[doc. web n. 10222804]

Provvedimento del 18 dicembre 2025

Registro dei provvedimenti
n. 761 del 18 dicembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, Segretario Generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018 n. 101, recante disposizioni per l'adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1 fascicolo 381664

Con reclamo del 4 maggio 2024 (fasc. 381664), l'avv. XX ha lamentato la ricezione di email promozionali inviate dalla Quick Gestione Crediti S.r.l.s. (di seguito Quick Gestione Crediti o la Società) senza l'acquisizione di un preventivo consenso. In particolare, l'avv. XX ha allegato le seguenti email:

- email del 21 settembre 2023, h. 14.26, inviata all'indirizzo XX;

- email del 6 febbraio 2024, h. 16.02, inviata all'indirizzo XX;

- email del 15 aprile 2024, h. 15.29, inviata all'indirizzo XX.

Con riguardo a quest'ultima email, l'avv. XX ha precisato che l'indirizzo XX è un "altro indirizzo da me utilizzato in collaborazione con mio padre, avvocato XX".

Riguardo al reclamo di XX, l’Ufficio ha inviato una richiesta di informazioni al titolare con nota prot. 75186 del 20 giugno 2024. La Società ha fornito riscontro via pec l’8 luglio 2024 dichiarando di aver inviato una sola email a XX (segnatamente, quella del 6 febbraio 2024) e di essersi subito scusato per il disturbo arrecato. Il titolare ha altresì rappresentato che le interlocuzioni con l’avv. XX sono proseguite anche tramite sistema di messaggistica della piattaforma Linkedin dove “in modo non troppo velato (sembra), mi veniva fatta una richiesta di denaro, proprio dal XX”. Nella nota di riscontro il titolare ha altresì riprodotto copia di alcuni messaggi scambiati con l’avv. XX su Linkedin in cui si legge che quest’ultimo invitava il rappresentante legale della Quick Gestione Crediti a leggere un post pubblicato sul suo blog e a “farmi sapere la sua posizione (in particolare sul punto 7)”. Il titolare ha trascritto come segue quanto riportato nel richiamato punto 7 del post: «Forse non tutti lo sanno ma il GDPR all’art. 82 prevede che “chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”. Ne consegue che il trattamento illecito di dati personali genera responsabilità civile e quindi la mia azione sarà mirata non solo a interrompere il trattamento illecito ma anche a ottenere il risarcimento del danno. I vari “spammer” non dovrebbero quindi scandalizzarsi se riceveranno da me non solo una richiesta di accesso ai dati personali (art. 15 del GDPR) ma anche una diffida con richiesta di risarcimento danni. È tutto assolutamente coerente con quello che dice la legge».

La conversazione, di cui il titolare ha allegato degli estratti, sarebbe proseguita con delle scuse da parte di Quick Gestione Crediti con contestuale giustificazione dell’invio dell’email come mero errore; XX avrebbe quindi risposto che tale motivazione risultava poco credibile ribadendo l’invito a prendere visione di quanto riportato al punto 7 del suo post. Infine, la Società avrebbe incaricato un legale esterno di prendere contatti con l’avv. XX per comporre la controversia in via bonaria ma ogni tentativo si sarebbe rivelato vano.

Da ultimo, la Società ha rappresentato di essere una piccola realtà imprenditoriale “che svolge ogni mansione con la presenza di due persone, e per causa di forza maggiore, può capitare che possa verificarsi un errore nella trascrizione di un nome o di un cognome” assicurando di aver provveduto a cancellare i dati del reclamante.

Al riscontro fornito dal titolare del trattamento, il reclamante ha replicato con nota del 2 dicembre 2024, osservando che l’ipotesi del refuso nella trascrizione del nome non pareva credibile, non essendovi altri avvocati iscritti al medesimo albo con nomi simili (eccetto l’indirizzo dell’avv. XX, padre del reclamante, destinatario di analoghe email). Rispetto al contestato intento pretestuoso del reclamo e delle conseguenti richieste risarcitorie, l’avv. XX, non contestando la ricostruzione fattuale della Società, ha rivendicato la correttezza del suo agire.

1.2 fascicolo 412851

Con reclamo pervenuto il 15 ottobre 2024, l'avv. XX ha lamentato la ricezione di due email promozionali da parte di Quick Gestione Crediti, allegando sia la comunicazione ricevuta il 15 aprile 2024 alle 15.29, già presentata da XX, sia una ulteriore comunicazione ricevuta il 26 giugno 2024, h. 11.46, all'indirizzo XX.

L’avv. XX ha inoltre lamentato il mancato riscontro a una richiesta di esercizio dei diritti inviata alla Società via pec il 27 giugno 2024, richiesta allegata al reclamo ma priva della ricevuta di consegna.

Con la nota prot. 14130/25 del 4 febbraio 2025 è stato chiesto alla Società di fornire osservazioni, ai sensi dell’art. 157 del Codice, riguardo a quanto rappresentato nel reclamo di XX. La richiesta, che risulta regolarmente consegnata via pec in pari data, è rimasta inevasa.

1.3 fascicolo 436688

Il 14 gennaio 2025 è pervenuta al Garante una comunicazione via pec da parte dell’avv. XX; la comunicazione era indirizzata alla Quick Gestione Crediti e al Garante ma, dal tenore della stessa, era di fatto rivolta direttamente alla Società per contestare la continua ricezione di email promozionali indesiderate nonostante la richiesta di cancellazione dei dati. Il Garante veniva interessato “affinché vigili ed adotti ogni provvedimento sanzionatorio nei confronti della Quick Gestione Crediti”. Alla descritta comunicazione non erano allegati documenti comprovanti l’identità del segnalante, le comunicazioni ricevute e le richieste di cancellazione asseritamente rivolte al titolare essendo, come detto, presentata come richiesta diretta al titolare e non come reclamo al Garante. Essendovi comunque un’istruttoria già in corso in merito ad analoghe vicende, il segnalante è stato informato al riguardo. Non sono pervenute successivamente altre comunicazioni da parte del segnalante o della Quick Gestione Crediti.

2. LA CONTESTAZIONE DELLE VIOLAZIONI

Con nota del 27 marzo 2025 (prot. n. 41317/25), che qui deve intendersi integralmente richiamata, è stato comunicato alla Società l’avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, per l’adozione di eventuali provvedimenti di cui all’art. 58, par. 2, del Regolamento, riconoscendo in capo a questa la responsabilità per le seguenti violazioni:

- artt. 157 e 166, comma 2, del Codice, sanzionata dall’art. 83, par. 5 del Regolamento, per il mancato riscontro alla richiesta di informazioni del Garante inviata con nota prot. 14130/25 del 4 febbraio 2025;

- art. 6, par. 1, lett. a) del Regolamento e art. 130, commi 1 e 2 del Codice, per il trattamento di dati personali effettuato in assenza di idonea base giuridica e finalizzato all’invio di comunicazioni promozionali tramite email.

L’atto di avvio del procedimento – cui erano stati allegati il reclamo di XX e la segnalazione di XX - risulta regolarmente notificato via pec il 27 marzo 2025 ma il titolare non ha fatto pervenire memorie difensive o richieste di audizione.

3. LE VALUTAZIONI DI ORDINE GIURIDICO DELL’AUTORITÀ

In base ai profili fattuali sopra evidenziati e alle affermazioni rese in sede istruttoria, di cui il dichiarante risponde ai sensi dell’art. 168 Codice, non avendo il titolare esercitato il diritto di difesa previsto dall’art. 166, comma 5 del Codice, si ritengono confermate le violazioni rilevate nell'atto di contestazione e si osserva quanto segue.

3.1 invio di comunicazioni promozionali indesiderate via email

Con riguardo all'istruttoria avviata su reclamo di XX, la Società ha dichiarato di aver inviato una sola email (segnatamente, quella del 6 febbraio 2024) e di averlo fatto per mero errore di trascrizione dell’indirizzo asseritamente confuso con quello di un proprio iscritto.

Tali giustificazioni non sono sufficienti a rimuovere le presunte illiceità. Ciò in quanto i reclamanti hanno allegato un totale di 4 email inviate dalla Quick Gestione Crediti in un periodo compreso fra il 21 settembre 2023 e il 26 giugno 2024, due delle quali sono state inviate all'indirizzo XX.

A ciò deve aggiungersi anche la segnalazione pervenuta dall'avv. XX, trasmessa con email del 14 gennaio 2025 e diretta alla Società e al Garante per lamentare proprio la ricezione di diverse email promozionali anche dopo l'opposizione.

In tale contesto non pare possibile sostenere che si sia trattato di una sola email né tantomeno che questa sia stata inviata per errore sembrando più plausibile che la Società, come purtroppo spesso avviene nella conduzione di attività promozionali da parte di piccole realtà imprenditoriali, si sia avvalsa di dati estratti da pubblici registri (peraltro gli istanti svolgono tutti la professione di avvocato). Ad ogni buon conto, pur non essendo stata confermata tale circostanza, resta chiaramente non comprovata la presenza di un consenso dei tre interessati menzionati alla ricezione di messaggi promozionali via email, unico presupposto giuridico che avrebbe potuto rimuovere l’illiceità della condotta.

Si deve infatti ricordare che il quadro normativo vigente non consente in nessun caso l’invio di messaggi promozionali attraverso reti di comunicazione elettronica (come l'email) senza aver acquisito un preventivo consenso da parte degli interessati. L’unica eccezione ammessa dall’ordinamento è quella contemplata dall’art. 130, comma 4 del Codice, in base alla quale è consentito l’utilizzo dell’indirizzo email di soggetti già clienti per l’invio di comunicazioni promozionali aventi ad oggetto prodotti o servizi analoghi a quelli già acquistati.

Allo stesso tempo, non è consentito l’utilizzo di dati personali contenuti in banche dati o registri (come quelli degli ordini professionali) creati per finalità diverse da quella promozionale (cfr. ad esempio, in www.garanteprivacy.it, i provvedimenti del Garante del 16 settembre 2021, doc. web n. 9705632, provvedimento 17 maggio 2023, doc web n. 9899880; provvedimento 18 luglio 2023 doc web n. 9939507; provvedimento 11 gennaio 2023 doc web n.9861941, provvedimento del 4 luglio 2024, doc. web n. 10070284).

Ciò premesso, ne consegue che le email di Quick Gestione Crediti sono state inviate in assenza di una base giuridica idonea, non essendo stato documentato il rilascio di uno specifico consenso degli interessati.

Tuttavia, sulla base degli elementi prodotti dalla Società nel corso dell’istruttoria, si evincono ulteriori interlocuzioni fra le parti che potrebbero avere un peso nella complessiva valutazione della vicenda alla luce anche dei principi di correttezza e buona fede delle parti.

Il contesto descritto impone infatti di valutare con cautela tutti gli elementi in atti lasciando supporre che lo scopo del reclamo possa non essere (unicamente) l’ottenimento di tutela contro possibili violazioni delle norme. Dalle interlocuzioni riportate, infatti, si comprende che l’avv. XX, prima di rivolgersi al Garante, avrebbe richiesto alla Quick Gestione Crediti una risoluzione bonaria della vicenda con conseguente riconoscimento di un corrispettivo economico per il risarcimento del presunto danno derivante dalla ricezione di due email promozionali; ne consegue che egli sarebbe stato disposto a transigere sull'illiceità della condotta del titolare se avesse ricevuto la somma richiesta, dimostrando così di poter facilmente rinunciare agli strumenti di tutela in cambio di un corrispettivo economico.

Tale assunto non viene meno di fronte al successivo tentativo di XX (cfr. replica del 2 dicembre 2024) di giustificare la propria condotta inquadrandola negli strumenti riconosciuti dal diritto.

Anche volendo attribuire alla condotta del reclamante un intento meramente didascalico, e senza poter vagliare in questa sede ulteriori e diverse intenzioni, si deve tuttavia ricordare che il ruolo dell’Autorità, che persegue l’interesse pubblico, va preservato scoraggiando possibili strumentalizzazioni del suo operato a fini privati.

In conclusione, la condotta descritta, pur integrando le richiamate violazioni, deve essere valutata in un più complessivo quadro che tenga in considerazione, da un lato, il singolo evento e, dall’altro, la potenziale portata del trattamento, stante anche l’assenza di precedenti procedimenti avviati a carico della società. Difatti, il caso oggetto di reclamo, in sé considerato e per come descritto, non presenta particolare rilevanza sotto il profilo del danno all'interessato, essendosi verificato l’invio di due email a distanza di mesi (21 settembre 2023 e 6 febbraio 2024 a XX; 15 aprile 2024 e 26 giugno 2024 a XX) e dal momento che non risulta siano pervenute altre comunicazioni ai reclamanti dopo aver formulato l’opposizione al titolare.  

Invece, in via più generale e con riguardo alla potenziale portata della condotta, tenuto conto anche di quanto segnalato – seppure in via generica – dall’avv. XX, la presente pronuncia si rende necessaria per chiarire, ancora una volta, gli obblighi giuridici sottesi alla realizzazione di campagne promozionali con mezzi di comunicazione elettronica (nel caso di specie, email) che il titolare è tenuto ad osservare in caso di future attività promozionali condotte con modalità analoghe a quella oggetto di reclamo.

Per tali ragioni, si ritiene di poter soprassedere dall'applicazione di una sanzione amministrativa pecuniaria e si ritiene che la misura dell’ammonimento, ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, possa in tale fase assolvere una funzione correttiva proporzionata e compatibile con la natura di microimpresa e con i risultati economici del titolare.

Resta inteso che le violazioni qui rilevate saranno oggetto di annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, e pertanto l'Autorità potrà tenerne conto nel caso in cui la condotta fosse nuovamente oggetto di reclamo da parte di altri interessati, ai sensi di quanto disposto dall'art. 83, par. 2, lett. e) del Regolamento.

3.2 mancato riscontro alla richiesta di informazioni del Garante

Con nota prot. 14130/25 del 4 febbraio 2025, l’Ufficio ha formulato nei confronti di Quick Gestione Crediti una richiesta di informazioni ai sensi dell’art. 157 del Codice in riferimento al reclamo presentato da XX. Nella nota era espressamente indicato che “in caso di inottemperanza alla presente richiesta dovrà essere applicata la sanzione amministrativa pecuniaria prevista dagli artt. 166 del d.lgs. n. 196/2003 (Codice in materia di protezione dei dati personali) e 83, par. 5, lett. e) del Regolamento (UE) 2016/679”.

Nonostante la regolare notifica via pec, la richiesta è rimasta priva di riscontro e non sono pervenute memorie difensive al riguardo nonostante la specifica contestazione della violazione comunicata con l’atto di avvio del procedimento del 27 marzo 2025.

In via generale, il mancato riscontro a una richiesta di informazioni del Garante è da censurare e difatti costituisce una violazione di legge poiché comporta, di norma, l’impossibilità per l’Ufficio di completare le valutazioni in sede di istruttoria; tuttavia, nel caso di specie si deve osservare che la Società aveva di fatto fornito un riscontro in merito alla  vicenda rispondendo alla richiesta inviata sulla base del reclamo di XX, reclamo che, giova ricordarlo, aveva ad oggetto anche l’email ricevuta sulla casella XX definita dallo stesso XX come un “altro indirizzo da me utilizzato in collaborazione con mio padre”, XX che ha poi formalizzato la doglianza con successivo reclamo a proprio nome. Si deve pertanto ritenere che i fatti descritti nei due reclami siano afferenti alla medesima condotta e che probabilmente una risposta della Quick Gestione Crediti alla seconda richiesta non avrebbe potuto aggiungere elementi di novità tali da modificare le valutazioni dell’Ufficio, se non eventualmente producendo giustificazioni a propria discolpa, prerogativa che la Società non ha comunque esercitato neanche in fase difensiva.

Per tali ragioni, sebbene si ravvisi la violazione dell’art. 157 del Codice, le circostanze descritte inducono a qualificare il caso come “violazione minore”, ai sensi dell’art. 83, par. 2, e del considerando 148 del Regolamento e si ritiene di poter soprassedere dall'applicazione di una sanzione amministrativa pecuniaria. Si ritiene, tuttavia che, relativamente al caso in esame, occorra ammonire il titolare del trattamento, ai sensi dell'art. 58, par. 2, lett. b), del Regolamento, dal momento che la condotta è stata posta in essere in violazione delle citate norme.

In ragione di quanto disposto dall’art. 154-bis, comma 3 del Codice, si procede alla pubblicazione del presente provvedimento sul sito internet dell’Autorità (cfr. anche art. 37 del regolamento interno del Garante n. 1/2019).

Si rileva inoltre che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione effettuato da Quick Gestione Crediti s.r.l.s., con sede in Firenze, piazza di San Salvi 5/R, partita IVA n. 01902630472, di conseguenza, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, rivolge un ammonimento al titolare dal momento che le condotte in esame sono state poste in essere in violazione delle citate norme, in quanto:

1. in assenza di uno specifico consenso degli interessati al trattamento dei dati personali, sono stati veicolati messaggi promozionali tramite email;

2. non è stato fornito riscontro a una richiesta di informazioni del Garante.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 18 dicembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE 
Montuori