[doc. web n. 10236228]

Provvedimento del 26 febbraio 2026

Registro dei provvedimenti
n. 126 del 26 febbraio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000 (disponibile per la consultazione sul sito www.gpdp.it, doc. web n. 1098801);

RELATORE la prof.ssa Ginevra Cerrina Feroni;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con atto Prot. n. 173642 del 12 dicembre 2025, notificato in pari data mediante posta elettronica certificata, che qui deve intendersi integralmente riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti dell’impresa individuale S.M. Trattamento Acqua di XX (di seguito anche “S.M. Trattamento Acqua” o “Titolare”), in persona del legale rappresentante, con sede in Ghedi (BS), Via Mascagni, 13, P.IVA 03605130172.

Il procedimento trae origine da un’istruttoria avviata a seguito della trasmissione all’Autorità di due reclami presentati rispettivamente nei confronti del titolare del trattamento e di Flamel S.r.l. (di seguito anche “Flamel” o “Responsabile”), mediante i quali l’interessato lamentava l’avvenuta ricezione di alcune chiamate indesiderate e di un messaggio di conferma sulla propria utenza telefonica iscritta al Registro Pubblico delle Opposizioni (di seguito anche “RPO”), tutti effettuati nell’interesse di S.M. Trattamento Acqua. Con la medesima doglianza l’interessato lamentava anche il mancato riscontro all’istanza di esercizio dei diritti avanzata ai sensi dell’art. 15 del Regolamento nei confronti del titolare del trattamento, ritenendo pertanto opportuno rivolgersi all’Autorità per la tutela dei diritti riconosciuti ai sensi della vigente normativa in materia di protezione dei dati personali.

1.2. Reclamo n. 434092 (cfr. Prot. n. 1198 dell’8 gennaio 2025)

Con reclamo presentato in data 5 gennaio 2025 (cfr. Prot. n. 1198 dell’8 gennaio 2025) e successivamente integrato in data 10 gennaio 2025 (cfr. Prot. n. 3819 del 14 gennaio 2025), l’interessato lamentava di aver ricevuto sulla propria numerazione mobile, iscritta al RPO, una chiamata pre-registrata, effettuata nell’interesse del titolare, mediante la quale veniva informato che nella sua regione era «possibile ora avere un depuratore a costo zero». Più in particolare, l’interessato rappresentava che, al fine di comprendere chi stesse effettuando tale chiamata indesiderata, aveva chiesto di essere ricontattato. Così, l’istante riceveva dapprima una telefonata «dal numero XX “controllo qualità” che mi ha formulato alcune domande: la provincia di residenza ed il numero dei membri della famiglia» e poi un ulteriore contatto «dal sig. Domenico (numero XX) il quale mi ha richiesto il dato di residenza nonché ulteriori dati personali (sulla professione mia e degli altri membri della famiglia, sulle abitudini di consumo, ecc.), ed ha affermato di operare per conto di SM Trattamento Acqua». Il reclamante rappresentava, altresì, di avere ricevuto un messaggio di conferma dell’avvenuto contatto recante «la dicitura “rif SM TRATTAMENTO ACQUA GHEDI BS” riconducibile alla Ditta S.M. TRATTAMENTO ACQUA DI XX con sede in Via Pietro Mascagni, 13 25016 Ghedi – Brescia».

Con la medesima doglianza, l’interessato lamentava anche il mancato riscontro da parte del titolare all’istanza di esercizio dei diritti avanzata a mezzo posta elettronica certificata in data 3 dicembre 2024. A tale riguardo, il reclamante precisava, altresì, di essere stato ricontattato in data 4 dicembre 2024 «da una addetta di S.M. Trattamento Acqua, sempre sulla mia utenza cellulare, per finalizzare la proposta commerciale. A tale addetta ho fatto presente che avevo inviato una PEC per richiedere l’informativa per il trattamento dati personali. L’addetta mi ha risposto che non intendeva rispondere alla PEC in quanto non temeva alcuna conseguenza».

Il reclamante trasmetteva la doglianza in esame anche all’indirizzo del titolare che, con nota del 10 gennaio 2025 (cfr. Prot. n. 3815 del 14 gennaio 2025), riscontrava l’istante dichiarando di avvalersi di Flamel per la fornitura di «lead coperti da privacy e autorizzazione del trattamento dati personali» e ne forniva i recapiti.

Successivamente, a seguito di una formale richiesta da parte dell’Ufficio, l’istante provvedeva alla regolarizzazione del reclamo (cfr. Prot. n. 51245 del 14 aprile 2025 e n. 55412 del 23 aprile 2025).

All’esito di una verifica effettuata dall’Ufficio, emergeva che nessuna delle numerazioni chiamanti indicate nell’atto di reclamo risultava iscritta presso il Registro degli Operatori di Comunicazione e postali (“ROC”).

Pertanto, esaminato l’atto di reclamo e la documentazione ivi allegata, l’Ufficio ai sensi degli artt. 58, par. 1, lett. a) del Regolamento e 157 del Codice notificava al titolare una richiesta di informazioni, invitandolo a fornire le proprie osservazioni in ordine a quanto rappresentato dall’istante, nonché maggiori informazioni sulle attività promozionali svolte e sulla gestione delle istanze in materia di diritti da parte dei soggetti interessati (cfr. Prot. n. 67971 del 20 maggio 2025).

Con nota trasmessa in data 22 maggio 2025 il titolare riscontrava le richieste dell’Ufficio, fornendo copia della privacy policy aziendale, dell’ordine di acquisto delle anagrafiche, nonché della fattura giustificativa dell'acquisto (cfr. Prot. n. 69633/2025).

Con particolare riferimento alla provenienza delle anagrafiche, nell’ordine di acquisto veniva riportata la dicitura «Modalità di acquisizione e procacciamento dei lead: Meta, Tik Tok, Voicebot».

1.3. Reclamo n. 446644 (cfr. Prot. n. 19519 del 14 febbraio 2025)

Con istanza del 13 febbraio 2025 (cfr. Prot. 19519 del 14 febbraio 2025), il reclamante reiterava il medesimo atto di reclamo già presentato in data 8 gennaio 2025 – chiarendo solo successivamente nel corso dell’istruttoria che tale doglianza si riferiva propriamente al responsabile - e trasmetteva la documentazione riguardante l’istanza di esercizio dei diritti avanzata in data 10 gennaio 2025 nei confronti di Flamel. Con riscontro del 30 gennaio 2025, il responsabile aveva chiarito all’interessato che i lamentati contatti erano avvenuti a causa di un errore informatico occorso nella consultazione del RPO e che i dati personali e i consensi da parte del reclamante erano stati acquisiti in data 11 aprile 2022 attraverso un form presente sul sito www.ilmegafono.info, riconducibile alla Wonderlead Global LTD.

Sul punto, il reclamante evidenziava che «L’indirizzo IP indicato risulta geolocalizzato a Genova, città nella quale non mi sono recato nel periodo indicato» e dichiarava di non avere mai consultato il sito richiamato.

Esaminato l’atto di reclamo e la documentazione allegata, l’Ufficio ai sensi degli artt. 58, par. 1, lett. a) del Regolamento e 157 del Codice, notificava al titolare una richiesta di informazioni, invitandolo a trasmettere le proprie osservazioni in ordine a quanto rappresentato con il predetto reclamo, nonché a fornire informazioni sulle attività di telemarketing e teleselling svolte nel proprio interesse e sulla gestione delle istanze in materia di diritti degli interessati (cfr. Prot. n. 58620 del 2 maggio 2025).

Con nota del 9 maggio 2025 (cfr. Prot n. 63710 del 12 maggio 2025) il titolare rappresentava che «dopo aver letto e contattato nuovamente il nostro fornitore di leads dal quale già conoscete le generalità avendogliele inviate in risposta alla vostra precedente richiesta, la invitiamo a rivolgersi a loro poichè da parte nostra non vi è nessuna responsabilità in quanto acquistiamo leads dichiarati coperti da privacy. La invitiamo a colloquiare con gli avvocati di Flamel in modo da trovare la definizione del tutto con loro. Siamo altresì a conoscenza di un contatto avvenuto in precedenza con la stessa e di un probabile accordo già in essere».

1.4. Riunione dei procedimenti ai sensi dell’art. 10, comma 4, del regolamento interno n. 1/2019

Considerata la coincidenza oggettiva – e in parte anche soggettiva - delle doglianze presentate dal reclamante, ai sensi dell’art. 10, comma 4, del regolamento interno n. 1/2019 (disponibile per la consultazione sul sito www.gpdp.it, doc-web n. 9107633), l’Ufficio riteneva opportuno provvedere alla trattazione congiunta dei reclami nn. 434092 e 446644, atteso che la riunione dei procedimenti consentiva di dare piena attuazione ai principi di economicità e ragionevole durata del procedimento e di garantire, al contempo, anche il diritto di difesa e di non aggravamento del procedimento riconosciuto dalla legge al titolare del trattamento.

Tale riunione veniva comunicata al reclamante e, nella medesima occasione, veniva trasmessa anche la nota di riscontro alla richiesta d’informazioni fatta pervenire dal titolare, rammentando la facoltà di presentare eventuali osservazioni (cfr. Prot. n. 136902 del 15 ottobre 2025).

1.5 La richiesta di informazioni integrativa formulata dall’Autorità

Preso atto delle circostanze rappresentate e di tutta la documentazione versata agli atti del procedimento, con nota del 15 ottobre 2025 (cfr. Prot. n. 136911/2025) l’Ufficio invitava S.M. Trattamento Acqua e Flamel a fornire le proprie osservazioni in ordine a quanto rappresentato dal reclamante e taluni chiarimenti in merito ai trattamenti dei dati effettuati per finalità promo-pubblicitarie.

Così, con nota trasmessa il 4 novembre 2025 (cfr. Prot. n. 146594 del 5 novembre 2025), il titolare riscontrava la richiesta d’informazioni dell’Ufficio, chiarendo che i rapporti intrattenuti con Flamel avevano «natura prettamente commerciale», avendo acquisito da tale società «leads proveniente dalle piattaforme meta» e precisando di non poter fornire chiarimenti in merito al «trattamento dati effettuati da Flamel in quanto non è di nostra pertinenza».

Il titolare chiariva poi di non aver raggiunto alcun accordo risarcitorio con l’interessato, rappresentando al contempo che probabilmente Flamel avrebbe invece riconosciuto al reclamante la somma di € 500,00 a titolo risarcitorio.

In merito al coinvolgimento di Wonderlead Global LTD, S.M. Trattamento Acqua riferiva di essere estranea ai rapporti commerciali intrattenuti da Flamel con tale società.

Riguardo all’istanza di esercizio dei diritti avanzata dal reclamante in data 3 dicembre 2024, il titolare rappresentava di non aver fornito riscontro in quanto, alla luce di un confronto con il proprio consulente legale, aveva ritenuto di non essere responsabile delle anagrafiche fornite da Flamel, considerando incombenza di quest’ultima fornire una risposta all’interessato.

Rispetto alle attività di teleselling svolte e, segnatamente, alla «lavorazione di lead acquistati da società terzi», S.M. Trattamento Acqua riferiva che «Il lead arriva su foglio condiviso da Flamel con nominativo telefono e città. Sono i nominativi già contattati dalla Flamel e interessati ad una consulenza per acquisto di un depuratore acqua, quindi lead che hanno già dato il loro consenso alla chiamata. Il lead viene contattato dai nostri collaboratori per fissare un appuntamento con il commerciale». Il titolare chiariva poi che «le campagne non hanno mai avuto il logo sm trattamento acqua in quanto semplicemente campagne generiche».

Infine, S.M. Trattamento Acqua rilevava che «Non essendo nostro compito, non abbiamo idea delle modalità di selezione dei list provider e dei partner commerciali coinvolti nel trattamento dei dati».

Con nota trasmessa il 4 novembre 2025 (cfr. Prot. n. 146600 del 5 novembre 2025), anche Flamel trasmetteva i chiarimenti richiesti, precisando preliminarmente che «all'epoca dei fatti oggetto di reclamo, era un'impresa di recente costituzione, che muoveva i primi passi nel settore del marketing digitale. Il rapporto con la D.I. S.M. Trattamento Acqua di XX (…) ha rappresentato, di fatto, la prima commessa effettiva» e che «le procedure interne in materia di privacy, sebbene presenti, non avevano ancora raggiunto il livello di strutturazione e maturità oggi implementato». Flamel rappresentava, altresì, di avere di recente «intrapreso un percorso di profondo adeguamento e potenziamento delle proprie policy interne, che ha portato, tra le altre cose, alla successiva nomina di un Responsabile della Protezione dei Dati (DPO) e all'adozione di più stringenti procedure di verifica dei partner commerciali».

Con specifico riguardo al rapporto intercorrente tra S.M. Trattamento Acqua e Flamel, quest’ultima rilevava che lo stesso era «qualificabile come un contratto di prestazione di servizi di marketing. S.M. Trattamento Acqua, in qualità di Committente e Titolare del trattamento, ha incaricato Flamel di ideare e gestire una campagna di lead generation. Il ruolo di Flamel era quello di fornitore del servizio, agendo quale Responsabile del trattamento. I trattamenti effettuati da Flamel per conto di S.M. Trattamento Acqua consistevano nell'ideazione della campagna marketing, nell'acquisizione di liste di contatti da un fornitore terzo specializzato e nella successiva trasmissione di tali liste a un call center per l'effettuazione dei contatti telefonici. Flamel non ha effettuato direttamente alcun contatto telefonico con gli interessati». A tale riguardo, Flamel ha prodotto copia del modulo d’ordine sottoscritto tra le parti in data 29 agosto 2024, rappresentando che «tale documento costituiva l'accordo principale tra le parti per la campagna in oggetto».

Con riferimento alle istanze di esercizio dei diritti riconosciuti agli interessati, il responsabile riferiva di garantire «l'esercizio dei diritti degli interessati attraverso la gestione delle richieste che le pervengono» e in relazione alla richiesta formulata dal reclamante chiariva di aver «immediatamente provveduto a inserire i suoi dati in una blacklist interna per assicurare che non venisse più contattato per alcuna campagna gestita da Flamel».

In merito all’eventuale raggiungimento di un accordo risarcitorio con l’interessato, Flamel evidenziava che «nessuna somma a titolo risarcitorio è stata accordata o corrisposta all'odierno reclamante da parte di Flamel S.r.l. Ma vi è piena volontà nelle more del presente procedimento a trovare un accordo bonario (…) ai soli fini transattivi».

Rispetto ai rapporti commerciali intrattenuti con Wonderlead Global LTD, il responsabile rappresentava che tale società «era il fornitore specializzato dal quale Flamel S.r.l. ha acquistato le liste di contatti ("leads") utilizzate per la campagna di S.M. Trattamento Acqua, la quale era stata informata di tale circostanza. Il ruolo di Wonderlead Global LTD era quello di autonomo Titolare del trattamento per la fase di raccolta dei dati e del relativo consenso. Nel contratto di fornitura stipulato con Flamel, Wonderlead Global LTD ha garantito la provenienza e la liceità della raccolta dei dati, nonché la sussistenza di un idoneo consenso degli interessati alla comunicazione a terzi per finalità di marketing. Flamel ha agito in buona fede, confidando sulle garanzie contrattuali fornite da un operatore specializzato del settore».

Inoltre, Flamel rappresentava che «L'origine dei dati dell'odierno reclamante, per quanto a conoscenza di Flamel, è da ricondursi alla società Wonderlead Global LTD. Quest'ultima ha dichiarato di aver raccolto i dati tramite un form online sul sito ilmegafono.info. Flamel non ha avuto alcun ruolo nella fase di raccolta originaria e si è basata sulle dichiarazioni e garanzie del proprio fornitore».

Quanto alla dicitura «Modalità di acquisizione e procacciamento dei lead: Meta, Tik Tok, Voicebot» presente nel modulo d'ordine sottoscritto con S.M. Trattamento Acqua, Flamel precisava che «tale indicazione rappresentava una descrizione generale delle metodologie che il fornitore (Wonderlead) dichiara di utilizzare per la generazione dei contatti, e non una certificazione della specifica fonte di ogni singolo dato fornito».

Più in generale, Flamel rappresentava che l'attività dalla stessa svolta non consisteva nella commercializzazione di liste di contattabilità, in quanto «Il (…) modello di business si basa sulla progettazione e gestione di campagne di marketing per conto di clienti terzi. Tale attività include la definizione della strategia, l'acquisizione di contatti qualificati da fornitori specializzati, come Wonderlead, e il coordinamento delle attività operative, che vengono affidate a partner esterni, come i call center. Flamel non crea né possiede database propri per finalità di marketing, ma acquisisce di volta in volta le anagrafiche necessarie per le singole campagne commissionate, sulla base delle garanzie fornite dai cedenti circa la liceità del trattamento (…) Flamel S.r.l. non vende liste di contattabilità, ma le utilizza esclusivamente nell'ambito delle campagne di marketing commissionate dai propri clienti».

Infine, Flamel precisava che «l'attività operativa di contatto telefonico per la campagna di S.M. Trattamento Acqua è stata affidata a un call center esterno, la società Z1on S.r.l.s. (…) Tale società era stata incaricata di effettuare le chiamate e di eseguire la preventiva verifica delle liste sul Registro Pubblico delle Opposizioni (RPO). Il contatto indesiderato lamentato (…) è dunque riconducibile a un errore operativo occorso in tale fase, non direttamente imputabile a Flamel, che aveva demandato tale specifico adempimento».

1.6. Osservazioni del reclamante

Con nota trasmessa il 24 ottobre 2025 (cfr. Prot. n. 141503/2025), il reclamante faceva pervenire le proprie osservazioni contestando integralmente la ricostruzione fattuale prospettata dal titolare nell’ambito dei riscontri forniti all’Autorità ed evidenziando in particolare che «la risposta di Flamel s.r.l. (allegata al reclamo del 13/02/2025) dà evidenza del fatto che il dato personale del sottoscritto deriverebbe da un consenso prestato nel 2022. Il dato, quindi, non poteva essere utilizzato per finalità di marketing e doveva essere cancellato. 6. Non risulta alcuna prova che il sottoscritto abbia fornito il consenso al trattamento. 7. Il sottoscritto non ha mai fornito il consenso al trattamento, non ha mai consultato il sito “ilmegafono.info”».

1.7 Contestazione delle violazioni

L’Ufficio, all’esito dell’istruttoria, adottava il 12 dicembre 2025 l’atto di contestazione Prot. n. 173642/25 nel quale si rilevava preliminarmente che il titolare non sembrava avere ancora completamente assimilato la portata degli obblighi e delle responsabilità derivanti dalla normativa vigente in materia di protezione dei dati personali.

L’Ufficio contestava poi che i trattamenti di dati personali esaminati sembravano sollevare criticità anche sotto il profilo della corretta attribuzione dei ruoli soggettivi e, conseguentemente, dell’adempimento degli obblighi dai medesimi derivanti, dal momento che S.M. Trattamento Acqua non aveva conferito a Flamel la nomina a responsabile del trattamento dei dati personali ai sensi dell’art. 28 del Regolamento, né quella a sub-responsabile in favore di Z1on S.r.l.s.. A parere dell’Ufficio, la mancanza di tale investitura formale era accompagnata anche dall’assenza di quei controlli ex ante (cd. culpa in eligendo) e vigilanza ex post (cd. culpa in vigilando) che ai sensi dell’art. 28 del Regolamento incombono sul titolare del trattamento.

Nell’atto di avvio del procedimento si rilevava, altresì, che le attività promozionali effettuate da S.M. Trattamento Acqua nei confronti dell’odierno reclamante apparivano realizzate in assenza di un’idonea base giuridica e, di conseguenza, in violazione degli artt. 5, 6 e 7 del Regolamento e art. 130 del Codice.

Infine, l’Ufficio evidenziava che il titolare non aveva implementato alcuna procedura adeguata ad assicurare l’ottemperanza alla normativa vigente in materia di diritti degli interessati.

Pertanto, veniva contestata la presunta violazione delle seguenti disposizioni:

- artt. 5, 6, 7, 24 del Regolamento, nonché 130 del Codice per aver effettuato - e continuare ad effettuare - trattamenti di dati personali in contrasto con i principi di liceità, esattezza e responsabilizzazione, in assenza di un’idonea base giuridica e mettendo in atto misure tecniche e organizzative non adeguate per garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al Regolamento con riferimento all’idoneità della base giuridica, al rilascio di un adeguato consenso e alla predisposizione di un sistema idoneo a garantire e a documentare la conformità dei trattamenti effettuati;

- artt. 4, 5, 24 e 28 del Regolamento per avere effettuato trattamenti di dati personali con finalità promozionali, senza la previa corretta individuazione dei ruoli soggettivi ricoperti e di conseguenza in violazione dei doveri che derivano da essi;

- artt. 12 e da 15 a 22 del Regolamento per l’omesso riscontro all’istanza di esercizio dei diritti presentata dal reclamante e più in generale, per la mancata adozione di misure adeguate a garantire l’esercizio dei diritti da parte dei soggetti interessati.

2. LA DIFESA DEL TITOLARE

Con nota del 9 gennaio 2026 (cfr. Prot. n. 6072 del 16 gennaio 2026), S.M. Trattamento Acqua trasmetteva i propri scritti difensivi, in base a quanto previsto dall’art. 166, comma 6, del Codice e dall’art. 13 del regolamento del Garante n. 1/2019 (disponibile per la consultazione sul sito www.gpdp.it, doc-web n. 9107633).

In tale occasione il titolare rilevava che «nel corso del 2024 S.M., micro-impresa operante nel settore del trattamento acque, ha affidato a Flamel S.r.l. la realizzazione di una campagna di lead generation e teleselling finalizzata all’acquisizione di appuntamenti commerciali per la vendita di depuratori d’acqua», chiarendo al riguardo che «il rapporto con Flamel è stato impostato come fornitura di un servizio di marketing “chiavi in mano”, comprendente: ideazione della campagna, reperimento delle anagrafiche da fornitori specializzati, verifica delle liste e loro lavorazione tramite call center esterni, con trasmissione a S.M. dei soli nominativi interessati alla visite del commerciale».

S.M. Trattamento Acqua evidenziava, inoltre, che «Flamel (…) si qualifica essa stessa quale responsabile del trattamento nominato da S.M. (…) i contatti telefonici sono stati effettuati da un call center terzo (Z1on S.r.l.s.), incaricato di svolgere (…) la preventiva verifica delle liste sul Registro pubblico delle opposizioni (RPO)» e che «il contatto indesiderato nei confronti del reclamante sarebbe riconducibile ad un “errore operativo” nella suddetta verifica, non direttamente imputabile a Flamel e ancor meno alla società committente».

Pur riconoscendo che la mancata formalizzazione delle designazioni ex art. 28 del Regolamento non era pienamente in linea con la vigente normativa, il titolare evidenziava che i ruoli soggettivi erano stati in concreto individuati e che, pertanto, Flamel aveva agito come responsabile del trattamento per conto di S.M. Trattamento Acqua, assumendo anche la gestione dei sub-fornitori (list provider e call center), mentre Wonderlead Global LTD aveva operato in qualità di autonomo titolare in relazione alla raccolta dei dati e del consenso.

S.M. Trattamento Acqua evidenziava di aver agito in buona fede, richiamando la propria natura di micro impresa, priva di una struttura interna dedicata alla compliance privacy, nonché la conseguente scelta di affidarsi a un soggetto specializzato e che si presentava dotato di procedure interne e DPO. 
Quanto alla provenienza dei dati del reclamante e degli altri interessati, il titolare ribadiva che le anagrafiche erano state acquisite da Wonderlead Global LTD «tramite form online sul sito www.ilmegafono.info con raccolta di consenso espresso alla comunicazione dei dati a terzi per finalità di marketing» e che «nel contratto di fornitura, Wonderlead ha garantito la liceità della raccolta e la sussistenza di un valido consenso», sì da ingenerare il legittimo affidamento di S.M. Trattamento Acqua e Flamel.

Con specifico riguardo alla mancata verifica delle liste presso il RPO e all’utilizzo di numerazioni chiamanti non iscritte al ROC, S.M. Trattamento Acqua eccepiva che tale attività «era stata espressamente demandata al call center incaricato da Flamel, che operava con proprie linee telefoniche, proprie risorse tecniche e proprie procedure operative, senza alcun accesso da parte di S.M. alle banche dati o alle piattaforme di chiamata» e che «nel caso concreto il contatto indesiderato risulta episodio isolato all’interno di una campagna che ha coinvolto un numero ben maggiore di contatti, senza che siano pervenuti ulteriori reclami o segnalazioni, e che è stato imputato dallo stesso responsabile a un “errore operativo” nella consultazione del RPO».

Quanto al mancato riscontro alla richiesta di accesso formulata dal reclamante in data 3 dicembre 2024, S.M. Trattamento Acqua rappresentava che tale omissione era derivata dall’erronea convinzione che la gestione delle istanze degli interessati dovesse essere curata da Flamel e che, riconosciuto tale errore, aveva già implementato talune misure correttive, quali l’istituzione di un indirizzo e-mail dedicato alle richieste privacy e di un registro delle istanze, l’individuazione di un referente privacy interno e l’adozione di una procedura ad hoc, nonché l’aggiornamento della documentazione contrattuale in uso al fine di garantire che le istanze eventualmente pervenute ai propri partener commerciali, vengano immediatamente inoltrate a S.M. Trattamento Acqua.

Con riferimento agli interessati coinvolti nelle operazioni di trattamento oggetto dell’odierno procedimento e di conseguenza ai fini della determinazione dell’eventuale sanzione, il titolare insisteva per la valutazione dei soli casi concretamente accertati, evidenziando che «ad oggi, dagli atti emerge un solo reclamo formalizzato, (…) senza evidenza di ulteriori segnalazioni o di danni diffusi» e che «i volumi di lead trattati per la campagna in esame (…) si collocano comunque nell’ordine di poche centinaia di nominativi».

S.M. Trattamento Acqua rappresentava, inoltre, di avere avviato un percorso di adeguamento alla normativa in materia di protezione dei dati personali e in particolare di avere provveduto alla «sospensione di ogni campagna basata su liste acquisite da terzi fino alla completa revisione dei rapporti contrattuali e delle modalità di acquisizione dei consensi; revisione del rapporto con Flamel e con gli altri operatori del settore, con predisposizione di accordi ex art. 28 GDPR che disciplinano in modo puntuale ruoli, istruzioni e obblighi di verifica (…); scelta di call center che utilizzino esclusivamente numerazioni iscritte al ROC, con previsione contrattuale di controlli periodici e diritto di audit da parte di S.M.; formazione di base del personale interno in materia di privacy e telemarketing, con particolare riferimento alla gestione delle istanze degli interessati e al principio di accountability».

Infine, con riferimento alla richiesta di risarcimento dei danni formulata dall’interessato, il titolare rappresentava che il medesimo aveva intavolato una corrispondenza al riguardo con Flamel ed elencava le circostanze da tenere inconsiderazione ai sensi e per gli effetti dell’art. 83 del Regolamento.

3. VALUTAZIONI DELL’AUTORITÀ

Va in primo luogo rappresentato che la documentazione e le osservazioni fornite nel corso del procedimento non appaiono idonee a escludere la responsabilità di S.M. Trattamento Acqua in relazione alle violazioni contestate.

Pur essendo pacifico che nel caso di specie S.M. Trattamento Acqua abbia assunto il ruolo di titolare del trattamento, atteso che la campagna promozionale rivolta anche all’odierno reclamante è stata svolta nel suo interesse, dalle circostanze rappresentate e dagli elementi acquisiti nel corso della presente istruttoria, è emerso che la medesima non ha ancora completamente assimilato gli obblighi e le responsabilità che il ruolo di titolare comporta ai sensi degli artt. 5 e 24 del Regolamento e, più in generale, della vigente normativa in materia di protezione dei dati personali.

Difatti, a dispetto della tesi difensiva avanzata da S.M. Trattamento Acqua, commissionare a terzi una campagna promozionale, ivi incluse anche le operazioni di selezione del list provider e acquisto delle liste di contattabilità, non vale a esentarla da alcuna responsabilità, atteso che rientra tra gli obblighi del titolare garantire la liceità di tutta la filiera del trattamento che dal contatto telefonico consente di giungere al contratto di acquisto di prodotti o servizi.

Sul punto, pertanto, non appare dirimente il rilievo sollevato da S.M. Trattamento Acqua sull’avere sottoscritto con Flamel un contratto di «fornitura di un servizio di marketing “chiavi in mano”, comprendente: ideazione della campagna, reperimento delle anagrafiche da fornitori specializzati, verifica delle liste e loro lavorazione tramite call center esterni, con trasmissione a S.M. dei soli nominativi interessati alla visite del commerciale».

A tale riguardo si rileva, infatti, che ai sensi degli artt. 5, par. 2 e 24 del Regolamento, il titolare è competente per il rispetto dei principi di liceità, correttezza e trasparenza del trattamento ed è il soggetto gravato dall’onere di provarne l’adempimento e che il Considerando n. 74 chiarisce che «È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest'ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l'efficacia delle misure (…)».

Difatti, la possibilità che il responsabile del trattamento nell’adempimento dell’incarico affidato, abbia un certo ambito di autonomia, non vale certo a fare venire meno o attenuare gli obblighi e le responsabilità gravanti sul titolare del trattamento. Tanto è chiarito anche dalle Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, disponibili per la consultazione sul sito www.edpb.europa.eu, ove si legge che «Anche se le decisioni sui mezzi non essenziali possono essere lasciate al responsabile del trattamento, il titolare del trattamento deve comunque stabilire determinati elementi nell’accordo sul trattamento dei dati quali, ad esempio, in relazione al requisito della sicurezza, l’istruzione di adottare tutte le misure richieste a norma dell’articolo 32 del GDPR. L’accordo deve inoltre prevedere che il responsabile del trattamento assista il titolare nel garantire, ad esempio, l’adempimento degli obblighi di cui all’articolo 32. In ogni caso, il titolare del trattamento rimane responsabile dell’attuazione di misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento (articolo 24). Nel far ciò, il titolare del trattamento deve tenere conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e per le libertà delle persone fisiche. Per tale motivo, il titolare del trattamento deve essere pienamente informato dei mezzi utilizzati, in modo da poter adottare una decisione in merito con cognizione di causa. Affinché il titolare del trattamento possa dimostrare la liceità dello stesso è consigliabile documentare quanto meno le misure tecniche e organizzative necessarie nel contratto o in un altro strumento giuridicamente vincolante tra il titolare e il responsabile del trattamento».

In tal senso militano anche le indicazioni contenute all’interno del Codice di Condotta in materia di telemarketing e teleselling (cfr. Provv. n. 70 del 9 marzo 2023, doc-web n. 9868813 e Provv. n. 148 del 7 marzo 2024, doc-web n. 9993808, entrambi disponibili per la consultazione sul sito www.gpdp.it) che a prescindere dalla effettiva adesione, assumono un’indubbia valenza di best practices nella parte in cui prevedono che «I titolari del trattamento adottano procedure organizzative e/o tecniche finalizzate a comprovare che i dati dell’interessato/contraente/utente siano stati acquisiti nel rispetto dei principi di cui all’art. 5, par. 1, del Regolamento; in particolare, tenuto conto del principio di proporzionalità, mediante misure by default, gli stessi implementano nei sistemi apposite procedure che individuino le campagne promozionali, le liste di contatto e gli operatori coinvolti in ogni contratto concluso a distanza e siano in grado di comprovare la correttezza delle informazioni di cui sopra. Tali procedure impediscono la registrazione di contratti dei quali le predette informazioni non siano rinvenibili (…)».

Sul punto è opportuno evidenziare che, in ossequio al principio di accountability, «il titolare è il soggetto cui è attribuita la “responsabilità generale” del trattamento che egli abbia posto in essere direttamente o che altri abbia effettuato per suo conto, gravando, pertanto, sullo stesso l’onere di attuare un sistema organizzativo e gestionale contraddistinto da misure reali ed efficaci di protezione dei dati nonché comprovabili (v. c. 74 e artt. 5, par. 2 e 24 del Regolamento); ciò non soltanto mediante la corretta e puntuale predisposizione degli adempimenti imposti dalla normativa di protezione dei dati (informativa, registro delle attività di trattamento, nomina del responsabile della protezione dei dati ove obbligatoria, valutazione di impatto ove necessaria, ecc.), ma soprattutto attraverso l’implementazione di procedure e prassi organizzative atte a conformare i relativi trattamenti al medesimo Regolamento (es. processi di mappatura dei trattamenti; regole per l’attribuzione di responsabilità; programmi di formazione del personale; procedure per la verifica dell’operato dei responsabili designati ai sensi dell’art. 28; previsione di audit interni ed esterni con cadenza periodica; ecc.; cfr. Gruppo art. 29, WP 173 del 13 luglio 2010- Opinion 3/2010 on the principle of accountability, pagg. 11-12)» (cfr. Provv. 17 luglio 2024, n. 440, doc. web n. 10053211, disponibile per la consultazione sul sito www.gpdp.it).

Inoltre, l’Autorità ha più volte evidenziato che «i nuovi principi dettati dal Regolamento inquadrano le competenze del titolare in un’ottica di responsabilizzazione (accountability) ed impongono comportamenti proattivi e coerenti con la finalità di comprovare, in ogni fase, la liceità dei trattamenti. Spetta pertanto al titolare adottare misure di particolare garanzia al fine di comprovare che i contratti e le attivazioni registrati nei propri sistemi siano originati da contatti effettuati nel pieno rispetto delle disposizioni in materia di protezione dei dati personali» (cfr. Provv. 15 dicembre 2022, n. 429 doc. web n. 9852290, disponibile per la consultazione sul sito www.gpdp.it).

Ciò chiarito, si rileva che S.M. Trattamento Acqua, nel commissionare a Flamel la realizzazione della campagna promozionale, non ha conferito a quest’ultima la nomina a responsabile del trattamento dei dati personali ai sensi dell’art. 28 del Regolamento, né quella a sub-responsabile in favore di Z1on S.r.l.s.. Né risulta agli atti l’avvenuto rilascio di alcuna autorizzazione.

Al riguardo, non può essere accolta la tesi avanzata da S.M. Trattamento Acqua secondo cui l’investitura di fatto e in concreto effettuata nei confronti di tali società varrebbe a sanare o attenuare l’addebito di responsabilità in ordine al mancato rilascio di una nomina formale.

A tale riguardo la lettera dell’art. 28 del Regolamento è chiara nel sancire l’obbligo di disciplinare i trattamenti affidati al responsabile del trattamento attraverso un contratto o un altro atto giuridico. Tanto è vero che la norma appena richiamata, pur lasciando una considerevole libertà nella scelta della forma, ne elenca poi gli elementi essenziali.

Analoghe considerazioni devono ritenersi valevoli anche rispetto alle modalità di individuazione del sub-responsabile, atteso che l’art. 28 del Regolamento a tale riguardo prevede persino un duplice ordine di formalità, caratterizzato dalla previa autorizzazione generale o speciale da parte del titolare del trattamento e dalla stipula di un contratto o di un altro atto giuridico, che contenga almeno tutti gli elementi previsti all’art. 28, par. 4 del Regolamento.

È di palmare evidenza che nell’ambito di una disciplina di matrice europea e in larga parte scevra da particolari formalismi, quale deve essere considerata la normativa in materia di protezione dei dati personali, negli episodici casi in cui il legislatore abbia richiesto una particolare forma, tale adempimento debba ritenersi imprescindibile. Peraltro, appare altrettanto evidente che le formalità in parola, oltre a richiamare l’attenzione delle parti sulla portata e le conseguenze dall’accordo, si rivelano estremamente utili anche ai fini dell’ottemperanza a tutta una serie di ulteriori obblighi gravanti sul titolare, quali in via esemplificativa quelli derivanti dal principio di accountability, dell’onere della prova, del pieno controllo della filiera del trattamento ed infine quello di impartire istruzioni documentate ai propri collaboratori.

L’interpretazione appena illustrata è corroborata anche dalle disposizioni contenute all’interno delle già richiamate Linee Guida n. 07/2020 nella parte in cui si chiarisce che «Qualsivoglia trattamento di dati personali da parte di un responsabile del trattamento deve essere disciplinato da un contratto o altro atto giuridico, a norma del diritto dell’Unione o degli Stati membri, concluso tra il titolare e il responsabile del trattamento, conformemente all’articolo 28, paragrafo 3, del GDPR (…) Tale atto giuridico deve essere per iscritto, anche in formato elettronico. 41 Pertanto, gli accordi non scritti (indipendentemente dalla completezza o dall’efficacia) non possono essere considerati sufficienti per soddisfare i requisiti di cui all’articolo 28 del GDPR (…) Poiché il regolamento stabilisce con chiarezza l’obbligo di stipulare un contratto scritto, qualora non sia in vigore nessun altro atto giuridico pertinente si ha una violazione del GDPR. Sia il titolare sia il responsabile del trattamento hanno la responsabilità di garantire l’esistenza di un contratto o di un altro atto giuridico che disciplini il trattamento».

Si aggiunga che la mancanza di una nomina formale, nel caso di specie, risulta anche essere stata accompagnata dalla totale assenza di quei controlli ex ante (cd. culpa in eligendo) e vigilanza ex post (cd. culpa in vigilando) che ai sensi dell’art. 28 del Regolamento incombono sul titolare del trattamento.

Il titolare, infatti, è tenuto ad avvalersi di partner commerciali che siano in grado di garantire un’adeguata competenza e organizzazione in materia di privacy, ciò anche attraverso un’attenta attività di pre-qualifica dei fornitori (cfr. l’art. 28 del Regolamento nella parte in cui impone che «Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato» e ancora il Considerando n. 81 «(…) quando affida delle attività di trattamento a un responsabile del trattamento il titolare del trattamento dovrebbe ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, anche per la sicurezza del trattamento (…)»). Analogamente, anche nel corso del rapporto contrattuale, il titolare è tenuto a vigilare sull’operato del responsabile del trattamento e che questi agisca nel pieno rispetto della vigente normativa. In tal senso milita per esempio la lettera dell’art. 28, par. 3, lett. h), del Regolamento che tra gli elementi essenziali dell’accordo fa riferimento proprio alla previsione che il responsabile «metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato».

Tuttavia, nonostante l’onere della prova gravante sul titolare del trattamento, agli atti del procedimento non è presente alcun elemento - nemmeno di carattere documentale - atto a comprovare l’effettuazione di tali verifiche.

L’Autorità è ben consapevole della necessità di bilanciare la necessaria tutela della riservatezza con la libertà di impresa e che pertanto, nell’ambito dell’ampia discrezionalità derivante dal principio di accountability, gli adempimenti richiesti ai titolari debbano essere adeguati e proporzionati in relazione ai rischi specifici per i diritti e le libertà fondamentali correlati al trattamento preso in esame, allo stato dell’arte e alle caratteristiche operativo-dimensionali della società.

Nondimeno, nel caso di specie, S.M. Trattamento Acqua sembra essersi totalmente disinteressata dell’origine e della modalità di raccolta dei dati utilizzati nell’ambito delle proprie campagne promozionali. Tanto emerge in primo luogo dalla stessa concezione di un acquisto “chiavi in mano”, che già di per sé si pone in aperto contrasto con il doveroso controllo della filiera del trattamento. Inoltre, anche la mancanza di nomine e autorizzazioni formali, unitamente al disallineamento tra l’origine dei dati dichiarata nel modulo d’ordine e quella poi emersa nel corso dell’istruttoria, vale a dimostrare l’assenza di qualsivoglia controllo anche nel corso dell’esecuzione dell’accordo.

A tale riguardo, pur comprendendo le difficoltà connesse alle caratteristiche dimensionali ed economiche dell’impresa, si osserva che sarebbe stato sufficiente anche effettuare verifiche da remoto sui siti web utilizzati o controlli a campione su anagrafiche acquistate e fornitori - che non comportano un eccessivo aggravio di tempo e risorse - per individuare elementi di anomalia e, in ogni caso, fornire elementi probatori in ordine all’adempimento da parte del titolare agli obblighi derivanti dalla vigente normativa in materia di protezione dei dati personali (sulla legittimità dei controlli a campione vd. artt. 5, 6 e 16 del Codice di condotta in materia di telemarketing e teleselling).

A tal fine, come costantemente ribadito dall’Autorità, non possono avere alcuna efficacia esimente o attenuante le verifiche meramente formali o la previsione di clausole di manleva, se non accompagnate da efficaci controlli in concreto sull’operato dei propri partner commerciali.

Sotto altro profilo, si rileva che le attività promozionali effettuate nell’interesse di S.M. Trattamento Acqua nei confronti dell’odierno reclamante sono state realizzate in assenza di un’idonea base giuridica, utilizzando numerazioni non iscritte al ROC e, di conseguenza, in violazione degli artt. 5, 6 e 7 del Regolamento e art. 130 del Codice.

All’esito dello svolgimento delle attività istruttorie, risulta acclarato che S.M. Trattamento Acqua ha acquistato l’anagrafica dell’odierno reclamante da Flamel, la quale a sua volta ha riconosciuto di averla acquisita da una società inglese denominata Wonderlead Global LTD. Quest’ultima ha dichiarato di avere raccolto i dati attraverso un form online presente sul sito www.ilmegafono.info, riconducibile alla titolarità della medesima Wonderlead Global LTD.

Se S.M. Trattamento Acqua avesse diligentemente verificato l’origine dei dati personali utilizzati per la realizzazione delle sue campagne promozionali, anche la sola presa visione del sito www.ilmegafono.info - peraltro non navigabile e riconducibile a una società inglese - avrebbe rivelato che i form e le informative ivi utilizzate non consentivano di acquisire un valido consenso da parte dell’interessato per la cessione dei dati a terzi ai fini promozionali.

Esaminando l’informativa presente sul sito, infatti, si apprendeva che i dati degli utenti venivano ceduti a una moltitudine di destinatari, stabiliti in varie parti del mondo e appartenenti a categorie merceologiche anche molto diverse tra loro oppure a società genericamente attive nel campo del marketing, comportando di fatto la perdita di ogni controllo da parte dell’interessato sui propri dati personali. In più di un’occasione l’Autorità ha avuto modo di dichiarare l’inadeguatezza di tali modalità di acquisizione del consenso, atteso che non consentono all’interessato di esprimere una volontà libera, specifica, granulare ed effettiva, ma al contrario hanno l’effetto di determinare la diffusione dei dati a un numero indistinto di destinatari, ostacolando anche l’esercizio dei diritti degli interessati (cfr. Provv. n. 114 del 27 febbraio 2025, in www.gpdp.it, doc-web. n. 10114967 «In ragione dell’ampia formulazione utilizzata in ordine alla platea numerosa e indistinta dei cessionari dei dati personali operanti in settori molto differenti tra loro, infatti, l’interessato che voglia ricevere le offerte relative a uno o più delle categorie merceologiche ivi indicate o voglia riceverle tramite uno soltanto dei canali indicati è, di fatto, costretto a conferire un consenso unitario alla cessione indiscriminata dei propri dati a tutti, indistintamente, i soggetti terzi destinatari a scopi promozionali e non è posto nella condizione di esercitare agevolmente i diritti riconosciuti dalla vigente normativa (…) L’utilizzo di formule per l’acquisizione del consenso al trattamento dei dati personali per la cessione a terzi ai fini marketing così ampie e generiche, da non permettere all’interessato di esprimere una volontà granulare e differenziata per esempio in relazione alla categoria merceologica delle offerte commerciali che desidera ricevere (…) non permette di acquisire una valida, consapevole e inequivocabile manifestazione di volontà dell’interessato, dal momento che finisce per realizzare un’incontrollabile diffusione di dati personali a favore di una platea indistinta di operatori, minando anche la possibilità di esercitare efficacemente i diritti riconosciuti dalla legge a favore dei soggetti interessati. La manifestazione di volontà in ordine alla cessione dei dati a terzi per finalità di marketing, può considerarsi realmente libera soltanto se all’interessato è garantita una scelta effettiva e il controllo sui propri dati personali (cfr. Linee guida n. 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679, par. 3.1) (…) Invero, l’interessato deve essere posto in condizione di manifestare in maniera libera, granulare e specifica la propria volontà e dunque di potere scegliere anche per macro-categorie rispetto a quali prodotti o servizi, ricevere comunicazioni promozionali (…) A contrariis l’interessato che voglia ricevere per esempio soltanto offerte relative ai servizi di fornitura energetica, è posto dinanzi alla binaria condizione di non conferire alcun consenso oppure di conferirlo e ricevere una moltitudine di comunicazioni commerciali riguardanti anche servizi che nulla hanno a che vedere con l’ambito energetico, con una conseguente e indebita intrusione nella propria sfera di riservatezza e un’irrimediabile perdita di controllo sui propri dati personali. L’utilizzo di moduli siffatti, peraltro, redendo difficoltoso risalire alla fonte dei dati e al titolare del trattamento, mina la possibilità di esercitare i diritti riconosciuti all’interessato anche in ordine alla scelta dei mezzi utilizzati per la ricezione delle comunicazioni commerciali».

Peraltro, nel caso di specie il link alla lista estesa dei destinatari non risultava nemmeno funzionante determinando, anche per tale ragione, una carenza di trasparenza suscettibile di inficiare la validità dei consensi acquisiti mediante il portale in esame.

Inoltre, con specifico riferimento ai contatti rivolti all’odierno reclamante, risulta acclarata l’avvenuta violazione della normativa sulla protezione dei dati personali anche con riferimento alle doverose verifiche delle liste presso il RPO.

Il reclamante ha documentato di essere iscritto al RPO sin dal luglio 2024, ne consegue che, anche nel caso in cui avesse prestato il consenso nel 2022 - circostanza che per le ragioni di cui si dirà infra non risulta provata - tale manifestazione di volontà al momento della realizzazione dei contatti oggetto di doglianza sarebbe venuta meno a seguito della successiva iscrizione al RPO. Pertanto, deve ritenersi che i contatti promozionali anche sotto tale profilo siano stati realizzati in assenza di un’idonea base giuridica.

Al riguardo è stato eccepito che tale mancanza è riconducibile a un non meglio precisato errore operativo commesso dal sub-responsabile. Tuttavia, nonostante l’onere della prova gravante sul titolare, agli atti del procedimento non è stato acquisito alcun indice probatorio né con riguardo a tale errore, né più in generale all’implementazione di misure atte a garantire la realizzazione di tale adempimento.

A ciò si aggiunge anche la mancata iscrizione al ROC di tutte le numerazioni chiamanti utilizzate per la realizzazione delle chiamate oggetto di doglianza.

Ma pur prescindendo dalle questioni inerenti ai profili di validità dei consensi acquisiti tramite il portale ilmegafono.info, si rileva che in ogni caso la documentazione in atti non è sufficiente a dimostrare in modo certo, verificabile e non equivoco l’effettiva manifestazione di volontà dell’interessato.

A tale riguardo, infatti, è stata prodotta soltanto una dichiarazione formata dal list provider, recante i dati del reclamante, nonché portale, data, ora e l’indirizzo IP dell’avvenuta acquisizione, ma tuttavia priva di qualsivoglia misura che ne garantisca l’immodificabilità e l’inequivocabilità, nonché di elementi di dettaglio in ordine alla formazione e conservazione di tali registrazioni.  

Peraltro, l’Autorità si è già espressa in merito al rigoroso onere probatorio gravante sul titolare rispetto alla provenienza dei dati personali e con particolare riguardo alla valenza probatoria dei file di log e della combinazione IP-ora di registrazione, in più occasioni tali registrazioni non sono state valutate idonee, di per sé, a comprovare la reale ed effettiva volontà dell’interessato, trattandosi appunto di documentazione modificabile e carente dei requisiti di inequivocabilità (ex multis Provv. 4 giugno 2025, n. 330, doc. web n. 10143278 e Provv. 15 dicembre 2022, n. 429 doc. web n. 9852290, disponibili per la consultazione sul sito www.gpdp.it).

A ciò si aggiunga che, nel caso di specie, la documentazione prodotta a riprova del consenso è stata integralmente contestata dal reclamante che, rendendo dichiarazioni ai sensi del 168 del Codice, ha negato di aver visitato il sito in questione, di aver prestato il consenso, nonché la riconducibilità dell’indirizzo IP alla sua persona, precisando che l’indirizzo IP riportato nei log non è riferibile a un luogo in cui egli si è recato nel periodo indicato.

Né agli atti del procedimento risulta che fosse stato implementato un meccanismo di verifica dell’identità dell’interessato o di conferma della volontà di essere ricontattato (p.e. double opt-in), tale da corroborare gli elementi probatori forniti dalle parti e superare le contestazioni del reclamante, di guisa che anche sotto tale profilo non risulta assolto l’onere della prova circa la sussistenza di un’idonea base giuridica per il trattamento dei dati per finalità promozionali.

L’Autorità, di recente e in più di un’occasione, ha avuto modo di chiarire che «la documentazione del consenso in modalità double opt-in (…) offre maggiori garanzie e può considerarsi, allo stato dell'arte, una misura minima di protezione per l'interessato ma anche per lo stesso titolare, tenuto a comprovare la liceità del trattamento. Pertanto, tale misura (o qualsiasi altra che possa offrire un pari livello di garanzia) rientra perfettamente nel quadro normativo, in ragione del combinato disposto dell'art. 7, par. 1 e dell'art. 24, par. 1 del Regolamento poiché il titolare, tenuto conto del contesto e dei potenziali rischi, deve mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conforme-mente al Regolamento e che l'interessato ha prestato il proprio consenso» (cfr. Provv. 4 giugno 2025, n. 330, doc. web n. 10143278, disponibile sul sito www.gpdp.it).

Invero, a seguito dell’introduzione del principio di accountability, la selezione delle misure di sicurezza e delle misure tecnico-organizzative necessarie a garantire il rispetto della normativa in materia di protezione dei dati personali non è più predeterminata dal legislatore in via preventiva, bensì è rimessa alla valutazione discrezionale del titolare del trattamento, il quale è chiamato a individuare gli strumenti più idonei a salvaguardare i diritti e le libertà degli interessati, alla luce dei rischi concreti connessi alle specifiche modalità di trattamento adottate e alla struttura della propria organizzazione.

Ne deriva che, nell’attuale scenario socio-economico, contraddistinto dalla capillare diffusione di internet e dall’ampio utilizzo di piattaforme che offrono servizi di comparazione o concorsi a premi – frequentemente caratterizzati da profili di dubbia liceità, in quanto non navigabili e corredati da informative carenti sotto il profilo della correttezza e trasparenza – il rischio specifico per i diritti e le libertà degli interessati consiste nella possibile strumentalizzazione di tali portali al fine di conferire una parvenza di legittimità a elenchi di contatti acquisiti in modo illecito e da fonti diverse.

Pertanto, alla luce di tale mutato contesto e considerato che il titolare del trattamento è responsabile dell’intera filiera delle operazioni di trattamento, che dal contatto possono condurre alla conclusione del contratto, S.M. Trattamento Acqua, in applicazione dei canoni di ordinaria e doverosa diligenza, avrebbe dovuto e potuto accertare l’origine dei dati personali e avvalersi di partner commerciali in grado di assicurare l’adozione di strumenti idonei a certificare la validità del consenso e a verificare l’identità del soggetto che, mediante la navigazione sui predetti portali, procede al conferimento dei propri dati personali.

Si rileva, inoltre, che la condotta in esame si connota di particolare gravità, perché investe la più ampia compliance dell’organizzazione del titolare e i trattamenti in esame, secondo quanto dichiarato dal titolare, hanno riguardato i dati di diverse centinaia di interessati.

Infine, anche rispetto agli obblighi gravanti sul titolare in ordine alla gestione delle istanze avanzate dai soggetti interessati ai sensi degli artt. 12 e da 15 a 22 del Regolamento, risulta acclarato che, quantomeno sino all’apertura della presente istruttoria, S.M. Trattamento Acqua non aveva implementato procedure adeguate ad assicurare l’ottemperanza alla normativa vigente in materia di diritti degli interessati.

Invero, pur ammettendo di avere regolarmente ricevuto la richiesta ex art. 15 del Regolamento del reclamante, trasmessa a mezzo posta elettronica certificata in data 3 dicembre 2024, il titolare non ha fornito riscontro nei termini di legge. Al riguardo, il titolare ha espressamente dichiarato di non aver dato seguito alla richiesta dell’interessato nell’erronea convinzione di non essere tenuto ad adempiere a tale responsabilità, imputabile a suo dire al proprio partner commerciale Flamel.

L’assunto è tuttavia infondato, poiché il Regolamento impone che sia il titolare a fornire riscontro alle istanze dell’interessato, indipendentemente dal numero e dal ruolo ricoperto dai soggetti terzi coinvolti nella filiera. Tanto è vero che le norme in materia di diritti contenute agli artt. 12 e da 15 a 22 del Regolamento presuppongono il doveroso adempimento degli obblighi ivi previsti da parte del titolare e che le istanze in materia debbano essere rivolte proprio a quest’ultimo. Analogamente, anche le norme contenute all’interno del reg. interno del Garante n. 1/2019 riguardanti i reclami in materia di diritti, presuppongono la previa richiesta rivolta al titolare del trattamento e in caso di mancato o inadeguato riscontro, l’apertura del procedimento nei confronti di quest’ultimo.

Si aggiunga che ai sensi dell’art. 12 del Regolamento «Il titolare del trattamento adotta misure appropriate per fornire all'interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all'articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (…)», è tenuto ad agevolare l’esercizio dei diritti da parte dei soggetti interessati e deve fornire adeguato riscontro entro un mese, salvo le ipotesi di motivata proroga.

Pertanto, nel caso di specie SM Trattamento Acqua non solo non ha riscontrato la richiesta del reclamante nei termini di legge, ma anche quando vi ha tardivamente provveduto, si è limitata al mero rimando a un soggetto ulteriore, rendendo di fatto strumentalmente oneroso l’esercizio dei diritti.

Inoltre la circostanza che il titolare non abbia completamente assimilato la portata degli obblighi derivanti dalla disciplina vigente e, per l’effetto, non abbia adottato misure adeguate a garantire l’esercizio dei diritti, nonostante siano trascorsi diversi anni dall’entrata in vigore del Regolamento, è da considerarsi particolarmente grave.

In conclusione, sulla base delle argomentazioni esposte, si ritiene definitivamente confermata la responsabilità di S.M. Trattamento Acqua in ordine a tutte le violazioni contestate con l’atto di avvio del procedimento sopra richiamato.

Si rileva, infine, che dalle interlocuzioni occorse tra le parti, emerge che il reclamante ha rivolto al titolare e successivamente al responsabile una richiesta di accesso e contestualmente anche di risarcimento (i.e. euro 1.000,00), senza peraltro fornire elementi di dettaglio in ordine al danno asseritamente patito.

A prescindere dall’eventualità che sia stato o meno riconosciuto a favore del reclamante un ristoro economico, si evidenzia che la condotta tenuta dall’interessato presenta una connotazione particolarmente significativa, anche in considerazione dell’attività professionale svolta dal medesimo.

In buona sostanza, dagli atti acquisiti nell’istruttoria è emerso che il reclamante sarebbe stato disponibile a non insistere sull’illiceità della condotta posta in essere dal titolare, qualora quest’ultima avesse dato seguito alla pretesa economica di risarcimento formulata.

Sul punto giova rammentare che, sebbene l’art. 82 del Regolamento riconosca il diritto al risarcimento dei danni cagionati da una violazione imputabile al titolare o al responsabile del trattamento, l’esercizio di tale diritto è demandato all’Autorità giudiziaria ordinaria, secondo le modalità e nei termini previsti dalla normativa applicabile.

Pur non incidendo nel caso di specie sui profili di responsabilità imputabili a S.M. Trattamento Acqua - che prescindono dalle doglianze del singolo reclamante in quanto riguardano la complessiva compliance aziendale e investono anche tutte le altre anagrafiche trattate nell’ambito del contratto sottoscritto con Flamel - si ritiene tuttavia opportuno rilevare, in via incidentale, come il contegno del reclamante non appaia pienamente coerente con i principi ispiratori della normativa sulla protezione dei dati personali e, più in generale, con i doveri di solidarietà che incombono sui consociati. Tali doveri impongono, infatti, il rispetto del divieto di abuso del diritto e degli strumenti di tutela, che pur essendo stato tradizionalmente elaborato nell’ambito del diritto civile e tributario, deve ritenersi pacificamente applicabile anche ai procedimenti innanzi all’Autorità, al fine di evitare che le competenze del Garante — preordinate alla tutela di un interesse pubblico — vengano strumentalizzate per finalità estranee alla protezione effettiva dei diritti degli interessati riconosciuti dalla normativa vigente in materia di protezione dei dati personali (cfr. provv. 23 ottobre 2025, n. 635, doc. web n. 10197577).

4. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di S.M. Trattamento Acqua in ordine alla violazione delle seguenti disposizioni:

a) artt. 5, 6, 7, 24 del Regolamento, nonché 130 del Codice per aver effettuato i sopra descritti trattamenti di dati personali in contrasto con i principi di liceità, esattezza e responsabilizzazione, in assenza di un’idonea base giuridica e mettendo in atto misure tecniche e organizzative non adeguate per garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al Regolamento con riferimento all’idoneità della base giuridica, al rilascio di un adeguato consenso e alla predisposizione di un sistema idoneo a garantire e a documentare la conformità dei trattamenti effettuati;

b) artt. 4, 5, 24 e 28 del Regolamento per avere effettuato trattamenti di dati personali con finalità promozionali senza la previa corretta individuazione dei ruoli soggettivi ricoperti e di conseguenza in violazione dei doveri che derivano da essi;

c) artt. 12 e da 15 a 22 del Regolamento per l’omesso riscontro all’istanza di esercizio dei diritti presentata dal reclamante e più in generale, per la mancata adozione di misure adeguate a garantire l’esercizio dei diritti da parte dei soggetti interessati.

Accertata, altresì, l’illiceità delle condotte del titolare con riferimento ai trattamenti presi in esame, si rende necessario:

- imporre al titolare, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento dei dati acquisiti in assenza di un’idonea base giuridica;

- ingiungere al titolare, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di completare il processo di adozione delle misure idonee ad assicurare che le attività promozionali effettuate nel proprio interesse vengano realizzate in ossequio alle disposizioni vigenti in materia di protezione dei dati personali, anche con riferimento alle verifiche condotte in ordine alla scelta dei partner commerciali e ai controlli sul loro operato, nonché alla corretta individuazione dei ruoli soggettivi ricoperti;

- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di S.M. Trattamento Acqua della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.

5. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di S.M. Trattamento Acqua della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.

Più in particolare, ai sensi dell’art. 83, par. 3 del Regolamento «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave». Ai sensi del successivo par. 5 «(…) la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore: a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9; b) i diritti degli interessati a norma degli articoli da 12 a 22; c) i trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale a norma degli articoli da 44 a 49; d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX; e) l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1».

Poiché nel caso di specie è stata accertata l’avvenuta violazione degli artt. 4, 5, 6, 7, 12, da 15 a 22, 24 e 28 del Regolamento, nonché dell’art. 130 del Codice, si applica la disposizione dettata dall’art. 83, par. 5 del Regolamento. Occorre inoltre fare riferimento al fatturato di S.M. Trattamento Acqua, come ricavato dalle informazioni economiche e tributarie acquisite. Pertanto, nel caso in argomento si determina ai sensi dell’art. 83, par. 3 e 5 del Regolamento il massimo edittale della sanzione pecuniaria in € 20.000.000,00.

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.

Nel caso in esame, assumono rilevanza:

1) quale fattore aggravante, la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), tenuto conto dell’oggetto e delle finalità dei trattamenti, riconducibili al fenomeno complessivo del telemarketing selvaggio, in ordine al quale l’Autorità ha adottato, in particolare negli ultimi cinque anni, numerosi provvedimenti che hanno compiutamente preso in esame i molteplici elementi di criticità fornendo ai titolari numerose indicazioni per adeguare i trattamenti alla normativa vigente e per attenuare l’impatto delle chiamate di disturbo nei confronti degli interessati;

2) quale ulteriore fattore aggravante, la gravità della violazione (art. 83, par. 2, lett. a) del Regolamento), avuto riguardo ai mezzi utilizzati e al numero dei soggetti interessati coinvolti nel trattamento illecito;

3) quale fattore attenuante, la circostanza (art. 83, par. 2, lett. e) del Regolamento) che S.M. Trattamento Acqua non risulta essere stata destinataria di precedenti provvedimenti correttivi e sanzionatori;

4) quale fattore attenuante, (art. 83, par. 2, lett. f) del Regolamento) le misure adottate già nel corso del procedimento per porre rimedio alle violazioni contestate;

5) quale ulteriore fattore attenuante, la categoria di dati personali interessata dalle violazioni (i.e. dati comuni) (art. 83, par. 2, lett. g) del Regolamento).

In base al complesso degli elementi sopra indicati e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative e funzionali del titolare, si ritiene debba applicarsi a S.M. Trattamento Acqua la sanzione amministrativa del pagamento di una somma di euro 30.000,00,00 (trentamila,00), pari allo 0,15% della sanzione massima edittale.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della natura dei trattamenti e delle condotte accertate, nonché degli elementi di rischio per i diritti e le libertà degli interessati.

In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare ragionevole e proporzionata in relazione al particolare disvalore delle condotte oggetto di censura, soprattutto avuto riguardo alla pervasività dei mezzi utilizzati e ai destinatari della stessa, nonché alla loro gravità, in quanto afferenti ai principi fondamentali - e costantemente ribaditi - della normativa in materia di protezione dei dati personali.

Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. a), del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da parte dell’impresa individuale S.M. Trattamento Acqua di XX, con sede legale in Ghedi (BS), Via Mascagni, 13, P. IVA 03605130172;

b) ingiunge al titolare, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di completare il processo di adozione delle misure idonee ad assicurare che le attività promozionali effettuate nel proprio interesse vengano realizzate in ossequio alle disposizioni vigenti in materia di protezione dei dati personali, anche con riferimento alle verifiche condotte in ordine alla scelta dei partner commerciali e ai controlli sul loro operato, nonché alla corretta individuazione dei ruoli soggettivi ricoperti dai partner commerciali coinvolti nello svolgimento di tali attività;

c) ingiunge al titolare, ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a S.M. Trattamento Acqua di XX, in persona del legale rappresentante, con sede in Ghedi (BS), Via Mascagni, 13, P. IVA 03605130172, di pagare la somma di euro 30.000,00,00 (trentamila,00), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata;

INGIUNGE

al titolare, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 30.000,00,00 (trentamila,00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

DISPONE

a) la pubblicazione del presente provvedimento, ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019;

b) l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante della presente ordinanza di ingiunzione, come previsto dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019;

c) l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 26 febbraio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Montuori