Nel mondo dell’intermediazione immobiliare, il marketing è la linfa. Senza promozione, non ci sono immobili da acquisire né clienti da trovare. E fin qui, nulla da eccepire. Ma quando la linfa scorre in canali torbidi, alla lunga arriva la sanzione.

Ed è esattamente ciò che è accaduto ad un’agenzia immobiliare, l’Immobiliare 1923 S.r.l., destinataria di un provvedimento del Garante per la protezione dei dati personali, datato 27 febbraio 2025, che ne ha accertato la responsabilità per una serie di violazioni nella gestione dei dati personali utilizzati a fini promozionali.

Una sanzione pecuniaria di 7.000 euro, apparentemente lieve, ma con implicazioni ben più profonde. Perché in certi casi, più della multa, pesa il principio affermato. E questo principio è semplice: quando si fa marketing, soprattutto telefonico, la responsabilità del trattamento dei dati personali non si delega. Mai.

Il caso

Il caso nasce da una storia ordinaria. Una signora riceve telefonate promozionali indesiderate da parte di un’agenzia immobiliare. La stessa signora aveva già manifestato il proprio dissenso e aveva chiesto la cancellazione dei dati, eppure le telefonate continuano. L’agenzia, messa alle strette, si difende sostenendo di aver acquistato i contatti da un fornitore terzo, che avrebbe garantito per iscritto la liceità dei dati, dichiarandoli tratti da fonti pubbliche e dotati di consenso. Il classico scaricabarile.

Peccato che la normativa europea ed italiana sulla privacy non ammetta ignoranza o fiducia mal riposta. Il Regolamento (UE) 2016/679 e il Codice Privacy italiano impongono al titolare del trattamento (in questo caso l’agenzia) di verificare e documentare ogni fase del trattamento: dalla raccolta del consenso all’informativa, dal controllo delle opposizioni al tracciamento delle richieste. Non basta quindi un contratto con un fornitore.

Non basta neanche una clausola di manleva. Serve la prova concreta che, prima di avviare qualunque contatto, il soggetto contattato abbia dato un consenso valido, libero, informato, specifico, documentato. E se quel consenso non c’è o non è tracciabile, si viola la legge. Non importa quante clausole siano state firmate, quante rassicurazioni fornite: la responsabilità resta di chi il dato lo utilizza. Punto.

Nel provvedimento, il Garante elenca le violazioni accertate in modo impietoso, ma preciso. L’agenzia non ha mai consultato il Registro Pubblico delle Opposizioni, come invece avrebbe dovuto fare prima di chiamare. Non ha registrato la richiesta di opposizione né quella di cancellazione dei dati avanzata dalla persona contattata, sostenendo che non fosse “formale”. Ha agito senza una base giuridica valida, senza informativa idonea e senza strumenti tecnici o organizzativi per garantire i diritti degli interessati. E, cosa ancor più grave, ha ritenuto “prevalente” l’interesse commerciale a formulare un’offerta rispetto alla volontà dell’interessato a non essere disturbato. Una concezione del rapporto col cliente che sa di tempi andati, e non in senso nostalgico.

Ma c’è di più. Il Garante ha fatto notare che anche solo la raccolta dei dati è un trattamento, e se tale raccolta è illegittima, tutto il successivo utilizzo è viziato. Non si può trattare il dato pensando che qualcuno prima abbia fatto le verifiche: bisogna verificarle direttamente, o si diventa complici. Questa è la sostanza della cosiddetta accountability: ogni azienda è responsabile di ciò che fa e di ciò che sceglie di non controllare.

Potrebbe interessarti > Accountability: la responsabilità proattiva base della Digital Trust

E qui si apre un capitolo che potrebbe interessare molti. Perché l’agenzia in questione è una realtà locale, ma nulla vieta che pratiche simili siano adottate da affiliati di grandi catene immobiliari, spesso operanti in franchising. In tali casi, se la struttura organizzativa non prevede controlli a monte, verifiche sui fornitori, linee guida chiare per gli affiliati, il rischio è che la responsabilità penetri a catena fino al brand nazionale, seppure formalmente non coinvolto nell’azione locale. E allora, il piccolo errore dell’affiliato può diventare il grande grattacapo del marchio.

Del resto, non è più il tempo in cui si poteva dire “non lo sapevo”. Oggi, ogni attività che implichi trattamento di dati personali deve essere tracciata, giustificata e difendibile. Perché, se oggi è arrivata una sanzione di 7.000 euro, domani potrebbero essere 20.000 o 200.000, e dopodomani potrebbe partire una class action o una segnalazione all’AGCM per pratica commerciale scorretta.

Senza contare i danni reputazionali: la pubblicazione del provvedimento sul sito del Garante è già una forma di condanna mediatica per chi lavora in un settore basato sulla fiducia.

Conclusioni

Non serve essere esperti di privacy per capire la lezione. Serve buon senso e attenzione. Se si acquistano liste di contatti, bisogna chiedere la documentazione del consenso. Se si fanno campagne telefoniche, bisogna consultare l’RPO. Se qualcuno dice “non voglio essere contattato”, bisogna registrarlo subito, senza aspettare che mandi una PEC. E soprattutto, bisogna fare formazione al personale e dotarsi di procedure interne. Chi non lo fa, sta camminando su una trave marcia.

A ben vedere, questo provvedimento non è una condanna ma una sveglia. Ed è una sveglia che riguarda tutti: agenzie immobiliari, call center, liberi professionisti, assicuratori, fornitori di energia e perfino chi gestisce newsletter. Perché i dati, oggi, sono come le chiavi di casa: se li maneggi con leggerezza, rischi di trovarti la porta sfondata.