VEDI ANCHE Newsletter del 17 dicembre 2025

[doc. web n. 10202135]

Provvedimento del 27 novembre 2025

Registro dei provvedimenti
n. 709 del 27 novembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Agostino Ghiglia;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con atto del 24 marzo 2025 n. 39277/25, notificato in pari data mediante posta elettronica certificata, che qui deve intendersi integralmente riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Aimag S.p.A. (di seguito “Aimag” o “Società”), in persona del legale rappresentante pro-tempore, con sede legale in Mirandola (MO), via dei Maestri del Lavoro, 38, P.IVA 00664670361.

Il procedimento trae origine da un’istruttoria avviata dall’Autorità a seguito della ricezione di una segnalazione mediante la quale l’interessato lamentava che ai fini della registrazione all’area riservata del sito www.aimag.it, utile alla consultazione delle bollette e dello storico dei consumi, era sufficiente fornire il codice fiscale e un indirizzo mail, ma che tuttavia la Società non svolgeva alcuna verifica in merito alla identità del soggetto che effettuava la registrazione, né all’indirizzo di posta elettronica utilizzato.

1.2. La richiesta di informazioni formulata dall’Autorità

Con segnalazione Prot. n. 28412/24 veniva portata all’attenzione dell’Autorità la mancata implementazione di misure di sicurezza finalizzate a verificare l’identità degli utenti che effettuavano la registrazione all’area riservata del sito www.aimag.it, riconducibile a Aimag S.p.A.. Dalle dichiarazioni del segnalante emergeva che nell’area personale era possibile consultare lo storico dei consumi e delle bollette, «oltre a indirizzo abitazione e numero di telefono (fisso e cellulare), basta registrarsi con una qualunque mail e il codice fiscale».

Inoltre, all’esito di un accesso al sito effettuato dall’Ufficio in data successiva rispetto alla ricezione della segnalazione, emergeva che:

- in calce al form utile alla registrazione all’area riservata erano presenti tre moduli per il conferimento del consenso, già pre-flaggati sul “SI” recanti le seguenti diciture «Accetto l’informativa sulla privacy e il trattamento dei miei dati personali»; «Acconsento che i miei dati siano utilizzati per l’invio di materiali promozionali»; «Acconsento al trattamento dei miei dati personali per finalità di marketing e/o customer satisfaction»;

- tale form non recava uno specifico link all’informativa sul trattamento dei dati, tuttavia sul sito erano disponibili la Privacy Policy e Cookie Policy, l’Informativa clienti e l’Informativa relativa alle interazioni con le pagine social aziendali (cfr. verbale del 5 novembre 2024, Prot. 132014/24).

Successivamente con nota dell’11 novembre 2024 (cfr. Prot. n. 132036/24), l’Ufficio chiedeva alla Società, ai sensi degli artt. 58, par. 1, lett. a) del Regolamento e dell’art. 157 del Codice, di trasmettere le proprie osservazioni riguardo alle circostanze oggetto di doglianza, nonché di fornire chiarimenti in ordine alle informative presenti sul sito e ai tempi di conservazione dei dati ivi indicati; alle misure di sicurezza adottate al fine di verificare che i dati personali conferiti nell’ambito della registrazione all’area personale fossero riconducibili a un soggetto avente una (o più) forniture in essere con la Società e che la persona che provvedeva alle operazioni di registrazione corrispondesse all’effettivo titolare della/e fornitura/e in questione; nonché alle misure adottate affinchè i consensi per attività di marketing richiesti al momento della registrazione all’area personale fossero validamente conferiti ai sensi della normativa vigente sulla protezione dei dati personali.

Con nota del 29 novembre 2024 (cfr. Prot. n. 141237 del 02 dicembre 2024), Aimag rappresentava preliminarmente che «Se un utente accede all’area riservata, con l’intento truffaldino di visionare lo storico dei consumi e delle bollette di un qualsiasi cliente Aimag registrato, non è sufficiente conoscere soltanto il codice fiscale dello stesso (cliente Aimag) ma, dovrà, altresì, essere conosciuta la password alfa numerica di accesso che il cliente ha creato nella fase di registrazione», né è possibile resettare la password senza conoscere e avere accesso alla casella mail utilizzata in sede di registrazione al sito. Diversamente «Se un utente accede all’area riservata, con l’intento truffaldino di visionare lo storico dei consumi e delle bollette di un qualsiasi cliente Aimag non registrato, allora dovrà conoscerne il codice fiscale e dovrà, altresì, essere informato sul fatto che abbia un’utenza attiva e un contratto in essere; una sorta di sostituzione di identità. Il codice fiscale rappresenta un dato personale identificativo che, salvo derivi da una conoscenza personale del soggetto stesso, è di difficile ricerca proprio perché frutto di un intreccio di informazioni e non ottenibile sulla base di una semplice richiesta nominativa. Non vi è ad oggi un riscontro tra la mail utilizzata e l’identità del contraente. L’intento del titolare era quello di rendere agevole al cliente visionare la propria posizione».

La Società chiariva, altresì, che in ottemperanza al principio di minimizzazione attraverso l’area personale del sito web aziendale sono trattati «dati personali di identificazione e afferenti alla fornitura quali: nome, cognome, indirizzo, contratto, fatture ecc».

Con riferimento all’informativa resa all’interessato relativamente ai trattamenti di dati personali raccolti nell’ambito della registrazione all’area personale del sito, la Società dichiarava che la medesima era consultabile utilizzando il link alla privacy policy (https://www.aimag.it/societa-trasparente/bandi-gara-contratti/privacy-policy/). Più in particolare, «L’utente che accede all’area riservata può semplicemente limitarsi a navigare visionando i servizi offerti, trovando le informazioni relative ai dati conferiti in tale fase, nella privacy policy. Oppure può trattarsi di un cliente già registrato o che si appresta a farlo e allora troverà le informazioni in merito ai trattamenti dei suoi dati nell’informativa clienti. L’utente, infine, può accedere al sito tramite i social network e a quel punto troverà le informazioni sul trattamento dei suoi dati nella informativa social».

Quanto alle misure di sicurezza adottate in ordine alla verifica che i dati personali conferiti ai fini della registrazione all’area personale siano riconducibili a un soggetto avente una (o più) forniture in essere con la Società e che la persona che provvede alle operazioni di registrazione corrisponda all’effettivo titolare della/e fornitura/e in questione, la Società evidenziava che «Questa Autorità è più volte intervenuta a verificare le procedure di gestione dei diritti degli interessati rimarcando come processi eccessivamente complessi possano ledere il diritto del soggetto interessato ad avere una gestione “agevole” delle proprie richieste. In particolare, veniva data evidenza di come da un lato sia una facoltà del titolare quella di predisporre procedure per la verifica dei soggetti richiedenti, ma dall’altro, un’applicazione rigida di tale azione possa essere un “blocco” alla gestione fluida delle istanze degli interessati. Di più l’art. 12, par. 6 del Regolamento consente al titolare del trattamento di richiedere ulteriori informazioni che si rendano necessarie per confermare l’identità dell’interessato, ma solo qualora nutra ragionevoli dubbi circa l’identità di chi presenta la richiesta. Tale parametro della ragionevolezza è richiamato anche dal considerando 64, che suggerisce l’adozione di “misure ragionevoli” per verificare l’identità dei richiedenti. Ciò al fine di evitare richieste sovrabbondanti volte a scoraggiare l’esercizio dei diritti ma anche al fine di evitare la raccolta e la conservazione di dati non necessari. L’individuazione di misure ragionevoli, pertanto, dovrebbe essere guidata dal rispetto dei principi di proporzionalità, necessità e adeguatezza. Aimag (…) valutava le misure adottate per la registrazione (…) proporzionate all’agevole gestione delle richieste e adeguate rispetto alla tipologia di dati raccolti (meramente identificativi) e pertanto ragionevoli».

Nella medesima occasione la Società evidenziava, inoltre, che i consensi al trattamento dei dati personali richiesti per l’invio di materiale promozionale, per finalità di marketing e/o customer satisfaction in sede di registrazione all’area riservata, rispettavano il requisito della specificità e che potevano essere agevolmente revocati dall’interessato. In ogni caso, il mancato conferimento del consenso non interferiva con le attività informative, precontrattuali e contrattuali.

Con riguardo alla determinazione dei tempi di conservazione dei dati per finalità di marketing in cinque anni, la Società chiariva che in virtù del principio di accountability «il titolare individuava la tempistica di conservazione per le finalità di marketing in cinque anni, bilanciando da un lato la durata media dei rapporti contrattuali, e, dall’altro le proprie esigenze difensive individuate in un tempo prescrizionale di dieci anni».

Infine, rispetto alle attività di targeting realizzate mediante social network, Aimag riferiva che in adesione alle Linee guida 8/2020 sul targeting degli utenti di social media, riteneva di agire in qualità di contitolare del trattamento e che a tal fine utilizzava quale accordo di contitolarità quello redatto unilateralmente dalle piattaforme social e disponibile online.

1.3. Contestazione delle violazioni

L’Ufficio, all’esito dell’istruttoria, adottava il sopra richiamato atto di contestazione n. 39277/25 nel quale, in primo luogo, si osservava che non apparivano condivisibili le valutazioni condotte dalla Società in ordine alle misure adottate al fine di verificare l’identità dei soggetti che effettuano la registrazione all’area riservata del sito web aziendale, con particolare riferimento all’utilizzo del codice fiscale, stante la facile reperibilità di tale informazione nell’attuale contesto storico e sociale.

Nella medesima occasione l’Ufficio osservava, altresì, che i form utilizzati ai fini dell’acquisizione del consenso al trattamento dei dati, nell’ambito della procedura di registrazione all’area riservata del sito, non apparivano in linea con la vigente normativa, dal momento che le caselle erano già preselezionate in corrispondenza della dicitura “SI” e le informative pubblicate apparivano contradditorie e carenti sotto il profilo della trasparenza.

In aggiunta, l’Ufficio osservava che anche la determinazione dei tempi di conservazione dei dati per finalità di marketing non appariva del tutto aderente al vigente principio di limitazione del trattamento.

L’Ufficio, pertanto, contestava ad Aimag le seguenti ipotesi di violazione:

a) artt. 5, 24, 25 e 32 del Regolamento per avere effettuato – e continuare a effettuare - il trattamento dei dati personali appartenenti ai propri clienti, senza avere previamente adottato misure adeguate a garantirne la sicurezza e a scongiurare il rischio di accessi abusivi ai medesimi dati, con conseguente violazione;

b) art. 130 del Codice e degli artt. 5, 6, 7, 13 del Regolamento per avere effettuato – e continuare a effettuare - il trattamento dei dati personali per finalità promozionali in assenza di un’idonea base giuridica e senza il previo conferimento di un’adeguata informativa sul trattamento dei dati personali;

c) artt. 5, § 1, lett. e) del Regolamento per avere effettuato – e continuare a effettuare - il trattamento dei dati personali per finalità promozionali in contrasto con il principio di limitazione dei tempi di conservazione.

2. LA DIFESA DEL TITOLARE

La parte non presentava richiesta di audizione dinanzi all’Autorità, ma trasmetteva i propri scritti difensivi (cfr. Prot. n.  55759/25), in base a quanto previsto dall’art. 166, comma 6, del Codice e dall’art. 13 del regolamento del Garante n. 1/2019 (disponibile per la consultazione sul sito www.gpdp.it, doc-web n. 9107633).

Aimag, in tale occasione, chiariva preliminarmente che la Società agisce in qualità di «gestore di servizi idrici e come tale opera sul territorio di riferimento sulla base di concessioni pluriennali della durata tipicamente oltre i 10 anni (…). AIMAG è anche Gestore del Servizio di Raccolta Rifiuti Urbani (…) Quindi la titolare esercita i suddetti servizi, quali servizi principali della propria attività, attraverso convenzioni pluriennali (…) in virtù di concessioni che ne sanciscono il monopolio naturale ed in virtù di queste i cittadini residenti negli stessi sono vincolati ad essere utenti (acqua e rifiuti) della stessa». La Società evidenziava, altresì, che nell’ambito dell’erogazione di tali servizi il gestore è tenuto a «effettuare campagne di informazioni periodiche finalizzate a rafforzare la fiducia dei consumatori nei servizi idrici e raccolta rifiuti che vengono forniti e ciò per incrementare l’uso delle acque del rubinetto e per contribuire, conseguentemente, alla riduzione dell’utilizzo della plastica, ovvero, per aumentare la raccolta differenziata dei rifiuti. I gestori del servizio di distribuzione delle risorse idro-potabili devono inoltre assicurare agli utenti informazioni adeguate e aggiornate sulla produzione, gestione e qualità dell’acqua potabile fornita (…) le predette informazioni agli utenti devono essere effettuate almeno una volta all’anno e nella forma più appropriata e facilmente accessibile anche nella bolletta o con strumenti digitali e applicazioni».

La Società rappresentava che in adempimento di tali doveri «aveva posto in essere comportamenti tesi a bilanciare le misure di sicurezza di accesso all’area riservata, rispetto agli oneri informativi agli utenti imposti dalle normative sulla qualità contrattuale. Ad esempio, del servizio idrico integrato che le impongono di rendere visibili, e, facilmente consultabili i consumi, le tariffe unitarie e analogamente, per la raccolta dei rifiuti urbani, devono essere resi visibili i dati afferenti al contratto e alle tariffe, così come sopra illustrato» e che «gli utenti di Aimag (…) non possono scegliere di cambiare gestore rispetto a condizioni più competitive o altro, divenendo di tal guisa un mercato “non conquistabile”, riducendosi, pertanto, le probabilità di accessi abusivi, e, conseguenti violazioni, non essendo un possibile bersaglio di pratiche commerciali tanto invasive quanto fraudolente».

Con specifico riferimento alle misure implementate in ordine alla gestione dell’area riservata del sito, Aimag rappresentava la propria disponibilità a porre in essere azioni migliorative e ribadiva che per i clienti già registrati «la procedura di accesso comporta la conoscenza del codice fiscale, della password creata e della mail utilizzata per la registrazione», mentre i clienti non ancora registrati «possono creare un profilo attraverso il codice fiscale e una mail».

A tale riguardo la Società evidenziava, inoltre, che «qualora venga creato un profilo “fake”, utilizzando un codice fiscale del quale si ha conoscenza, non necessariamente si accede a dati poiché, se il codice fiscale utilizzato non appartiene ad un utente Aimag, non si abbina ad alcuna utenza e l’operazione si conclude non conducendo a nulla» e che l’utilizzo dei software per il calcolo del codice fiscale presuppone la conoscenza del nome e cognome di battesimo, della data e del luogo di nascita del soggetto interessato.

Sul punto Aimag contestava, altresì, che il «codice fiscale è un dato personale» e che pertanto se ne debba «limitarne l’utilizzo e la pubblicazione ritenendolo eccedente anche rispetto ai principi di trasparenza. Alla luce di ciò, il codice fiscale si può ritenere che non sia facilmente rinvenibile sul web o attraverso altra documentazione, e come tale AIMAG ha ritenuto di utilizzarlo».

In relazione all’utilizzo di form preflaggati per l’acquisizione del consenso, la Società rappresentava che si stava adoperando «nel rispetto delle procedure aziendali e dei progetti rilevanti di implementazione sistemi informativi in corso, per migliorare il sistema e rimuovere il pre-flag».

Quanto, invece, ai trattamenti di dati per finalità promozionali la Società rappresentava che «in quanto gestore del servizio idrico e rifiuti, oggetto di un accordo contrattuale vincolato, non svolge attività di promozione commerciale volta allo sviluppo della propria base “clienti” poiché non ha alcuna necessità di conquistare il mercato, già definito nelle convenzioni che assicurano alla stessa, per un arco temporale di più anni, la gestione della fornitura di acqua e di rifiuti in determinati Comuni (…) L’attività di gestione della relazione con gli utenti, quindi, consiste in una comunicazione volta alla valorizzazione del suo operato, dell’efficienza e della qualità dei servizi profusi, della promozione di attività sul territorio e della vicinanza agli utenti/cittadini volta a rafforzare l’immagine societaria e conseguentemente a consolidare la relazione contrattuale finalizzata anche a raccogliere dagli utenti eventuali disservizi, come ad esempio la segnalazione fughe, dato che ARERA premia il miglioramento del servizio».

Con riferimento al rispetto del principio di trasparenza, Aimag contestava i rilievi formulati dall’Autorità, rappresentando che la privacy policy recava le informazioni sul trattamento dei dati degli utenti-navigatori e di quelli registrati e che «Le dichiarazioni, in riferimento ai consensi e alla base giuridica individuata per il trattamento dei dati ai fini promozionali (…)  si riferiscono l’una all’interessato cliente, il cui rapporto si svolge nell’ambito contrattuale connotato dalle tipicità su rappresentate. L’altra è rivolta all’interessato-soggetto che naviga sul sito di Aimag e che richiede informazioni afferenti ai servizi e alle attività della stessa e che, se si registra, lo fa per essere aggiornato e/o informato. In tal caso i dati di navigazione raccolti possono essere utilizzati per il legittimo interesse afferente alla difesa (base giuridica) riguardante questioni di possibili abusi e/o attività fraudolente afferenti al web, mentre le attività promozionali si fondano sul consenso dell’interessato (base giuridica)».

Infine, con specifico riferimento ai tempi di conservazione dei dati raccolti per finalità promozionale, Aimag rappresentava che «Proprio in virtù della tipicità della fornitura e del mercato di riferimento, non vi è alcun dubbio che la titolare fornisca agli interessati contenuti, rispetto ai quali nutrono interesse anche a distanza di tempo. L’utente, nel caso specifico, si attende sicuramente di essere contattato anche in un momento successivo e futuro rispetto alla prestazione del consenso. Di più, l’attività di comunicazione espletata dal titolare (…) consistente nella valorizzazione del proprio operato e quindi della propria immagine, trova la sua maggior efficacia in occasione ed in seguito alle suddette campagne informative, di cadenza annuale, disciplinate dalle citate norme, non rendendosi necessario un approccio invasivo e più assiduo. La differente durata dei tempi di conservazione afferisce alle due tipologie di interessati su individuati. Aimag riteneva adeguato un tempo di conservazione decennale per gli utenti/clienti posta la durata del vincolo contrattuale e la tipicità dei servizi erogati e delle norme di settore; riteneva, altresì, congruo limitare la conservazione a cinque anni per coloro che, semplicemente, richiedono informazioni, navigano sul sito e non sono legati ad Aimag da alcun contratto».

3. VALUTAZIONI DELL’AUTORITÀ

Va in primo luogo rappresentato che le osservazioni formulate dalla Società, non sono sufficienti a escludere la sussistenza delle violazioni contestate.

Preliminarmente si rileva che l’implementazione di un sistema di registrazione all’area riservata del sito imperniato esclusivamente sull’acquisizione del codice fiscale del cliente e di un qualsiasi indirizzo mail, tenuto conto del contesto e delle finalità del trattamento nonché del rischio per i diritti e le libertà delle persone fisiche, non appare adeguato a garantire la sicurezza dei dati personali oggetto di trattamento.

Rispetto all’indirizzo mail, la Società ha dichiarato di non effettuare alcuna verifica, ne consegue che, l’unico presidio a tutela dei dati personali, si risolve nella mera coincidenza tra il codice fiscale utilizzato e la riconducibilità del medesimo a un cliente Aimag.

Il codice fiscale, che è composto da una sequenza alfanumerica, rappresenta oramai un’informazione facilmente ricavabile e per l’effetto, nel caso di specie appare inidonea a garantire la sicurezza dei dati personali trattati. Difatti, sul web sono agevolmente accessibili numerosi siti e tool che, a partire dai dati anagrafici, consentono di ricostruire con sufficiente esattezza, nella quasi totalità dei casi, il codice fiscale in maniera del tutto gratuita.

Peraltro, attesa l’attuale ed evidente diffusione di social e siti dedicati al network nell’ambito lavorativo, risalire ai dati anagrafici di un individuo – attraverso i quali ricavare il codice fiscale – si rivela piuttosto semplice.  

Si aggiunga che l’Autorità riceve ogni anno migliaia di segnalazioni in tema di telemarketing indesiderato, nelle quali gli interessati rappresentano che - purtroppo - gli operatori chiamanti sono già a conoscenza di tutti i loro dati anagrafici. Ne consegue che anche per tale ragione, un sistema basato esclusivamente sulla verifica dei dati anagrafici, non risulta adeguato a garantire la sicurezza dei dati personali degli interessati e a preservarne i diritti e le libertà fondamentali.

A tale proposito, nemmeno le osservazioni dispiegate dal titolare in ordine alla circostanza che la registrazione all’area riservata al sito presuppone che il codice fiscale utilizzato appartenga a un cliente della Società, si rivelano pertinenti. Dal momento che, per stessa ammissione di Aimag, quest’ultima è concessionaria della gestione di taluni servizi idrici e relativi ai rifiuti in qualità di monopolista e che i cittadini stabiliti presso i territori oggetto di concessione sono necessariamente clienti Aimag, anche il bacino della clientela risulta facilmente individuabile. Difatti, è sufficiente navigare all’interno del sito aziendale per consultare il dettaglio dei comuni serviti e dei servizi erogati (https://www.aimag.it/il-gruppo/territorio/).

Parimenti anche il rilievo sulla scarsa attrattività delle informazioni presenti nell’area riservata, non può trovare accoglimento. Dalla disamina della segnalazione e dei riscontri forniti dalla parte, emerge pacificamente che l’area riservata del sito consente al cliente di avere agevole accessibilità a un’ampia gamma di informazioni, quali «nome, cognome, indirizzo, contratto, fatture ecc.» (cfr. riscontro Prot. n. 141237/24), che peraltro, se considerate nel loro insieme, permettono di delineare un profilo anche molto dettagliato delle abitudini di consumo del cliente. Dunque, contrariamente a quanto la Società vorrebbe far credere, i rischi correlati al trattamento di tali dati personali accessibili attraverso l’area riservata del sito non derivano soltanto dalla mera possibilità che la clientela possa o meno effettuare il passaggio ad altro operatore, bensì dalla circostanza che trattasi di informazioni che potrebbero essere sfruttate indebitamente per la commissione di illeciti nei confronti degli interessati (si pensi in via esemplificativa e non esaustiva alle ipotesi di sostituzione di persona, truffe, attivazioni non richieste, telemarketing ecc.).

Sul punto, inoltre, è necessario considerare che i richiamati rischi per i diritti e le libertà fondamentali, nel caso di specie, presentano una rilevante entità correlata da un lato alla esposizione – come si è visto, non adeguatamente protetta – delle informazioni on-line, dall’altra all’ingente numerosità dei soggetti interessati coinvolti.  

Quanto alla necessità di agevolare gli interessati nell’accesso ai propri dati personali e di fornitura richiamata dalla Società, pur tenendo in considerazione la difficoltà insita nell’implementazione di un sistema che debba risultare fruibile ad un ampio e variegato target di popolazione, normalmente composto da persone di diversa età e in possesso di diverse competenze tecnologiche, si osserva che rientra tra i doveri del titolare del trattamento operare un congruo bilanciamento con le esigenze di sicurezza del trattamento e individuare le misure più adeguate, avuto anche riguardo alle specificità della propria organizzazione (v. art. 32 del Regolamento).

Peraltro, con l’entrata in vigore del principio di accountability, in base al vigente impianto normativo, il titolare del trattamento possiede un’ampia discrezionalità nella scelta delle misure di compliance alla normativa in materia di protezione dei dati personali, che si traduce in una altrettanto vasta scelta di soluzioni, sia sotto il profilo dell’efficacia che dei costi sostenuti.

Sotto altro e diverso versante, le osservazioni fornite dalla Società non consentono di superare nemmeno i rilievi sollevati in ordine alla validità dei consensi acquisiti attraverso i form di registrazione all’area riservata e alle informative sul trattamento dei dati personali utilizzate.

A tale riguardo si osserva preliminarmente che le deduzioni trasmesse da Aimag appaiono estremamente contraddittorie con riferimento alla finalità dei trattamenti effettuati e alla individuazione della base giuridica del trattamento, dimostrando anche sotto tale profilo, una non completa assimilazione degli obblighi derivanti dalla vigente normativa in materia di protezione dei dati.

Da un lato, infatti, nei riscontri forniti la Società fa ampio riferimento a una serie di comunicazioni che ex lege è tenuta a effettuare nei confronti dei clienti, peraltro alcune già disponibili nell’area pubblica del sito; dall’altro Aimag acquisisce i consensi per il trattamento dei dati a fini promozionali attraverso i form presenti nella pagina di registrazione all’area riservata e quelli posti in calce all’informativa clienti, facendo contestualmente riferimento a tali trattamenti anche all’interno delle informative e dei riscontri forniti all’Autorità (cfr. Prot. n. 55759/25 «L’attività di gestione della relazione con gli utenti, quindi, consiste in una comunicazione volta alla valorizzazione del suo operato, dell’efficienza e della qualità dei servizi profusi, della promozione di attività sul territorio e della vicinanza agli utenti/cittadini volta a rafforzare l’immagine societaria e conseguentemente a consolidare la relazione contrattuale finalizzata anche a raccogliere dagli utenti eventuali disservizi, come ad esempio la segnalazione fughe, dato che ARERA pre-mia il miglioramento del servizio»).

Quanto ai form utilizzati dalla Società nell’ambito della procedura di registrazione all’area riservata del sito, si osserva che i medesimi non consentono di acquisire un consenso valido ai sensi della vigente normativa, attesa la carenza dei requisiti di libertà, specificità e previa informazione.

Le caselle visibili all’interessato, infatti, risultano già preselezionate in corrispondenza della dicitura “SI”, ma tale impostazione è del tutto contraria alla nozione stessa di consenso che, per come sancita nell’ambito dell’attuale assetto normativo in materia di protezione dei dati personali, presuppone una manifestazione di volontà consapevole, esplicita e inequivocabile da parte dell’interessato.

Peraltro, sul punto l’orientamento dell’Autorità è oramai consolidato; difatti, già all’interno delle Linee guida in materia di attività promozionale e contrasto allo spam (cfr. Provv. n. 330 del 4 luglio 2013, disponibile per la consultazione sul sito www.gpdp.it, doc-web n. 2542348) si leggeva che «non è corretta la predisposizione di moduli in cui la casella (c.d. "check-box") di acquisizione del consenso risulta pre-compilata con uno specifico simbolo (c.d. flag)».

Successivamente, tale orientamento è stato recepito anche a livello normativo con l’entrata in vigore del Regolamento che agli artt. 4, punto 11) e 7 ha sancito la nozione di consenso e le condizioni di validità, enunciando poi al Cons. 32 che «Il consenso dovrebbe essere prestato mediante un atto positivo inequivocabile con il quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un'apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell'informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l'interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l'inattività o la preselezione di caselle».

Il tema dell’utilizzo di caselle preselezionate, inoltre, è stato espressamente affrontato anche a livello sovranazionale con le Linee guida 5/2020 sul consenso ai sensi del regolamento del 4 maggio 2020 (consultabili sul sito www.edpb.europa.eu), ove si legge che «Il regolamento generale sulla protezione dei dati afferma chiaramente che il consenso richiede una dichiarazione o un’azione positiva inequivocabile da parte dell’interessato, il che significa che il consenso deve sempre essere espresso attraverso una dichiarazione o in modo attivo. Deve essere ovvio che l’interessato ha acconsentito al particolare trattamento (…) L’uso di caselle di adesione preselezionate non è valido ai sensi del regolamento. Il silenzio o l’inattività da parte dell’interessato, così come il semplice procedere all’uso di un servizio, non possono essere considerati una manifestazione attiva di scelta».

Si aggiunga che tale orientamento ha trovato applicazione con particolare rigore anche in ambito giurisprudenziale ed è stato esteso al tema della validità del consenso all’utilizzo dei cookie e delle altre tecnologie di tracciamento (cfr. Corte giustizia Unione Europea, Grande Sez., 01/10/2019, n. 673/17 «(…) il consenso di cui all'articolo 2, lettera f), e all'articolo 5, paragrafo 3, della direttiva 2002/58, letti in combinato disposto con l'articolo 2, lettera h), della direttiva 95/46 non è, pertanto, validamente espresso quando l'archiviazione di informazioni o l'accesso alle informazioni già archiviate nell'apparecchiatura terminale dell'utente sono autorizzati mediante una casella preselezionata dal fornitore del servizio, che l'utente dovrebbe deselezionare al fine di negare il proprio consenso»).

I consensi raccolti da Aimag non possono essere considerati validi ai sensi della vigente normativa, anche in ragione della mancanza del requisito della previa informazione, giacché acquisiti sulla base di form e informative del tutto carenti sotto il profilo della trasparenza e, come tali, inidonee a consentire ai soggetti interessati di esprimere una scelta consapevole.

Difatti, da un lato le formule utilizzate per l’acquisizione del consenso in sede di registrazione al sito (cfr. «Acconsento che i miei dati siano utilizzati per l’invio di materiali promozionali» e «Accontento al trattamento dei miei dati personali per finalità di marketing e/o customer satisfaction»), appaiono molto simili e sovrapponibili tra loro.

Dall’altro, le informative presenti sul sito, come si dirà infra, non contengono elementi sufficienti a rendere edotto l’interessato in ordine alle modalità e finalità del trattamento.

Aimag ha provveduto alla pubblicazione sul sito web aziendale della privacy policy, dell’informativa clienti e di quella relativa ai social network.

Tuttavia, in mancanza di riferimenti espliciti ai dati conferiti in sede di registrazione all’area riservata e di un link all’informativa di riferimento - per esempio posto all’interno del form di registrazione - non risulta chiaramente e univocamente individuabile l’informativa riferibile ai trattamenti di dati personali conferiti per l’utilizzo dell’area riservata del sito web.

Stando alle osservazioni fornite dalla Società, l’informativa di riferimento è quella raggiungibile utilizzando il link alla Privacy e Cookie policy presente nel footer del sito (cfr. https://www.aimag.it/societa-trasparente/bandi-gara-contratti/privacy-policy/), che al paragrafo 3 dedicato alle Finalità e base giuridica del trattamento chiarisce che «I dati di natura personale forniti, saranno trattati nel rispetto delle condizioni di liceità ex art. 6 f) Reg. UE 2016/679 per le seguenti finalità, fino ad opposizione: • navigazione sul presente sito internet; • eventuale richiesta di contatto, con invio di informazioni da Lei richieste; • attività amministrativo-contabili in genere (…) . Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, attività informativa. • solo in seguito a suo esplicito consenso, attività di marketing, tra cui per esempio l’invio di notizie periodiche su offerte promozionali, l’invio di offerte personalizzate. L’interessato può annullare l’iscrizione alle comunicazioni di marketing in qualsiasi momento in maniera facile e veloce, cliccando sul link “Annulla l’iscrizione” presente in ogni newsletter. Il trattamento dei dati relativamente alle finalità in oggetto si basa sull’articolo 6, paragrafo 1, lettera f): (considerando 47), tenuto conto delle ragionevoli aspettative nutrite dall’interessato al momento e nell’ambito della raccolta dei dati personali, quando l’interessato possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine»; mentre in ordine ai tempi di cancellazione prevede che «(…) I dati saranno conservati per un periodo non superiore agli scopi per i quali i dati sono stati raccolti e successivamente trattati. Per la precisione (…) attività di marketing (massimo 5 anni)».

Si osserva che tale informativa è del tutto carente sotto il profilo della trasparenza, dal momento che non presenta alcuna corrispondenza tra le finalità del trattamento e le formule utilizzate ai fini dell’acquisizione del consenso. Inoltre, la Società enuncia una serie di attività di trattamento che dichiara di effettuare nel perseguimento di un legittimo interesse – senza peraltro indicare quale sia – ma che dovrebbero trovare il proprio fondamento di liceità nelle altre basi giuridiche disciplinate dal Regolamento.

Con riferimento al periodo quinquennale di conservazione dei dati personali per finalità di marketing, la Società ha chiarito che il termine in discorso è stato individuato in considerazione della durata media dei rapporti contrattuali e delle esigenze difensive correlate alla disciplina della prescrizione decennale.

Sebbene con l’entrata in vigore del Regolamento e del principio di accountability, vi sia stata una riconsiderazione del precedente orientamento sul tema, l’individuazione dei tempi di conservazione non può prescindere dall’attenta valutazione, operata caso per caso, delle specificità dei trattamenti presi in considerazione e dei rischi per i diritti e le libertà degli interessati, avuto comunque riguardo al rispetto dei principi di finalità, minimizzazione e limitazione della conservazione.

Tale valutazione nel caso di trattamenti di dati personali effettuati per finalità di marketing, pertanto, dovrebbe basarsi su elementi tipici e caratteristici delle attività promozionali, si pensi alla tipologia di prodotto e servizio commercializzato, al carattere durevole o meno del prodotto, ai criteri di stagionalità, alle valutazioni sull’efficacia delle iniziative promozionali correlate alla concomitanza con i periodi feriali, alle specificità del mercato di riferimento ecc.

Le valutazioni prospettate dalla Società, invece, appaiono generiche e poco condivisibili, in quanto Aimag sembra avere confuso le specificità del trattamento di dati personali correlato agli aspetti fisiologici e patologici dei rapporti contrattuali (i.e. conclusione dell’accordo, esecuzione degli obblighi contrattuali, eventuale azione in giudizio), con le diverse esigenze riguardanti l’espletamento delle attività di marketing, determinando così la realizzazione di trattamenti di dati personali in violazione del principio di limitazione della conservazione di cui all’art. 5 del Regolamento.

Ne consegue che il periodo di cinque anni decorrente dal momento dell’avvenuto rilascio del consenso, per come individuato dal titolare, appare comunque troppo prolungato rispetto ai tempi di conservazione che si possono far rientrare fra le legittime aspettative dell'utente, atteso che, oltre un certo limite, la mancata revoca del consenso è più probabilmente riconducibile a dimenticanza, piuttosto che all'effettiva volontà di acconsentire all'utilizzo dei dati. Si richiama al riguardo il provvedimento generale in tema di fidelity card del 24 febbraio 2005 (in www.gpdp.it, doc web n. 1103045) che contiene indicazioni tuttora valide per indirizzare i titolari nella determinazione dei tempi di conservazione dei dati, nel rispetto della maggiore libertà (e correlata responsabilità) che il principio di accountability ora riconosce.

Peraltro, nel caso di specie, l’individuazione di un periodo di conservazione minore e maggiormente rispondente alle modalità e finalità del trattamento in esame, contrariamente a quanto sostenuto dalla Società, non è suscettibile di incidere sulle attività correlate alle comunicazioni che la medesima è tenuta a effettuare ex lege, giacché non rientranti nell’ambito dei trattamenti soggetti alla previa acquisizione del consenso.

Deve quindi definitivamente confermarsi la responsabilità di Aimag in ordine a tutte le violazioni contestate.

4. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di Aimag in ordine alle seguenti violazioni:

a) degli artt. 5, 24, 25 e 32 del Regolamento per avere effettuato – e continuare a effettuare il trattamento dei dati personali appartenenti ai propri clienti, senza avere previamente adottato misure adeguate a garantirne la sicurezza e a scongiurare il rischio di accessi abusivi ai medesimi dati, con conseguente violazione;

b) dell’art. 130 del Codice e degli artt. 5, 6, 7, 13 del Regolamento per avere effettuato – e continuare a effettuare - il trattamento dei dati personali per finalità promozionali in assenza di un’idonea base giuridica e senza il previo conferimento di un’adeguata informativa sul trattamento dei dati personali;

c) dell’artt. 5, § 1, lett. e) del Regolamento per avere effettuato – e continuare a effettuare - il trattamento dei dati personali per finalità promozionali in contrasto con il principio di limitazione dei tempi di conservazione.

Accertata altresì l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario:

- ingiungere ad Aimag, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, con riferimento ai dati personali accessibili mediante l’area riservata del sito, l’adozione di misure di sicurezza adeguate ai rischi di varia probabilità e gravità per i diritti e le libertà degli interessati, avuto riguardo allo stato dell'arte e ai costi di attuazione, nonché alla natura, all'oggetto, al contesto e alle finalità del trattamento;

- ingiungere ad Aimag, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di aggiornare, in ossequio ai principi di correttezza, trasparenza e limitazione del trattamento, le formule utilizzate per l’acquisizione del consenso al trattamento dei dati per finalità promozionali da parte degli utenti nell’ambito della procedura di registrazione all’area riservata del sito e la relativa informativa sul trattamento dei dati personali;

- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Aimag della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.

5. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Aimag della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a € 20.000.000,00 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore).

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.

Nel caso in esame, assumono rilevanza:

1) la gravità delle violazioni, ai sensi dell’art. 83, par. 2, lett. a) del Regolamento, tenuto conto dell’esposizione del database online e del numero dei soggetti interessati coinvolti, nonché della mancata adozione di misure rimediali nel corso del procedimento;

2) quale fattore aggravante, ai sensi dell’art. 83, par. 2, lett. d) del Regolamento, il grado di responsabilità del titolare del trattamento, tenendo conto della mancata adozione delle più basilari misure tecniche e organizzative adeguate ai sensi degli articoli 25 e 32 del Regolamento;

3) quale fattore attenuante, ai sensi dell’art. 83, par. 2, lett. e) del Regolamento, la mancanza di precedenti violazioni pertinenti commesse dal titolare del trattamento.

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative e funzionali della Società, si ritiene debba applicarsi ad Aimag la sanzione amministrativa del pagamento di una somma di euro 300.000,00 (euro trecentomila,00), pari allo 1,5% della sanzione massima edittale.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della natura dei trattamenti e delle condotte della Società, nonché degli elementi di rischio per i diritti e le libertà degli interessati.

In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare ragionevole e proporzionata in relazione alla gravità e al particolare disvalore delle condotte oggetto di censura, in quanto afferenti ai principi fondamentali della normativa in materia di protezione dei dati personali e costantemente ribaditi nelle decisioni adottate dall’Autorità.

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) dichiara illecito, ai sensi dell’art. 57, par. 1, lett. a) del Regolamento, nei termini di cui in motivazione, il trattamento di dati personali effettuato da parte di Aimag S.p.A., con sede legale in Mirandola (MO), via dei Maestri del Lavoro 38, P.IVA 00664670361;

b) ingiunge ad Aimag, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, con riferimento ai dati personali accessibili mediante l’area riservata del sito, l’adozione di misure di sicurezza adeguate ai rischi di varia probabilità e gravità per i diritti e le libertà degli interessati, avuto riguardo allo stato dell'arte e ai costi di attuazione, nonché alla natura, all'oggetto, al contesto e alle finalità del trattamento;

c) ingiunge ad Aimag, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di aggiornare, in ossequio ai principi di correttezza, trasparenza e limitazione del trattamento, le formule utilizzate per l’acquisizione del consenso al trattamento dei dati per finalità promozionali da parte degli utenti nell’ambito della procedura di registrazione all’area riservata del sito e la relativa informativa sul trattamento dei dati personali;

d) ingiunge ad Aimag, ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alla misura imposta; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

ORDINA

a Aimag S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Mirandola (MO), via dei Maestri del Lavoro 38, P.IVA 00664670361, di pagare la somma di euro 300.000,00 (euro trecentomila,00),  a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 300.000,00 (euro trecentomila,00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

DISPONE

a) la pubblicazione del presente provvedimento, ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019, nonché l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante della presente ordinanza di ingiunzione, come previsto dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019;

b) l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha sede il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 novembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Montuori