GUARDA QUIhttps://accademiaitalianaprivacy.it/areaprivata/foto/3364/01.jpg
giovedì 2 luglio 2026
di Avv. Gianni Dell'Aiuto

Per anni il dibattito sulla protezione dei dati personali si è concentrato quasi esclusivamente sul consenso come atto: quando serve, come va richiesto, quali requisiti deve possedere per essere valido. Oggi la domanda si è spostata su un piano diverso, e più scomodo per chi tratta dati senza un'infrastruttura adeguata.
Non basta più aver raccolto il consenso. Bisogna poterlo dimostrare, in qualsiasi momento, a chiunque sia legittimato a chiederlo.
Le decisioni più recenti del Garante per la protezione dei dati personali confermano questa traiettoria con una chiarezza che lascia poco spazio a interpretazioni di comodo. Sostenere di disporre del consenso dell'interessato non è più un argomento difensivo sufficiente.
La sanzione non colpisce solo chi non lo ha chiesto: colpisce, sempre più spesso, chi lo ha chiesto male, o non è in grado di ricostruirne la storia.
L'articolo 5, paragrafo 2, del GDPR stabilisce che il titolare del trattamento non deve soltanto rispettare i principi enunciati dal Regolamento, ma deve essere in grado di dimostrarne l'osservanza.
È la norma cardine dell'accountability, e una recente decisione del Garante nei confronti di un grande gruppo bancario ne ha chiarito un aspetto spesso trascurato: l'accountability non impone al titolare di essere infallibile, né di evitare ogni possibile inadempimento.
Impone di conformarsi ai principi generali in materia di trattamento e di poter dare prova di tale conformità. La differenza non è teorica. Significa che un errore isolato, ben gestito e documentato, pesa diversamente da un errore strutturale, privo di tracciabilità. È il sistema probatorio a fare la differenza, non la perfezione del processo.
Il provvedimento con cui il Garante ha sanzionato Verisure Italia per 400.000 euro offre un caso di scuola.
Il form online della società per la richiesta di un preventivo non distingueva la finalità contrattuale, ottenere un'offerta personalizzata, dalla finalità di marketing diretto. Il semplice inserimento del numero di telefono veniva trattato come comportamento concludente sufficiente a legittimare telefonate ed sms promozionali successivi. Il Garante ha qualificato questo consenso come non libero, non specifico, non granulare: un consenso, in sostanza, inesistente ai sensi degli articoli 4, numero 11, e 7 del Regolamento.
A questo si è aggiunto un secondo profilo, altrettanto istruttivo: la società conservava i dati dei potenziali clienti che non avevano accettato il preventivo per dodici mesi, ai fini di teleselling.
Il Garante ha ritenuto questo periodo sproporzionato, perché il titolare non aveva dimostrato la necessità concreta di quella durata. Non basta fissare un termine di conservazione: occorre poterne giustificare la logica, con elementi verificabili.
La sanzione, in questo caso, non nasce dall'assenza di una policy. Nasce dall'incapacità di motivarla con evidenze. Un secondo fronte, distinto ma convergente, riguarda la responsabilità del titolare per l'intera catena del trattamento.
In un procedimento relativo a campagne di telemarketing, il Garante ha richiamato l'obbligo, previsto dall'articolo 28 del GDPR, di verificare che i responsabili del trattamento offrano garanzie sufficienti prima di affidare loro dati e contatti.
Il punto critico, in casi come questo, è l'assenza di un controllo ex ante sulle competenze privacy del fornitore, e in alcuni casi la prosecuzione di rapporti commerciali con agenzie già sanzionate dall'Autorità per le medesime violazioni.
In questo contesto il Garante ha più volte richiamato il Codice di condotta per le attività di telemarketing e teleselling, che individua nel double opt-in, nella forma "forte" basata su una conferma attiva dell'interessato o in quella più leggera basata su un avviso informativo con possibilità di opposizione, lo strumento più efficace per certificare la genuinità del consenso e la sua riferibilità a una persona identificata.
Non è ancora un obbligo generalizzato, ma è ormai il parametro di riferimento con cui l'Autorità misura l'adeguatezza di un sistema di raccolta. Chi non lo adotta deve poter offrire un'alternativa altrettanto solida sul piano probatorio, non semplicemente più comoda sul piano operativo.
Quello che emerge da questi provvedimenti è un cambiamento di paradigma che vale la pena enunciare con precisione. La raccolta del consenso si è spostata dalla semplice acquisizione di una manifestazione di volontà alla costruzione di una vera e propria catena probatoria.
Data e ora dell'adesione, indirizzo IP, modalità di acquisizione, versione dell'informativa effettivamente mostrata all'interessato in quel momento, registro degli eventi, tracciamento di eventuali revoche o modifiche successive: questi non sono accorgimenti facoltativi.
Sono gli elementi che, nei procedimenti dinanzi al Garante, fanno la differenza tra un titolare che dimostra la liceità del trattamento e un titolare che si limita ad affermarla.
Sistemi tradizionali fondati su liste acquistate da terzi, dichiarazioni generiche o procedure scarsamente documentate appaiono sempre meno compatibili con un quadro normativo che pretende evidenze, non rassicurazioni. Il consenso, in questa prospettiva, assume caratteristiche sempre più simili a quelle proprie della sicurezza informatica: non è sufficiente che un evento si sia verificato, occorre poter dimostrare chi lo ha generato, quando, e con quali modalità.
È la stessa logica che governa i sistemi di autenticazione e la gestione delle evidenze digitali, applicata a un atto giuridico che fino a pochi anni fa veniva trattato come una mera formalità.
Si tratta di una trasformazione che cambia il profilo del rischio aziendale, e non in modo marginale. Se in passato il pericolo principale era rappresentato dalla mancata acquisizione del consenso, oggi il pericolo più frequente deriva dall'incapacità di provarne l'esistenza, le modalità, la specificità.
È una differenza che può apparire sottile, ma che impone alle organizzazioni di ripensare l'intero processo di compliance: non più come adempimento documentale da archiviare, ma come infrastruttura probatoria da mantenere viva, aggiornata e interrogabile in ogni momento.
La protezione dei dati personali sta abbandonando la dimensione dichiarativa per entrare stabilmente in quella probatoria. Non basta più affermare di essere conformi. Occorre dimostrarlo, con log, tracciamenti e documentazione verificabile.
Ed è probabilmente questa la direzione verso cui si muove l'intera governance dei dati, in un'epoca di trattamenti automatizzati e decisioni sempre più data-driven: il valore non risiederà tanto nel possesso delle informazioni, quanto nella capacità di dimostrarne l'origine, la correttezza e la legittimità dell'uso.
La fiducia digitale, prima ancora che sulla tecnologia, continuerà a fondarsi sulla capacità di fornire prove. Prove che, ormai, valgono più delle parole.
mercoledì 1 luglio 2026
Leggi tutto...
martedì 30 giugno 2026
Leggi tutto...
CONDIVIDI QUESTA PAGINA!