VEDI ANCHE Newsletter del 26 marzo 2026

[doc. web n. 10233345]

Provvedimento del 12 marzo 2026

Registro dei provvedimenti
n. 169 del 12 marzo 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente e il dott. Agostino Ghiglia, componenti e il dott. Claudio Filippi, Vice Segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000 (disponibile per la consultazione sul sito www.gpdp.it, doc. web n. 1098801);

RELATORE la prof.ssa Ginevra Cerrina Feroni;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Con atto del 12 dicembre 2025, prot. n. 173649/25, che qui deve intendersi integralmente riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Bakeca s.r.l. (di seguito anche la “Società”), in persona del legale rappresentante pro tempore, con sede legale in Via S. Francesco da Paola 37 – 10123 Torino, P.I. 09239540017, C.C.I.A. Torino, R.E.A. 1035854.

Il procedimento trae origine da un reclamo presentato da una interessata che ha lamentato la pubblicazione - da parte di terzi non autorizzati - di due annunci sulla omonima piattaforma della Società che riportavano il proprio numero telefonico e, nel secondo, anche la località di lavoro della stessa interessata.

La reclamante ha rappresentato che gli annunci in questione sono stati rimossi dalla Società previo invio di una richiesta, nel primo caso, e di una diffida, nel secondo caso.  

A fronte di tali accadimenti, la reclamante ha lamentato la carenza di idonee misure di sicurezza che impediscano a terzi di pubblicare - senza le necessarie basi di legittimità - dati personali non propri (nel caso di specie il contatto telefonico della stessa reclamante), con conseguente trattamento illecito di tali dati.

L’Ufficio, dopo aver richiesto informazioni alla Società, le ha contestato la possibile violazione degli artt. 5, comma 1 lett. a), d) e f) e comma 2, 6, comma 1 lett. a), 9, comma 2, lett. a), 24, 25 e 32 del Regolamento, in quanto la Società non avrebbe verificato se i dati pubblicati negli annunci contestati contenessero dati non riferibili al richiedente la pubblicazione e, di conseguenza, non avrebbe verificato l’esistenza o meno del consenso al trattamento degli stessi da parte dell’interessato effettivo (nel caso di specie, la reclamante). Ciò ha impedito alla Società di verificare la legittimità del trattamento richiesto dall’utente della piattaforma, compreso l’esattezza dei dati comunicati, disvelando misure tecniche e organizzative assenti e comunque non idonee ad impedire trattamenti non autorizzati o illeciti.

Nel termine concesso, la Società ha fatto pervenire le proprie difese, richiedendo la fissazione di un’audizione, tenutasi il 2 febbraio 2026.

2. LA DIFESA DEL TITOLARE

La Società ha trasmesso in data 16 gennaio 2026 (cfr. prot. n. 6081/2026) le proprie difese, che devono intendersi integralmente richiamate, formulando quanto segue.

In primo luogo, la Società ha rappresentato di aver immediatamente cancellato i due annunci contestati, appena contattata dalla reclamante, e di aver bloccato il numero della stessa per evitare la pubblicazione di ulteriori annunci con tale recapito.

Successivamente, la Società ha illustrato le misure tecniche esistenti per contrastare le pubblicazioni non autorizzate, rappresentando quanto segue:

“I. un primo controllo automatico che verifica presenza di parole vietate, numeri di telefono o indirizzi e-mail riconducibili a soggetti già segnalati o bloccati in passato, andando così a sospendere di de default, in caso di esito positivo della verifica, la pubblicazione dell’inserzione;

II. un’ulteriore misura per le categorie cosiddette “sensibili” (quali massaggi – benessere e amore - incontri), in cui la pubblicazione dell’annuncio che ha superato la “verifica automatica” viene ritardata per consentire l’ulteriore controllo manuale da parte degli operatori del reparto “Qualità” (la sospensione è attiva 24 ore su 24 ed è modulata sulle due ore durante l’orario lavorativo, 7.00 – 19.00, nel quale gli operatori – in tutto tre risorse - possono intervenire tempestivamente, mentre, in caso di pubblicazione in orario serale/notturno, la pubblicazione resta sospesa sino alla verifica manuale da parte del soggetto preposto)”.

In aggiunta, la Società ha illustrato le procedure per la gestione delle segnalazioni e quelle per il blocco dell’account e del numero di telefono, precisando che, negli ultimi 12 mesi, a fronte di circa 135.000 annunci mensili pubblicati sul portale, sono pervenute 3-4 segnalazioni/mese relative a un presunto uso non autorizzato di dati personali.

La Società ha, inoltre, riportato la procedura di pubblicazione degli annunci chiarendo che

- “il servizio consente la pubblicazione degli annunci tramite registrazione con indirizzo e-mail valido, senza raccolta di documenti di identità”,

- “i dati tecnici relativi alla pubblicazione degli annunci segnalati sono stati trasmessi in precedente comunicazione e includevano: indirizzo e-mail dall’utente, indirizzo IP e relativo timestamp, contenuto dell’annuncio, recapito telefonico inserito dall’utente”,

- “i dati tecnici in possesso non permettono di identificare autonomamente l’autore (persona fisica) dell'annuncio” e

- “in ordine all’uso di e-mail temporanee e di indirizzi e-mail temporanei, [la Società] ha chiarito che trattasi di prassi molto diffusa e frequentemente adottata anche per finalità lecite (es. tutela della privacy, account dedicati). La presenza di e-mail temporanee non consente dunque alla piattaforma di distinguere automaticamente tra pubblicazioni appropriate e azioni malevole, né costituisce indice certo di attività illecita”.

La Società ha, poi, articolato le proprie argomentazioni difensive confutando nel merito quanto lamentato dalla reclamante e quanto prospettato dall’Ufficio in termini di presunte violazioni. In particolare, per quanto qui rileva, la Società ha rappresentato l’eccessività della richiesta di documenti per identificare gli inserzionisti (misura richiamata nel reclamo, ma non contenuta nell’atto ex art. 166 del Codice) in riferimento anche al principio di minimizzazione dei dati nonché l’assoluta innovatività della sentenza della Corte di Giustizia Europea (del 2 dicembre 2025 - causa C 492/23) richiamata nell’atto di avvio del procedimento ex art. 166 del Codice e, dunque, l’insussistenza di un obbligo di verifica dei contenuti degli annunci da parte della piattaforma, almeno al tempo dei fatti oggetto del presente procedimento. 

3. VALUTAZIONI DELL’AUTORITÀ

Prima di entrare nel merito delle valutazioni sotto riportate, appare opportuno sgombrare il campo da fraintendimento in merito all’oggetto delle contestazioni formulate dall’Ufficio.

In particolare, si fa riferimento ai diversi passaggi delle note difensive (pagg. da 4 a 6) nei quali la Società articola le proprie argomentazioni in merito alla necessità/opportunità di richiedere ai propri utenti il documento di riconoscimento in fase di creazione account.

Tale profilo non è oggetto di verifica da parte di questo Ufficio che, invece, ha inteso focalizzare il proprio intervento sulla verifica delle condizioni di liceità del trattamento di dati di terzi (diversi dagli utenti) da parte della piattaforma e dall’adozione delle relative misure di sicurezza e organizzative.   

3.1. SULLE MISURE DI SICUREZZA ADOTTATE

Come sopra accennato, le doglianze principali formulate dalla reclamante sono relative alla pretesa inidoneità delle misure di sicurezza adottate dalla Società che non sarebbero in grado di evitare un trattamento illecito di dati da parte di terzi non autorizzati. In particolare, la piattaforma della Società consentirebbe a chiunque di pubblicare un annuncio, compresi quelli rientranti in categorie particolari e definite “sensibili”, indicando un contatto di un terzo interessato anche in assenza del consenso di questi.

Sotto tale profilo l’Ufficio ritiene che le argomentazioni difensive offerte dalla Società non siano idonee a superare quanto prospettato nell’atto di avvio del procedimento ex art. 166 del Codice e, pertanto, si ritiene accertata la violazione degli artt. 5, comma 1 lett. d) e f) e comma 2, 24, 25 e 32.

In via preliminare appare opportuno verificare il ruolo assunto dalla Società ai sensi delle disposizioni del Capo IV del Regolamento. Dalla lettera della “INFORMATIVA SULLA TUTELA DEI DATI PERSONALI (PRIVACY)” (https://www.bakeca.it/info/regole/) emerge che la Società è titolare del trattamento dei dati conferiti dagli utenti, anche se il conferimento avviene per conto di un terzo interessato.

Verificato il ruolo di titolare del trattamento ricoperto dalla Società, appare opportuno richiamare le disposizioni normative più rilevanti nel caso di specie e oggetto di contestazione da parte dell’Ufficio. In particolare, al titolare è richiesto di:

- adottare “tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati” (art. 5, comma 1 lett. d);

- trattare i dati “in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti” mediante l’implementazione, “sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso” di “misure tecniche e organizzative adeguate” “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento” (artt. 5, comma 1 lett. f, 25 e 32 del Regolamento);

- essere in grado di comprovare la conformità al Regolamento dei trattamenti posti in essere (artt. 5, comma 2 e 24 del Regolamento).

Nel caso di specie, invero, è emerso che per ben due volte un soggetto ignoto - non autorizzato ad effettuare alcun trattamento in nome dell’interessata - sia riuscito a pubblicare annunci sulla piattaforma della Società indicando come contatto il numero telefonico della reclamante.

In un primo caso, l’annuncio era inserito nella categoria “massaggi - benessere” accompagnato dal seguente messaggio testuale: “Offro massaggi. Adoooro”. Nel secondo caso, invece, l’annuncio era stato inserito nella categoria “amore – incontri” accompagnato da un messaggio di natura esplicita.

In entrambe le circostanze, per la creazione dell’account l’utente sconosciuto ha utilizzato indirizzi email temporanei che non sono immediatamente riconducibili ad una persona fisica determinata.

In merito alla possibilità di un utente di utilizzare dati personali di terzi, la Società prevede, nella privacy policy, che “Se Lei fornisce dati personali per conto di qualcun altro deve assicurarsi, preventivamente, che gli interessati abbiano preso visione della presente Informativa Privacy” e, in modo corrispondente, nei Termini e condizioni d’uso, sezione 2 intitolata “OBBLIGHI E CONDOTTA DELL’UTENTE”(https://www.bakeca.it/info/termini/), prevede espressamente che “L’Utente si impegna a non pubblicare in rete, senza il consenso degli aventi diritto, inserzioni contenenti dati personali, sensibili e/o immagini di minori o di terzi”.

Ne discende l’obbligo in capo alla Società di verificare e dimostrare che i dati personali comunicati da un utente siano trattati in modo lecito e, nel caso di dati di terzi, che la persona interessata abbia acconsentito a una siffatta pubblicazione in modo esplicito, vista l’applicazione al caso di specie anche della disciplina dell’art. 9, paragrafo 1, del Regolamento (come meglio si vedrà in seguito). Inoltre, il titolare deve anche essere in grado di dimostrare che i dati personali di cui trattasi siano esatti e che le misure di sicurezza adottate siano idonee a limitare il trattamento non autorizzato o illecito dei dati personali.

Per come delineata sino ad ora, la questione oggetto di attenzione da parte dell’Ufficio si focalizza sulle modalità attraverso le quali la Società riesce a verificare che i dati comunicati da un utente siano riferiti a terzi, nonché la verifica della legittimità del trattamento per conto di tali terzi.

A ben vedere, la questione sopra delineata non appare di poco conto in quanto permettere agli utenti di una piattaforma di inserire dati riferiti a terzi ignari (come il numero telefonico) andrebbe ad incidere sulla sfera personale di tali soggetti in modo particolare nel caso di annunci afferenti specifiche categorie (come quella di incontri o amore). Infatti, nel caso di specie, l’interessata ha ricevuto chiamate da parte di sconosciuti che erano interessati ad avere informazioni e a rispondere al contenuto dei messaggi pubblicati.

La Società appare essere ben consapevole della delicatezza dei trattamenti effettuati per conto di terzi tanto da inserire sul punto le due previsioni sopra citate nella propria privacy policy e nei termini di utilizzo del servizio.

Tali previsioni, però, non vanno lette come indicazioni di obblighi in capo esclusivamente agli utenti e come esimenti per deresponsabilizzare la Società, soprattutto perché è la stessa Società che si definisce titolare del trattamento dei dati conferiti dagli utenti. Pertanto, è il proprio ruolo di titolare del trattamento che richiede l’adozione di quelle misure che garantiscano la liceità dei trattamenti, anche dei dati riferiti a terzi interessati.

Alla luce di quanto riportato nei propri scritti difensivi, la Società non risulta aver adottato misure tecniche ed organizzative per verificare l’appartenenza del numero telefonico all’utente autore di un determinato annuncio. Nel caso di specie, solo con due diverse segnalazioni da parte della reclamante, la Società ha avuto contezza che il contatto telefonico inserito da un proprio utente in due annunci era, in realtà, quello della stessa reclamante, ignara di tale trattamento, e che è stata contattata in merito al contenuto degli annunci pubblicati sulla piattaforma.

La Società ha comunque sostenuto “l’adeguatezza delle misure adottate dall’organizzazione” ribadendo “che al controllo automatico preventivo (con il quale vengono quotidianamente neutralizzati una serie rilevante di utilizzi difformi grazie a un esteso database composto da account, contatti, e-mail e parole chiave) segue, in ambito di categorie sensibili, il sistematico controllo manuale da parte dell’ufficio qualità, composto da tre membri”.

Invero, i controlli preventivi e automatici alla pubblicazione degli annunci illustrati dalla Società attengono a profili differenti (“verifica [della] presenza di parole vietate, numeri di telefono o indirizzi email riconducibili a soggetti già segnalati o bloccati in passato”), al pari di quelli predisposti per le categorie di annunci c.d. “sensibili” (limitati a un controllo manuale “per verificarne la conformità alla Legge Italiana (ad esempio in ambito di: armi, droghe, minori o qualsiasi contenuto non consentito) e ai Termini d’Uso del Sito. In assenza di violazioni, il contenuto viene approvato”) e, dunque, non idonei a verificare che l’utente abbia la disponibilità e la titolarità effettiva del numero inserito come contatto.

Inoltre, in relazione alle verifiche appena citate, la Società “chiarisce che il riferimento alla sola conformità alla legge Italiana e alle condizioni di utilizzo del sito, tratto e trascritto integralmente dalle osservazioni presentate dall’esponente, doveva e deve essere inteso in termini meramente esemplificativi e non esaustivi; l’ufficio qualità svolge, invero, per quanto possibile, una verifica anche in termini di effettività e legittimità, ovviamente limitata allo stato dei dati presenti nell’annuncio e al suo contesto”.

Anche il chiarimento riportato non appare dirimente, in quanto i profili indicati appaiono comunque limitati alla verifica dell’effettività e legittimità dei soli dati contenuti in un annuncio, lasciando fuori dalle stesse verifiche, di fatto, il numero telefonico associato ad un annuncio.

Sotto ulteriori profili, inoltre, la Società ha anche aggiunto che, quando viene creato un annuncio, “la e-mail utilizzata per la creazione viene poi verificata tramite sistema OTP”, che la piattaforma “rende il contatto telefonico indicato negli annunci di default oscurato e quindi visionabile solo a seguito con “click”” e che il numero telefonico di un utente viene bloccato (i.e. non è più consentito pubblicare annunci con quel contatto) su richiesta dell’interessato o, in automatico, in caso di seconda segnalazione.

Ancora una volta, le misure citate non rilevano nel caso di specie in quanto l’OTP permette, nel caso prospettato, di verificare solo se l’email utilizzata per creare un account sia nella disponibilità dell’autore dell’annuncio; l’oscuramente del numero telefonico indicato come contatto non rappresenta una misura idonea ad impedire un trattamento illecito del relativo dato; e, infine, il meccanismo di blocco descritto costituisce una misura postuma e conseguente rispetto ad un trattamento illecito o non autorizzato.

Gli elementi appena menzionati, inoltre, non permettono al titolare del trattamento neanche di verificare la correttezza dei dati trattati, compreso il numero di contatto inserito in un annuncio, e l’appartenenza degli stessi dati ai propri utenti, venendo meno al rispetto degli obblighi che la normativa regolamentare pone in capo al titolare del trattamento, oltre che delle regole indicate dalla stessa piattaforma.

Ne consegue che la Società non ha previsto alcuna misura tecnico/organizzativa per verificare che il trattamento dei dati personali relativi al contatto telefonico sia conforme ai principi generali di protezione dei dati volti a tutelare i diritti e le libertà degli interessati. La necessità di adottare le misure indicate, inoltre, risulta ancora più pressante nelle ipotesi in cui il relativo dato personale sia associato, come nel caso di specie, ad alcune categorie di annunci che la stessa Società considera “sensibili” quali quelle dedicate a “massaggi – benessere e amore – incontri”.

3.2 SULLA BASE GIURIDICA DEL TRATTAMENTO.

Le argomentazioni difensive della Società non sono idonee a superare neanche le contestate violazioni degli artt. 5, comma 1 lett. a), 6 e 9 del Regolamento in merito alla liceità del trattamento dei dati personali degli interessati.

Sotto un profilo normativo, il trattamento dei dati personali da parte del titolare deve essere lecito (5, comma 1 lett. a) e, per essere tale, deve basarsi su una delle condizioni prescritte dall’art. 6 del Regolamento. Inoltre, in casi particolari, come quello di specie, al trattamento dei dati può essere applicato un regime giuridico di maggiore rigore (art. 9 del Regolamento) in caso di categorie particolari di dati. Tale maggior rigore si sostanzia in un divieto generale di trattamento dei dati personali salvo alcune ipotesi tassativamente elencate dal comma 2 dell’art. 9 del Regolamento.

Proprio partendo dall’applicazione dell’art. 9 del Regolamento, si rappresenta che la giurisprudenza comunitaria ha sostenuto che il regime di “protezione maggiore” propria della norma richiamate implica una definizione estensiva di “categoria particolare” del dato personale, applicando la stessa non solo a dati intrinsecamente sensibili ma anche ai dati che svelano indirettamente, al termine di un’operazione intellettuale di deduzione o di raffronto, informazioni di tale natura [sentenza del 5 giugno 2023, Commissione/Polonia (Indipendenza e vita privata dei giudici), C 204/21, EU:C:2023:442, punto 344 e giurisprudenza ivi citata].

Inoltre, in circostanze come quelle presenti nel caso concreto, il carattere menzognero e dannoso di informazioni (i.e. il contenuto degli annunci) relative alla sfera sessuale e intima di una persona fisica non può essere tale da privare tali dati della loro qualificazione di «dati sensibili», ai sensi dell’articolo 9, paragrafo 1, del Regolamento.

Nel caso di specie, la Società non ha indicato la base giuridica che avrebbe legittimato il trattamento dai dati della reclamante, denunciando la carenza delle condizioni di liceità del trattamento in questione. Infatti, da un lato, la reclamante non ha fornito il proprio contatto telefonico alla piattaforma, né ha autorizzato terzi ad indicare il proprio numero come contatto degli annunci contestati e, dal lato suo, la Società non ha verificato che il proprio utente autore degli annunci contestati fosse realmente proprietario del numero inserito negli stessi annunci caricati o comunque legittimato ad utilizzare un dato di terzi, come sopra argomentato.

Con le proprie difese, la Società si è limitata ad affermare che “Il contatto telefonico non appartiene di per sé a categorie particolari se non in ragione della sua pubblicazione presso “sezioni” a contenuto cosiddetto “sensibile” ed esplicito” lamentando che tale caratteristica “pone, tuttavia, una chiara difficoltà dal punto di vista della gestione privacy del dato, laddove il carattere eventualmente particolare dipende più dall’utilizzo del sito effettuato dagli utenti – attuali e passati - piuttosto che da una prerogativa astratta della sezione o del portale stesso. Cogliendo tale peculiarità dinamica, come misura di default, il portale ha già predisposto un sistema di verifica del contatto e-mail tramite sistema OTP”.

I passaggi appena richiamati, da un lato, confermano quanto sopra evidenziato in merito alla mancanza di misure per la verifica della titolarità della numerazione indicata dagli utenti come contatto; dall’altra, non sembrano contestare la natura “particolare” del dato personale in questione, che risulta rivestire tale natura per relazione e proprio alla luce della giurisprudenza sopra citata.

Infatti, anche se il contatto telefonico in sé non rientra tra le categorie di dati ex art. 9 del Regolamento, si deve evidenziare che lo stesso è stato associato ad un primo messaggio inserito nella sezione “massaggi” (“Titolo: Offro massaggi - Testo Offro massaggi. Adoooro”), e successivamente ad un secondo inserito nella sezione “amore – incontri” (“Titolo: offro... me - Testo: Ciao, in assenza di mio marito offro le mie prestazioni a uomini d'affari. Possiamo parlare o...Chiamami e ci accordiamo”). Il contesto appena richiamato, dunque, rende il dato telefonico della reclamante particolarmente sensibile e meritevole della tutela rafforzata prevista dal Regolamento all’art. 9.  

Ne consegue che la Società ha trattato - in due occasioni - un dato personale della reclamante, rientrante in una categoria particolare di dati, in assenza delle condizioni di liceità previste dal Regolamento.

***

Fermo quanto sino ad ora indicato, per completezza argomentativa, si riporta anche quanto contestato dalla Società in merito alla non applicabilità, al caso di specie, dei principi enunciati dalla Corte di Giustizia Europea con la 2 dicembre 2025 (causa C 492/23), in quanto, secondo le difese depositate, tali principi sarebbero innovativi e non retroattivi.

In particolare, la sentenza citata stabilisce che “il gestore di un mercato online, in quanto titolare, ai sensi dell’articolo 4, punto 7, di tale regolamento, del trattamento dei dati personali contenuti in annunci pubblicati nel suo mercato online, è tenuto, prima di pubblicare gli annunci, e mediante misure tecniche e organizzative adeguate,

- ad individuare gli annunci che contengono dati sensibili, a norma dell’articolo 9, paragrafo 1, di detto regolamento;

- a verificare se l’utente inserzionista che si appresta a collocare un annuncio di questo tipo sia la persona i cui dati sensibili figurano in tale annuncio e, in caso contrario,

- a rifiutare la pubblicazione di quest’ultimo, a meno che tale utente inserzionista possa dimostrare che la persona interessata ha prestato il proprio consenso esplicito affinché i dati in questione siano pubblicati in tale mercato online, ai sensi di detto articolo 9, paragrafo 2, lettera a), o che sia soddisfatta una delle altre eccezioni previste da tale articolo 9, paragrafo 2, lettere da b) a j)”.

A ben vedere, il passaggio della sentenza appena richiamato cristallizza un tipo di condotta che un interessato può verosimilmente attendersi proprio da una piattaforma che, come citato in precedenza, prescrive ai propri utenti di non utilizzare i dati di terzi senza il relativo consenso.

Pertanto si ritiene che i principi enunciati dalla Sentenza citata e qui riportati fossero, in realtà, già presenti nel nostro ordinamento e contenuti del Regolamento in materia di protezione dei dati personali.

4. CONCLUSIONI

Alla luce di quanto sopra esposto, deve quindi confermarsi la responsabilità di Bakeca s.r.l. in ordine alle seguenti violazioni:

a. artt. 5, comma 1 lett. d) e f) e comma 2, 24, 25 e 32 del Regolamento per non aver previsto alcuna misura tecnica od organizzativa per verificare che il trattamento dei dati personali relativi al contatto telefonico indicato in annunci “sensibili” sia conforme alle disposizioni del Regolamento, nonché per aver consentito ad un proprio utente non autorizzato di indicare, in modo illecito, un contatto telefonico di un terzo;

b. artt. 5, comma 1 lett. a), 6 e 9 del Regolamento per aver trattato dati personali della reclamante in assenza di condizioni di liceità. 

Accertata, dunque, la illiceità dei trattamenti nei limiti sopra indicati, si ritiene necessario prescrivere alla Società l’adozione di misure tecniche e organizzative che consentano di verificare se l’utente che indica un contatto telefonico in relazione alle categorie di annunci “sensibili” sia l’effettivo titolare della numerazione, ovvero sia legittimato dal terzo che ne risulti l’effettivo proprietario. Inoltre, si ritiene opportuno adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Bakeca s.r.l. della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.

Da ultimo, rilevato che la Società ha già cancellato gli annunci contestati e ha bloccato il numero della reclamante, in modo che nessuno posso più pubblicare annunci sulla piattaforma indicando lo stesso numero come contatto, sotto tale profilo si ritiene di non dover imporre ulteriori misure correttive.

5. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Bakeca s.r.l. della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.

Più in particolare, ai sensi dell’art. 83, par. 3 del Regolamento «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave». Ai sensi del successivo par. 5, inoltre, «in conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore: a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9; b) i diritti degli interessati a norma degli articoli da 12 a 22; […]».

Poiché nel caso di specie è stata accertata l’avvenuta violazione degli artt. artt. 5, comma 1 lett. d) e f) e comma 2, 24, 25 e 32, si applica la disposizione dettata dall’art. 83, par. 5 del Regolamento.

Inoltre, per la determinazione del massimo edittale della sanzione pecuniaria, occorre anche fare riferimento al fatturato di Bakeca s.r.l., come ricavato dal bilancio 2024 (ultimo disponibile); verificato che il 4% del fatturato della Società è inferiore a € 20.000.000,00, l’Autorità determina, nel caso di specie, il massimo edittale nella somma indicata di € 20.000.000,00.

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.

Nel caso in esame assume rilevanza:

1) quale fattore aggravante, le categorie di dati personali interessati dalla violazione che, nel caso di specie, rientrano in quella indicata all’art. 9 del Regolamento (art. 83, par. 2, lett. g) del Regolamento).

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative e funzionali della Società, si ritiene debba applicarsi a Bakeca s.r.l. la sanzione amministrativa del pagamento di una somma di euro 5.000,00 (cinquemila/00), pari allo 0,025% della sanzione massima edittale.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. a) e h), del Regolamento, dichiara illeciti i trattamenti descritti in motivazione ed effettuati da Bakeca s.r.l., in persona del legale rappresentante pro tempore, con sede legale in Via S. Francesco da Paola 37 – 10123 Torino, P.I. 09239540017, e di conseguenza

a. ingiunge a Bakeca s.r.l., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adottare misure tecniche e organizzative che consentano di verificare se l’utente che indica un contatto telefonico in relazione alle categorie di annunci “sensibili” sia l’effettivo titolare della numerazione, ovvero sia legittimato dal terzo che ne risulti l’effettivo titolare;

b. ingiunge a Bakeca s.r.l., ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di sessanta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento.

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Bakeca s.r.l., di pagare la somma di euro 5.000,00 (cinquemila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 5.000,00 (cinquemila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019, e l’annotazione del medesimo nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la sede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 12 marzo 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL VICE SEGRETARIO GENERALE
Filippi