Attenzione agli invii massivi di email con indirizzi in chiaro: è una prassi illegittima anche se occasionale

Il Garante Privacy ammonisce una società adottando un atteggiamento educativo e preventivo (Provvedimento n. 6/2026) - Pillole di Legge

Avv. CECILIA TANZI 

Una prassi apparentemente innocua continua a mettere a rischio la conformità al GDPR di molte organizzazioni: l'invio massivo di email con gli indirizzi dei destinatari visibili in chiaro nel campo "A" o "CC" anziché in "CCN". Il recente Provvedimento n. 6/2026 del Garante per la protezione dei dati personali segna un punto di svolta, privilegiando la funzione educativa della sanzione rispetto a quella punitiva.

La violazione: cosa si rischia

Quando un'organizzazione invia una comunicazione a più destinatari inserendo tutti gli indirizzi email nel campo "A" o "CC", ogni destinatario può visualizzare l'elenco completo degli indirizzi di tutti gli altri. Questa condotta determina una comunicazione non autorizzata di dati personali in violazione dell'articolo 5 del GDPR e degli obblighi di sicurezza previsti dall'articolo 32.

L'indirizzo email è un dato personale la cui diffusione non autorizzata integra violazione della normativa privacy, come ribadito dalla Cassazione civile con ordinanza n. 9920 del 2022.

L'occasionalità non salva dalla sanzione

Un aspetto cruciale del Provvedimento n. 6/2026: l'occasionalità della condotta non ne esclude l'illiceità. Molte organizzazioni ritengono erroneamente che un singolo episodio, magari dovuto a disattenzione, non costituisca una violazione sanzionabile. Il Garante ha invece chiarito che la tutela dei dati personali non può essere subordinata alla reiterazione della violazione.

Il Codice Privacy (art. 166) prevede sanzioni fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo, se superiore.

L'approccio educativo del Garante

Nel caso del Provvedimento n. 6/2026, il Garante ha scelto di adottare un ammonimento anziché irrogare immediatamente una sanzione pecuniaria. L'ammonimento, previsto dall'articolo 58, paragrafo 2, lettera b) del GDPR, consente all'Autorità di segnalare formalmente la violazione invitando il titolare a conformarsi, senza irrogare una sanzione pecuniaria.

Questa scelta è coerente con l'orientamento del Consiglio di Stato (sentenza n. 105 del 2026), secondo cui l'illecito privacy ha natura di pericolo e prescinde dalla prova del danno effettivo e dall'intenzionalità della condotta.

La soluzione è semplice

La soluzione tecnica è alla portata di qualsiasi organizzazione:

• Utilizzare il campo "CCN" (Copia Carbone Nascosta) per gli invii massivi

• Dotarsi di piattaforme professionali di email marketing per comunicazioni regolari

• Formare il personale sull'utilizzo corretto dei campi email

• Implementare procedure di controllo prima dell'invio di comunicazioni massive

Le conseguenze oltre la sanzione

La violazione può comportare:

• Obbligo di notifica al Garante entro 72 ore (art. 33 GDPR)

• Comunicazione agli interessati se il rischio è elevato (art. 34 GDPR)

• Responsabilità civile e diritto al risarcimento del danno (art. 82 GDPR)

• Danno reputazionale per la pubblicazione del provvedimento

Conclusioni

Il Provvedimento n. 6/2026 rappresenta un importante segnale: l'approccio educativo del Garante non deve indurre a sottovalutare la gravità della violazione. L'ammonimento è un'opportunità per conformarsi, ma violazioni successive saranno certamente sanzionate con misure pecuniarie.

La semplicità della soluzione tecnica rende questa violazione particolarmente evitabile e, di conseguenza, particolarmente grave quando si verifica. Ogni organizzazione deve assicurarsi che le proprie procedure di invio email siano conformi al GDPR: la protezione dei dati personali è un obbligo giuridico, non un optional.