Ricevere email pubblicitarie non richieste è fastidioso, ma quando dietro questi messaggi si nascondono vere e proprie violazioni della privacy, è importante sapere che esistono strumenti di tutela.
Lo dimostra il recente provvedimento del Garante per la protezione dei dati personali, che ha inflitto una sanzione di 45mila euro a un rivenditore di auto online per trattamento illecito dei dati personali a fini di marketing.
Cosa è successo?
La vicenda prende le mosse dal reclamo di un consumatore che, nonostante le ripetute richieste, continuava a ricevere numerose email pubblicitarie indesiderate. Il cliente, in particolare, lamentava che i messaggi arrivassero da indirizzi email sempre diversi, appartenenti a presunti "partner promozionali" della società, di cui però non aveva mai sentito parlare e a cui non aveva mai prestato il proprio consenso.
A seguito della segnalazione inoltrata al Garante, quest'ultimo ha avviato l'indagine.
Le irregolarità accertate
Dagli accertamenti del Garante sono emerse diverse criticità nel modo in cui il rivenditore gestiva i dati dei propri clienti. In particolare:
- Mancanza di controlli sui partner pubblicitari: la società non aveva predisposto adeguate misure per disciplinare i rapporti con i propri partner, i quali potevano così trattare liberamente i dati personali dei clienti senza alcun controllo e in violazione della normativa privacy.
- Assenza di un sistema di consenso valido: secondo la legge, per inviare comunicazioni promozionali è necessario ottenere un consenso espresso, chiaro e dimostrabile da parte dell'interessato. Tra le modalità più sicure c'è il cosiddetto double opt-in, un processo che richiede una doppia conferma da parte dell'utente prima di ricevere pubblicità. Nel caso in questione, questo meccanismo non era stato adottato.
- Diritti dei consumatori ignorati
Un altro aspetto grave evidenziato dal Garante riguarda il mancato rispetto delle richieste di opposizione da parte del cliente. Nonostante il consumatore avesse chiesto esplicitamente di non ricevere ulteriori comunicazioni, la società aveva semplicemente inserito il suo nominativo in una "black list" interna. Tuttavia, questo provvedimento si è rivelato inefficace, perché i partner esterni, non essendo stati correttamente gestiti, hanno continuato ad inviare email pubblicitarie.
Le conseguenze per l'azienda
Il Garante ha riconosciuto che, successivamente ai fatti, il rivenditore ha interrotto le attività pubblicitarie tramite email e ha rescisso i contratti con i partner coinvolti. Nonostante ciò, le violazioni commesse hanno portato a una sanzione amministrativa di 45mila euro, come segnale chiaro della necessità di rispettare la normativa a tutela della privacy.
Quale insegnamento lascia questa vicenda ai consumatori
Questa vicenda ci ricorda un principio fondamentale: i dati personali non possono essere gestiti in modo superficiale o senza il nostro consenso. Se riceviamo comunicazioni pubblicitarie indesiderate e le nostre richieste di opposizione non vengono rispettate, abbiamo il diritto di segnalare il caso al Garante per la protezione dei dati personali.
La legge prevede strumenti concreti per tutelare la nostra privacy, ma è fondamentale conoscerli e farli valere.
Autorità garante per la protezione dei dati personali - provvedimento n. 330 - 4 giugno 2025
Provvedimento del 4 giugno 2025
Registro dei provvedimenti
n. 330 del 4 giugno 2025
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, segretario generale reggente;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018 n. 101, recante disposizioni per l'adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE la prof.ssa Ginevra Cerrina Feroni;
PREMESSO
1. L’ATTIVITÀ ISTRUTTORIA SVOLTA
Con reclamo del 7 novembre 2023, regolarizzato il 16 febbraio 2024, il sig. XX ha lamentato di aver ricevuto numerose email indesiderate, pervenute a partire dal 21 giugno 2023 e aventi ad oggetto la promozione di servizi del sito web noicompriamoauto.it, appartenente a Noi Compriamo Auto.it S.r.l. (di seguito NCA o la Società). Il reclamante ha precisato di non aver mai fornito un consenso alla ricezione di tali messaggi, che provenivano da indirizzi email sempre diversi. Egli ha altresì aggiunto di aver inoltrato una richiesta di esercizio dei diritti alla NCA ricevendo un tardivo riscontro solo dopo un sollecito via pec. In tale sede, la Società avrebbe disconosciuto il suo ruolo di titolare del trattamento affermando che il consenso sarebbe stato rilasciato dall'interessato a una società partner, XX, attraverso il portale www.yoursavingfiesta.com.
Al riguardo il reclamante ha altresì dichiarato di non conoscere il soggetto cui farebbe riferimento detto sito (Yoursavingsfiesta LLC, con sede in Florida, Stati Uniti) disconoscendo l'indirizzo IP indicato come a lui riferito nel log di iscrizione prodotto dalla Società.
Inoltre, il reclamante ha aggiunto di aver continuato a ricevere email indesiderate per conto di NCA provenienti da un altro soggetto terzo (XX) a lui ignoto. Inoltrata una richiesta di esercizio dei diritti anche a quest'ultimo, avrebbe ricevuto riscontro dalla società di diritto spagnolo XX, che avrebbe dichiarato di aver acquisito i dati del sig. XX, e il relativo consenso alla ricezione di messaggi promozionali, a seguito di iscrizione sul portale https://streamail.pro. Anche in questo caso il reclamante ha dichiarato di non conoscere il sito web e ha disconosciuto l'indirizzo IP indicato nel log di iscrizione.
Tutti i soggetti coinvolti hanno dichiarato di aver cancellato i dati del sig. XX.
In riscontro alla richiesta di informazioni dell'Ufficio, NCA, con pec del 13 maggio 2024, ha confermato quanto dichiarato nel riscontro al reclamante.
In particolare, con riguardo al non tempestivo riscontro alla richiesta di esercizio dei diritti, ha osservato che l'iniziale richiesta dell'interessato era stata inviata alla casella del DPO ma non era stata ricevuta perché bloccata dal filtro antispam; pertanto, essa ha potuto apprendere della richiesta solo al momento della ricezione della stessa via pec.
Con riguardo alle email inviate, la Società ha precisato di aver immediatamente inserito in black list il reclamante non appena ricevuta la sua richiesta, addebitando le successive comunicazioni ricevute ai suoi partner che avrebbero agito in qualità di autonomi titolari. Più in generale, con riguardo alle modalità di svolgimento delle attività promozionali da parte di NCA, questa ha dichiarato di avvalersi di partnership con soggetti terzi, come XX e XX, che effettuano l'attività promozionale per conto di NCA impegnandosi al rispetto delle norme in materia di protezione dei dati personali. Al riguardo la Società ha allegato dei contratti sottoscritti con i due partner aggiungendo che, in ragione di quanto emerso a seguito del reclamo, tali rapporti contrattuali erano stati conclusi.
2. LA CONTESTAZIONE DELLE VIOLAZIONI
Con nota del 26 agosto 2024 (prot. n. 100828/24) è stato comunicato alla Società l’avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, per l’adozione di eventuali provvedimenti di cui all’art. 58, par. 2, del Regolamento, riconoscendo in capo a NCA la responsabilità per la presunta violazione delle seguenti disposizioni:
- art. 28 del Regolamento per non aver correttamente disciplinato i rapporti con i responsabili del trattamento;
- artt. 5, par. 2 e 24 del Regolamento in ragione dello scarso controllo da parte di NCA nei trattamenti finalizzati alla realizzazione delle campagne promozionali con conseguente incapacità di ottemperare all’obbligo di comprovare il rispetto delle norme (accountability del titolare);
- art.6, par. 1, lett. a) del Regolamento e dell'art. 130, comma 2 del Codice, per l'invio di comunicazioni promozionali senza consenso;
- art. 12, par. 2 del Regolamento, per non aver agevolato l'esercizio dei diritti da parte del reclamante.
3. LA DIFESA DELLA SOCIETÀ
La Società ha presentato proprie memorie difensive il 25 settembre 2024 con le quali, ad integrazione di quanto già dichiarato, ha rappresentato che:
a) la Società aveva in corso delle interlocuzioni con i partner per formalizzare dei contratti di contitolarità ma, intervenuto il procedimento del Garante e preso atto delle contestazioni mosse, ha deciso di interrompere i rapporti contrattuali con XX e XX e di interrompere, altresì, l'utilizzo dell'email marketing tramite terzi;
b) in base agli accordi contrattuali i partner dovevano assicurare di trattare i dati in conformità alle norme;
c) con riguardo ai consensi raccolti dai partner, la Società ha ritenuto che essi fossero conformi alle norme e ha osservato che il meccanismo del double opt-in suggerito dall'Autorità, benché sia più tutelante per l'interessato "non sia formalmente annoverato tra le condizioni di liceità del consenso ai sensi del Codice privacy e del GDPR";
d) NCA ha dimostrato di aver correttamente verificato l'operato dei partner poiché, dopo il reclamo, è riuscita a "ricostruire i flussi di dati personali" ottenendo dai partner i log di registrazione e provvedendo immediatamente a registrare l'opposizione e a comunicarla ai propri fornitori;
e) con riguardo al mancato riscontro al diritto di accesso, la Società ha rappresentato che la prima richiesta del sig. XX non è stata evasa perché finita nella casella spam ma la seconda richiesta, pervenuta un mese dopo, è stata trattata. La Società ha comunque rivisto le procedure e le misure tecniche e organizzative in uso per evitare il ripetersi di quanto occorso puntualizzando che, comunque, la mancata trattazione dell'istanza del reclamante è stata dovuta a un evento eccezionale e isolato;
f) la Società ha provveduto ad erogare delle ore di formazione specifica a tutti i dipendenti coinvolti nel trattamento dei dati personali.
4. VALUTAZIONI DI ORDINE GIURIDICO
In base ai profili fattuali sopra evidenziati e alle affermazioni rese in sede di riscontro, di cui il dichiarante risponde ai sensi dell’art. 168 Codice, si ritiene di confermare le violazioni rilevate nell'atto di contestazione sopra citato.
NCA innanzitutto deve qualificarsi come titolare del trattamento con tutte le connesse responsabilità in ordine alla selezione e al controllo dei soggetti che operano per suo conto. Ciò in quanto il contenuto promozionale era indubbiamente riferito a NCA e i link presenti nelle email riconducevano alla landing page di quest'ultima.
Al riguardo si deve richiamare la definizione di titolare e responsabile di cui all’art. 4 del Regolamento, dove è “titolare” la persona fisica o giuridica che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento, mentre è “responsabile del trattamento” il soggetto che tratta dati personali per conto del titolare.
Come meglio chiarito nelle Linee guida 7/2020 dell’EDPB(1), indipendentemente dalla qualificazione contrattuale dei ruoli, è titolare il soggetto che determina le finalità (why) e i mezzi, cioè le modalità (how), del trattamento; è invece da considerarsi responsabile il soggetto che opera per conto del titolare, eseguendone le istruzioni anche con un certo grado di autonomia senza tuttavia poter esercitare alcuna facoltà in ordine alla scelta delle finalità del trattamento.
Del resto, se la realizzazione di una campagna promozionale può (auspicabilmente) apportare benefici in termini di incremento delle vendite, questa può anche comportare, se non correttamente eseguita, una lesione dei diritti delle persone nonché un danno proprio a quell’immagine aziendale che invece si voleva promuovere. È pertanto comprensibile che un committente abbia interesse ad esercitare quelle attività di selezione e vigilanza, proprie di chi opera come titolare del trattamento, che costituiscono per esso un obbligo (come previsto dall’art. 28 del Regolamento) ma allo stesso tempo anche una importante occasione di verificare la corretta esecuzione della commessa.
Nel caso specifico, sulla base di quanto acquisito in atti, si è avuto l’invio di email nel chiaro intento di promuovere servizi di NCA, benché tale attività sia stata materialmente effettuata da soggetti terzi cui la Società si sarebbe affidata.
Si deve richiamare, inoltre, quanto chiarito dal Garante con il provvedimento del 15 giugno 2011 (in www.garanteprivacy.it, doc. web n. 1821257) con specifico riguardo al fatto che “…i contatti a carattere promozionale sono effettuati in nome, comunque per conto e nell’interesse della società preponente; con l’effetto che negli interessati si ingenera un legittimo affidamento, dal momento che essi percepiscono di essere destinatari di iniziative pubblicitarie condotte direttamente dalla società per conto della quale viene formulata la proposta di vendita di prodotti o servizi”. In tali termini, il preponente, essendo il soggetto che determina la finalità promozionale del trattamento ed i mezzi per la sua effettuazione, oltre ad essere il soggetto nel cui interesse il trattamento è effettuato, si configura quale titolare del trattamento.
Invece, il soggetto che per suo conto concretamente svolge il servizio, può essere, a seconda del concreto atteggiarsi dei ruoli fra le parti, un contitolare o un responsabile del trattamento, come chiarito dal Garante nelle Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013 (doc. web n. 2542348) e nel provvedimento del 26 ottobre 2017 (doc. web n. 7320903) oltre che, più di recente nei provvedimenti del 25 novembre 2021 (doc. web n. 9736961 e doc. web n. 9737185), nei provvedimenti del 2 dicembre 2021 (doc. web n. 9731664, nel provv. 2 dicembre 2021 (doc. web n. 9731682), nel provvedimento del 5 agosto 2022 (doc. web n. 9827135), provvedimento del 20 ottobre 2022 (doc. web n. 9827153).
Tale ricostruzione non è stata contestata dalla Società che, nella memoria difensiva, ha preso atto di questo chiaro orientamento del Garante.
Dalla documentazione prodotta da NCA si evince che i rapporti fra le parti non sono stati disciplinati con riguardo al trattamento dei dati personali poiché i contratti con i partner risultavano sottoscritti da soggetti diversi dalla NCA (XXe XX); inoltre, se pure si dimostrasse la riconducibilità di tali atti a NCA, si dovrebbe osservare che il contratto sottoscritto con XX disciplina solo i rapporti economici fra le parti con riguardo a generiche attività di digital advertising e non contiene idonee istruzioni da parte del titolare del trattamento. Il contratto sottoscritto con XX, invece, contiene solo una clausola di manleva con la quale il fornitore si impegna a garantire il rispetto delle norme in materia di protezione dati, trattando unicamente indirizzi email di soggetti che hanno conferito un idoneo consenso.
Allo stesso modo, non risulta che NCA abbia effettuato alcuna attività di verifica dei partner, sia in fase di selezione che successivamente con lo svolgimento delle attività commissionate. Eppure il trattamento posto in essere dai partner presenta diversi profili di possibile illiceità; innanzitutto la XX ha dichiarato di aver acquisito i dati in virtù di un consenso che il reclamante avrebbe rilasciato accedendo al portale www.yoursavingfiesta.com che fa capo a un soggetto diverso dalla XX stessa e ha sede negli Stati Uniti. Nell'informativa privacy presente nel menzionato portale non è indicato né uno stabilimento nell'Unione Europea, né la nomina di un rappresentante ai sensi dell'art. 27 del Regolamento. Allo stesso modo, la XX avrebbe acquisito i dati da un altro soggetto ancora, la XX, con sede in Spagna, a seguito di un'asserita iscrizione nel portale streamail.pro. Con riguardo alla documentazione dei consensi tramite log dell'iscrizione, il Garante ha più volte chiarito come ciò non sia sufficiente a documentare l'effettiva volontà dell'interessato essendo più tutelante l'invio di una email di conferma all'indirizzo registrato (double opt-in). La documentazione prodotta dai partner al sig. XX, peraltro, non si può considerare idonea a documentare alcunché dal momento che XX si è limitata a indicare un indirizzo IP con data e ora di acquisizione e lo stesso ha fatto NCA nel trasmettere il riscontro di XX. Tali informazioni, puramente descrittive, non specificano se tale registrazione riguardi la mera iscrizione al servizio o esprima uno specifico consenso; consenso la cui finalità (marketing, comunicazione a terzi) non è parimenti chiarita mancando qualsiasi collegamento con i form asseritamente sottoscritti dal reclamante nel 2021 e con la relativa informativa.
Al riguardo, non può considerarsi sufficiente la prospettata capacità della NCA di "ricostruire i flussi di dati personali" dopo aver ricevuto la richiesta di opposizione da parte dell'interessato; sarebbe stato grave non averlo fatto o non averlo potuto fare ma di certo non si può considerare tale prerogativa alla stregua di una procedura di controllo del fornitore.
Inoltre, con riguardo all'inesistenza di un espresso obbligo normativo rispetto alla qualificazione del consenso con modalità double opt-in, si osserva che - contrariamente a quanto sostenuto dalla NCA - tra i requisiti di liceità del consenso di cui all'art. 7 del Regolamento, si prefigura l'obbligo per il titolare di dimostrare che l'interessato ha prestato il proprio consenso. Tale dimostrazione, per quanto ormai noto allo stato dell'arte, non può considerarsi sufficientemente resa attraverso la presentazione di stampigliature - qualificate come file di log - recanti dati spesso disconosciuti dagli interessati, prive dei requisiti informatici di immodificabilità e concernenti liste formate da soggetti, spesso ubicati extra-UE, che non offrono garanzie adeguate. In tale contesto si deve innanzitutto tenere conto del fatto che il Regolamento non prevede espressamente specifici obblighi normativi per singole fattispecie ma impone il rispetto di generali principi da adattare al contesto, ai potenziali rischi e alle aspettative degli interessati. Partendo da tale presupposto, il Garante ha più volte fornito orientamenti su casi specifici ricordando che la documentazione del consenso in modalità double opt-in è una forma di documentazione del consenso che offre maggiori garanzie e può considerarsi, allo stato dell'arte, una misura minima di protezione per l'interessato ma anche per lo stesso titolare, tenuto a comprovare la liceità del trattamento (cfr, ad esempio, in www.garanteprivacy.it, provv. 15 dicembre 2022, doc web 9852290, provv. 26 ottobre 2017, doc. web n. 7320903 e provv. 25 novembre 2021, doc. web n. 9737185); analoghe modalità di documentazione del consenso sono indicate anche all'interno del codice di condotta in materia di telemarketing e teleselling (provv. del 7 marzo 2024, doc web n. 9993808). Pertanto, tale misura (o qualsiasi altra che possa offrire un pari livello di garanzia) rientra perfettamente nel quadro normativo, in ragione del combinato disposto dell'art. 7, par. 1 e dell'art. 24, par. 1 del Regolamento poiché il titolare, tenuto conto del contesto e dei potenziali rischi, deve mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento e che l'interessato ha prestato il proprio consenso.
Anche la presenza di clausole di manleva nei contratti sottoscritti con i partner, o le asserite garanzie di conformità da questi offerte in via pattizia, non possono essere considerate misure sufficienti per giustificare il mancato controllo preliminare e successivo da parte del titolare; tali aspetti infatti hanno valore unicamente rispetto alle eventuali responsabilità contrattuali delle parti ma non hanno alcun rilievo ai fini delle garanzie richieste dal quadro normativo a protezione dei dati personali.
Inoltre, se anche fosse considerata lecita l'acquisizione dei dati del reclamante e del suo consenso alla ricezione di messaggi promozionali, non risulta parimenti dimostrato il suo assenso alla comunicazione a terzi di tali dati e, in ogni caso, un siffatto consenso potrebbe autorizzare unicamente la comunicazione a un solo soggetto non potendosi ammettere che da tale atto di volontà discenda automaticamente la possibilità di trasferire i dati ad ulteriori terzi in una catena infinita di cui l'interessato non avrebbe più traccia (cfr. provvedimento del Garante del 23 febbraio 2023, doc. web n. 9870014).
5. CONCLUSIONI
La mancata qualificazione dei ruoli in ordine al trattamento dei dati personali ha vanificato l'opposizione manifestata dall'interessato direttamente a NCA poiché l'inserimento in black list dichiaratamente effettuato da quest'ultima non ha prodotto alcun risultato visto che i partner hanno potuto continuare a inviare comunicazioni promozionali per conto di NCA in virtù di un consenso asseritamente acquisito in maniera autonoma.
Ciò premesso, si conferma la violazione dell'art. 28 del Regolamento dal momento che, non sono stati correttamente disciplinati i rapporti con i responsabili del trattamento.
Inoltre, si deve ricordare che il titolare del trattamento è tenuto a mettere in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento sia effettuato in conformità al Regolamento. Nel caso di specie, invece, non risulta che NCA abbia adottato particolari precauzioni nell’affidamento del servizio promozionale ai partner, sia con riguardo alla responsabilità in eligendo, sia relativamente a successivi interventi in vigilando, dimostrando scarso controllo nei trattamenti finalizzati alla realizzazione delle campagne promozionali con conseguente incapacità di ottemperare all’obbligo di comprovare il rispetto delle norme (accountability del titolare).
Pertanto, si conferma la violazione degli artt. 5, par. 2 e 24 del Regolamento.
Inoltre, in conseguenza del quadro descritto, si deve concludere che le comunicazioni promozionali inviate al sig. XX non erano assistite da un idoneo consenso per il trattamento promozionale, non essendo tale consenso correttamente documentato all'origine e non potendo essere invocato dopo che il reclamante si era opposto nei confronti di NCA.
Per tali ragioni si conferma la violazione dell'art.6, par. 1, lett. a) del Regolamento e dell'art. 130, comma 2 del Codice.
Infine, si osserva che il reclamante aveva esercitato i propri diritti scrivendo alla casella email del DPO il 21 giugno 2023; pur non avendo ricevuto alcun messaggio di errore dal servizio di posta elettronica, non sarebbe pervenuto alcun riscontro alla sua istanza. Il sig. XX avrebbe dunque rinnovato l'invio, in data 24 luglio 2023, scrivendo sia all'indirizzo del DPO che agli indirizzi protezionedati@noicompriamoauto.it e info@noicompriamoauto.it ricevendo, per tutti e tre gli indirizzi, un messaggio di mancato recapito per blocco da parte del filtro antispam. Così, in pari data, avrebbe inoltrato le sue richieste all'indirizzo pec, ricevendo finalmente un riscontro (cfr. replica del sig. XX del 5 settembre 2023 allegata al reclamo). Ne consegue che all'interessato non è stato consentito un agevole esercizio dei diritti e che tale diritto gli sarebbe stato del tutto precluso se non avesse potuto avvalersi della pec. Risulta pertanto confermata la violazione dell'art. 12, par. 2 del Regolamento.
Si deve comunque osservare che la Società ha preso atto di quanto contestato dall'Autorità con l'atto di avvio del procedimento e ha interrotto sia i rapporti contrattuali in essere, sia la stessa attività promozionale veicolata via email tramite terzi.
Accertata dunque l’illiceità delle condotte di NCA con riferimento ai trattamenti presi in esame, tenuto conto che la condotta non conforme risulta interrotta, non si rinvengono i presupposti per l'adozione di misure correttive nei confronti del titolare; con riguardo alle violazioni occorse si rende invece necessario adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di NCA della sanzione amministrativa pecuniaria prevista dall’art. 58, par. 2, lett. i) e 83 del Regolamento.
In ragione di quanto disposto dall’art. 154-bis, comma 3 del Codice, si procede alla pubblicazione del presente provvedimento sul sito internet dell’Autorità (cfr. anche art. 37 del regolamento interno del Garante n. 1/2019).
Si rileva inoltre che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.
6. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA
In base a quanto sopra rappresentato, risultano violate le sopra descritte varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati da NCA , per cui occorre applicare l’art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave con conseguente applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.
Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.
In adempimento di tale previsione, ipotizzato, sulla base delle informazioni rinvenibili nell'ultimo bilancio (registrato al 31 dicembre 2023), il ricorrere della prima ipotesi prevista dal citato art. 83, par. 5 e quantificato quindi in 20 milioni di euro il massimo edittale applicabile, devono essere considerate le seguenti circostanze aggravanti:
1. la gravità delle violazioni dal momento che il titolare ha commissionato l'attività promozionale a terzi senza assicurarsi che offrissero idonee garanzie di liceità per il trattamento dei dati personali (art. 83, par. 2, lett. a), del Regolamento);
2. il carattere colposo della violazione, dal momento che la Società ha dimostrato grave negligenza disinteressandosi di ogni aspetto connesso alla tutela degli interessati, interamente delegato a soggetti terzi (art. 83, par. 2, lett. b), del Regolamento);
Quali elementi attenuanti, si ritiene di poter tener conto:
1. delle misure adottate dal titolare del trattamento per attenuare il danno subito dagli interessati, tenuto conto che NCA ha rescisso i contratti con i partner e ha interrotto l'attività promozionale tramite email (art. 83, par. 2, lett. e del Regolamento);
2. dell’assenza di precedenti procedimenti avviati a carico della Società (art. 83, par. 2, lett. e del Regolamento);
3. del grado di cooperazione con l'Autorità di controllo e delle misure tempestivamente poste in essere per porre fine alle violazioni (art. 83, par. 2, lett. f del Regolamento);
4. della natura dei dati trattati, consistenti in dati comuni anagrafici e di contatto (art. 83, par. 2, lett. g del Regolamento).
In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione.
Pertanto si ritiene che - in base al complesso degli elementi sopra indicati - debba applicarsi a NCA la sanzione amministrativa del pagamento di una somma di euro 45.000,00,00 (quarantacinquemila/00) pari allo 0,23% della sanzione edittale massima di 20 milioni di euro.
Nel caso in argomento si ritiene che debba applicarsi, altresì, la sanzione accessoria della pubblicazione nel sito del Garante del presente capo contenente l'ordinanza ingiunzione, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019.
In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare proporzionata in relazione alla gravità e al particolare disvalore delle condotte oggetto di censura, tenuto conto degli elementi di rischio per i diritti e le libertà degli interessati (potenzialmente tutti gli interessati destinatari dell'attività promozionale sopra descritta).
TUTTO CIÒ PREMESSO IL GARANTE
ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione effettuato da Noi Compriamo Auto S.r.l., con sede in via Perin Del Vaga, 2, Milano, P.IVA 08406540966; di conseguenza
ORDINA
ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, a Noi Compriamo Auto S.r.l. in persona del suo legale rappresentante, di pagare la somma di euro 45.000,00,00 (quarantacinquemila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;
INGIUNGE
alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di 45.000,00,00 (quarantacinquemila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;
DISPONE
a) ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019, la pubblicazione dell'ordinanza ingiunzione nonché, ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione della presente ordinanza ingiunzione sul sito web del Garante;
b) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, dispone l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.
Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 4 giugno 2025
IL PRESIDENTE
Stanzione
IL RELATORE
Cerrina Feroni
IL SEGRETARIO GENERALE REGGENTE
Filippi
Nessun commento:
Posta un commento