[doc. web n. 10210454]

Provvedimento del 18 dicembre 2025

Registro dei provvedimenti
n. 764 del 18 dicembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il prof. Pasquale Stanzione;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con atto Prot. n. 131803 del 6 ottobre 2025 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Acquirente Unico S.p.A., (di seguito “Acquirente Unico” o “Società”), in persona del legale rappresentante pro-tempore, con sede legale in Roma (RM), via Guidubaldo del Monte, 45, P.IVA 05877611003.

Il procedimento trae origine da una istruttoria avviata dall’Autorità, a seguito della ricezione di un reclamo mediante il quale l’interessato lamentava di essere destinatario di numerose chiamate indesiderate finalizzate alla promozione di servizi energetici e il mancato riscontro di Acquirente Unico a un’istanza in materia di esercizio dei diritti.

1.2. Le richieste di informazioni formulate dall’Autorità

Con reclamo trasmesso in data 23 gennaio 2025 (cfr. Prot. n. 8890 del 24 gennaio 2025) il Sig. XX lamentava l’avvenuta ricezione di «continue chiamate telefoniche per contratti relativi al gas e all’energia da parte di vari soggetti a conoscenza del mio indirizzo di fornitura, del mio nome, …già poche settimane dopo l’attivazione di una nuova fornitura», rappresentando di essersi rivolto al proprio fornitore e ad Acquirente Unico per ottenere maggiori informazioni sul trattamento dei propri dati personali. Nela fattispecie, il fornitore rassicurava l’interessato di non avere indebitamente condiviso i suoi dati personali con terzi, fatta eccezione per i soggetti in favore dei quali devono essere effettuate le comunicazioni ai sensi di legge. Acquirente Unico, invece, non forniva riscontro alla richiesta dell’interessato che, pertanto, si rivolgeva all’Autorità al fine di tutelare il proprio diritto di «conoscere quali dati personali vengono conservati, come e con chi vengono condivisi», evidenziando che «i dati sono stati condivisi con numerosi soggetti senza mia autorizzazione» e che tale condotta «oltre ad arrecarmi un danno generato dalle continue telefonate, mi rende impossibile far valere il mio diritto di cancellazione nei confronti di questi soggetti».  

A tale riguardo, l’interessato forniva prova documentale della richiesta di esercizio dei diritti di cui agli artt. 15, 17, 18 e 21 del Regolamento avanzata nei confronti di Acquirente Unico in data 29 ottobre 2024.

Esaminato l’atto di reclamo e la documentazione ivi allegata, l’Ufficio notificava a Acquirente Unico S.p.a. una richiesta di informazioni ai sensi degli artt. 58, par. 1, lett. a) del Regolamento e 157 del Codice (cfr. Prot. 13816 del 4 febbraio 2025), invitando il titolare a fornire le proprie osservazioni in ordine a quanto rappresentato dall’istante e a comunicare se intendesse aderire alle richieste dell’interessato.

Con nota trasmessa in data 24 febbraio 2025 (cfr. Prot. n. 24477/25), la Società riscontrava la richiesta dell’Ufficio, rappresentando preliminarmente che «La prima delle forniture oggetto di segnalazione (…) è attiva a far data dal 17 gennaio 2024 per effetto della pratica di Voltura prot. (…) richiesta dalla Controparte commerciale (CC) del sig. XX, Estenergy S.p.A. L’Utente del Dispacciamento (“UDD”) è Hera Comm S.p.A. e il distributore E-Distribuzione S.p.A. Come noto, con riguardo alle attività che gli operatori sono chiamati ad effettuare sul SII per attivare la fornitura con un nuovo cliente in caso di nuova sottoscrizione di un contratto, le CC sono tenute a richiedere lo switching sul SII mediante i rispettivi UDD che dovranno garantire il dispacciamento delle nuove forniture. Una volta ingaggiato dalla CC, l’UDD deve effettuare una richiesta di switching sulla base dei dati contrattuali ricevuti dalla CC ed utilizzando i processi del SII, il cui funzionamento e i cui tracciati sono descritti nelle Specifiche Tecniche pubblicate dal SII sul proprio Portale. Relativamente, invece, alla seconda fornitura indicata nella segnalazione dal sig. XX (…) stando alle analisi condotte nel RCU, non risulta essere mai stata nella titolarità del sig. XX».

Nella medesima occasione, il titolare evidenziava, altresì, che «i dati relativi al cliente finale titolare del punto di prelievo e oggetto di aggiornamento sono i seguenti: 1) Codice fiscale, 2) Partita IVA, 3) Nome e cognome/ragione sociale, 4) indicazione dell’indirizzo di residenza/sede legale, 5) indirizzo di esazione, 6) indirizzo di posta elettronica o recapito di eventuale referente per le comunicazioni a cliente finale. Nel caso di specie (…) sono stati comunicati dalla CC i dati relativi alla casella e-mail e al contatto mobile. I dati in questione possono essere consultati, oltre che dal CC e dall’UDD, anche dal distributore. Ovviamente, possono visionare i dati su indicati solo i CC, UDD e distributore che hanno come cliente il POD, ciascuno per le attività di propria competenza. Quanto alle richieste di esercizio dei diritti in materia di trattamento dei dati personali, si precisa che (…) AU tratta esclusivamente i dati relativi alla fornitura di energia elettrica o gas (dati di contatto, anagrafici e di consumo) che sono necessari per il corretto funzionamento del mercato energetico, senza svolgere alcuna attività di natura commerciale nei confronti dei clienti finali dei mercati energetici, neanche legata a eventuali call-center».

Successivamente con nota del 24 febbraio 2025 (cfr. Prot. n. 24833 del 25 febbraio 2025), il reclamante osservava «Non posso non notare che si usano, per riferirsi a chi ha avuto accesso ai miei dati, sempre termini generici. Non ci sono nomi. Non si capisce se il "possono" è un controllo fisico o solo teorico. Il che mi porta a dubitare che sappiano realmente chi ha avuto accesso. E che quanto descritto è "come dovrebbe essere" e non come è nella realtà».

Preso atto di tutte le circostanze rappresentate dalle parti e versate agli atti del procedimento, l’Ufficio ravvisava la necessità di effettuare un supplemento di istruttoria, rivolgendo una richiesta di informazioni integrativa al titolare ai sensi e per gli effetti degli artt. 58, par. 1, lett. a) del Regolamento e 157 del Codice. Nella fattispecie si reiterava la richiesta di fornire «osservazioni in ordine alle circostanze dichiarate dal reclamante e, in particolare, di indicare le ragioni del mancato riscontro all’istanza di esercizio dei diritti presentata da quest’ultimo in data 29 ottobre 2024», invitando contestualmente Acquirente Unico «a trasmettere ogni elemento e documento utile a illustrare: a) il processo di gestione delle richieste di esercizio dei diritti da parte degli interessati e le misure adottate affinché le medesime siano riscontrate nei modi e nei termini previsti dalla vigente normativa; b) le misure e le procedure adottate per il monitoraggio ovvero l’eventuale tracciamento degli utenti che accedono, hanno la visibilità e la facoltà di rettificare i dati relativi ai clienti finali titolari dei punti di prelievo; c) le misure e le procedure adottate per scongiurare il rischio dell’accesso a tali dati da parte di soggetti non autorizzati e che per l’effetto i dati dei clienti finali siano oggetto di trattamento per finalità di telemarketing e di teleselling, in assenza dei prescritti presupposti di liceità».

Con nota del 24 marzo 2025 (cfr. Prot. n. 39538 del 25 marzo 2025), Acquirente Unico rappresentava che «La società (…) è destinataria di numerose richieste di accesso che grazie ad un processo definito siamo riusciti a gestire correttamente ad eccezione della pratica in questione di cui siamo molto dispiaciuti. Si pensi che dal 1° gennaio 2024 ad oggi abbiamo gestito circa 100 richieste cui abbiamo dato risposta nei termini previsti dal Regolamento (…). A questo si aggiunga che AU riceve circa 300 richieste all’anno dalle Autorità competenti (…) e che hanno ad oggetto richieste di dati del SII».

Quanto all’istanza dell’odierno reclamante, il titolare evidenziava che «stando a verifiche interne ad AU, in data 16 maggio 2024, la Funzione Procedure Speciali all’interno della Direzione Consumatori e Conciliazione che gestisce lo Sportello per il Consumatore Energia e Ambiente riceveva un reclamo del sig. XX, cui la stessa Funzione forniva riscontro il giorno seguente con una richiesta di integrazione, in quanto l’istanza era mancante dei riferimenti identificativi al Codice Fiscale e/o al POD/PDR. In data 8 agosto 2024, la Funzione Procedure Speciali, e, quindi, lo Sportello per il Consumatore Energia e Ambiente restituiva l’integrazione del sig. XX con i dati mancanti. A partire da quella data, il 29 ottobre 2024, il sig. XX ribadiva la richiesta richiedendo di esercitare i diritti di cui agli artt. 15/22 del GDPR tramite la PEC di AU (…), essendo la prima richiesta arrivata da un canale non consueto ed essendo trascorsi circa tre mesi tra la prima richiesta di integrazione di informazioni al sig. XX e la sua risposta, per mera svista materiale, l’istanza del signore in questione non è stata correttamente instradata nei processi aziendali che avrebbero consentito la corretta trattazione».

Acquirente Unico forniva, inoltre, le informazioni concernenti gli accessi ai dati personali del reclamante effettuati nel corso delle tre settimane successive allo switch, documentando che «gli unici soggetti che hanno effettuato consultazioni sono l’esercente entrante e l’esercente uscente», nonché copia della policy per la gestione dei diritti adottata in data 24 ottobre 2024, il regolamento di funzionamento del SII e le misure di sicurezza allegate, precisando che tali ultimi documenti erano in fase di revisione.

All’esito della disamina dei riscontri forniti, l’Ufficio notificava un’ulteriore richiesta di informazioni per acquisire chiarimenti in ordine alle «misure adottate al fine di assicurare l’opportuna conoscenza e attuazione della procedura in materia di esercizio dei diritti degli interessati da parte di tutti i dipendenti e collaboratori, che effettuano trattamenti di dati personali per conto di Acquirente Unico». Nella medesima occasione, venivano chiesti chiarimenti anche con riguardo alla numerosità e alle tempistiche degli accessi effettuati ai dati del reclamante (cfr. Prot. n. 94473 del 4 luglio 2025).

Con istanza dell’11 luglio 2025 (cfr. Prot. n. 99090 del 14 luglio 2025) Acquirente Unico chiedeva la proroga del termine concesso ai fini del riscontro, evidenziando che era in corso un’attività di migrazione dei dati che rendeva impossibile effettuare le verifiche necessarie nelle tempistiche indicate. L’istanza veniva accolta con nota del 18 luglio 2024 (cfr. Prot. n. 101565/25). Successivamente, con nota del 24 luglio 2025 (cfr. Prot. n. 104660 del 25 luglio 2025), la Società comunicava che «in coincidenza dell'attività di migrazione dei dati in precedenza segnalata e in ragione della complessità e della mole delle richieste, saremo in grado di riscontrare la Vs. nota nella giornata di mercoledì 30 luglio p.v.».

Con riscontro del 30 luglio 2025 (cfr. Prot. n. 107227 del 31 luglio 2025), il titolare chiariva preliminarmente che «la consultazione massiva rappresenta, insieme allo switching, alla voltura, al pre-check e alla consultazione puntuale, uno dei Processi (…) che il SII fornisce e che è disciplinato dal Regolamento del SII e dalle Specifiche tecniche del Portale web» e che le consultazioni massive effettuate sui dati del reclamante nel periodo successivo allo switch, sono state realizzate unicamente dalle Società entranti.

Acquirente Unico chiariva, altresì, che gli Utenti finali che accedono al SII, previa identificazione e autenticazione, sono persone fisiche per le quali è stata richiesta l’abilitazione dagli operatori energetici.

A tale riguardo, Acquirente Unico evidenziava che «la politica di sicurezza del SII si basa su una chiara separazione delle responsabilità del SII e dei singoli Utenti (…), “le credenziali associate agli utenti finali sono strettamente personali, non possono essere cedute a terzi ed il possessore si assume la responsabilità della loro custodia garantendo la confidenzialità delle stesse”. Secondo quanto descritto sopra ogni Utente è responsabile della definizione degli operatori e della relativa profilazione. Da aprile 2024, il SII mette a disposizione dei Responsabili della Sicurezza un contatore che indica, per ciascun operatore, il numero di credenziali possedute così da poter identificare eventuali casi di operatori con più credenziali».

In relazione agli accessi registrati rispetto ai dati del reclamante, il titolare evidenziava che la molteplicità delle registrazioni corrispondeva a download massivi e che a partire dal mese di aprile 2024 «la consultazione massiva e puntuale è realizzabile a partire dalle ore 7.30 e sino alle ore 23.59».

La Società forniva, infine, il piano di formazione in materia di protezione dei dati personali concernente gli anni 2024 e 2025.

1.3. Contestazione delle violazioni

L’Ufficio, all’esito dell’istruttoria, adottava il sopra richiamato atto di contestazione n. 131803/25 nel quale, in primo luogo, si osservava che la doglianza trasmessa dal reclamante, di fatto, concerneva due differenti ordini di questioni - sebbene correlate – riguardanti la vigente normativa in materia di esercizio dei diritti da parte dei soggetti interessati e il trattamento dei dati per finalità promozionali.

Quanto alle lamentate chiamate indesiderate, si rilevava che all’esito dell’istruttoria espletata, non erano emersi elementi sufficienti ad accertare con ragionevole certezza la sussistenza del nesso di causalità tra le attività di trattamento effettuate da Acquirente Unico e i contatti promozionali ricevuti dall’odierno reclamante, posto che nel caso di specie i soggetti che avevano effettuato accesso ai dati in concomitanza delle operazioni di switch erano legittimati a farlo in virtù di rapporti contrattuali con l’interessato. Pertanto, l’Autorità si riservava di effettuare ulteriori accertamenti sul tema.

Quanto, invece, al profilo relativo all’esercizio dei diritti, si osservava che le motivazioni addotte dalla Società non apparivano idonee a escludere la possibile violazione degli artt. 12, da 15 a 22 e 29 del Regolamento, che impongono al titolare di riscontrare le richieste degli interessati tempestivamente e in maniera satisfattiva, nonché di fornire adeguate istruzioni anche a tale riguardo ai propri collaboratori.

L’Ufficio rilevava, inoltre, che anche i chiarimenti forniti all’interessato a seguito dell’invito rivolto dall’Autorità, alla stregua di quanto rilevato dal medesimo reclamante, non si erano rivelati sufficienti, atteso che in ragione del linguaggio utilizzato e dell’eccessiva genericità, non avevano posto l’utente in grado di comprendere le modalità di trattamento dei dati personali, né l’identità dei soggetti che vi hanno fatto accesso.

Tali rilievi, se considerati unitamente all’avvenuta emissione di una procedura per la gestione delle istanze in materia di diritti degli interessati con notevole ritardo rispetto all’entrata in vigore del Regolamento, induceva a ritenere che Acquirente Unico non avesse ancora completamente assimilato la portata degli obblighi gravanti sul titolare del trattamento in relazione alla normativa sulla protezione dei dati personali.

Si osservava, infine, che anche i riscontri forniti sulle modalità di diffusione della procedura all’interno dell’organizzazione, apparivano estremamente generiche e che la Società non aveva fornito nemmeno elementi in ordine alle istruzioni impartite alle persone autorizzate oppure a eventuali prassi aziendali riguardanti la messa a disposizione della procedura.

L’Ufficio, pertanto, contestava ad Acquirente Unico la possibile violazione delle disposizioni vigenti in materia di esercizio dei diritti degli interessati ed in particolare degli artt. 12, da 15 a 22 e 29 del Regolamento.

2. LA DIFESA DEL TITOLARE

Con memorie difensive trasmesse in data 5 novembre 2025 (cfr. Prot. n. 147656 del 6 novembre 2025), Acquirente Unico rappresentava preliminarmente che il reclamante aveva «presentato in data 3 maggio 2024 allo Sportello del Consumatore servizio gestito in avvalimento di ARERA un reclamo nel quale lamentava di ricevere telefonate di contact center che proponevano offerte per nuovi contratti di luce. A seguito di ulteriori scambi tra il 16 e il 28 maggio 2024, legati all’esigenza di integrare informazioni mancanti a fini della trattazione, in data 8 agosto 2024 lo Sportello inviava la documentazione alla Funzione legale dell’AU. Il cliente finale procedeva a presentare un’istanza di accesso all’AU, ai sensi degli artt. 15-22 del Regolamento UE n. 679/2016 (…) in data 29 ottobre 2024, con riferimento ai suoi dati personali pertinenti a due POD. In tale istanza, tra le altre cose, si chiedeva «con quali soggetti sono stati condivisi, con che mezzo/forma ed a quale scopo» i suoi dati personali».

Quanto al mancato riscontro all’istanza del reclamante, Acquirente Unico ribadiva che la Società è solita gestire «molte decine di accessi tempestivamente – e che il mancato riscontro al sig. XX era imputabile a un disguido occasionale» e che «non risulta (…) che codesto Garante abbia mai ricevuto altri reclami aventi ad oggetto il mancato riscontro ad un accesso – e che un singolo episodio di mancato rispetto era legato a circostanze particolari, connesse alla pendenza di un primo reclamo attivato presso lo Sportello del Consumatore vedi gli scambi in data 3 maggio e 28 maggio 2024 che il reclamante aveva trasmesso per conoscenza anche a codesto Garante».

La Società contestava, poi, i rilievi sollevati in ordine alla chiarezza e alla trasparenza dei riscontri forniti, eccependo che si limitavano a riflettere i dubbi sollevati dal reclamante. Sul punto Acquirente Unico evidenziava che «Tant’è che anche la successiva richiesta di informazioni di codesto Garante del 4 marzo 2025, al di là del processo di gestione delle richieste di accesso, si è rivolta non ad approfondimenti sui temi oggetto dell’originaria istanza di accesso bensì ai profili di sicurezza dei sistema (…) Né si può immaginare che, per la completezza del riscontro, l’AU dovesse indicare sin dal principio i nominativi delle persone fisiche che avevano materialmente avuto accesso».

Con riferimento alle procedure adottate ai fini della gestione delle istanze dei soggetti interessati, la Società rappresentava che «l’AU ha dato conto solo dell’ultima policy in vigore. Una policy in materia era però stata già approvata in data 29 dicembre 2021 (doc. 1). Inoltre, ancor prima del Regolamento, e a dimostrazione dell’attenzione che sempre AU ha avuto per la protezione dei dati personali, già dal 2010 era vigente in azienda una procedura in materia di privacy che disciplinava le modalità di risposta ad eventuali richieste di accesso ai dati da parte degli interessati».

In merito alla formazione del personale Acquirente Unico documentava di svolgere «appositi piani al riguardo, disposti dal DPO, che coprono i vari aspetti della disciplina privacy. Con particolare riferimento alla vicenda di specie, si inoltra l’elenco dei piani formativi (doc. 3) evidenziando che nel piano formativo del 2019 (slide 28 e 29), 2020 (slide 51 e 52) nonché del 2024 (slide 49 e 50) è stato affrontato il tema dei diritti degli interessati, enfatizzando sempre l’obbligo di rendere la risposta entro 30 giorni dalla ricezione nonché di dare risconti completi e soprattutto chiari per il richiedente (doc. 4). Si allegano altresì i registri presenze (doc. 5). La policy prevede puntualmente per tutto il personale l’obbligo di inoltrare alla Direzione Affari Legali entro 24 ore dalla ricezione, qualsiasi richiesta di accesso pervenuta, pur se al di là dei canali espressamente previsti a tal fine».

La Società rappresentava poi le proprie deduzioni in ordine alla sussistenza delle circostanze di cui all’art. 83, par. 2, del Regolamento e chiedeva di essere sentita dall’Autorità.

Nel corso dell’audizione tenuta in data 20 novembre 2025 (cfr. Prot. n. 153786/25), la Società rappresentava preliminarmente la volontà di migliorare l’amministrazione dei propri processi, ciò anche in relazione alla gestione delle istanze da parte dei cittadini nei termini di legge. A tal fine, Acquirente Unico comunicava che era in corso l‘implementazione di una procedura specifica sull’accesso agli atti, che prevedeva anche un sistema di monitoraggio e previsione dei compiti ben individuati in capo a coloro che si trovano a gestire le istanze, ciò anche mediante l’acquisto di due tool per gli adempimenti privacy e per l’accesso agli atti, ivi incluso anche l’accesso civico.

La Società evidenziava, inoltre, che tra gli obiettivi della procedura in corso di implementazione vi era anche quello di rendere le risposte agli interessati più comprensibili, bilanciando tale esigenza con il tecnicismo della materia.

Al termine dell’audizione, venivano concessi dieci giorni per eventuali integrazioni documentali, così con nota del 1° dicembre 2025 (cfr. Prot. n. 169968 del 4 dicembre 2025) la Società trasmetteva copia del nuovo schema di Regolamento per la gestione delle richieste di esercizio dei diritti da parte degli interessati (artt. 15 ss. GDPR) di imminente adozione.

3. VALUTAZIONI DELL’AUTORITÀ

Va in primo luogo rappresentato che le osservazioni avanzate e la documentazione fornita dalla Società a seguito della notifica dell’atto di avvio del procedimento, consentono di ritenere superata la contestazione relativa all’avvenuta violazione dell’art. 29 del Regolamento, con riferimento ai doveri di istruzione e formazione nei confronti delle persone autorizzate al trattamento, incombenti sul titolare del trattamento. Acquirente Unico, infatti, ha ampiamente documentato l’impegno profuso in tal senso, evidenziando da un lato di avere provveduto al periodico aggiornamento delle procedure interne e dall’altro lato, di avere organizzato ripetute attività di formazione in materia di protezione dei dati personali e di gestione delle istanze in materia di diritti dei soggetti interessati. Per tali ragioni e limitatamente a tale profilo, non sono ravvisati, allo stato degli atti, gli estremi di una violazione della disciplina rilevante in materia di protezione dei dati personali e si dispone l’archiviazione ai sensi dell’art. 11, comma 1, lett. b) del reg. interno n. 1/2019 (disponibile per la consultazione sul sito www.gpdp.it, doc-web n. 9107633).

Fatta tale doverosa premessa, quanto invece al profilo relativo all’esercizio dei diritti, si rileva che le motivazioni addotte dalla Società non appaiono idonee a escludere l’avvenuta violazione degli artt. 12 e da 15 a 22 del Regolamento, che impongono al titolare di riscontrare le richieste degli interessati tempestivamente e in maniera satisfattiva.

Difatti, a fronte di un’istanza di esercizio dei diritti completa in tutti i suoi elementi, predisposta sulla base del modello pubblicato sul sito istituzionale dell’Autorità, recante in allegato il documento di identità utile all’identificazione dell’istante e recapitata con modalità che ne assicurino la legale conoscenza (i.e. pec), la Società non ha fornito elementi sufficienti, neanche di carattere documentale, che possano esplicare efficacia esimente o attenuante in ordine all’omissione lamentata.

A tale riguardo, non può essere accolta nemmeno la motivazione addotta da Acquirente Unico in ordine alla circostanza che il reclamante aveva attivato una procedura di reclamo in data antecedente rispetto all’inoltro dell’istanza, che ne aveva cagionato l’errata qualificazione e gestione, atteso che tali interlocuzioni – peraltro nemmeno provate in via documentale – erano avvenute alcuni mesi prima.

Si aggiunga che la vigente normativa non impone particolari formalità in ordine all’esercizio dei diritti da parte dei soggetti interessati, ne consegue che il titolare è tenuto a fornire riscontro a prescindere dai modi e dalle forme con cui le istanze sono state trasmesse.

Analogamente nemmeno il richiamato riferimento ai meri disguidi organizzativi, può valere a giustificare l’inadempimento della Società rispetto a uno dei principali e più importanti obblighi gravanti sul titolare, quale deve essere considerato quello di fornire tempestivo e satisfattivo riscontro alle richieste dell’interessato, atteso che l’esercizio dei diritti è uno strumento fondamentale e prodromico alla più ampia tutela della propria sfera di riservatezza (cfr. Linee guida 1/2022 sui diritti degli interessati - Diritto di accesso, disponibili per la consultazione sul sito www.edpb.europa.eu, «Il diritto di accesso è quindi concepito per consentire alle persone fisiche di avere il controllo dei dati personali che le riguardano, in quanto permette loro di "essere consapevoli del trattamento e verificarne la liceità". Più specificamente il diritto di accesso intende far sì che l'interessato possa comprendere il modo in cui sono trattati i suoi dati personali nonché le conseguenze di tale trattamento, e possa verificare l'esattezza dei dati trattati senza dover giustificare le proprie intenzioni. In altre parole l'obiettivo del diritto di accesso consiste nel fornire alle persone informazioni sufficienti, trasparenti e facilmente accessibili in merito al trattamento dei dati, indipendentemente dalle tecnologie utilizzate, e nel metterle in grado di verificare aspetti diversi di una specifica attività di trattamento ai sensi del GDPR (ad esempio liceità ed esattezza»).  

Del resto, tra gli obblighi del titolare rientra anche quello di implementare una procedura per la gestione delle istanze degli interessati, che si riveli agevole per quest’ultimi, ma anche efficace per l’organizzazione (cfr. Considerando n. 59 «È opportuno prevedere modalità volte ad agevolare l'esercizio, da parte dell'interessato, dei diritti di cui al presente regolamento, compresi i meccanismi per richiedere e, se del caso, ottenere gratuitamente, in particolare l'accesso ai dati, la loro rettifica e cancellazione e per esercitare il diritto di opposizione (…)»).

Si rileva, inoltre, che anche i chiarimenti forniti all’interessato a seguito dell’invito rivolto dall’Autorità, alla stregua di quanto rilevato dal medesimo reclamante, non si sono rivelati sufficienti, atteso che in ragione del linguaggio utilizzato e dell’eccessiva genericità, non hanno posto l’utente in grado di comprendere le modalità di trattamento dei dati personali, né l’identità dei soggetti che vi hanno fatto accesso.

A tale riguardo, pur rivelandosi pacificamente condivisibile - in un’ottica di minimizzazione - la scelta di non fornire i dati personali degli operatori che hanno avuto accesso alle informazioni del richiedente, ma di limitarsi all’indicazione delle Società di appartenenza, non può ritenersi in linea con la vigente normativa l’utilizzo di un linguaggio eccessivamente tecnico e di difficile comprensione.

L’Autorità è ben consapevole della difficoltà insita nel bilanciamento tra l’elevato tecnicismo della materia e l’esigenza di esaustività, nonché della complessità correlata alla gestione delle istanze di accesso, soprattutto nell’attuale contesto normativo ove l’accesso ai sensi del Regolamento, sovente si intreccia anche con l’accesso procedimentale di cui alla L. n. 241/1990, nonché con l’accesso civico e quello generalizzato di cui al D. Lgs. n. 33/2013.

Tuttavia, tale complessità non può incidere negativamente sulle prerogative riconosciute ai soggetti interessati e, in ogni caso, l’art. 12 del Regolamento sancisce espressamente che «Il titolare del trattamento adotta misure appropriate per fornire all'interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all'articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (…)».

La norma in commento riecheggia e rappresenta un’evidente declinazione pratica dei principi di correttezza e trasparenza, enunciati anche all’art. 5 del medesimo Regolamento e che ne informano tutta la disciplina.

In tal senso milita anche il Considerando n. 58 nella parte in cui prevede che «Il principio della trasparenza impone che le informazioni destinate al pubblico o all'interessato siano concise, facilmente accessibili e di facile comprensione e che sia usato un linguaggio semplice e chiaro, oltre che, se del caso, una visualizzazione (…)».

Il principio, infine, è stato anche più ampiamente illustrato all’interno delle citate Linee Guida 1/2022 sui diritti degli interessati – Diritto di accesso, nella parte in cui si legge che «Ai sensi dell'articolo 12, paragrafo 1, GDPR, il titolare del trattamento adotta misure appropriate per fornire all'interessato le comunicazioni di cui all'articolo 15, relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. L'articolo 12, paragrafo 2, impone al titolare del trattamento di agevolare l'esercizio del diritto di accesso dell'interessato. Gli obblighi più precisi a tal proposito si dovranno valutare caso per caso. Nel decidere quali siano le misure appropriate, i titolari del trattamento dovranno tener conto di tutte le circostanze pertinenti, tra cui (in un elenco non esaustivo) la quantità di dati di cui è in corso il trattamento, la complessità del trattamento dei dati e le conoscenze di cui dispongono in merito agli interessati: ad esempio se la maggioranza degli interessati sia costituita da minori, anziani o persone con disabilità. Inoltre, qualora al titolare del trattamento siano segnalate eventuali esigenze particolari dell'interessato che presenta la richiesta - ad esempio tramite ulteriori informazioni contenute nella richiesta stessa - il titolare del trattamento è tenuto a tener conto di tali circostanze. Di conseguenza le misure appropriate varieranno (…) Nella risposta a una richiesta di accesso ai dati occorre evitare di indirizzare l'interessato a fonti differenti».

4. CONCLUSIONI

Preliminarmente si ritiene di dovere archiviare ai sensi dell’art. 11, comma 1, lett. b) del regolamento interno n. 1/2019 la contestazione relativa alla violazione dell’art. 29 del Regolamento.

Alla luce di tutte le valutazioni esposte, invece, si ritiene accertata la responsabilità di Acquirente Unico in ordine alla violazione delle disposizioni vigenti in materia di esercizio dei diritti degli interessati di cui agli artt. 12, da 15 a 22 del Regolamento.

Considerata la natura episodica della doglianza e che il titolare, già in pendenza del procedimento, ha dichiarato di avere avviato un processo di revisione delle procedure interne utili alla gestione del diritto di accesso, accertata l’illiceità delle condotte di Acquirente Unico con riferimento al trattamento preso in esame, si rende necessario rivolgere alla Società, ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, un ammonimento per il mancato riscontro all’istanza di esercizio dei diritti avanzata dall’odierno reclamante.

Infine, tenuto conto del contegno collaborativo tenuto dal titolare e delle misure rimediali già adottate nel corso del procedimento, non si ritiene necessario procedere all’adozione di ulteriori provvedimenti di carattere correttivo e sanzionatorio.

TUTTO CIO’ PREMESSO IL GARANTE

a) provvede all’archiviazione ai sensi dell’art. 11, comma 1, lett. b) del regolamento interno n. 1/2019 della contestazione relativa alla violazione dell’art. 29 del Regolamento;

b) rivolge ad Acquirente Unico S.p.A., in persona del legale rappresentante pro tempore, con sede legale in Roma (RM), via Guidubaldo del Monte, 45, P.IVA 05877611003, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, un ammonimento per il mancato riscontro all’istanza di esercizio dei diritti avanzata dall’odierno reclamante, determinando la violazione degli artt. 12, da 15 a 22 del Regolamento;

DISPONE

la pubblicazione del presente provvedimento, ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019 nel sito web del Garante, e l’annotazione del medesimo nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 18 dicembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori