[doc. web n. 10209888]

Provvedimento del 18 dicembre 2025

Registro dei provvedimenti
n. 762 del 18 dicembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018 n. 101, recante disposizioni per l'adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Con reclamo pervenuto il 9 febbraio 2024 l'avv. XX ha lamentato di aver ricevuto due email indesiderate da parte di G&P Consulting S.r.l. (di seguito, G&P o la Società) a seguito delle quali avrebbe chiesto al titolare informazioni circa l'origine dei dati. Il titolare risulta aver fornito un tempestivo riscontro dichiarando che il contatto era avvenuto a seguito di una ricerca manuale fatta dal personale commerciale su Linkedin per individuare soggetti potenzialmente interessati ai loro servizi; successivamente, sulla base di una procedura abitualmente seguita, si sarebbe tentato un contatto utilizzando la struttura "nome.cognome" seguita dal dominio dell'azienda, sperando che potesse corrispondere, come difatti è stato, ad un indirizzo email esistente.

Tali giustificazioni sono state confermate anche nella nota inviata al Garante il 23 maggio 2024 in riscontro a una richiesta di informazioni. In tale sede, la Società ha indicato alcune misure correttive adottate o in procinto di adozione per evitare il ripetersi di eventi analoghi. Tra le misure descritte, in particolare, erano presenti alcuni interventi di carattere formativo per richiamare gli incaricati del settore commerciale all’effettuazione di attività di marketing rispettose del quadro normativo vigente.

Il reclamante ha replicato al riscontro con nota del 23 maggio 2024 rimarcando l’illiceità della condotta.

2. LA CONTESTAZIONE DELLE VIOLAZIONI

Con nota 2320/24 del 29 agosto 2024 è stato comunicato alla Società l’avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, per l’adozione di eventuali provvedimenti di cui all’art. 58, par. 2, del Regolamento, riconoscendo in capo a G&P la responsabilità per la presunta violazione delle seguenti disposizioni: art. 6, par. 1, lett. a) del Regolamento e art. 130, comma 2 del Codice per l'invio di comunicazioni promozionali senza consenso e in assenza di altra idonea base giuridica per il descritto trattamento.

L’atto di avvio del procedimento risulta correttamente notificato via pec il 29 agosto 2024 ma il titolare non ha presentato memorie difensive o richieste di audizione.

3. VALUTAZIONI DI ORDINE GIURIDICO

In base ai profili fattuali sopra evidenziati e alle affermazioni rese in sede di riscontro, di cui il dichiarante risponde ai sensi dell’art. 168 Codice, si ritiene di confermare le violazioni rilevate nell'atto di contestazione.

Si deve infatti ricordare che, ai sensi dell'art. 130, comma 2 del Codice, l'invio di comunicazioni promozionali via email è consentito solo in presenza di un idoneo consenso (salvo la specifica deroga prevista dall'art. 130, comma 4, del Codice); tale regola vige anche nel caso in cui l'indirizzo email sia stato generato casualmente, non avendo rilievo l'origine del dato ma unicamente il fatto che esso possa ricondurre a un soggetto identificato o identificabile con conseguenze sul piano giuridico.

Con riguardo inoltre all’utilizzo dei dati pubblicati on line o sui social network, il Garante ha più volte ricordato che essi non sono liberamente utilizzabili per finalità promozionali per il solo fatto di essere resi pubblici, poiché deve essere sempre rispettata la finalità di utilizzo in base alla quale i dati sono stati originariamente raccolti in accordo con le legittime aspettative degli interessati (cfr. ad esempio, in www.garanteprivacy.it, i provvedimenti del Garante del 16 settembre 2021, doc. web n. 9705632, provvedimento 17 maggio 2023, doc web n. 9899880; provvedimento 18 luglio 2023 doc web n. 9939507; provvedimento 11 gennaio 2023 doc web n.9861941, provvedimento del 4 luglio 2024, doc. web n. 10070284).

Tutto ciò premesso si osserva che, nel caso in esame, l'invio delle email promozionali è avvenuto in assenza del consenso al trattamento dei dati da parte dell'interessato e in assenza di altra idonea base giuridica. Per tali ragioni si ritiene integrata la violazione dell’art. 6, par. 1, lett. a) del Regolamento e dell’art. 130, comma 2 del Codice.

Tuttavia, al fine di adottare una misura correttiva che sia proporzionata e dissuasiva, si deve avere riguardo alle numerose circostanze attenuanti rilevando, innanzitutto, l'assenza di un danno per l'interessato, tenuto conto che l’avv. XX ha ricevuto unicamente due email e non risulta sia più stato contattato dopo l’opposizione rivolta al titolare. Inoltre, dall’esame di quanto allegato, parrebbe che le due email siano state estratte dalla cartella “spam” della posta elettronica rendendo irrilevante il disturbo che potrebbe essere connesso alla ricezione di posta indesiderata. Dai due screen shot allegati al reclamo risulta infatti che le email ricevute recavano in testa un avviso del sistema di posta elettronica del seguente tenore “Perché questo messaggio si trova nella cartella Spam? È simile a dei messaggi identificati in passato come spam. Segnala come non spam”.

Inoltre, si deve tenere conto del fatto che il titolare ha fornito un riscontro alla richiesta del reclamante in maniera tempestiva (il giorno successivo alla richiesta) dando tutte le informazioni sul trattamento e recependo l'opposizione alla ricezione di ulteriori messaggi.

Infine, occorre tenere conto del carattere isolato della vicenda, non risultando al momento altre analoghe doglianze pervenute al Garante, nonché della natura di piccola impresa della G&P e delle dichiarazioni rese in sede difensiva riguardo al rafforzamento delle attività di formazione del personale addetto ai contatti commerciali.

Per tali ragioni, sebbene si ravvisino le violazioni sopra richiamate, le circostanze descritte inducono a qualificare il caso come “violazione minore”, ai sensi dell’art. 83, par. 2, e del considerando 148 del Regolamento e si ritiene di poter soprassedere dall'applicazione di una sanzione amministrativa pecuniaria. Si ritiene, tuttavia che, relativamente al caso in esame, occorra ammonire il titolare del trattamento, ai sensi dell'art. 58, par. 2, lett. b), del Regolamento, dal momento che la condotta è stata posta in essere in violazione delle norme.

In ragione di quanto disposto dall’art. 154-bis, comma 3 del Codice, si procede alla pubblicazione del presente provvedimento sul sito internet dell’Autorità (cfr. anche art. 37 del regolamento interno del Garante n. 1/2019).

Si rileva inoltre che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione effettuato da G&P Consulting S.r.l. con sede legale in Torino, Via Giovanni Battista Tiepolo 2, P.I. 12410750017; di conseguenza:

a) ai sensi dell'art. 58, par. 2, lett. b), del Regolamento, rivolge al titolare un ammonimento dal momento che la condotta è stata posta in essere in violazione delle norme;

b) ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019, dispone la pubblicazione del presente provvedimento sul sito web del Garante;

c) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, dispone l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 18 dicembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Cerroina Feroni

IL SEGRETARIO GENERALE
Montuori