Privacy violata, doppia stangata dalla Cassazione: newsletter senza consenso e banca dati fuori controllo

Due pesanti decisioni della Cassazione riportano al centro dell’attenzione il tema della tutela dei dati personali e della corretta gestione delle informazioni digitali. Il 16 giugno 2025, la Suprema Corte ha depositato due sentenze con cui ha confermato sanzioni significative nei confronti di altrettante società — una piccola internet company e un colosso delle telecomunicazioni — per violazioni della normativa sulla privacy.

Newsletter senza consenso, scatta la multa
Nel primo caso, a finire sotto la lente della Seconda sezione civile è stata una società che gestiva un sito, una piattaforma di comparazione online. L’azienda, secondo quanto accertato dal Garante della Privacy e confermato dalla Cassazione con l’ordinanza n. 15881, aveva creato una mailing list e inviato periodicamente newsletter e comunicazioni commerciali agli utenti registrati, senza aver prima acquisito il loro esplicito consenso, così come richiesto dall’articolo 23 del Codice Privacy.

Il Tribunale di Roma aveva già respinto il ricorso della società contro l’ingiunzione del Garante, e ora anche la Cassazione ha ribadito che il consenso espresso dell’interessato è imprescindibile, a meno che non si tratti di comunicazioni relative a prodotti o servizi simili a quelli già acquistati e purché l’utente sia stato adeguatamente informato e non si sia opposto. Nel caso specifico, però, trattandosi di un aggregatore di offerte e non di un negozio online, questa eccezione non era applicabile. Da qui la conferma della sanzione da 10.000 euro.

Società condannata per la gestione scorretta dei dati di migliaia di clienti
Ben più grave il secondo episodio, che coinvolge una nota compagnia telefonica italiana. Con l’ordinanza n. 15882, la Cassazione ha infatti confermato la maxi-sanzione da 800.000 euro inflitta dal Garante nel 2018 per la gestione illecita della banca dati della società.

Le ispezioni avevano fatto emergere una serie di anomalie nella migrazione dei dati dal vecchio al nuovo gestionale, durante le quali vennero assegnate a ignari clienti centinaia di utenze telefoniche a loro insaputa. Nel dettaglio, un utente si era ritrovato intestatario di 826 linee telefoniche, e un controllo a campione aveva svelato che 644 utenti risultavano intestatari di oltre 7.000 numeri.

La compagnia telefonica si era difesa sostenendo che si trattasse di meri errori tecnici dovuti a problemi informatici nel passaggio dei dati, ma per la Suprema Corte questa tesi non ha retto. La violazione della privacy — ha precisato la Cassazione — permane sia sul piano oggettivo che soggettivo, perché la gestione irregolare delle anagrafiche ha avuto conseguenze concrete e prolungate nel tempo, dal 2003 al 2015.

La società ha contestato anche l’entità della sanzione, pari a quattro volte il minimo previsto, ma i giudici hanno ritenuto adeguata la misura in considerazione della gravità dell’accaduto, della sua durata e del numero elevatissimo di utenti coinvolti, oltre che della posizione di leadership  nel settore e della mancata adozione di tempestive misure correttive.

Un segnale chiaro sulla tutela dei dati personali
Le due pronunce rappresentano un segnale forte e inequivocabile sul valore della protezione dei dati personali nel contesto digitale attuale. Non solo i giganti delle telecomunicazioni, ma anche le piccole imprese online sono chiamate a rispettare le norme in materia di privacy, garantendo trasparenza e correttezza nell’uso delle informazioni degli utenti.

---

LEGGI ANCHE