Marketing e protezione dati personali: il Garante sanziona una nota catena di palestre disallineamento tra CRM e database dei fornitori per finalità di marketing

Data protection

Con provvedimento del 12 febbraio 2026, il Garante per la Protezione dei Dati Personali (il “Garante”) ha irrogato una sanzione amministrativa pecuniaria nei confronti di una nota catena di palestre a seguito di violazioni riscontrate nel trattamento dei dati personali per finalità di marketing. L’istruttoria è stata avviata sulla base di un reclamo di un ex frequentatore delle palestre che lamentava la ricezione di comunicazioni promozionali non autorizzate, proseguite nonostante la propria espressa opposizione e richiesta di cancellazione.

Il caso in esame evidenzia i rischi legati ad una gestione frammentata dei dati personali per finalità di marketing. La società, in particolare, utilizzava un customer relationship management (CRM) in cloud per gestire i dati personali degli iscritti e il consenso alla ricezione delle comunicazioni commerciali, mentre i contatti promozionali erano affidati a fornitori esterni tramite piattaforme dedicate. Sulla base di ciò, in occasione delle campagne di marketing, le liste dei soggetti contattabili venivano estratte dal CRM della società e comunicate al fornitore di turno per le attività di contatto.

Nel caso di specie, è emerso un disallineamento tra il CRM della società e le piattaforme di marketing esterne. L’attività di allineamento tra database, infatti,non avveniva in maniera automatica, bensì manuale, con la conseguenza che le revoche dei consensi o le richieste di opposizione non erano automaticamente trasmesse tra società e fornitori. Tale modalità gestionale ha consentito, per errore umano nell’operazione, che il nominativo del reclamante risultasse ancora “contattabile”, nonostante fosse stato rimosso da alcune liste di contatto, determinando un trattamento illecito, in violazione degli artt. 12 e 17 del GDPR e dall’art. 130 del Codice Privacy. Per limitare eventi analoghi, la società ha così affidato la gestione dell’attività di invio delle comunicazioni commerciali ad un fornitore in grado di assicurare la disiscrizione e cancellazione dei dati dei frequentatori che ne fanno richiesta, contemporaneamente e automaticamente sia dalla propria piattaforma che dal CRM in cloud.

Il provvedimento del Garante risulta, altresì, di forte interesse per la motivazione adottata nel calcolo della sanzione pecuniaria irrogata. Nel definire l’importo, pari ad Euro 30.000,00, il Garante ha dapprima calcolato il massimo edittale teorico definito in Euro 20 milioni, ai sensi dell’Articolo 83, paragrafo 5 del GDPR, e poi ha  applicato i criteri di effettività e proporzionalità, bilanciando i seguenti elementi: (i) l’esistenza del fattore aggravante rappresentato dalla recidiva della società nell’aver già in passato omesso di riscontrare tempestivamente le richieste di informazioni del Garante; (ii) il fattore attenuante, costituito dalla natura dei dati coinvolti, limitati a comuni dati di contatto. Il Garante ha così fissato la sanzione allo 0,15% del massimo edittale, tenendo altresì conto della condotta collaborativa della Società e dell’implementazione di sistemi di allineamento automatico dei database per prevenire futuri errori.

In conclusione, il provvedimento conferma ancora una volta come l’adozione di misure tecniche e organizzative adeguate sia essenziale per garantire che l’esercizio dei diritti degli interessati e la conformità normativa non sia vanificato da inefficienze tecnologiche ed umane.

Cybersecurity Act 2 e NIS2: il parere congiunto EDPB-EDPS richiama il necessario equilibrio tra sicurezza e diritti

Cybersecurity & Data Protection

Con il Joint Opinion 4/2026, adottato il 18 marzo 2026, EDPB ed EDPS sono intervenuti sulla proposta di Cybersecurity Act 2 e sulle modifiche alla direttiva NIS2, offrendo una lettura particolarmente interessante del rapporto – sempre più stretto – tra cybersicurezza e protezione dei dati personali.

Il parere accoglie favorevolmente l’obiettivo della Commissione di rafforzare il ruolo di ENISA, semplificare gli obblighi di compliance e rendere più efficace il framework europeo di certificazione cyber. Particolarmente apprezzata è la previsione di un single-entry point per la notifica degli incidenti, destinato a ridurre la frammentazione degli obblighi di reporting senza comprimere il livello di tutela degli interessati. 

Il punto più rilevante, tuttavia, è di natura sistematica: le autorità europee ribadiscono che cybersicurezza e data protection non coincidono, pur essendo ormai strettamente interdipendenti. Se, da un lato, le misure di sicurezza costituiscono presidio essenziale ai sensi degli articoli 5, par. 1, lett. f), e 32 GDPR, dall’altro lato alcune misure cyber – si pensi a logging avanzato, monitoraggio del traffico, analisi comportamentale o threat intelligence – possono incidere in modo significativo sui diritti fondamentali degli interessati. Da qui il richiamo, molto netto, ai principi di necessità e proporzionalità, che devono accompagnare ogni scelta tecnica e organizzativa. 

Di particolare interesse è poi il passaggio dedicato al nuovo framework europeo di certificazione, rispetto al quale EDPB ed EDPS chiedono maggiore chiarezza sul rapporto con i meccanismi di certificazione previsti dagli articoli 42 e 43 GDPR. Il messaggio, in filigrana, è chiaro: la certificazione cyber non può essere letta come automatica attestazione di compliance privacy, sebbene possano certamente esistere importanti sinergie. 

Dal punto di vista operativo, il parere sembra confermare una tendenza ormai consolidata: la compliance cyber non può più essere gestita in modo isolato dall’area privacy o dal legal team. Governance, gestione degli incidenti, supply chain security e processi di notifica richiedono un approccio integrato, capace di coniugare efficacia tecnica e tenuta regolatoria.

In questo senso, il vero tema non è soltanto “aumentare la sicurezza”, ma farlo in modo giuridicamente sostenibile, evitando che il presidio cyber si trasformi esso stesso in fonte di rischio regolatorio.

Green claims e Codice del Consumo: verso un modello “evidence-based” della comunicazione ambientale

Consumer Protection

Con il D.lgs. n. 30/2026, pubblicato in Gazzetta Ufficiale il 9 marzo 2026 ed entrato in vigore il 24 marzo, con applicazione dal 27 settembre 2026, il legislatore italiano ha recepito la Direttiva (UE) 2024/825 (Empowering Consumers Directive), intervenendo in modo organico sulla disciplina delle pratiche commerciali scorrette in materia di comunicazione ambientale.

Il provvedimento segna un passaggio particolarmente rilevante: il greenwashing entra espressamente nel Codice del Consumo, attraverso nuove definizioni normative, l’ampliamento della black list delle pratiche vietate e un significativo rafforzamento degli obblighi informativi e probatori a carico dei professionisti.

Per la prima volta vengono tipizzate nozioni quali “asserzione ambientale”, “asserzione ambientale generica”, “etichetta di sostenibilità” e “sistema di certificazione”, con l’effetto di ridurre le aree grigie interpretative che, fino a oggi, hanno spesso lasciato spazio a comunicazioni ambigue o eccessivamente promozionali. Sul piano sostanziale, diventano espressamente vietati, tra l’altro: l’uso di claim generici quali green, eco-friendly o sostenibile, se non adeguatamente supportati; l’utilizzo di etichette prive di sistemi di certificazione indipendenti; le dichiarazioni riferite all’intero prodotto quando concernono solo aspetti limitati; nonché i claim di neutralità climatica fondati esclusivamente su meccanismi di compensazione.

Il punto centrale della riforma è però un altro: il passaggio a un modello probatorio ex ant, secondo cui l’impresa deve essere in grado di dimostrare, in modo documentato, verificabile e tracciabile, la correttezza di ogni dichiarazione ambientale.

La riforma, inoltre, si estende anche ai temi della durabilità dei prodotti, della riparabilità e della trasparenza sugli aggiornamenti software, rafforzando contestualmente gli obblighi informativi precontrattuali.

Restano ferme le competenze dell’AGCM, con un apparato sanzionatorio particolarmente incisivo: fino a 10 milioni di euro, elevabili al 4% del fatturato annuo nei casi transnazionali.

Il vero cambio di paradigma è culturale prima ancora che normativo: la sostenibilità non può più essere gestita come una mera leva di marketing, ma richiede un processo interno di validazione preventiva, fondato su evidenze tecniche, presìdi di governance e allineamento tra comunicazione, prodotto e documentazione di supporto. In altri termini, la compliance sui green claims diventa oggi un presidio essenziale non solo sotto il profilo regolatorio, ma anche in chiave di rischio reputazionale e consumer trust.

Influencer marketing: le FAQ AGCOM tra chiarimenti operativi e rafforzamento della compliance

Media & Comunicazione

Lo scorso 16 marzo 2026, l’Autorità per le Garanzie nelle Comunicazioni ha pubblicato due documenti di supporto, l’Allegato A e l’Allegato B (FAQ), con l’obiettivo di agevolare l’applicazione delle Linee guida e del Codice di condotta adottati con delibera n. 197/25/CONS in materia di influencer marketing e comunicazioni commerciali audiovisive.

L’intervento si inserisce in un quadro normativo già strutturato e, come chiarito dalla stessa Autorità, non introduce nuovi obblighi, ma contribuisce a definire in modo molto più concreto le modalità applicative delle regole esistenti, riducendo sensibilmente quelle aree di incertezza interpretativa che, nella prassi, hanno spesso favorito approcci eccessivamente elastici.

Sotto il profilo soggettivo, viene confermata una nozione ampia di influencer, comprensiva di chiunque produca o selezioni contenuti destinati al pubblico online, esercitando un controllo editoriale e traendo un vantaggio, anche non strettamente economico, dalla propria attività. A questa categoria generale si affianca quella degli influencer “rilevanti”, individuati sulla base di soglie dimensionali (500.000 follower o 1 milione di visualizzazioni medie mensili su almeno una piattaforma), per i quali sono previsti obblighi ulteriori, tra cui l’iscrizione nell’elenco AGCOM. Resta fermo, tuttavia, che anche i soggetti al di sotto di tali soglie sono pienamente vincolati agli obblighi di trasparenza.

Il cuore delle FAQ riguarda però la disclosure dei contenuti promozionali. L’Autorità ribadisce in modo netto che ogni contenuto avente finalità pubblicitaria deve essere immediatamente riconoscibile come tale. La natura commerciale del messaggio viene ravvisata ogniqualvolta vi sia un vantaggio connesso alla visibilità del brand, indipendentemente dall’esistenza di un corrispettivo economico.

Ne consegue l’obbligo di utilizzare diciture esplicite e inequivoche, quali “Pubblicità” o “ADV”; formule più sfumate, come “in collaborazione con”, non sono invece considerate sufficienti a rendere chiaramente percepibile la finalità promozionale del contenuto.

Particolarmente rilevante è il chiarimento secondo cui non bastano né il semplice tag del brand né i tool nativi delle piattaforme. L’informazione deve essere percepibile in modo immediato, senza che l’utente debba compiere alcuna azione. Da qui derivano indicazioni operative molto puntuali: disclosure presente sin dall’inizio del post; sovrimpressione e descrizione nei video; ripetizione nelle stories e nelle dirette; permanenza dell’indicazione anche nei contenuti successivamente pubblicati, ove il brand resti riconoscibile.

Le FAQ affrontano poi alcune casistiche particolarmente frequenti nella pratica: prodotti ricevuti gratuitamente (gifted by), inviti a eventi, contenuti pubblicati dopo la fine della collaborazione. Il filo conduttore è sempre lo stesso: massima trasparenza sostanziale, più che mero formalismo.

Pur non avendo natura formalmente vincolante, questi chiarimenti offrono un’indicazione molto chiara dell’approccio interpretativo e di enforcement che AGCOM intende adottare. Per influencer, agenzie e brand, diventa quindi sempre più difficile fare affidamento su letture minimali della norma: la compliance richiede oggi processi editoriali e contrattuali strutturati, policy interne e un controllo preventivo dei contenuti, in linea con una nozione sostanziale di trasparenza commerciale.

Seconda bozza del Code of Practice on Transparency of AI-Generated Content e dichiarazione congiunta delle autorità per la protezione dei dati sui contenuti generati con IA

Artificial Intelligence

Il 5 marzo 2026 la Commissione europea ha pubblicato la seconda bozza del Code of Practice on Transparency of AI-Generated Content (di seguito il “Codice”). Il Codice, la cui prima bozza era stata pubblicata il 17 dicembre 2025 (per ulteriori informazioni, ti invitiamo a consultare il nostro articolo dedicato cliccando qui), è volto a facilitare l’attuazione degli obblighi di trasparenza previsti dall’Articolo 50 del Regolamento UE 2024/1689 (“AI Act”). La Commissione ha indicato come data di pubblicazione del testo finale maggio/giugno 2026, a valle di una serie di consultazioni con i soggetti interessati.

Sul versante dei provider (art. 50(2) AI Act), il secondo draft del Codice consolida e precisa l’approccio multi-livello (multi-layered), già delineato nella prima versione. Viene ora espressamente richiesta l’implementazione di almeno due distinti livelli di marcatura machine-readable, ai fini della tracciabilità dei contenuti. In concreto, è richiesta una combinazione di metadati (embedding), ossia firme digitali, e watermarking, ossia filigrane impercettibili; il meccanismo di fingerprinting, indicato nella prima bozza come misura necessaria qualora le altre tecniche risultassero insufficienti, è ora riqualificato come misura supplementare di carattere opzionale. Analogamente, le funzionalità di marcatura percettibile dei contenuti, prevista nella prima bozza come opzione abilitata per impostazione predefinita, diventa in questa seconda versione del Codice una mera raccomandazione rivolta ai provider, a supporto degli obblighi dei deployer.

Sul versante dei deployer (art. 50(4) dell’AI Act), il secondo draft del Codice semplifica l’impianto rispetto al primo, abbandonando la tassonomia dettagliata “fully AI-generated/AI-assisted” in favore di requisiti più specifici relativi al design e al posizionamento dell’icona indicativa dell’impiego di intelligenza artificiale. L’icona, di cui il Codice fornisce alcuni esempi illustrativi, dovrà riportare come elemento visivo principale l’acronimo “AI”, con specifici standard di accessibilità. Il Codice propone altresì un modello a due fasi: una prima icona EU su base volontaria, seguita da un’etichetta interattiva con un secondo livello informativo, la cui elaborazione sarà affidata a una taskforce coordinata dall’AI Office.

In un contesto di crescente attenzione ai contenuti generati mediante intelligenza artificiale, l’European Data Protection Board (EDPB) ha pubblicato il 23 febbraio 2026 una dichiarazione congiunta sottoscritta da 61 autorità di protezione dei dati di tutto il mondo – tra cui il Garante per la protezione dei dati personali italiano – che esprime preoccupazione per i sistemi di IA generativi di immagini e video di persone reali senza consenso, sollecitando l’adozione di misure di salvaguardia specifiche, con particolare riguardo alla tutela dei minori.