoltre, espresso sulla validità della raccolta dei consensi per finalità promozionali tramite l’utilizzo di caselle preselezionate. In merito, l’Autorità ha severamente ammonito la società, stabilendo che tale modalità è completamente in contrasto con la nozione di consenso libero, specifico, informato e inequivocabile prevista dal GDPR.

Inoltre, il Garante ha, altresì, rilevato una violazione del principio di trasparenza, in quanto le informative adottate non risultavano chiaramente riferibili ai trattamenti effettuati durante la registrazione all’area riservata. L’Autorità ha sottolineato che i documenti informativi devono essere strutturati in modo funzionale, altrimenti rischiano di compromettere la trasparenza complessiva del trattamento, vanificando così la finalità stessa dell’informativa.

 

Il periodo di conservazione dei dati

Infine, il Garante ha preso posizione sulla durata del periodo di conservazione dei dati per finalità di marketing, alla luce del termine di cinque anni stabilito dalla società. Quest’ultima aveva giustificato tale scelta facendo riferimento alla durata media dei contratti con i clienti. Orbene, pur riconoscendo un’ampia libertà di valutazione al titolare del trattamento, come previsto dal principio di accountability, l’Autorità ha sottolineato che tale discrezionalità non può tradursi in decisioni vaghe o slegate dalle peculiarità del trattamento in questione.

Il Garante ha ribadito che i tempi di conservazione dei dati per scopi di marketing devono essere determinati in funzione delle legittime aspettative degli interessati e delle specifiche caratteristiche delle attività promozionali. Pertanto, non è corretto ancorare automaticamente il periodo di conservazione alla durata del contratto o a esigenze non direttamente legate agli scopi di marketing.

 

Implicazioni per le aziende e conclusioni

Il provvedimento del Garante rappresenta un importante monito per tutte le aziende, in particolare quelle che gestiscono servizi essenziali e grandi volumi di dati personali. L’adozione di misure di sicurezza adeguate, la corretta progettazione dei sistemi di accesso digitali e una gestione rigorosa dei consensi e dei tempi di conservazione non possono essere considerate meri adempimenti formali, ma elementi centrali della responsabilità del titolare del trattamento ai sensi del GDPR.

La decisione dell’Autorità conferma un orientamento ormai consolidato volto a rafforzare la tutela effettiva dei diritti degli interessati, richiedendo ai titolari del trattamento scelte consapevoli, proporzionate e trasparenti. In tale prospettiva, il rispetto dei principi di sicurezza, trasparenza e limitazione della conservazione si configura non solo come obbligo normativo, ma anche come strumento fondamentale per garantire la fiducia degli utenti e la correttezza complessiva dei trattamenti di dati personali.

Se sei un’azienda e necessiti di supporto in tema di privacy, rivolgiti ai nostri partner dello Studio Legale FCLEX esperti di diritto dell’informatica e delle nuove tecnologie.

 

avvocato giuseppe croari bologna privacy

 

GDPRPrivacy e sicurezza InformaticaProvvedimento Garante
gennaio 20, 2026
dati personaligarantegarante privacygdpr
logo fclex nero

Scopri anche

Sanzione ad Acea per telemarketing illecito: cosa insegna il caso sul corretto uso dei dati personali

20 Mag
Leggi tutto
aliexpress dropshipping

Il Dropshipping su AliExpress: Tutela del Consumatore e Obblighi del Venditore 

9 Mag
Leggi tutto
intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

28 Mar
Leggi tutto
linee guida agcom influencer

Nuove Linee guida AGCOM per Influencer e Content Creator: Criticità, multe e sfide nel Contesto Giuridico

17 Gen
Leggi tutto
ecommerce sanzioni direttiva omnibus 2023 omnibus

Nuovi obblighi per gli eCommerce: maggiori responsabilità per le imprese e tutele per i consumatori

14 Apr
Leggi tutto
recesso contratto clausola ecommerce limite

Diritto di recesso dal contratto: limiti e clausola di recesso

6 Apr
Leggi tutto

Ultimi aggiornamenti

cookie rtd privacy conservazione 2022

Privacy aziendale: 45 minuti per essere a norma

Gestire un data breach o affrontare un’ispezione del Garante non è semplice. Sono momenti delicati, in cui ogni scelta incide su responsabilità, sanzioni e reputazione aziendale. Dopo anni di esperienza nella messa a norma e nella gestione operativa di queste situazioni, abbiamo deciso di raccogliere casi concreti, criticità ricorrenti e soluzioni efficaci per organizzare un […]
febbraio 24, 2026
Leggi tutto
controlli difensivi privacy dipendenti

Dati personali e servizi essenziali: il Garante richiama le aziende al rispetto del GDPR

Avv. Giuseppe Croari – Dott.ssa Silvia Di Paola   Il Garante per la protezione dei dati personali è recentemente intervenuto sanzionando una società concessionaria di servizi idrici e di gestione dei rifiuti con una multa di 300.000 euro, a causa dell’inadeguatezza delle misure di sicurezza, della […]
gennaio 20, 2026
Leggi tutto
tutela nome dominio

Registrazione di un nome a dominio in malafede: quando prevale il marchio?

Avv. Giuseppe Croari – Avv. Ilenia Lanari Nell’era della digitalizzazione, il nome rappresenta spesso il primo vero asset di un progetto: che si tratti di un nome a dominio, di un’applicazione, di un servizio online o di una piattaforma. In particolare, oggi il nome a dominio […]
dicembre 17, 2025
Leggi tutto

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.

scopri altri video

Dirittodellinformatica.it è rivista telematica registrata il 08.04.2008 presso il Tribunale di Foggia (n. 10/08 registro periodici, cron. n. 816/08). Proprietario del sito: Giuseppe Croari. Direttore responsabile: Gerardo Antonio Cavaliere. P.I. Studio Legale FCLEX: 02863681207.

Il contenuto del sito è sottoposto a licenza Creative Commons (Attribuzione-Non commerciale-Non opere derivate 3.0 Unported). E' possibile riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare il contenuto del sito purché sia attribuita esplicitamente la paternità di ogni sua singola parte; non sono consentiti utilizzi per fini commerciali, nè alterazioni o trasformazioni del contenuto del sito.

© 2026 dirittodellinformatica.it