Il titolare del trattamento dei dati assume un ruolo centrale nell’impianto normativo del GDPR, non riducibile a una funzione formale né a una delega contrattuale. Il provvedimento del Garante contro MA Immobiliare dimostra come la mancanza di progettazione e controllo nella filiera informativa possa condurre a un trattamento illecito.
Indice degli argomenti
La titolarità come responsabilità giuridica piena
Il 29 aprile 2025 il Garante per la protezione dei dati personali ha adottato il provvedimento n. 278, irrogando a MA Immobiliare S.r.l.s. una sanzione pecuniaria di 40.000 euro, accompagnata da misure correttive di vasta portata.
Il procedimento ha preso origine da un reclamo individuale per telefonate promozionali non richieste. L’istruttoria ha rivelato che la società aveva trattato dati personali provenienti da un fornitore esterno, Realmaps S.r.l., senza predisporre alcun controllo sostanziale sulla legittimità della loro acquisizione, senza verifica della volontà originaria dell’interessato, senza attivazione del Registro Pubblico delle Opposizioni e senza alcuna capacità di risposta autonoma. L’elemento centrale della decisione consiste nella ricostruzione della titolarità come posizione giuridica piena, non surrogabile per via contrattuale.
La figura del titolare non può ridursi a un’etichetta formale, né può reggersi sulla mera firma di un accordo con il fornitore.
La titolarità richiede la presenza operativa nella filiera, l’assunzione diretta della funzione informativa, la capacità di garantire la tracciabilità del consenso, la continuità nel riscontro, l’interconnessione con le fonti normative. Ogni funzione elencata costruisce un piano distinto della titolarità: non come proprietà del dato, ma come posizione di comando giuridico sulla struttura del trattamento.
Assenza di consenso valido e conoscibile
Il provvedimento rende evidente un vuoto sistemico: l’assenza di progettazione, di presidio e di responsabilità ha trasformato il trattamento in una sequenza meccanica, priva di ordine. MA Immobiliare ha esercitato un potere privo di fondazione giuridica, disconoscendo la funzione costitutiva del consenso e rinunciando alla propria autonomia decisionale. La struttura normativa del GDPR esige un titolare in grado di riconoscere la relazione giuridica con l’interessato come principio di legittimità del trattamento. L’assenza di tale riconoscimento produce una forma degenerata di operatività, incompatibile con il diritto positivo europeo.
Il provvedimento in esame individua, nel trattamento attuato da MA Immobiliare, l’assenza di una volontà conoscibile da parte dell’interessato. L’istruttoria evidenzia l’uso di elenchi nominativi forniti da Realmaps, senza che la società destinataria eserciti alcun controllo sull’origine dei dati, sulla finalità dichiarata in sede di raccolta, sulle condizioni informative offerte al soggetto contattato.
Il Regolamento assegna al consenso una funzione costitutiva. L’art. 6, par. 1, lett. a), definisce il consenso come fondamento giuridico del trattamento, subordinato alla verifica dei requisiti stabiliti dall’art. 4, punto 11. La volontà dell’interessato produce effetti giuridici quando si manifesta in modo specifico, libero, informato, inequivocabile. Ogni elemento contribuisce a fondare la relazione tra soggetto e titolare.
Il consenso determina la legittimità dell’atto. La documentazione che attesta la sua raccolta costituisce parte integrante della responsabilità. La titolarità si esercita attraverso la prova della base giuridica. Il titolare dispone, conserva, trasmette e verifica l’intera sequenza che collega la volontà originaria all’utilizzo del dato. Nel caso oggetto di provvedimento, la volontà dell’interessato resta separata dalla struttura operativa del trattamento. L’acquisizione avviene attraverso un passaggio intermedio, privo di controllo effettivo. La documentazione fornita all’autorità non contiene elementi idonei a dimostrare l’esistenza di un atto specifico di autorizzazione, espresso in relazione alla finalità promozionale dichiarata.
Informazione e accessibilità nel trattamento dei dati
La volontà dell’interessato fonda la liceità del trattamento. La trasparenza rende accessibile l’intero processo che collega quella volontà alla struttura attivata dal titolare. Il provvedimento n. 278 descrive un trattamento privo di questo legame.
Il Regolamento ordina la struttura del trattamento attorno a un principio di accessibilità piena. Ogni soggetto che esercita il potere di trattare dati personali assume il compito di comunicare all’interessato le informazioni relative all’identità del titolare, alla finalità perseguita, alla fonte del dato, ai diritti attivabili. L’art. 13 non attribuisce una funzione illustrativa. La trasparenza realizza la condizione formale della relazione giuridica. La funzione informativa completa l’effetto costitutivo prodotto dal consenso.
La pronuncia del Garante individua nella frammentazione della filiera il punto critico. Il soggetto che riceve la chiamata non incontra alcuna struttura idonea a ricostruire il percorso del dato. Il titolare non risponde. Il fornitore assorbe la responsabilità informativa. La trasparenza si disgrega nel passaggio tra acquisizione e utilizzo. Il Regolamento impone una soluzione unitaria: il titolare dispone del contenuto informativo, lo comunica senza ritardo, lo integra nella propria organizzazione. Il trattamento diventa efficace quando il soggetto riceve, al primo contatto, tutte le coordinate della relazione.
La proposta commerciale senza base legittima
Il Garante interviene su un elemento centrale della dinamica del trattamento: il momento dell’informazione come atto giuridico che trasforma il consenso in relazione. MA Immobiliare contatta telefonicamente l’interessato, formula una proposta commerciale, raccoglie un’adesione implicita, ma non trasmette alcuna informazione strutturata sulla titolarità, sull’origine del dato, sulle finalità dichiarate, sui diritti attivabili. L’incontro tra soggetto e titolare si esaurisce nella comunicazione promozionale.
La telefonata produce effetti nella sfera personale dell’interessato. Il dato viene impiegato per influenzare scelte, per promuovere servizi, per consolidare un rapporto. L’uso di quel dato, in assenza di informazione contestuale, non costruisce alcun legame giuridico. Il consenso, acquisito in altra sede o da altro soggetto, resta isolato. Il contenuto promozionale non si radica in una relazione conforme al principio di responsabilità. L’informativa, non presente nel contatto, impedisce la formazione del trattamento come sequenza giuridicamente ordinata.
Il provvedimento richiama il titolare alla costruzione completa dell’interazione. Ogni trattamento richiede un’azione informativa proporzionata, contestuale, leggibile. Il dato non agisce nella legalità finché non si inserisce in una relazione riconoscibile. Il titolare esercita il proprio potere giuridico solo quando costruisce la relazione normativa attraverso l’informazione diretta. L’interessato riceve il trattamento solo in presenza di questa struttura.
La volontà contraria e il Registro Pubblico delle Opposizioni
La struttura fondata sul consenso e completata dall’informazione incontra un ulteriore elemento essenziale: la volontà contraria. MA Immobiliare contatta soggetti iscritti nel Registro Pubblico delle Opposizioni senza eseguire alcuna consultazione preliminare. La base dati acquisita da Realmaps viene utilizzata come insieme operativo già validato. Il titolare non costruisce alcun sistema per identificare le decisioni contrarie dell’interessato. Il trattamento prosegue anche in presenza di iscrizioni attive al Registro.
Il Codice della privacy, all’art. 130, vincola l’efficacia della comunicazione promozionale alla consultazione preventiva del RPO. La volontà negativa riceve una forma giuridica istituzionalizzata. Ogni iscritto manifesta una scelta valida, registrata, tecnicamente disponibile al titolare. L’attivazione del trattamento richiede una verifica specifica. L’uso del mezzo telefonico trova legittimità solo dopo l’esclusione delle utenze coperte da opposizione. Il silenzio dell’interessato non produce effetti. La registrazione di una decisione contraria introduce un limite certo.
L’omissione compiuta da MA Immobiliare rivela una concezione formale della liceità. La titolarità non coincide con la ricezione passiva di una lista. La responsabilità richiede un controllo attivo. Il Registro definisce il campo d’azione del titolare. La volontà dell’interessato, espressa attraverso l’iscrizione, delimita l’area di legalità disponibile. Il trattamento risulta efficace solo in assenza di indicazioni contrarie registrate secondo le modalità previste dall’ordinamento.
Assenza di tracciabilità e accountability
La filiera del trattamento, come ricostruita dal Garante, produce dati, relazioni, azioni. Ma non produce prova. MA Immobiliare, titolare di trattamento ai sensi dell’art. 4, punto 7, del Regolamento, ha eseguito telefonate, acquisito liste, elaborato dati personali a fini promozionali senza attivare alcun dispositivo interno di controllo documentato. Nessuna tracciabilità, nessuna verifica a campione, nessuna capacità di ricostruzione ex post. In questo vuoto si innesta l’art. 5, par. 2, del Regolamento: ogni titolare deve non solo rispettare i principi, ma dimostrarne l’attuazione in ogni istante del trattamento.
La responsabilità, in questa architettura normativa, non opera come adempimento reattivo ma come funzione ordinante. Ogni decisione che attiva un trattamento richiede una documentazione potenziale. Ogni trattamento si legittima solo se in grado di produrre, su richiesta o controllo, l’intera genealogia del dato. L’accountability, nella sua forma piena, fonda la giuridicità del trattamento sul principio di ricostruibilità. Non vi è trattamento lecito se non è tracciabile, verificabile, strutturato come sequenza logicamente responsabile.
La sanzione come ricostruzione dell’ordine giuridico
L’intervento sanzionatorio previsto dal Garante, in questa prospettiva, non produce solo punizione. Esso restituisce forma a un diritto che reagisce: la sanzione ricostruisce l’ordine infranto, impone alla filiera un ritorno alla legalità come condizione stessa della sua operatività. La somma irrogata – 40.000 euro – acquisisce significato non in relazione al danno, ma in relazione alla struttura: essa misura l’ampiezza del vuoto di prova, la gravità della rimozione della funzione titolare, la profondità della disconnessione tra trattamento e diritto.
Alla sanzione si affianca una serie di ingiunzioni. Il Garante non limita il provvedimento al passato. L’ordine giuridico si espone al futuro, impone prassi, impianta procedure, costruisce responsabilità documentate. Il diritto alla protezione dei dati assume così la sua pienezza: da posizione soggettiva, diventa sistema, da garanzia dell’interessato diventa forma della responsabilità pubblica e privata, da diritto sostanziale diventa struttura istituzionale. In questo doppio movimento – dal trattamento verso la prova, dalla sanzione verso l’ordine – si completa il paradigma della legalità algoritmica.
