Il Garante sanziona una società energetica per telemarketing illecito: focus su consensi “omnibus”

Data protection

In data 27 febbraio 2025, il Garante per la protezione dei dati personali ha irrogato una sanzione da 300.000 euro a una società energetica nazionale per violazioni nella gestione delle attività di telemarketing e teleselling, abbiamo approfondito la vicenda nel nostro articolo. Le criticità evidenziate includono l’uso di consensi non validi (i c.d. consensi “omnibus”), il mancato rispetto delle opposizioni espresse tramite il Registro Pubblico delle Opposizioni (RPO), e l’assenza di adeguati controlli lungo la filiera dei contatti promozionali, anche in outsourcing.

Secondo il Garante, è essenziale distinguere tra “telemarketing” (attività promozionali telefoniche) e “teleselling” (vendita diretta via telefono). Entrambe le attività ricadono nella disciplina in materia di protezione dei dati, anche quando il contatto telefonico è solo prodromico alla conclusione del contratto.

Il provvedimento sottolinea altresì l’illiceità dei consensi unitari e generici, che non distinguono tra finalità, mezzi di contatto e categorie merceologiche. Tali consensi, poiché espressi in modo invalido, non sono in grado di superare l’iscrizione al RPO, e non possono pertanto annullare il regime di “opt-out” al ricevimento di comunicazioni promo-pubblicitarie attivato con tale iscrizione. È richiesto invece un consenso che sia:

• libero, cioè non condizionato e veicolato come facoltativo;
• specifico, per ciascuna finalità;
• granulare, distinguendo canali di contatto (telefono, sms, email) e categorie merceologiche.

Anche le autorità privacy di Francia, Spagna e Germania hanno adottato approcci rigorosi sul tema. In particolare, si segnala la richiesta di granularità per partner e canali (CNIL), la verifica trimestrale dei consensi (AEPD) e la giurisprudenza tedesca che invalida consensi troppo aggregati.

In sintesi, dunque, l’Autorità italiana ribadisce un principio chiave: il consenso al trattamento dei dati per finalità promo-pubblicitarie deve essere realmente libero, mirato e specifico. L’adozione di una procedura per le attività di telemarketing e teleselling, che coinvolga anche la qualificazione dei fornitori esterni,conforme alla normativa privacy diventa imprescindibile per svolgere queste attività promozionali in modo lecito, evitando allo stesso tempo sanzioni e tutelando la fiducia dei consumatori e la propria brand reputation.

Il nostro team Data & Technology Innovation è a disposizione per supportare aziende e professionisti nella programmazione delle campagne di telemarketing e teleselling in conformità alla normativa vigente sulla protezione dei dati personali e nella predisposizione di best practice operative.

Articolo completo >

Approvato in Senato il DDL di delega sull’intelligenza artificiale

Artificial intelligence

Il 20 marzo 2025 il Senato ha approvato il disegno di legge, presentato dal Governo il 20 maggio 2024 (Atto Senato n. 1146), contenente “Disposizioni e deleghe al Governo in materia di intelligenza artificiale” (il “DDL IA”), che disciplina l’uso dell’intelligenza artificiale (“IA”) nei settori lasciati dal Regolamento (UE) 2024/1689 (“AI Act”) all’autonomia degli Stati membri.

Il DDL IA, che ora passerà alla Camera dei Deputati per l’approvazione definitiva, si pone l’obiettivo di promuovere un utilizzo corretto, trasparente e responsabile dell’intelligenza artificiale, in una dimensione antropocentrica e in linea con l’AI Act. Di seguito le novità principali:

• la definizione di principi generali, tra i quali la protezione dei dati personali e la riservatezza, aspetti da tutelare con particolare attenzione nel contesto dell’utilizzo dell’IA;
• la designazione dell’Agenzia per l’Italia Digitale (AgID) e dell’Agenzia per la Cybersicurezza Nazionale (ACN) quali autorità nazionali per l’IA;
• l’introduzione di disposizioni settoriali per l’utilizzo dell’IA in ambiti come sanità e disabilità, in materia di lavoro e di professioni intellettuali, pubblica amministrazione e attività giudiziaria – dove l’IA potrà supportare l’organizzazione, ma non sostituirsi ai magistrati nelle decisioni;
• delega al Governo per l’adozione di decreti legislativi in diverse materie;
• alcune modifiche al codice penale, con l’introduzione di nuove circostanze aggravanti e fattispecie di reato, tra cui il danno causato dalla diffusione illecita di contenuti generati con IA;
• tutela del diritto d’autore, che rappresenta una delle sfide principali in relazione all’IA, con particolare riguardo alle opere create con l’ausilio dell’IA, purché siano il risultato del lavoro intellettuale dell’autore.

Questa iniziativa si inserisce in un contesto normativo internazionale in rapida evoluzione. Solo lo scorso 4 febbraio, la Commissione Europea ha approvato la bozza delle Linee Guida sulle pratiche di intelligenza artificiale vietate, a cui ha fatto seguito il 6 febbraio la pubblicazione di Linee Guida specifiche che chiariscono la definizione di sistema di IA ai sensi dell’AI Act.

Il team Data & Technology Innovation di LEXIA monitora con attenzione ogni sviluppo normativo, fornendo aggiornamenti puntuali e analisi approfondite per assistervi nel processo di conformità alle nuove disposizioni.

Intelligenza Artificiale e allucinazioni: niente responsabilità ex art. 96 cpc

Artificial intelligence

Con l’ordinanza del 14 marzo 2025, il Tribunale di Firenze ha chiarito come l’utilizzo nelle memorie difensive di richiami giurisprudenziali completamente inventati dall’intelligenza artificiale non fa sorgere il diritto della controparte vittoriosa a chiedere la condanna per “responsabilità aggravata” ex Articolo 96 del c.p.c. In altre parole, l’uso dell’intelligenza artificiale e di riferimenti giurisprudenziali inesistenti, in quanto inventati da ChatGPT, non costituisce di per sé un comportamento in giudizio caratterizzato da mala fede o colpa grave.

Il Collegio, pur sottolineando “il disvalore relativo all’omessa verifica dell’effettiva esistenza delle sentenze risultanti dall’interrogazione dell’IA”, ha ritenuto che “l’indicazione di estremi di legittimità” fosse stata fatta “ad ulteriore conferma della linea difensiva già esposta” e dunque unicamente “diretta a rafforzare un apparato difensivo già noto e non invece finalizzata a resistere in giudizio in malafede”, concludendo per la non applicabilità delle disposizioni di cui all’art. 96 c.p.c.”. Pertanto, l’inserimento degli estremi di legittimità nel giudizio di reclamo, inteso come ulteriore conferma della linea difensiva già delineata, doveva essere considerato alla stregua di un rafforzamento di un impianto argomentativo preesistente e non un tentativo di resistere in giudizio con malafede.

L’Intelligenza Artificiale, viene precisato nell’Ordinanza, avrebbe generato risultati errati che “possono essere qualificati con il fenomeno delle cosiddette allucinazioni di intelligenza artificiale”, che si verifica quando l’Intelligenza Artificiale “invent[a] risultati inesistenti ma che, anche a seguito di una seconda interrogazione, vengono confermati come veritieri”. In questo caso, prosegue il Tribunale, lo strumento di intelligenza artificiale “avrebbe inventato dei numeri asseritamente riferibili a sentenze della Corte di Cassazione”. Tali errori, attribuiti a un utilizzo non verificato dell’IA da parte di una collaboratrice dello studio legale, avevano portato il reclamante, parte vittoriosa, a chiedere la condanna per responsabilità aggravata della controparte ai sensi dell’articolo 96 del c.p.c.

Il Tribunale di Firenze ha rigettato la richiesta di condanna per lite temeraria, dando rilievo al fatto che l’indicazione degli errati riferimenti giurisprudenziali era stata posta a fondamento della tesi sostenuta dalla parte fin dal primo grado del giudizio e non era finalizzata a influenzare il Collegio, ma a rafforzare argomentazioni già note.

L’ordinanza del Tribunale di Firenze ci ricorda che in un mondo in cui l’intelligenza artificiale sta ridisegnando ogni settore, sviluppare competenze in AI Literacy non è più un’opzione, ma una necessità per chiunque voglia rimanere competitivo e responsabile nel proprio campo. Se vuoi conoscere e comprendere l’AI, i suoi impatti e le sue applicazioni, contatta il Team Data & Technology Innovation per maggiori approfondimenti.

AI Literacy e policy interne: strumenti chiave per un’adozione responsabile dell’IA

Artificial intelligence & Data protection

La rapida diffusione degli strumenti di intelligenza artificiale generativa – spesso adottati anche autonomamente dai dipendenti – rende necessario per le aziende un intervento tempestivo in termini di consapevolezza, governance e accountability. In questo contesto, l’AI literacy non è solo una competenza strategica per la competitività, ma anche un prerequisito per la conformità normativa e la gestione responsabile del rischio.

È quindi fondamentale che le imprese italiane, a partire dalle PMI, adottino un duplice approccio:

• effettuare un assessment interno sui sistemi IA utilizzati o accessibili (sia su base corporate che individuale), inclusi strumenti commerciali largamente diffusi come ChatGPT, Copilot o Gemini;
• dotarsi di policy aziendali per l’uso dell’IA, che definiscano ruoli, ambiti applicativi, cautele e controlli, integrandosi con le policy esistenti in materia di cybersecurity, privacy e utilizzo degli strumenti IT.

Le linee guida interne dovrebbero prevedere, tra l’altro:

• criteri per l’autorizzazione all’uso e modalità di accesso ai tool di IA;
• istruzioni sulla verifica dell’output generato (con particolare attenzione al fenomeno delle hallucinations);
• divieti sull’inserimento di dati personali o informazioni riservate in assenza di garanzie tecniche e legali adeguate;
• regole sull’utilizzo e sulla conservazione degli output in conformità al GDPR;
• chiarimenti su proprietà intellettuale, responsabilità individuali e controlli interni.

Documenti come le linee guida sull’utilizzo aziendale di strumenti di intelligenza artificiale adottate da alcune realtà italiane dimostrano come una policy chiara e ben strutturata possa fungere da quadro di riferimento per un uso sicuro ed efficace dell’IA, in linea con l’AI Act e con i principi di responsabilità e trasparenza richiamati anche nel disegno di legge IA attualmente all’esame della Camera.

Il team Data & Technology Innovation di LEXIA è a disposizione per supportare le imprese nella mappatura degli strumenti AI presenti in azienda, nella redazione di AI Policy su misura e nell’aggiornamento della documentazione privacy e di compliance interna per affrontare la sfida dell’intelligenza artificiale con competenza.