Sanzioni

Sanzioni telemarketing: le maxi-multe del Garante

Le maxi-sanzioni del Garante per telemarketing illecito: Enel 79 mln, TIM 27,8 mln, Eni, Sky, Edison. La catena del list-broking e come mettersi in regola.

Also available in:Español

Le sanzioni per telemarketing illecito sono le più pesanti mai comminate dal Garante italiano: dalla multa record da 79.107.101 euro a Enel Energia (provvedimento dell’11 gennaio 2024) ai 27.802.946 euro a TIM (15 gennaio 2020), il telemarketing selvaggio è il fronte enforcement più aggressivo dell’Autorità. La causa è quasi sempre la stessa: consensi inesistenti o “acquistati” attraverso una catena opaca di list-broker, chiamate a soggetti iscritti al Registro Pubblico delle Opposizioni, mancata gestione delle black list. Questa guida ricostruisce i casi documentati, spiega il meccanismo illecito che il Garante ha smontato e indica come mettersi in regola.

Key Takeaways

  • La sanzione più alta mai irrogata in Italia è quella da 79,1 milioni di euro a Enel Energia (2024) per telemarketing e carenze di sicurezza delle banche dati.
  • Il vizio ricorrente è il consenso: assente, forzato o proveniente da una catena di list-broking priva di prova.
  • Chiamare numeri iscritti al Registro Pubblico delle Opposizioni (RPO) è illecito senza un consenso valido e verificabile.
  • Il soft spam (art. 130, par. 4 Codice Privacy) è l’unica eccezione al consenso, ma solo per prodotti analoghi verso propri clienti.
  • Nel 2023 il Garante ha approvato un codice di condotta per il settore per riordinare la filiera.

I casi documentati: la timeline delle maxi-multe

La casistica è ampia e tutte le cifre che seguono sono tratte da provvedimenti pubblicati dal Garante.

Società Importo Anno / provvedimento Nucleo della violazione
Enel Energia 79.107.101 € provv. 11 gennaio 2024 Telemarketing illecito, catena di consensi inesistenti, carenze di sicurezza
Enel Energia 26.513.977 € provv. 16 dicembre 2021 Contratti attivati a seguito di chiamate senza consenso
TIM 27.802.946 € provv. 15 gennaio 2020 Telemarketing selvaggio, gestione black list, consenso forzato
Eni Gas e Luce 11.500.000 € provv. 11 dicembre 2019 Marketing e contratti senza base giuridica
Edison Energia 4.900.000 € provv. 2022 Marketing senza consenso valido
Sky Italia 3.296.326 € provv. 16 settembre 2021 Uso di dati per marketing senza consenso libero

Il filo conduttore è evidente: le multe più alte non nascono da un errore isolato, ma da un modello di acquisizione clienti costruito su liste di contatti la cui provenienza consensuale non è dimostrabile.

Il meccanismo illecito: la catena del list-broking

Il Garante ha ricostruito nei suoi provvedimenti come funzionava la filiera. Un committente (spesso un’utility) affida le campagne a call center; questi si riforniscono di numeri presso list-broker che rivendono database costruiti attraverso concorsi, siti civetta e consensi bundle. A ogni passaggio il consenso originario si diluisce fino a sparire, ma la responsabilità risale al titolare del trattamento che beneficia dei contratti.

Il punto giuridico è netto: il consenso al marketing deve essere libero, specifico, informato e dimostrabile (art. 7 GDPR). Un consenso “comprato” senza la prova del rilascio originario non è valido. Ecco perché il Garante contesta simultaneamente la mancanza di base giuridica (art. 6) e l’assenza di accountability (art. 5, par. 2). Impostare correttamente il consenso al marketing con esempi conformi è la prima difesa; l’errore più comune è il consenso unico e cumulativo per finalità diverse.

Registro Pubblico delle Opposizioni e soft spam

Due istituti definiscono i confini del lecito.

Il Registro Pubblico delle Opposizioni (RPO), riformato dalla L. 5/2018 ed esteso ai numeri di cellulare e agli indirizzi cartacei, consente a chiunque di opporsi alle chiamate promozionali. Il telemarketing deve filtrare le proprie liste contro il RPO prima di ogni campagna. Chiamare un iscritto senza un consenso specifico e successivo all’iscrizione è illecito.

Il soft spam dell’art. 130, par. 4 del Codice Privacy è l’unica deroga: un’azienda può inviare comunicazioni via e-mail su prodotti analoghi a quelli già acquistati dal proprio cliente, senza consenso, purché offra un opt-out semplice a ogni invio. Non copre le telefonate né il marketing di terzi.

Come mettersi in regola

Chi fa marketing telefonico o affida campagne a terzi deve costruire una filiera tracciabile.

  1. Consenso alla fonte: raccogliere consensi granulari e conservare la prova (data, testo, modalità).
  2. Contratti chiari: nominare i call center come responsabili del trattamento ex art. 28, con istruzioni vincolanti e divieto di sub-fornitura non autorizzata.
  3. Filtri RPO: verificare le liste contro il Registro Pubblico delle Opposizioni prima di ogni campagna.
  4. Black list: gestire e onorare le richieste di opposizione in tempo reale.
  5. Aderire al codice di condotta telemarketing approvato dal Garante nel 2023.

Le agenzie che gestiscono campagne per conto terzi trovano indicazioni specifiche nella guida GDPR per agenzie marketing, mentre il quadro completo delle multe italiane è nel riepilogo delle sanzioni del Garante privacy 2025. Tenere insieme consensi, prove e nomine dei responsabili in un unico registro tracciabile — il tipo di funzione che piattaforme come software di conformità GDPR come Legiscope automatizzano — è ciò che distingue una campagna difendibile da una sanzionabile.

Perché il telemarketing genera le multe più alte

Tre fattori spiegano perché proprio il telemarketing produca i record sanzionatori italiani. Il primo è la scala: le campagne coinvolgono milioni di contatti, e il criterio della “portata” del trattamento (art. 83, par. 2, lett. a GDPR) fa lievitare l’importo. Il secondo è la sistematicità: il Garante non contesta un errore isolato ma un modello di business fondato su liste illecite, elemento che aggrava la valutazione della colpevolezza. Il terzo è la recidiva: Enel Energia è stata sanzionata due volte a distanza di tre anni, e la reiterazione della condotta pesa sul calcolo.

C’è poi un profilo di trasparenza. L’informativa resa al momento della raccolta deve indicare con chiarezza finalità di marketing e comunicazione a terzi; una informativa privacy carente rende il consenso invalido a monte. Il perimetro normativo di questi obblighi — art. 130 sul marketing, art. 122 sui cookie, soft spam — è fissato dal Codice Privacy, che integra il GDPR sulle comunicazioni elettroniche. Chi costruisce le proprie campagne partendo da questi presupposti, e conserva la prova documentale di ogni consenso, riduce drasticamente l’esposizione: la lezione delle maxi-multe non è “non fare marketing”, ma “fai marketing dimostrabile”.

FAQ

Qual è la sanzione più alta per telemarketing in Italia?

Gli 79.107.101 euro irrogati a Enel Energia con il provvedimento dell’11 gennaio 2024: la sanzione più alta mai comminata dal Garante, motivata da telemarketing illecito su liste prive di consenso valido e da gravi carenze di sicurezza delle banche dati.

Posso comprare liste di contatti per fare marketing?

In pratica no, a meno di poter dimostrare che ogni contatto ha rilasciato un consenso libero, specifico e informato anche al trattamento da parte tua. La casistica del Garante mostra che le liste acquistate dai list-broker quasi mai reggono questa prova, e la responsabilità ricade sul titolare che le usa.

Cos’è il Registro Pubblico delle Opposizioni?

È il registro, riformato dalla L. 5/2018 ed esteso ai cellulari, in cui gli interessati si oppongono alle chiamate promozionali. Chi fa telemarketing deve confrontare le proprie liste con il RPO prima di ogni campagna e non può chiamare gli iscritti senza un consenso valido e successivo.

Il soft spam vale anche per le telefonate?

No. L’art. 130, par. 4 del Codice Privacy copre solo le comunicazioni elettroniche (tipicamente e-mail) su prodotti analoghi verso propri clienti, con opt-out sempre disponibile. Il telemarketing telefonico richiede il consenso specifico o la verifica del RPO.

Vedi anche: un modulo di consenso fac-simile per raccogliere consensi validi e la guida al GDPR per le agenzie di marketing.


Fonti ufficiali: i provvedimenti del Garante per la protezione dei dati personali, il testo del GDPR su EUR-Lex e gli orientamenti dello European Data Protection Board.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →