Recentemente il Garante per la privacy con il provvedimento n. 89[1] del 12 febbraio 2026 ha irrogato una sanzione di 15mila euro ad un’agenzia assicurativa (di seguito “Agenzia” o “Società”) che, ritenendo erroneamente di agire quale responsabile del trattamento per conto della Compagnia mandante, ha inviato e-mail promozionali in assenza di una propria specifica informativa e autonomo consenso, nonché per aver omesso di riscontrare la richiesta di accesso avanzata dal reclamante.

Sono molteplici gli insegnamenti che si possono trarre dall’intervento dell’Autorità e i punti salienti della decisione:

• Sulla qualifica di titolare del trattamento. Quando l’agenzia assicurativa raccoglie dati in qualità di responsabile per conto della Compagnia, ma li riutilizza autonomamente per proprie finalità promozionali in assenza di alcuna indicazione e istruzione da parte dell’Impresa, è da ritenersi autonomo titolare del trattamento.
• Base giuridica del trattamento per finalità di marketing. Il Garante ha ribadito che il legittimo interesse non figura tra i fondamenti di liceità previsti dall’art. 130, comma 2, del Codice della privacy che, in qualità di lex specialis, trova applicazione per l’invio di materiale pubblicitario tramite posta elettronica. In linea con l’art. 130 del Codice (norma di rango primario), l’art. 82 del Regolamento IVASS n. 40/2018 impone il previo consenso del contraente per lo svolgimento di attività di marketing.
• Omesso riscontro all’esercizio dei diritti. Nella fattispecie in esame, il distributore, inoltre, comportandosi nei fatti quale autonomo titolare del trattamento, avrebbe dovuto riscontrare la richiesta di accesso avanzata dal reclamante. Cosa non avvenuta.

Sanzione privacy a un’agenzia assicurativa: l’analisi del provvedimento

La fattispecie considerata nella decisione in commento dal Garante traeva origine dalla presentazione di un reclamo del 14 febbraio 2025, con il quale il reclamante lamentava la ricezione di e-mail promozionali in assenza di consenso e l’omesso riscontro all’esercizio del diritto di accesso ex art. 15 del GDPR.

In particolare, il reclamante allegava quattro e-mail promozionali di cui due a firma della Società, del 17 e 25 ottobre 2024 e che promuovevano servizi riconducibili ad una Compagnia di cui la stessa è mandataria, e altre due, del 18 novembre e 2 dicembre 2024, a firma “La Direzione [della Società]”, che promuovevano un servizio di fondo pensione. Successivamente, l’Autorità riceveva, in data 14 agosto 2025 un altro reclamo da parte di un altro soggetto che lamentava la ricezione di analoghe tre e-mail promozionali.

A seguito della ricezione dei reclami, il Garante invitava la Società a fornire chiarimenti in merito ai fatti segnalati e, all’esito della documentazione acquisita nel corso dell’istruttoria e dell’esame della memoria difensiva prodotta, ha ritenuto accertata l’illiceità dei trattamenti presi in esame e la responsabilità dell’agenzia per:

1. aver omesso il riscontro all’esercizio del diritto di accesso da parte del reclamante;
2. non aver predisposto alcuna specifica informativa sui trattamenti svolti per le autonome finalità di marketing;
3. aver effettuato autonome attività di marketing tramite posta elettronica in assenza di idonea base giuridica.

A questo punto, risulta utile soffermarsi sulle valutazioni di ordine giuridico effettuate dall’Autorità.

Sulla qualifica di titolare del trattamento

Il Garante ha accertato che l’intermediario che in un primo momento aveva raccolto e trattato i dati del reclamante in qualità di responsabile per conto della Compagnia, successivamente e in assenza di alcuna indicazione e istruzione da parte del titolare, ha riutilizzato i dati a sua disposizione per proprie finalità di marketing in assenza di specifica informativa e autonomo consenso.

Al riguardo, il Garante ha precisato che “Ancorché tali comunicazioni promuovessero servizi comunque afferenti alla compagnia assicurativa, ossia all’originario titolare del trattamento, risulta comunque provato che la Società ha autonomamente deciso le finalità e i mezzi di un nuovo trattamento” nella veste di titolare del trattamento.

Come specificato dall’Autorità “a nulla rileva il fatto che la Società non abbia deliberatamente rivendicato una propria distinta titolarità, ma ha creduto, erroneamente, di poter agire comunque nel perimetro del mandato conferito[2]” (pag. 9, cit.).

Ma vi è di più. “L’errore in cui la Società sarebbe incorsa non sembra idonea a far venir meno la sua responsabilità quanto meno a titolo di colpa”.

L’intermediario, infatti, non ha dimostrato di aver fatto tutto il possibile per osservare la legge perché, avendo ben chiaro il suo ruolo di responsabile del trattamento, “avrebbe dovuto strettamente attenersi alle direttive impartite dalla compagnia assicurativa in qualità di titolare del trattamento che, come confermato sia dalla Società sia dalla compagnia, non consentivano di svolgere alcuna attività di marketing in assenza di consenso espresso dell’interessato”.

Obblighi di informativa e principio di trasparenza

Anche con riferimento agli obblighi di informazione risultava accertata l’assenza di ogni specifica informativa sui trattamenti svolti dal distributore per le autonome finalità di marketing; veniva quindi constatata la violazione del principio di trasparenza di cui agli artt. 5, par. 1, lett. a) e 13 del GDPR.

Base giuridica del trattamento per finalità di marketing

Sul punto, l’Autorità ha accertato che l’agenzia ha inviato quattro e-mail promozionali in assenza di idonea base giuridica. A queste devono aggiungersi le ulteriori tre e-mail promozionali inviate al secondo reclamante. Un tanto è avvenuto in assenza di uno specifico consenso da parte del reclamante sia per l’invio di comunicazioni commerciali per conto della compagnia assicurativa, sia da parte del distributore in qualità di autonomo titolare del trattamento.

Il Garante ha ribadito che il legittimo interesse (invocato dalla società) non figura tra i fondamenti di liceità previsti dall’art. 130, comma 2, del Codice della privacy che, in qualità di lex specialis, trova applicazione per l’invio di materiale pubblicitario tramite posta elettronica.

Con riferimento al soft spam di cui all’art. 130, comma 4, del Codice, nella decisione viene sottolineato come “tale eccezione non è invocabile da un soggetto diverso dall’originario titolare del trattamento. In tale contesto, il responsabile del trattamento che, in assenza di specifica direttiva da parte del titolare, pone in essere un ulteriore trattamento di dati personali si troverebbe ad effettuare un riutilizzo dei dati personali sine titulo e, in assenza di autonoma informativa e di un nuovo fondamento di liceità, già l’acquisizione dei dati dovrebbe essere considerata illecita. Tali circostanze rendono illecita la stessa acquisizione dei dati prima ancora di determinare l’impossibilità di avversi dell’eccezione del soft spam” (pag. 11, cit.).

Non solo. Nella decisone viene sottolineato che in linea con l’art. 130 del Codice (norma di rango primario), l’art. 82 del Regolamento IVASS n. 40/2018 impone il previo consenso del contraente per lo svolgimento di attività di marketing. Solo in via di eccezione, la norma riconosce al “distributore” la possibilità di svolgere comunicazioni commerciali senza consenso e salva opposizione del contraente “nel caso in cui questo abbia già fornito i propri recapiti in occasione della commercializzazione di un contratto di assicurazione relativo allo stesso ramo assicurativo o ad altri rami purché il prodotto sia distribuito dalla medesima impresa”.

Tuttavia, “Per far coincidere il concetto di “distributore” con quello di “responsabile del trattamento” – il Garante precisa che è necessario inevitabilmente tener conto della circostanza “che tale soggetto sia stato previamente autorizzato a porre in essere tale trattamento. Diversamente, la qualifica di distributore non può che coincidere, a seconda del caso concreto, col soggetto titolare o contitolare del trattamento, non potendo il responsabile determinare finalità e mezzi del trattamento se non a costo di acquisire a sua volta la qualifica di titolare autonomo” (pag. 10, cit.).

Omesso riscontro all’esercizio dei diritti del primo reclamante

Il distributore aveva dichiarato di non aver ritenuto necessario dare alcun seguito alla richiesta in quanto riteneva che questa fosse già all’attenzione della compagnia assicurativa.

Secondo il Garante, la Società – qualora sia stata convinta di agire quale responsabile – avrebbe dovuto attivarsi (e non rimanere silente) per contattare l’Impresa (sua titolare del trattamento) al fine di meglio gestire la situazione.

Nella fattispecie in esame, inoltre, l’agenzia, inoltre, comportandosi nei fatti quale autonomo titolare del trattamento, avrebbe dovuto riscontrare la richiesta di accesso avanzata dall’assicurato. Cosa non avvenuta.

Conclusioni

Alla luce di quanto fin qui esposto, si rileva, pertanto, l’importanza e l’utilità delle indicazioni fornite dal Garante con il provvedimento n. 89 del 12 febbraio 2026 agli intermediari assicurativi.

Quando l’agenzia effettua attività di trattamento di dati personali per finalità promo-commerciali in modo autonomo e indipendente, quindi, determinando la finalità e i mezzi di trattamento, in assenza di indicazioni e istruzioni formalizzate dalla Compagnia mandante, è da ritenersi autonomo titolare del trattamento dei dati personali per fini commerciali. La ripartizione dei ruoli GDPR (responsabile, titolare, contitolare) nel settore assicurativo e della distribuzione assicurativa deve essere valutata in concreto sulla base dell’atteggiarsi concreto dei rapporti intercorrenti tra le parti in relazione al trattamento di dati personali piuttosto che sulla base della (mera) designazione formale.

[1] Provvedimento n. 89 del 12 febbraio 2026 [doc. web n. 10227039].

[2] “In primo luogo, infatti, le qualifiche ai sensi del Regolamento UE 2016/679 non hanno rilievo formale ma funzionale e fattuale, nel senso che la ripartizione dei ruoli deve essere determinata sulla base delle attività effettivamente svolte in una situazione specifica piuttosto che sulla base della (mera) designazione formale (ad es. in un contratto). Conseguentemente, tali qualifiche devono essere valutate in concreto sulla base dell’effettivo atteggiarsi del soggetto in relazione al trattamento di dati personali (…)” (pag. 9, cit.).