Provvedimento dell'11 giugno 2026 [10266250]
Provvedimento dell'11 giugno 2026 [10266250]
[doc. web n. 10266250]
Provvedimento dell'11 giugno 2026
Registro dei provvedimenti
n. 433 dell'11 giugno 2026
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;
RELATORE la prof.ssa Ginevra Cerrina Feroni;
1. L’ATTIVITÀ ISTRUTTORIA SVOLTA
1.1. Premessa
Con atto prot. n. 42217 del 19 marzo 2026, notificato in pari data mediante posta elettronica certificata, che qui deve intendersi integralmente riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Green Partner S.r.l.s. (di seguito “Green Partner” o “Società” oppure ancora “Responsabile del trattamento”), in persona del legale rappresentante pro-tempore, con sede legale in Torino (TO), via Pietro Piffetti, 48, P.IVA 11667600016.
Il procedimento trae origine da una istruttoria avviata dall’Autorità a seguito della trasmissione di un reclamo mediante il quale l’interessato lamentava la ricezione di comunicazioni promozionali (i.e. una chiamata ed una mail) da parte di Green Partner e nell’interesse di Sorgenia S.p.A. (di seguito anche “Sorgenia” o “Società” oppure ancora “Titolare”), nonostante l’avvenuta iscrizione della propria numerazione al Registro Pubblico delle Opposizioni (di seguito anche “RPO”), nonché l’inadeguato riscontro da parte dell’agenzia alle istanze formulate in materia di diritti degli interessati.
Il reclamante, pertanto, si rivolgeva all’Autorità al fine di ottenere le tutele previste dalla normativa vigente in materia di protezione dei dati personali.
1.2. Le richieste di informazioni formulate dall’Autorità
Con reclamo trasmesso in data 13 ottobre 2025 (cfr. Prot. n. 135728 del 14 ottobre 2025), l’interessato lamentava l’avvenuta ricezione di una chiamata indesiderata realizzata nell’interesse di Sorgenia sulla propria utenza iscritta al Registro Pubblico delle Opposizioni. Più in particolare, il reclamante documentava che a seguito della chiamata oggetto di doglianza, aveva ricevuto una mail contenente la documentazione contrattuale (cfr. “CONTRATTO PER LA FORNITURA DI ENERGIA ELETTRICA E GAS NATURALE RESIDENZIALE” recante il logo e i riferimenti di Sorgenia) e in calce la seguente dicitura “XX. Back Office Green Partner Srls Via Principe Amedeo 33 Beinasco (TO)”.
Il reclamante allegava, altresì, l’istanza di esercizio dei diritti avanzata in data 10 ottobre 2025 nei confronti di Green Partner e i riscontri dalla medesima forniti, in occasione dei quali tale Società disconosceva la numerazione chiamante oggetto di doglianza e la mail promozionale (cfr. «deve esserci un errore in quanto il numero dai Lei indicato (…) non è intestato alla scrivente società (…) confermo che questa mail non l'abbiamo inviata noi. Approfondiremo per capire chi ha utilizzato il nostro logo»).
A seguito di una verifica condotta dall’Ufficio in data successiva rispetto alla trasmissione del reclamo, emergeva che la numerazione chiamante indicata non risultava iscritta al Registro degli Operatori di Comunicazione e Postali (di seguito anche “ROC”) e che l’Amministratore Unico di Green Partner risultava essere anche socio della Vanille Service S.r.l.s., società attiva nel campo dei servizi di call center e avente una sede locale proprio in Via Principe Amedeo 33 Beinasco (TO); tale indirizzo coincideva con quello riportato in calce alla mail ricevuta dal reclamante.
Pertanto, all’esito della disamina del reclamo e delle risultanze delle verifiche condotte dall’Ufficio, veniva notificata a Green Partner e Sorgenia una richiesta di informazioni ai sensi degli artt. 58, par. 1, lett. a) del Regolamento e 157 del Codice in materia di protezione dei dati personali (cfr. Prot. n. 143117 del 28 ottobre 2025).
Con riscontro trasmesso in data 18 novembre 2025 (cfr. Prot. n. 153186 del 19 novembre 2025), Sorgenia chiariva preliminarmente di avere sottoscritto un mandato di agenzia rete fisica porta a porta in data 10 aprile 2017 con Green Partner, con conseguente nomina a Responsabile del Trattamento ai sensi dell’art. 28 del Regolamento e somministrazione di corsi di formazione in materia di protezione dei dati personali, ma di non avere «mai avuto alcun rapporto contrattuale né diretto né indiretto con la Vanille Services S.r.l.s.».
Nella medesima occasione Sorgenia rappresentava di non trattare, mediante i propri sistemi aziendali, i dati del reclamante e che a seguito delle interlocuzioni intercorse con Green Partner, pur avendo rilevato alcune discrasie, aveva appurato che i fatti oggetto dell’odierno procedimento erano scaturiti da un mero errore di digitazione del numero di telefono contattato dalla stessa. Green Partner, infatti, aveva riferito a Sorgenia che la chiamata oggetto del reclamo era «stata effettuata in data 10 ottobre 2025 da un agente della stessa (utilizzando gli strumenti messigli a disposizione, ossia cellulare e pc aziendale), ritenendo in buona fede di contattare il titolare dell’utenza telefonica XX, a seguito di sua esplicita richiesta avanzata al fine di ottenere informazioni sulle offerte di Sorgenia S.p.A.. Tuttavia, in fase di composizione del numero telefonico sopra indicato, l’agente (…) avrebbe inavvertitamente invertito due cifre, componendo erroneamente il numero XX (…)».
Sorgenia riferiva, inoltre, che nel corso della telefonata, il reclamante non aveva «manifestato alcuna lamentela circa la chiamata ricevuta né tantomeno alcun disinteresse nei confronti dell’offerta di Sorgenia Spa, tant’è che l’agente, dopo aver raccolto le informazioni spontaneamente fornite dall’odierno reclamante (…), avrebbe quindi proseguito in assoluta tranquillità la conversazione, illustrando l’offerta più in linea con il profilo dell’utente e più vantaggiosa economicamente, concordando anche il contestuale invio del materiale informativo».
Quanto alle misure intraprese nei confronti dell’agenzia, Sorgenia evidenziava di avere provveduto all’invio di una «lettera di richiamo al rispetto delle istruzioni ricevute ed all’applicazione delle penali contrattualmente convenute. Inoltre, l’Agenzia sarà oggetto di audit in riferimento alle attività di vendita e tutti i dipendenti della stessa saranno tenuti a prendere parte ad un ulteriore percorso formativo in materia di protezione dei dati personali».
Con nota trasmessa in data 20 novembre 2026 (cfr. Prot. n. 153963 del 21 novembre 2026), anche Green Partner chiariva che «A seguito di accurata verifica interna – svolta con maggiore approfondimento rispetto a quanto rappresentato nell’immediatezza dei fatti – è emerso che l’episodio oggetto di contestazione è riconducibile ad un mero errore materiale nella digitazione del numero telefonico da parte della collaboratrice della società Vanille S.r.l.s. (…), soggetto incaricato da Green Partner S.r.l.s. per specifiche attività commerciali (…) la collaboratrice, nel tentativo di contattare un cliente referenziato al numero XX, ha involontariamente invertito due cifre, componendo il numero XX, raggiungendo così, per mero errore, il reclamante (…) nel corso della telefonata il reclamante non ha mai manifestato alcuna lamentela relativamente alla chiamata ricevuta né alcun disinteresse verso la proposta commerciale avanzata (…) L’agente, sulla base dei dati liberamente comunicati, ha illustrato l’offerta di Sorgenia S.p.A. più coerente con il profilo di consumo dell’interessato, concordando anche l’invio del materiale informativo».
Green Partner evidenziava, altresì, che «il numero aziendale ufficiale messo a disposizione della collaboratrice di Vanille S.r.l.s. per le attività con clienti referenziati è XX, regolarmente visibile e utilizzato esclusivamente per finalità di contatto diretto e trasparente».
Quanto, invece, all’istanza del reclamante, il Responsabile riconosceva di avere ricevuto in «data 10 ottobre (…) una e-mail contenente una richiesta di pagamento di € 200,00, asseritamente collegata all’episodio in questione», ma che tuttavia negli ultimi mesi era «stata destinataria di numerose PEC e comunicazioni fraudolente volte a sollecitare pagamenti indebiti, riconducibili a diffusi tentativi di truffa. In ragione di ciò, la comunicazione del 10 ottobre è stata inizialmente qualificata come potenzialmente fraudolenta e pertanto immediatamente disconosciuta, sia con riferimento al contenuto sia alla provenienza». L’Agenzia, inoltre, assicurava che i dati personali acquisiti erano stati immediatamente cancellati, una volta chiarita la natura involontaria dell’episodio.
Con nota trasmessa in data 3 febbraio 2026 (cfr. Prot. n. 15777 del 4 febbraio 2026), il reclamante osservava che «se la chiamata fosse frutto di un errore, l’operatrice si sarebbe immediatamente accorta che il soggetto chiamato non era quello desiderato, e avrebbe interrotto la chiamata. Peraltro, l’operatrice era a conoscenza del nome del sottoscritto, anche perché ha inviato la e-mail contenente la proposta commerciale al sottoscritto all’indirizzo XX» e che «il numero indicato come “cliente referenziato” (…) da una semplice ricerca su google, risulta associato ad un locale notturno».
Nella medesima nota il reclamante chiariva, altresì, che «Nel corso della chiamata, il sottoscritto ha risposto ad alcune domande proprio al fine di poter ricevere una offerta e comprendere così l’identità del chiamante, non essendovi altrimenti alcun modo di risalire all’identità dell’autore dell’illecito» e contestava quanto riferito da Green Partner osservando che «le “giustificazioni” fornite da Green Partner s.r.l.s. a codesta Autorità vengono totalmente contraddette dalle comunicazioni già inviate dalla stessa Green Partner s.r.l.s., che ha cercato inizialmente di negare la paternità dell’illecito, e ora cerca di giustificarsi sostenendo un improbabile errore di digitazione».
Preso atto di tutte le circostanze rappresentate mediante i riscontri forniti, nonché delle osservazioni pervenute da parte del reclamante, l’Ufficio reputava opportuno effettuare un supplemento di istruttoria e, pertanto, notificava a Green Partner e Sorgenia una richiesta di informazioni integrativa ai sensi degli artt. 58, par. 1, lett. a) del Regolamento e 157 del Codice (cfr. Prot. 18941 del 9 febbraio 2026).
Con nota trasmessa in data 19 febbraio 2026 (cfr. Prot. n. 26200 del 20 febbraio 2026), Green Partner chiariva che «L’episodio oggetto di reclamo costituisce evento isolato, non riconducibile ad attività di telemarketing massivo o a utilizzo di banche dati strutturate. La chiamata è avvenuta mediante digitazione manuale del numero telefonico, senza utilizzo di sistemi automatizzati o CRM».
Quanto al rapporto contrattuale instaurato con Sorgenia, Green Partner evidenziava di operare «in forza di contratto di agenzia commerciale che prevede la possibilità di avvalersi di collaboratori per lo svolgimento dell’attività promozionale. Le parti operano quali autonomi titolari nell’ambito delle rispettive attività, non essendo intervenuta designazione ex art. 28 GDPR».
L’Agenzia precisava, altresì, di non effettuare attività di telemarketing massivo e di non utilizzare liste acquistate o banche dati esterne, bensì di effettuare contatti esclusivamente in modalità manuale e individuale.
Quanto alla collaboratrice che aveva effettuato il contatto oggetto di doglianza, Green Partner dichiarava che la medesima era «abilitata nei sistemi operativi Sorgenia per finalità di promozione commerciale, sotto la responsabilità della scrivente Green Partner S.r.l.s., agente incaricato. Non aveva accesso a banche dati della scrivente né di Sorgenia, né operava tramite sistemi automatizzati».
Green Partner chiariva, inoltre, di utilizzare la nozione di “cliente referenziato” per riferirsi ad «un soggetto segnalato nell’ambito di relazioni commerciali dirette e non tratto da elenchi strutturati o database acquistati».
Nel ribadire poi che il contatto oggetto di doglianza era avvenuto per mero errore materiale nella digitazione manuale del numero, Green Partner enumerava le azioni correttive poste in essere a seguito dell’episodio segnalato dal reclamante, vale a dire: «cancellazione dei dati eventualmente comunicati»; «una procedura interna per la gestione dei contatti commerciali»; «istruzioni scritte ai collaboratori»; «una procedura per la gestione delle istanze privacy».
Con successiva nota del 26 febbraio 2026 (cfr. Prot. n. 30707 del 27 febbraio 2026), Sorgenia evidenziava in primo luogo che «nel corso delle interlocuzioni avvenute tra Sorgenia e l’Agenzia, quest’ultima non ha mai rappresentato l’esistenza di rapporti con la Vanille Service S.r.l.s. (…); Sorgenia non ha in ogni caso mai autorizzato l’impiego della Vanille, quale subagenzia quindi sub responsabile della Green Partner; Il rapporto con Green Partner è nato sul canale B2B; con Addendum Residenziale sottoscritto nel 2020 è stata estesa la possibilità di operare anche sul segmento consumer», precisando al contempo che «nel mandato di agenzia veniva tassativamente sottolineato come l’impiego di numerazioni telefoniche per effettuare i contatti dovesse essere necessariamente subordinato alla presenza di un previo consenso al trattamento dei dati per attività di marketing, fermo restando che tali attività erano svolte dall’Agenzia quale titolare autonomo del trattamento dei dati personali».
Nella fattispecie Sorgenia rappresentava, altresì, di essere venuta a conoscenza «dell’esistenza di un rapporto in essere tra la Vanille e la Green Partner solo nel corrente mese a seguito della comunicazione del 3 febbraio di Codesta Autorità» e che «la replica dell’Agenzia, trasmessa il giorno successivo a quella di Sorgenia, è stata correttamente ricevuta dalla scrivente ma non inoltrata agli Uffici Legale e Vendite competenti a causa di una mancata escalation da parte del nuovo sistema di protocollazione implementato da Sorgenia negli ultimi mesi (…) Sorgenia avrebbe infatti senza ombra di dubbio già provveduto alla chiusura immediata del rapporto d’agenzia e informato l’Autorità (nonchè l’interessato) del grave comportamento adottato dall’Agenzia (…) Sorgenia ha ora posto rimedio al flusso interno di smistamento delle PEC».
Nella medesima occasione Sorgenia rappresentava di avere avviato il percorso di risoluzione del mandato con Green Partner con efficacia dal 1° marzo 2026.
Quanto ai rapporti intercorsi con Green Partner, Sorgenia produceva i relativi contratti e la nomina a responsabile del trattamento, evidenziando che «le attività autorizzate all’Agenzia riguardano esclusivamente la promozione in presenza (porta‑a‑porta). Il canale telefonico (telemarketing) non è stato mai stato assegnato né attivato da Sorgenia a favore di Green Partner. Eventuali contatti telefonici costituiscono, pertanto, una violazione degli obblighi contrattuali e delle istruzioni impartite».
Con riferimento invece alla sub-agenzia, Sorgenia ribadiva di non avere mai avuto alcun rapporto contrattuale, diretto o indiretto, con Vanille Service S.r.l.s. e che pertanto «l’eventuale coinvolgimento di tale soggetto nell’episodio oggetto di reclamo è riconducibile a scelte organizzative autonome dell’Agenzia, mai autorizzate da parte di Sorgenia ai sensi dell’art. 28 GDPR. Per tale motivo abbiamo già contestato formalmente l’accaduto all’Agenzia, diffidandola dall’avvalersi di sub‑fornitori non autorizzati e richiedendone l’immediato allontanamento con nostra comunicazione del 20 febbraio u.s. che alleghiamo».
Con riguardo alle azioni correttive intraprese, Sorgenia dichiarava di avere provveduto a: «1. Sospensione cautelativa di qualunque attività di contatto telefonico da parte dell’Agenzia o di terzi da essa impiegati; 2. Diffida formale all’Agenzia con ordine di allontanamento di sub‑fornitori non autorizzati; richiamo al divieto di sub‑affidamento ex art. 28 GDPR; 3. Avvio di un percorso di risoluzione del mandato con Green Partner, con efficacia dal 1° marzo 2026; sospensione delle attività e revoca delle abilitazioni fino alla data di efficacia; 4. Contestazione formale e applicazione delle penali contrattualmente previste (…); 5. Rafforzamento dei flussi interni».
Sorgenia illustrava, poi, le misure adottate al fine di evitare il caricamento di proposte contrattuali oggetto di contatto telefonico illecito, attraverso l’implementazione del sistema denominato “Wasabi”, incentrato su una serie di controlli relativi alle liste e alle numerazioni utilizzate. Ne consegue che in caso di anomalie, il caricamento nel CRM di Sorgenia viene inibito e si innesta un sistema di richiami nei confronti dei soggetti eventualmente coinvolti. Tali controlli includono anche la realizzazione del “quality check” e della c.d. “quality call”, effettuati da un soggetto terzo estraneo alle attività di vendita su un campione significativamente e altamente rappresentativo delle sottoscrizioni.
Nella medesima occasione, Sorgenia rappresentava di avere adottato a partire da ottobre 2025 misure volte a introdurre un percorso sanzionatorio, includendo penali e la possibilità di risoluzione del rapporto contrattuale, ma che dall’avvio del processo erano stati intercettati soltanto 82 contratti non sottoscritti in presenza dell’agente (tutti esitati KO) su un totale rete fisica di 36.929 contratti, pari a circa lo 0,2%.
La Società evidenziava, inoltre, che ogni operatore era identificato attraverso un codice univoco e un proprio account, che consentivano di associare le attività poste in essere sui sistemi aziendali al soggetto che le aveva effettuate; inoltre i sistemi impiegati dai partners abilitati ad effettuare attività di telemarketing e teleselling erano stati impostati in modo tale da non consentire l’impiego di numerazioni non riferibili a Sorgenia, né liste che non fossero state previamente autorizzate da Sorgenia.
Quanto ai rapporti con i propri partners commerciali, Sorgenia rappresentava che i contratti prevedevano un sistema di penali e che i medesimi erano sottoposti a controlli a campione nel corso della loro attività in varie modalità quali, ad esempio, l’inserimento di “numerazioni civetta” nelle liste di contatto utilizzate o audit periodici.
Rispetto, invece, alla gestione delle istanze in materia di diritti Sorgenia evidenziava che «L’Agenzia, quale responsabile ex art. 28 GDPR, è tenuta a inoltrare tempestivamente le istanze alla funzione privacy di Sorgenia e a cooperare al riscontro nei termini di legge; tale obbligo è puntualmente descritto nell’atto di Nomina a Responsabile esterno del trattamento di dati personali e ribadito nelle istruzioni operative (…) inoltre che Sorgenia ha formalizzato e mappato le fasi del processo dedicate alla gestione delle richieste degli interessati, così da garantire un riscontro puntuale, completo e nei termini (…) Sorgenia ha impartito istruzioni scritte, dettagliate e vincolanti alla rete commerciale, già diffuse a partire dal 2021 mediante un plico organico (“Vademecum Privacy per Agenzie” che alleghiamo per pronta visione) che include, tra gli altri, istruzioni per gli incaricati e istruzioni per agenti/venditori, nonché modelli di nomina e registro dei trattamenti e una baseline di security».
1.3. Contestazione delle violazioni
L’Ufficio, all’esito dell’istruttoria, adottava il sopra richiamato atto di contestazione n. 42227/26 nel quale, in primo luogo, si osservava che rispetto alla chiamata promozionale effettuata nei confronti dell’odierno reclamante, Green Partner non aveva dimostrato la lecita provenienza dei dati, né fornito chiarimenti adeguati a giustificare il mancato utilizzo di una numerazione chiamante iscritta presso il ROC, di guisa che la medesima risultava realizzata in aperto contrasto con le disposizioni degli artt. 5, 6 e 7 del Regolamento e 130 del Codice.
Sotto altro e diverso versante si osservava che Green Partner aveva svolto attività riconducibili al ruolo di responsabile del trattamento, per diversi anni e fin dalla conclusione del primo accordo con Sorgenia avvenuta nel 2017, mediante un inquadramento dei ruoli soggettivi contraddittorio e basato su una modulistica non aggiornata, che faceva riferimento a norme oramai abrogate.
Tale contraddittorietà, peraltro, nel caso di specie sembrava avere generato anche la mancata consapevolezza in ordine ai ruoli soggettivi ricoperti e ai doveri dai medesimi derivanti.
Green Partner, poi, in base alle valutazioni dell’Ufficio sembrava avere violato le disposizioni dell’art. 28 del Regolamento anche in ragione del fatto che si era avvalsa dell’ausilio di Vanille Service S.r.l.s. senza la previa autorizzazione scritta, specifica o generale, del titolare e in ogni caso violando anche le indicazioni impartite mediante la nomina a responsabile del trattamento.
Infine, erano emerse talune criticità anche rispetto alla gestione delle istanze di esercizio dei diritti riconosciuti ai soggetti interessati ai sensi degli artt. 12 e da 15 a 22 del Regolamento.
L’Ufficio, pertanto, contestava a Green Partner le seguenti ipotesi di violazione:
- artt. 5, 6, 7 del Regolamento, nonché dell’art. 130 del Codice, per aver effettuato i sopra descritti trattamenti di dati personali in assenza di un’idonea base giuridica e al di fuori dei requisiti di legittimità prescritti dalla vigente normativa in materia di protezione dei dati personali;
- art. 28 del Regolamento, per aver effettuato - per diversi anni - i sopra descritti trattamenti di dati personali in assenza della previa e inequivoca individuazione del ruolo soggettivo ricoperto e in violazione dei doveri gravanti sul responsabile del trattamento;
- artt. 12 e da 15 a 22 del Regolamento per la mancata adozione di adeguate misure in ordine alla gestione delle istanze degli interessati in materia di diritti e per l’inidoneo riscontro fornito all’istanza presentata dall’odierno reclamante.
2. LA DIFESA DEL TITOLARE
Con nota trasmessa in data 14 aprile 2026 (cfr. Prot. n. 57472 del 15 aprile 2026) Green Partner trasmetteva le proprie memorie difensive, ma non chiedeva di essere sentita dall’Autorità ai sensi degli artt. 166, comma 6, del Codice e 13 del reg. interno n. 1/2019.
Nella fattispecie Green Partner ribadiva che i fatti oggetto di doglianza rappresentavano un episodio isolato, determinato da un errore materiale nella digitazione manuale del numero telefonico e senza il ricorso a banche dati, sistemi automatizzati o attività di telemarketing massivo.
Green Partner rappresentava, altresì, di avere rafforzato le procedure adottate e le misure di controllo, riconoscendo al contempo di non avere fornito un riscontro adeguato rispetto alle istanze presentate dal reclamante.
Nella medesima occasione il responsabile evidenziava che nel caso di specie non era stato concluso alcun contratto, né conseguito alcun vantaggio economico e forniva gli indici di carattere economico da tenere in considerazione ai fini della quantificazione di un eventuale sanzione di natura pecuniaria.
3. VALUTAZIONI DELL’AUTORITÀ
Alla luce di tutti gli elementi e documenti complessivamente acquisiti, si formulano le seguenti valutazioni di ordine giuridico.
In primo luogo, si rileva che rispetto alla chiamata promozionale effettuata nei confronti dell’odierno reclamante - di cui solo a seguito della richiesta di informazioni notificata dall’Autorità, la Società ne ha riconosciuto la realizzazione - Green Partner non ha dimostrato la lecita provenienza dei dati, né fornito chiarimenti adeguati a giustificare il mancato utilizzo di una numerazione chiamante iscritta presso il ROC, di guisa che la medesima risulta realizzata in aperto contrasto con le disposizioni degli artt. 5, 6 e 7 del Regolamento e 130 del Codice.
Più in particolare, all’esito degli elementi emersi nel corso dell’istruttoria è risultato accertato per tabulas che le comunicazioni promozionali oggetto di doglianza siano state effettuate da Green Partner e nell’interesse di Sorgenia. In tal senso militano le dichiarazioni rese ai sensi dell’art. 168 del Codice dal reclamante, i chiarimenti forniti dalla stessa Green Partner, la coincidenza tra la numerazione chiamante segnalata e quella che l’agenzia ha dichiarato di utilizzare, nonché la documentazione riguardante l’inoltro del plico contrattuale recante proprio il marchio Sorgenia. Si aggiunga che in base ai contratti in essere, il partner era stato abilitato alla promozione di servizi residenziali e che la realizzazione di attività telefonica non era vietata in assoluto dagli accordi tra le parti, di guisa che se l’odierno reclamante fosse addivenuto alla stipula del contratto, anche tale attivazione sarebbe rientrata nell’ambito applicativo del mandato conferito.
A tale riguardo, Green Partner ha fornito spiegazioni contraddittorie e del tutto prive di evidenze probatorie. L’invocato errore di digitazione, infatti, non spiega come mai a fronte di un contatto asseritamente lecito, la Società abbia ripetutamente disconosciuto le comunicazioni promozionali in occasione dei due riscontri forniti al reclamante.
Peraltro, il numero che Green Partner ha dichiarato di volere contattare faceva riferimento ad un locale notturno, mentre l’offerta inviata al reclamante riguardava il cd. uso domestico. Anche rispetto a tali incongruenze, l’agenzia non ha fornito alcun elemento – nemmeno di carattere documentale – per esempio relativo alla numerazione che intendeva asseritamente raggiungere o alla provenienza delle informazioni.
Si aggiunga che la Società ha rappresentato che l’intenzione iniziale era quella di contattare un cliente “referenziato”, tuttavia tale asserzione non vale a spiegare come mai l’operatrice non si sia avveduta dell’errore nel corso del contatto, ma abbia al contrario chiesto una serie di informazioni al fine di formulare l’offerta Sorgenia.
Sotto altro e diverso versante, inoltre, si osserva che rispetto all’attività oggetto di doglianza Sorgenia assumeva il ruolo di titolare del trattamento ai sensi dell’art. 4, punto 7) del Regolamento, mentre Green Partner quello di Responsabile del trattamento ai sensi dell’art. 4, punto 8) del Regolamento. In tal senso milita la lettera del contratto nella parte in cui ha l’effetto di affidare l’attività di promozione nel territorio e di conclusione di contratti di fornitura nell’interesse di Sorgenia e in base alle indicazioni fornite da quest’ultima.
Del resto anche la medesima Agenzia ha dimostrato di avere tenuto in considerazione la prospettata individuazione dei ruoli soggettivi, avendo poi accettato la nomina a responsabile nel corso del mandato.
Né valgono a sconfessare tale ricostruzione i prospettati ambiti di autonomia di azione nell’espletamento dell’incarico, pure conferiti all’agenzia.
In tal senso militano anche le indicazioni contenute nelle Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, disponibili per la consultazione sul sito www.edpb.europa.eu, nella parte in cui si legge che «se un titolare incarica un responsabile del trattamento di effettuare il trattamento per suo conto, ciò significa spesso che il responsabile del trattamento è in grado di adottare autonomamente determinate decisioni sulle modalità di effettuazione del trattamento in oggetto. L’EDPB riconosce la sussistenza di un certo margine di manovra affinché anche il responsabile del trattamento possa prendere decisioni in relazione al trattamento (…) La questione è dove tracciare la linea di demarcazione tra le decisioni riservate al titolare del trattamento e quelle che possono essere lasciate a discrezione del responsabile del trattamento. Le decisioni sulla finalità del trattamento sono chiaramente sempre di competenza del titolare del trattamento. Per quanto concerne la definizione dei mezzi, si può operare una distinzione tra mezzi essenziali e non essenziali. I «mezzi essenziali» sono tradizionalmente e intrinsecamente riservati al titolare del trattamento. Mentre i mezzi non essenziali possono essere determinati anche dal responsabile del trattamento, i mezzi essenziali sono determinati necessariamente dal titolare del trattamento. Per «mezzi essenziali» si intendono i mezzi strettamente legati alla finalità e alla portata del trattamento, tra cui il tipo di dati personali trattati («quali dati sono trattati?»), la durata del trattamento («per quanto tempo sono trattati?»), le categorie di destinatari («chi vi ha accesso?») e le categorie di interessati («i dati personali di quali individui sono oggetto di trattamento?»). Insieme alla finalità del trattamento, i mezzi essenziali sono inoltre strettamente connessi alla liceità, necessità e proporzionalità del trattamento stesso. I «mezzi non essenziali» riguardano aspetti più pratici legati all’esecuzione del trattamento, quali la scelta di un particolare tipo di hardware o di software o le misure di sicurezza specifiche in merito alle quali può decidere il responsabile del trattamento».
Analogamente anche il Codice di Condotta in materia di telemarketing e teleselling (cfr. Provv. n. 70 del 9 marzo 2023 e Provv. n. 148 del 7 marzo 2024, entrambi consultabili sul sito www.gpdp.it, doc. web nn. 9868813 - 9993808), che a prescindere dalla adesione assume un’indubbia valenza di best practices, all’art. 2 definisce il committente come «il soggetto che, operando in qualità di titolare del trattamento, incarica terzi, ad esempio, call center, teleseller e agenzie, per lo svolgimento di contatti commerciali telefonici per finalità di teleselling e telemarketing»; mentre call-center/teleseller e agenzie sono definiti alla stregua di «operatori economici che, operando in qualità di responsabili del trattamento dei committenti, sviluppano contatti telefonici per finalità di promozione della conclusione di contratti di vendita/locazione/abbonamento per servizi/prodotti o di richiesta di incontri al medesimo fine».
Tuttavia dalla disamina della documentazione e delle allegazioni versate agli atti del procedimento, emerge che Green Partner ha svolto tale attività, per diversi anni e fin dalla conclusione del primo accordo con Sorgenia avvenuta nel 2017, mediante un inquadramento dei ruoli soggettivi contraddittorio e basato su una modulistica non aggiornata, che faceva riferimento a norme oramai abrogate. L’originario contratto e l’addendum, infatti, qualificavano le parti alla stregua di autonomi titolari, ma successivamente in data 17 maggio 2018 è stata conferita e accettata la nomina a responsabile del trattamento. Nonostante siano trascorsi diversi anni, però tale nomina non è stata poi aggiornata e riporta ancora i riferimenti a norme oramai abrogate.
Tale contraddittorietà, nel caso di specie, sembra avere generato anche la mancata consapevolezza in ordine ai ruoli soggettivi ricoperti e ai doveri dai medesimi derivanti, tanto è vero che in maniera apertamente contraddittoria Green Partner nei propri riscontri assumeva di ricoprire il ruolo di titolare autonomo del trattamento, mentre Sorgenia considerava tale Società alla stregua di un mero responsabile.
Si aggiunga che tale carenza di consapevolezza appare sintomatica della tendenza all’adempimento meramente formale agli obblighi derivanti dalla vigente normativa, senza che tale contegno sia accompagnato da quelle condotte fattive e proattive imposte dalle disposizioni contenute all’art. 28 del Regolamento.
Difatti, ai sensi del 28 del Regolamento grava sul Responsabile del trattamento anche un obbligo di segnalazione e informazione nei confronti del Titolare del trattamento qualora un’istruzione sia suscettibile di violare la normativa vigente in materia di protezione dei dati personali, di guisa che Green Partner, usando l’ordinaria diligenza, avrebbe dovuto e potuto segnalare a Sorgenia l’utilizzo di modulari vetusti e contraddittori, nonchè la necessità di provvedere ai dovuti aggiornamenti.
E’ risultato acclarato, altresì, che Green Partner ha violato le disposizioni dell’art. 28 del Regolamento anche in ragione della circostanza che la medesima, nello svolgimento delle attività promozionali nell’interesse di Sorgenia e nel caso dell’odierno reclamante, si è avvalsa dell’ausilio di Vanille Service S.r.l.s. senza la previa autorizzazione scritta, specifica o generale, del titolare e in ogni caso violando anche le indicazioni impartite mediante la nomina a responsabile del trattamento.
Tale mancanza, peraltro, non risulta sanata neanche all’esito del rilascio della “Lettera di incarico privacy collaboratore” avvenuta soltanto a febbraio 2026, mediante la quale Green Partner non ha nemmeno espletato le formalità previste dall’art. 28, par. 4, del Regolamento, nella parte in cui impongono che «Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento».
Al contrario, dal tenore della documentazione appena richiamata, emerge che l’agenzia abbia addirittura erroneamente considerato tale collaboratore alla stregua di un mero soggetto autorizzato al trattamento.
Infine, si osserva che anche rispetto alla gestione delle istanze di esercizio dei diritti riconosciuti ai soggetti interessati ai sensi degli artt. 12 e da 15 a 22 del Regolamento, sono emerse talune criticità.
Green Partner, infatti, solo nel corso del procedimento e dunque, con notevole ritardo rispetto all’entrata in vigore del Regolamento, ha previsto l’adozione di una procedura ad hoc per la gestione delle istanze in materia di diritti da parte degli interessati.
Inoltre, i chiarimenti forniti non sono apparsi affatto idonei a giustificare l’inadeguato riscontro fornito rispetto all’istanza di accesso avanzata dall’Avv. XX, unitamente al ripetuto disconoscimento delle comunicazioni promozionali oggetto di doglianza.
Sul punto la Società ha laconicamente dichiarato di non avere preso sul serio l’istanza, in ragione della ricezione di numerose e truffaldine richieste di pagamento ricevute in concomitanza alla richiesta in questione. Ma tale tesi, che risulta peraltro sfornita di qualsivoglia elemento probatorio, non si rivela affatto persuasiva.
Anche se in calce all’istanza del reclamante vi era una richiesta di risarcimento, nel corpo della medesima veniva ampiamente descritta la dinamica del contatto, la numerazione chiamante, nonché i riferimenti della mail ricevuta.
Si aggiunga inoltre che le interlocuzioni in discorso provenivano dall’indirizzo XX e risultavano trasmesse da un legale.
Tali elementi, dunque, già di per sé erano idonei a valutare l’attendibilità della richiesta. Ma in caso di dubbi, anche tramite una rapida e gratuita verifica su INIPEC o sull’albo telematico nazionale messo a disposizione dal Consiglio Nazionale Forense, si sarebbe potuta verificare la paternità dell’istanza.
Green Partner, invece, si è limitata a disconoscere le comunicazioni promozionali, venendo meno anche al più generale dovere di agevolare l’esercizio dei diritti da parte dei soggetti interessati, rendendo di fatto difficoltoso per l’istante azionare le garanzie previste dall’ordinamento e preordinate alla tutela dei propri interessi personali.
Infine, contrariamente a quanto osservato dal responsabile, nel caso di specie non assume rilevanza nemmeno la circostanza che dai fatti oggetto di doglianza non sia scaturita la stipula di un contratto a favore dell’interessato, né un vantaggio economico per l’Agenzia. La realizzazione di contatti promozionali in assenza di idonea base giuridica e l’inadeguato riscontro alle istanze in materia di diritti, già di per sé, costituiscono una grave violazione, in quanto afferenti ai principi cardine e fondamentali della normativa in materia di protezione dei dati personali. Ne consegue che eventuali profili riguardanti il nocumento subito dall’interessato o il vantaggio conseguito dall’agenzia, avrebbero potuto semmai essere considerati quali circostanze aggravanti ai sensi e per gli effetti dell’art. 83 del Regolamento ai fini del quantum della sanzione in concreto irrogata, mentre non incidono sull’accertamento degli elementi costitutivi delle violazioni contestate.
4. CONCLUSIONI
Per quanto sopra esposto si ritiene accertata la responsabilità di Green Partner in ordine alle seguenti violazioni:
- artt. 5, 6, 7 del Regolamento, nonché dell’art. 130 del Codice, per aver effettuato i sopra descritti trattamenti di dati personali in assenza di un’idonea base giuridica e al di fuori dei requisiti di legittimità prescritti dalla vigente normativa in materia di protezione dei dati personali;
- art. 28 del Regolamento, per aver effettuato - per diversi anni - i sopra descritti trattamenti di dati personali in assenza della previa e inequivoca individuazione del ruolo soggettivo ricoperto e in violazione dei doveri gravanti sul responsabile del trattamento;
- artt. 12 e da 15 a 22 del Regolamento per la mancata adozione di adeguate misure in ordine alla gestione delle istanze degli interessati in materia di diritti e per l’inidoneo riscontro fornito all’istanza presentata dall’odierno reclamante.
Accertata altresì l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario:
- imporre a Green Partner, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, l’adozione di misure adeguate a garantire che l’affidamento della realizzazione di attività di trattamento in favore di eventuali sub-responsabili avvenga nel pieno rispetto della normativa in materia di protezione dei dati personali;
- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Green Partner della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.
5. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA
Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Green Partner della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.
Più in particolare, ai sensi dell’art. 83, par. 3 del Regolamento «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave». Ai sensi del successivo par. 5 «(…) la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore: a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9; b) i diritti degli interessati a norma degli articoli da 12 a 22; c) i trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale a norma degli articoli da 44 a 49; d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX; e) l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1».
Poiché nel caso di specie è stata accertata l’avvenuta violazione degli artt. 5, 6, 7, 12, da 15 a 22 e 28 del Regolamento, nonché dell’art. 130 del Codice, si applica la disposizione dettata dall’art. 83, par. 3 e 5 del Regolamento. Occorre inoltre fare riferimento anche al fatturato di Green Partner, come ricavato dalle informazioni economiche e tributarie acquisite. Pertanto, nel caso in argomento, si determina ai sensi dell’art. 83, par. 3 e 5 del Regolamento il massimo edittale della sanzione pecuniaria in Euro 20.000.000,00.
Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.
Nel caso in esame, assumono rilevanza:
1) la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), tenuto conto dell’oggetto e delle finalità dei dati trattati, riconducibili al fenomeno complessivo del telemarketing, in ordine al quale l’Autorità ha adottato, in particolare negli ultimi cinque anni, numerosi provvedimenti che hanno compiutamente preso in esame i molteplici elementi di criticità fornendo ai titolari numerose indicazioni per adeguare i trattamenti alla normativa vigente e per attenuare l’impatto delle chiamate di disturbo nei confronti degli interessati;
2) quale fattore attenuante (art. 83, par. 2, lett. a) del Regolamento), la circostanza che la condotta abbia coinvolto il trattamento dei dati personali di un solo interessato e la realizzazione di due sole comunicazioni commerciali;
3) quale fattore attenuante (art. 83, par. 2, lett. e) del Regolamento), l’assenza di precedenti violazioni pertinenti commesse dal responsabile del trattamento;
4) quale ulteriore fattore attenuante (art. 83, par. 2, lett. g) del Regolamento), le categorie di dati personali interessate dalla violazione (i.e. dati di natura comune).
In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative e funzionali della Società, si ritiene debba applicarsi a Green Partner la sanzione amministrativa del pagamento di una somma di euro 15.300,00 (quindicimilatrecento,00), pari allo 0,076% della sanzione massima edittale.
Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della natura dei trattamenti e delle condotte della Società, nonché degli elementi di rischio per i diritti e le libertà degli interessati.
In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare ragionevole e proporzionata in relazione al particolare disvalore delle condotte oggetto di censura, in quanto afferenti ai principi fondamentali - e costantemente ribaditi - della normativa in materia di protezione dei dati personali.
Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIO’ PREMESSO IL GARANTE
a) ai sensi dell’art. 57, par. 1, lett. a), del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da parte di Green Partner S.r.l.s. sede legale in Torino (TO), via Pietro Piffetti, 48, P.IVA 11667600016;
b) impone a Green Partner, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, l’adozione di misure adeguate a garantire che l’affidamento della realizzazione di attività di trattamento in favore di eventuali sub-responsabili avvenga nel pieno rispetto della normativa in materia di protezione dei dati personali;
c) ingiunge a Green Partner, ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte alla lettera precedente; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;
ORDINA
a Green Partner S.r.l.s., in persona del legale rappresentante pro-tempore, con sede legale in in Torino (TO), via Pietro Piffetti, 48, P.IVA 11667600016, di pagare la somma di euro 15.300,00 (quindicimilatrecento,00), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.
INGIUNGE
alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 15.300,00 (quindicimilatrecento,00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.
DISPONE
a) la pubblicazione del presente provvedimento, ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019;
b) l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante della presente ordinanza di ingiunzione, come previsto dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019;
c) l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.
Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 11 giugno 2026
IL PRESIDENTE
Stanzione
IL RELATORE
Cerrina Feroni
IL SEGRETARIO GENERALE
Montuori
Condividi