[doc. web n. 10255198]

Provvedimento del 29 aprile 2026

Registro dei provvedimenti
n. 312 del 29 aprile 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il prof. Pasquale Stanzione;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con atto prot. n. 36361 del 10 marzo 2026, notificato in pari data mediante posta elettronica certificata, che qui deve intendersi integralmente riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Nuova Corrente S.r.l. (di seguito “Nuova Corrente” o “Società”), in persona del legale rappresentante pro-tempore, con sede legale in Vibo Valentia (VV), via Spogliatore, s.n.c., P.IVA 12126890966.

Il procedimento trae origine da una istruttoria avviata dall’Autorità a seguito della ricezione di un reclamo, mediante il quale l’interessata lamentava l’avvenuta ricezione di due chiamate promozionali e truffaldine, effettuate nell’interesse di Nuova Corrente e l’inidoneo riscontro all’istanza avanzata ai sensi dell’art. 15 del Regolamento. Nella fattispecie, l’interessata rappresentava che il primo contatto era avvenuto ad opera di una società esterna che dichiarava di essere il distributore locale e paventava la sussistenza di un errore di doppia fatturazione, avvisando che l’interessata sarebbe stata ricontattata da una Società denominata “Nuova Corrente”. Il secondo contatto, poi, era stato effettuato da un’operatrice di Nuova Corrente ed era finalizzato alla conclusione di un nuovo contratto di fornitura. Pertanto, l’interessata si rivolgeva all’Autorità al fine di ottenere le tutele riconosciute dalla normativa vigente in materia di protezione dei dati personali. 

1.2.    Le richieste di informazioni formulate dall’Autorità

Esaminata la doglianza e tutta la documentazione ivi allegata, con nota del 13 ottobre 2025 (cfr. Prot. n. 135446/25) l’Ufficio invitava Nuova Corrente, ai sensi dell’art. 157 del Codice, a voler fornire le proprie osservazioni in ordine a quanto rappresentato nell’atto di reclamo. 

Successivamente, con nota del 3 novembre 2025 (cfr. Prot. n. 145522/25), la Società forniva in primo luogo riscontro all’originaria richiesta di accesso dell’interessata, chiarendo in particolare che i dati personali della reclamante erano «stati acquisiti nell'ambito di un contratto di agenzia stipulato con la società JOSEPH AGENCY S.R.L.S. (…), regolarmente iscritta al Registro degli Operatori di Comunicazione (…). Tale società era stata incaricata (…) di svolgere attività di promozione e acquisizione di clientela, con specifici obblighi contrattuali in materia di protezione dei dati personali. A sua volta, la Joseph Agency S.r.l.s. ha acquisito il contatto della Sig.ra Ferrario dalla società Clean Energy Consulting, la quale ha raccolto i dati tramite il portale web https://offertegratis.com/informativaPrivacy».

Nella medesima occasione Nuova Corrente rappresentava, altresì, che erano stati trattati soltanto i dati anagrafici e di contatto per finalità promozionale e sulla base del consenso conferito dall’interessata «come risulta dal tracciato informatico di registrazione (…), in data 18/07/2025, alle ore 14:18:04, dall’indirizzo XX (…) a seguito della consultazione dell’informativa privacy presente sul sito https://offertegratis.com/informativaPrivacy».

Nuova Corrente riconosceva la dinamica descritta dalla reclamante - che aveva ricevuto una prima chiamata dalla Joseph Agency S.r.l.s. e una seconda da un operatore interno di Nuova Corrente per la finalizzazione del contratto – e produceva la registrazione della seconda telefonata, evidenziando che «Dall’ascolto della registrazione emerge in modo inequivocabile la cortesia e la professionalità dimostrate dall’operatrice della Nuova Corrente, la quale, rilevato il disagio manifestato dall’utente e preso atto del suo disappunto per non aver ricevuto alcuna informazione e di non volerla ricevere, ha concluso la conversazione ringraziando la signora Liliana con un ‘grazie mille’». 

Infine, la Società documentava che «In un’ottica di piena responsabilizzazione (art. 5, par. 2, e art. 24 GDPR), e a seguito di una valutazione interna, Nuova Corrente S.r.l. ha ritenuto non soddisfacenti le performance e le modalità operative della suddetta agenzia. Pertanto, in data 31 luglio 2025, la scrivente ha comunicato formalmente alla Joseph Agency S.r.l.s. la cessazione con effetto immediato del mandato di agenzia, quale misura correttiva volta a prevenire il ripetersi di situazioni analoghe e a garantire un più elevato standard di tutela per gli interessati».

Con nota trasmessa in data 10 novembre 2025 (cfr. Prot. n. 149791 del 12 novembre 2025), l’interessata faceva pervenire le proprie osservazioni evidenziando che la Società aveva riscontrato l’istanza di accesso soltanto a seguito della richiesta notificata dall’Autorità e che «non è mai stato utilizzato il citato servizio online dove sarebbero stati inseriti i propri dati, né nella data indicata, nè in altra data e la dinamica appare alquanto improbabile, trattandosi di un sito web bulgaro-canadese». 

Con la nota in questione l’interessata, inoltre, evidenziava che «i dati sono stati utilizzati non per finalità lecite, ossia una proposta commerciale, bensì per organizzare una possibile frode. Infatti la società ha contattato il numero di cui erano in possesso per comunicare un'anomalia amministrativa e tecnica nella propria zona, senza in realtà comunicare che si stava stipulando un contratto. Si precisa che tale circostanza emerge chiaramente dalla registrazione audio depositata dal professionista stesso in sede di controdeduzioni» e che «appena venuto a sapere del trattamento illecito dei propri dati, ossia durante la citata registrazione vocale, il professionista avrebbe dovuto agire immediatamente per verificare il corretto trattamento, mentre non risulta intrapresa nessuna azione fino alla data del reclamo al Garante».

Successivamente, all’esito di un accesso effettuato dall’Ufficio al sito offertegratis.com, riconducibile alla titolarità della società bulgara Clean Energy Consulting, emergeva che:

- il portale non è in alcun modo navigabile, ma contiene soltanto un form utile alla raccolta dei dati personali (i.e. nome, cognome, telefono, e-mail) e dei consensi da parte degli utenti («Prendo visione e accetto L'informativa»; «Acconsento al trattamento dei miei dati personali per l'invio, da parte di offertegratis.com, di comunicazioni promozionali relative a prodotti e/o servizi di offertegratis.com o di società ad esso collegate, con l’uso del telefono con operatore e/o anche mediante sistemi automatizzati (es. email, sms)»; «Acconsento la cessione per scopi di marketing e commerciali, con l’uso del telefono con operatore e/o con sistemi automatizzati (es. email, sms) e/o invio di materiale promozionale a mezzo posta, a terzi soggetti facenti parte di diverse categorie economiche o merceologiche. Clicca qui per gestirle»; «Acconsento la cessione per scopi di marketing e commerciali, con l’uso del telefono con operatore e/o con sistemi automatizzati (es. email, sms) e/o invio di materiale promozionale a mezzo posta, a terzi soggetti facenti parte delle seguenti categorie economiche o merceologiche: Turistico, Tempo libero, High Tech, Moda, Arredamento, Largo Consumo, Food & Beverage, Finanza, Banche, Assicurazioni, Energia, Ambiente, Comunicazione, Media, Entertainment, Real Estate, Farmaceutico, Automobili, Abbigliamento e tessile, Formazione, Energia, Editoria, ICT, Retail, Sport, Telecomunicazioni, e Servizi in generale Informativa Cessione»); tuttavia le formule utilizzate per l’acquisizione del secondo e del terzo consenso apparivano sovrapponibili;

- cliccando sul link “Clicca qui per gestirle”, si apriva un secondo banner utile al conferimento di un consenso differenziato per settore merceologico ed in calce a ogni settore era riportato il link «Qui puoi visualizzare la lista completa», che consentiva di consultare sempre la medesima “Informativa Cessione” ove erano indicati numerosi titolari e altrettanto numerose categorie merceologiche;

- cliccando sul link “Informativa Cessione”, l’utente veniva reindirizzato alla medesima informativa di cui al precedente punto.

Pertanto, alla luce dei riscontri e della documentazione fornita, nonché dei rilievi compiuti d’Ufficio, si rendeva opportuno effettuare un supplemento di istruttoria, rivolgendo alla Società una richiesta di informazioni integrativa ai sensi e per gli effetti degli artt. 58, par. 1, lett. a) del Regolamento e 157 del Codice (cfr. Prot. n. 178264 del 23 dicembre 2025).

Con nota del 12 gennaio 2026 (cfr. Prot. n. 3405 del 13 gennaio 2026) Nuova Corrente rappresentava preliminarmente di avere acquisito dalla JOSEPH AGENCY S.R.L.S. un totale di dieci anagrafiche, che «secondo quanto dichiarato dal partner, provengono da liste nella propria disponibilità, acquisite da fornitori terzi qualificati che hanno attestato la liceità della raccolta e la sussistenza di idonea base giuridica per il contatto promozionale».

Nuova Corrente chiariva, altresì, che le attività di telemarketing e teleselling realizzate nel suo interesse erano «state svolte tramite contatto telefonico diretto. Il flusso operativo prevede: presentazione dell’offerta, illustrazione delle condizioni economiche, raccolta del consenso, trasmissione della proposta contrattuale e successiva fase di validazione del contratto da parte di Nuova Corrente S.r.l.».

Quanto ai soggetti coinvolti nello svolgimento delle predette attività, la Società rappresentava che «Nuova Corrente S.r.l. opera in qualità di Titolare del trattamento per le fasi di validazione contrattuale e gestione del cliente. JOSEPH AGENCY S.R.L.S. è stata formalmente nominata Responsabile del trattamento (ex art. 28 GDPR) per le attività di contatto telefonico e promozione. Gli operatori materiali del contatto agiscono quali soggetti autorizzati sotto la diretta responsabilità del Responsabile».

Con riferimento, invece, alla selezione dei list provider, Nuova Corrente chiariva che tale attività «è demandata al Responsabile del trattamento, il quale ha l’obbligo contrattuale di selezionare fornitori conformi e acquisire attestazioni di liceità».

Nuova Corrente, poi, rappresentava di avere impartito istruzioni scritte vincolanti tramite l’atto di nomina a Responsabile e previsto contrattualmente controlli a campione sulla qualità delle chiamate e verifiche documentali periodiche sulla conformità dei processi. Inoltre «Il Responsabile del trattamento ha dichiarato di effettuare controlli preliminari di coerenza e tracciabilità, inclusa la verifica dei consensi e l'incrocio con il Registro Pubblico delle Opposizioni (RPO). Nuova Corrente S.r.l. effettua verifiche a campione e di secondo livello in caso di segnalazioni o anomalie».

Quanto alle misure rimediali adottate in caso di contatti illeciti, la Società dichiarava di adottare «misure correttive immediate: sospensione dell’anagrafica, richiesta di chiarimenti urgenti al partner e, nei casi più gravi, risoluzione del rapporto», ribadendo che il mandato conferito a JOSEPH AGENCY S.r.l.s. era venuto meno in data 31 luglio 2025 a causa di performance e modalità operative non ritenute soddisfacenti. 

Nuova Corrente rappresentava, infine, di disporre di «una procedura interna che prevede la ricezione, protocollazione e il coinvolgimento del Responsabile del trattamento per fornire riscontro all'interessato entro i termini di legge» e chiedeva una breve proroga del termine originariamente concesso al fine di acquisire la documentazione detenuta da JOSEPH AGENCY S.r.l.s.. Tale proroga veniva accordata con nota Prot. n. 5294 del 15 gennaio 2026.

Così con un ulteriore riscontro trasmesso in data 27 gennaio 2026 (cfr. Prot. n. 11635 del 28 gennaio 2026) la Società evidenziava preliminarmente che «Nel periodo oggetto di indagine, il flusso di dati gestito tramite il partner commerciale Joseph Agency S.r.l.s. è stato estremamente esiguo, limitandosi a un totale di 10 anagrafiche. Tali contatti non derivano da acquisti massivi di liste "fredde", bensì da attività mirate di lead generation digitale. Come comprovato dalla documentazione fiscale allegata (fatture Meta Platforms Ireland Ltd.), l'acquisizione è avvenuta tramite campagne pubblicitarie su piattaforme social (Facebook/Instagram), gestite dal partner nel rispetto delle policy pubblicitarie vigenti».

La Società rappresentava, altresì, che «L'attività promozionale di Nuova Corrente S.r.l. è rigorosamente subordinata alla verifica preventiva del consenso. Il contatto telefonico con l'utenza avviene esclusivamente a seguito della ricezione di un lead qualificato, corredato da log tecnici (IP e timestamp). Durante la chiamata, l'operatore verifica l'identità dell'interlocutore e rinnova l'informativa, procedendo alla proposta commerciale solo in presenza di una chiara manifestazione di interesse».

Rispetto all’affidamento del mandato alla Joseph Agency S.r.l.s., Nuova Corrente precisava che la scelta «non è stata casuale, ma basata su criteri di affidabilità formale e sostanziale. Il partner è una società di capitali italiana regolarmente iscritta al Registro degli Operatori di Comunicazione (…). Tale iscrizione costituisce, per il Titolare, un indice qualificato di professionalità e assoggettamento alle normative di settore».

Quanto alle evidenze documentali relative alla provenienza dei dati dell’odierna reclamante Nuova Corrente rappresentava che «Le evidenze tecniche in possesso della Scrivente, costituite dai metadati di registrazione e dalla prova degli investimenti pubblicitari sostenuti dal partner su piattaforma Meta (…), confermano in modo inequivocabile che il dato è stato generato in un contesto di acquisizione lecito e tracciato, come documentato nell’allegato denominato "contatti liberi lead generation". A ulteriore riprova della genuinità della raccolta, l'analisi approfondita dei log di navigabilità ha fatto emergere un elemento dirimente: il consenso della reclamante risulta prestato in due distinte occasioni. Oltre al primo tracciamento, si riscontra infatti una seconda manifestazione di volontà resa direttamente tramite la piattaforma Facebook. Tale circostanza, certificata dai log di sistema, esclude l'ipotesi di un inserimento involontario o automatizzato, confermando l'effettivo interesse dell'utente verso la proposta commerciale».

Inoltre, alla luce delle contestazioni avanzate dalla reclamante, la Società chiedeva «di voler disporre, nell'ambito della presente istruttoria, l'accertamento tecnico volto a verificare se l'indirizzo XX, sia effettivamente riconducibile all'utenza o alla connessione internet in uso alla reclamante».

Con nota trasmessa in data 30 gennaio 2026 (cfr. Prot. n. 14184 del 2 febbraio 2026), la reclamante osservava che «non viene fornita alcuna motivazione in merito nè al mancato riscontro alla prima istanza di acceso ai propri dati e neppure al fatto che gli stessi siano stati utilizzati per finalità al limite della truffa, visto che i dati personali venivano utilizzati per indicare un guasto/anomalia tecnica in zona e non, come avvenuto in realtà, per una proposta commerciale. Entrambe le cose, pacificamente ammesse anche da controparte, risultano nella registrazione audio già da loro depositata».

Quanto all’origine dei dati personali, inoltre, l’interessata evidenziava che «1) nella documentazione di controparte non emerge in alcun modo una corrispondenza univoca tra l'utilizzo di tale IP e la dichiarazione di consenso all'uso dei dati; 2) il fatto che sia stata pagata a Meta una fattura di acquisizione dati non garantisce altresì che gli stessi dati siano stati acquisiti lecitamente nè che tale fattura riguardi i propri dati personali e/o di altri potenziali clienti; 3) (…) è quantomeno controverso il fatto che nella precedente controdeduzione Nuova Corrente srl aveva dichiarato che i dati erano stati acquisiti dalla società bulgara Clean Energy Consulting tramite piattaforma offertegratis.com (sito web registrato in Canada), mentre in questa sede i dati sarebbero stati acquisiti tramite Facebook da Meta con sede a Dublino, segno che evidentemente non vi è certezza dell'origine dei dati; 4) si può comunque escludere che i dati siano stati acquisiti tramite tali piattaforme, infatti l'operatore del call center alla prima chiamata ricevuta non aveva solamente i dati anagrafici e di contatto, bensi' addirittura i codici POD e PDR della fornitura e persino l'IBAN bancario, informazioni che normalmente si acquisiscono esclusivamente tramite data breach di altri fornitori di energia elettrica e gas. Questo in quanto le piattaforme online di comparazione non richiedono nè POD nè PDR nè IBAN bancario, che vengono eventualmente acquisiti direttamente dal fornitore solamente in fase di sottoscrizione del contratto» e che «nella prima controdeduzione (…), il tracciato informatico riporterebbe la data del 18/07/2025 (…) Nelle seconde controdeduzioni, Nuova corrente srl invece dichiara che il consenso dal contestato indirizo IP sarebbe invece avvenuto in data 04/07/2025».

La reclamante contestava, altresì, che «i dati sono stati utilizzati non per finalità lecite, ossia una proposta commerciale, bensì per organizzare una possibile frode. Infatti la società ha contattato il numero di cui erano in possesso per comunicare un'anomalia amministrativa e tecnica nella propria zona, senza in realtà comunicare che si stava stipulando un contratto. Si precisa che tale circostanza emerge chiaramente dalla registrazione audio depositata dal professionista stesso in sede di prime controdeduzioni; 2) appena venuto a sapere del trattamento illecito dei propri dati, ossia durante la citata registrazione vocale, il professionista avrebbe dovuto agire immediatamente per verificare il corretto trattamento, mentre non risulta intrapresa nessuna azione fino alla data del reclamo al Garante». 

1.3.    Rigetto istanza accertamento tecnico

L’Ufficio rigettava l’istanza di accertamento tecnico avanzata dalla Società al fine di verificare se l'indirizzo IP fosse effettivamente riconducibile all'utenza o alla connessione internet in uso alla reclamante, poiché manifestamente irrilevante ai fini della definizione del procedimento e in ogni caso inammissibile in base ai principi regolatori della materia.

A tale riguardo, si rilevava preliminarmente che l’indirizzo IP in questione risultava associato all’acquisizione dei dati personali sul sito offertegratis.com e non era invece menzionato nella documentazione relativa alla campagna svolta sui social network.

Inoltre, l’accertamento richiesto appariva di fatto irrilevante ai fini del procedimento atteso che, a prescindere dalla riconducibilità o meno dell’IP indicato all’odierna reclamante, i form utilizzati sul sito offertegratis.com non erano ab origine adeguati all’acquisizione di un consenso libero, specifico e granulare ai sensi della vigente normativa in materia di protezione dei dati personali, né risultava che vi fosse una corrispondenza tra le predette formule e le tipologie di dati in possesso dell’operatore chiamante (i.e. dati bancari e di fornitura).

Come si illustrerà ampiamente infra, infatti, quanto al portale offertegratis.com, la disamina delle formule e delle informative ivi presenti non consente di comprendere se il conferimento del secondo e del terzo consenso, a prescindere dalla scelta delle singole categorie merceologiche, implichi il trasferimento dei dati personali indistintamente a tutti i numerosi cessionari ivi previsti. Tale cessione, invece, stando alle formule utilizzate, scaturisce dal flag sul terzo consenso. A tale riguardo l’Ufficio, richiamando anche i più recenti provvedimenti dell’Autorità, evidenziava che l’utilizzo di formule carenti sotto il profilo della trasparenza e/o che non consentano di esprimere un consenso libero, specifico e granulare si pone in aperto contrasto con la disciplina vigente in materia di protezione dei dati personali. L’Ufficio rilevava, altresì, che la Società, essendosi limitata a produrre soltanto una dichiarazione fornita dal list provider recante i riferimenti temporali, l’indirizzo IP e i dati anagrafici della reclamante, non aveva nemmeno fornito sufficienti elementi probatori in merito all’origine dei dati. Il sito in parola, infatti, è sfornito di qualsivoglia meccanismo (quale ad es. il double opt-in o similari) che consenta di associare con sufficiente certezza quelle manifestazioni di volontà agli interessati e, dunque, di ritenere assolto l’onere della prova gravante sul titolare in merito all’avvenuta acquisizione di un valido consenso da parte dell’interessato. Analogamente, in mancanza di un simile sistema di controllo, non appaiono implementate nemmeno misure adeguate ad assicurare che il trattamento dei dati personali avvenga nel pieno rispetto del principio di esattezza del trattamento

Peraltro, Nuova Corrente solo in occasione del secondo riscontro aveva rappresentato di avere acquisito i dati della reclamante anche mediante una campagna sui social network. Tuttavia, a tale riguardo la Società si era limitata a produrre una fattura rilasciata da Meta Platforms Inc. alla Joseph Agency S.r.l.s. e un file excel riepilogativo delle dieci anagrafiche acquisite, aventi a oggetto campagne di “Promoting Modulo di My Fibra”, ambedue privi di riferimenti a Nuova Corrente o alla promozione di servizi energetici. Ne consegue che, a prescindere dall’indirizzo IP, anche sotto tale profilo, Nuova Corrente non aveva fornito elementi sufficienti a illustrare ab origine la lecita acquisizione dei dati della reclamante. 

Per completezza argomentativa, l’Ufficio osservava inoltre che la richiesta in parola era inammissibile dal momento che sollecitare l’esercizio dei poteri istruttori e di indagine dell’Autorità al fine di acquisire elementi probatori rispetto ai quali la vigente normativa prevede che l’onere della prova ricada sulla medesima parte richiedente, si risolverebbe in una evidente e inammissibile elusione dei principi di cui agli artt. 5 e 24 del Regolamento, nella parte in cui prevedono che il titolare debba dimostrare l’avvenuta ottemperanza alla normativa in materia di protezione dei dati personali.

Il principio appena enunciato, infatti, costituisce un logico corollario delle norme vigenti in materia di onere della prova. In tal senso milita anche la costante giurisprudenza di legittimità, che di recente ha ribadito il principio per cui «la giurisprudenza di questa Corte è infatti stabile nel ritenere che, dato il raggio di azione accordato al potere di investigazione del consulente dall'art. 194 c.p.c., comma 1, il CTU sia legittimato ad acquisire ogni elemento necessario a rispondere ai quesiti demandatigli dal giudice, "sempre che si tratti di fatti accessori rientranti nell'ambito strettamente tecnico della consulenza, e non di fatti e situazioni che, essendo posti direttamente a fondamento della domanda o delle eccezioni delle parti, debbano necessariamente essere provati dalle stesse» (Cass. civ., Sez. Unite, Sentenza, 01/02/2022, n. 3086). 

Analogamente anche la giurisprudenza amministrativa si è espressa nei medesimi termini statuendo che «Né è possibile supplire alla rilevata carenza attraverso il ricorso ai poteri giudiziali istruttori ufficiosi. Vero è che nel processo amministrativo l'ontologica diseguaglianza delle parti con riguardo alle prove fonda il c.d. principio dispositivo con metodo acquisitivo, per cui il Tribunale può supplire alle carenze probatorie derivanti dalla maggior vicinanza dell'Amministrazione alla prova, ma tale temperamento alla regola generale non può certo giungere a sovvertire il fondamentale principio per cui chi agisce in giudizio deve chiaramente indicare l'oggetto della propria pretesa. Il Collegio ritiene che debba ammettersi, in astratto, la possibilità di esercizio da parte del giudice di poteri istruttori d'ufficio, ma che tuttavia tale prerogativa deve costituire una extrema ratio e, in ogni caso, resta fermo che, anche allorquando i fatti non sono nella piena disponibilità del ricorrente, giammai al giudice sarebbe consentito far uso dei suoi poteri per indagare circa la reale volontà della parte al di là di quanto da essa esplicitato nella domanda giudiziale, in buona sostanza, sostituendosi alla stessa e compromettendo il principio di assoluta terzietà dell'organo giudicante rispetto agli interessi in gioco. Il principio dispositivo con metodo acquisitivo "non può, comunque, mai ridursi ad un'assoluta e generale inversione dell'onere della prova e comunque non consente al giudice amministrativo di sostituirsi alla parte onerata quando la ricorrente non si trovi nell'impossibilità di provare il fatto posto a base della sua azione" (così TAR Campania, sez. VI, 15 luglio 2014, n. 3962; Cons. Stato, sez. V, 10 novembre 2010, n. 8006)» (T.A.R. Lazio Roma, Sez. I bis, Sentenza, 24/06/2015, n. 8639).

Si osservava, inoltre, che in virtù del dispositivo dell’art. 5 del Regolamento e del principio di accountability, il titolare è oltremodo libero nella scelta delle modalità e dei mezzi per far fronte agli obblighi derivanti dalla normativa vigente in materia di protezione dei dati personali. Di conseguenza tale discrezionalità si riverbera anche sui mezzi e sulle modalità prescelti al fine di ottemperare all’onere della prova, che nel caso di specie imponeva di individuare tecniche di acquisizione del consenso improntate ai principi di inequivocabilità, immodificabilità e certezza, in grado dunque di superare anche le eventuali contestazioni dell’interessata. 

1.4.    Contestazione delle violazioni 

L’Ufficio, all’esito dell’istruttoria, adottava il sopra richiamato atto di contestazione n. 36361/26 nel quale, in primo luogo, si osservava che le attività promozionali effettuate da Nuova Corrente nei confronti dell’odierna reclamante apparivano realizzate in assenza di un’idonea base giuridica e, di conseguenza, in violazione degli artt. 5, 6 e 7 del Regolamento e art. 130 del Codice.

Peraltro, la condotta appena richiamata sembrava connotarsi anche di particolare gravità, dal momento che stando alle dichiarazioni della Società, aveva interessato quantomeno altri 9 soggetti interessati. 

Sotto altro e diverso versante, l’Ufficio rilevava che Nuova Corrente sembrava non avere ancora completamente assimilato gli obblighi derivanti dal principio di accountability con particolare riguardo alla liceità di tutta la filiera del trattamento che dal contatto consente di giungere al contratto, né i doveri derivanti dalle disposizioni contenute all’art. 28 del Regolamento.
Infine, si osservava che nel caso in esame apparivano integrati anche gli estremi dell’avvenuta violazione degli artt. 12 e da 15 a 22 del Regolamento in materia di esercizio dei diritti da parte dei soggetti interessati.

L’Ufficio, pertanto, contestava a Nuova Corrente le seguenti ipotesi di violazione:

- artt. 5, 6 e 7 del Regolamento, nonché dell’art. 130 del Codice, per aver effettuato i sopra descritti trattamenti di dati personali in assenza di un’idonea base giuridica; 

- artt. 5, 24 e 28 del Regolamento, per aver effettuato i sopra descritti trattamenti di dati personali in violazione dei doveri derivanti dal principio di accountability e dall’art. 28 del Regolamento;

- art. 12 e da 15 a 22 del Regolamento per il mancato riscontro all’istanza di esercizio dei diritti avanzata dall’odierna reclamante e, più in generale, per la mancata adozione di misure idonee a garantire l’adeguata gestione delle istanze di esercizio dei diritti da parte degli interessati.

2. LA DIFESA DEL TITOLARE

Con nota trasmessa in data 8 aprile 2026 (cfr. Prot.  n. 54361 del 9 aprile 2026) Nuova Corrente evidenziava preliminarmente di essere totalmente estranea a ipotetiche condotte fraudolente e/o truffaldine poste in essere ai danni della reclamante e che tanto emergeva anche dal contegno tenuto dall’operatrice interna nel corso della chiamata di controllo. A tale proposito la Società rappresentava che a fronte delle perplessità manifestate dall’utente e dell’assenza di un chiaro interesse alla conclusione del contratto, l’operatrice aveva immediatamente preso atto del disinteresse dell’interessata, interrotto la procedura di attivazione del contratto e scartato la proposta contrattuale proveniente dall’agenzia. In base alla tesi difensiva avanzata da Nuova Corrente, tale condotta valeva a dimostrare che la fase di contatto diretto – nemmeno obbligatoria ai sensi della normativa di settore - non era finalizzata meramente alla conferma automatica della proposta, bensì costituiva «un presidio concreto volto a garantire la consapevolezza del cliente e a prevenire attivazioni non volute».

Nella medesima occasione, la Società evidenziava che il contratto di agenzia in essere imponeva a Joseph Agency «l’obbligo di presentare ai Clienti i Servizi di Nuova Corrente in modo conforme alle reali caratteristiche degli stessi, come indicate e descritte nella Offerta, tenendosi aggiornato sulla stessa», attenendosi allo script di chiamata fornito e che era vietato «effettuare dichiarazioni inesatte, ingannevoli e/o denigratorie relative ai Servizi, e ad altri prodotti e/o servizi anche di terzi». L’utilizzo dello script era, altresì, richiamato anche nella nomina a responsabile del trattamento e il contratto vietava di apportare eventuali modifiche agli script e alla documentazione riepilogativa predisposta dalla Preponente. Tale script prevedeva, inoltre, che i dati di fornitura (POD e PDR) fossero richiesti da Joseph Agency, mentre quelli bancari venivano richiesti da Nuova Corrente ai fini della conclusione del contratto. Il contratto di agenzia prevedeva, inoltre, un «meccanismo sanzionatorio, sotto forma di penale e mancata corresponsione della provvigione, oltre che rimborso di costi e danni, per ogni risultato delle verifiche svolte dalla mandante e/o per ogni lamentela pervenuta da parte di Clienti e/o potenziali Clienti riconducibile all'attività di cui al medesimo contratto, da cui emergano delle violazioni di norme penali, civili, amministrative e/o degli obblighi contrattuali».

Nuova Corrente evidenziava, poi, che la comunicazione di cessazione del rapporto con Joseph Agency S.r.l.s. era stata motivata con riferimento alla mancata produzione commerciale per ragioni di mera prudenza, dal momento che «non erano ancora disponibili elementi oggettivi e documentali idonei a comprovare in modo certo eventuali condotte non conformi alle disposizioni contrattuali da parte del partner», sebbene tale decisione fosse scaturita anche dalla segnalazione dell’odierna reclamante, quale misura di immediato contenimento delle criticità lamentate.

Con riferimento alla contestata inadeguatezza dei controlli sull’operato del fornitore, Nuova Corrente rappresentava che il rapporto con Joseph Agency S.r.l.s. era durato circa tre mesi e mezzo e che prima non era stata registrata nessun’altra irregolarità. Pertanto, l’assenza di audit, pure previsti, era da ascrivere alla ristretta durata della collaborazione e alla ridotta produttività del partner. 

Quanto, invece, all’inidonea base giuridica per il trattamento dei dati della reclamante, la Società evidenziava che l’attività di raccolta dei dati personali e del consenso dei potenziali clienti era stata posta in essere da Joseph Agency S.r.l.s. avvalendosi di una terza società, Clean Energy Consulting, il cui nominativo e ruolo non era mai stata comunicato a Nuova Corrente, in violazione di quanto stabilito nella nomina a responsabile del trattamento, ostacolando l’attività di controllo da parte di Nuova Corrente.

Tale carenza di trasparenza aveva determinato anche la contraddittorietà delle dichiarazioni fornite nel corso del procedimento circa l’origine dei dati.

Con riguardo al mancato riscontro alla richiesta di esercizio dei diritti avanzata dalla reclamante, Nuova Corrente rappresentava che l’istanza era stata «gestita ed evasa da un punto di vista esclusivamente commerciale»; che non aveva generato un pregiudizio irreparabile per l'interessata; che si trattava di un episodio isolato scaturito dalla circostanza che la medesima era stata trasmessa alla PEC della Società e non alla indirizzo e-mail dedicato alla gestione delle istanze in materia di protezione dei dati personali, indicato nell’informativa privacy pubblicata sul sito web della Società. Per scongiurare il ripetersi di simili criticità, Nuova Corrente già nel corso del procedimento aveva integrato la gestione delle istanze di esercizio dei diritti in materia di privacy all’interno del proprio sistema di Ticketing/CRM. Per l’effetto, «ogni richiesta pervenuta viene ora registrata con un “Ticket Privacy” a cui è associato un countdown di 30 giorni. Il sistema inibisce la chiusura della pratica finché non viene caricata la prova del riscontro inviato all’interessato, rendendo impossibile l’omissione per dimenticanza o superficialità». 

Nuova Corrente rappresentava, inoltre, di avere avviato un piano di rafforzamento della propria struttura organizzativa e dei presidi di compliance attraverso «adozione di procedure strutturate di qualificazione e selezione dei lead provider, basate su criteri di tracciabilità e verificabilità delle fonti; introduzione di sistemi avanzati di prova del consenso (inclusi meccanismi di double opt-in o equivalenti). La Società ha pianificato l’implementazione di un protocollo di double opt-in telefonico tramite Strong Authentication (SMS OTP). Tale sistema prevede che il perfezionamento del consenso (o del contratto) sia subordinato all'inserimento di un codice univoco inviato in tempo reale sul dispositivo mobile dell'interessato. La procedura garantirà la tracciabilità informatica della volontà dell'utente, associando univocamente il timestamp della validazione all'utenza contattata (…); revisione integrale delle nomine a responsabile del trattamento ex art. 28 GDPR; implementazione di audit periodici e controlli documentati sui partner; implementazione degli script commerciali dal punto di vista della trasparenza e correttezza».

In aggiunta, la Società rappresentava la volontà di aderire al Codice di Condotta per il Telemarketing e il Teleselling «prevedendo come criterio di selezione privilegiato del proprio partenariato che le Agenzie aderiscano al medesimo Codice».

Infine, Nuova Corrente richiamava le circostanze attenuanti ricorrenti nel caso di specie e ne chiedeva l’applicazione ai fini della determinazione di una eventuale sanzione pecuniaria.

3. VALUTAZIONI DELL’AUTORITÀ

Si rileva in primo luogo che le osservazioni di Nuova Corrente, fornite nel corso del procedimento, non appaiono idonee a escludere la responsabilità della Società in ordine alle violazioni contestate.

le attività promozionali effettuate da Nuova Corrente nei confronti dell’odierna reclamante risultano realizzate in assenza di un’idonea base giuridica e, di conseguenza, in violazione degli artt. 5, 6 e 7 del Regolamento e art. 130 del Codice.

Difatti, nonostante l’onere della prova gravante sul titolare ai sensi degli artt. 5 e 24 del Regolamento, i chiarimenti forniti non appaiono idonei a illustrare l’origine dei dati dell’interessata, né a comprovare la sussistenza di un’idonea base giuridica del trattamento, dal momento che la Società sul punto ha fornito informazioni contraddittorie e nemmeno corroborate da sufficienti elementi probatori.

Quanto all’origine dei dati, in un primo momento la Società ha dichiarato che i medesimi sono stati acquisiti attraverso un form pubblicato sul sito offertegratis.com riconducibile a una società bulgara. Successivamente, invece, Nuova Corrente ha dichiarato che v’è stata anche un’altra acquisizione dei medesimi dati personali della reclamante attraverso i social network. Altrettanto contraddittorie appaiono anche le dichiarazioni sui riferimenti temporali circa l’avvenuta acquisizione del consenso. Si aggiunga che entrambe le fonti di raccolta appena indicate, non sono in grado di giustificare come mai l’operatore chiamante, nel corso del primo contatto lamentato, fosse anche in possesso dei dati relativi alle forniture e di quelli bancari, come riferito dall’interessata ai sensi dell’art. 168 del Codice e mai contestato dalla Società. Tale tipologia di dati non risulta tra quelli richiesti sul sito offertegratis.com, né è riportata all’interno del file excel recante il dettaglio delle dieci anagrafiche procurate da Joseph Agency S.r.l.s..

Più in particolare, rispetto al sito offertegratis.com, riconducibile alla titolarità della società bulgara Clean Energy Consulting, si rileva che le formule apposte in calce al form ivi presente non sono idonee all’acquisizione di un valido consenso ai sensi degli artt. 4, punto 11) e 7 del Regolamento, dal momento che presentano plurimi elementi di criticità. 

In prima istanza, infatti, le formule utilizzate in ordine alla cessione dei dati a terzi per finalità promozionali appaiono tra loro sovrapponibili (i.e. secondo e terzo consenso), con l’unica differenza che soltanto nell’ambito del secondo form è presente il link apparentemente utile alla realizzazione di una scelta differenziata in base alle categorie merceologiche. In secondo luogo, poi, la lista completa di soggetti terzi posta in corrispondenza dei flag differenziati in base alla categoria merceologica del cessionario, risulta sempre la medesima (cfr. secondo consenso). La medesima lista, inoltre, è raggiungibile anche attraverso il link posto all’interno della terza formula di consenso.  In altri termini, siffatta conformazione dei form non consente di comprendere se il conferimento del secondo e del terzo consenso, di fatto e a prescindere dalla scelta delle singole categorie, implichi il trasferimento dei dati personali indistintamente a tutti i numerosi cessionari ivi previsti. Inoltre, anche il solo conferimento del terzo consenso implica la cessione indistinta dei dati personali a tutti gli operatori appartenenti alle numerose e diversificate categorie merceologiche ivi indicate, senza la possibilità per l’interessato di effettuare una scelta libera, specifica e granulare, con conseguente perdita di controllo sulle proprie informazioni personali.

Il principio secondo cui l’utilizzo di formule carenti sotto il profilo della trasparenza e/o che non consentano di esprimere un consenso libero, specifico e granulare si pone in aperto contrasto con la disciplina vigente in materia di protezione dei dati personali; esso è stato, peraltro, ripetutamente ribadito dall’Autorità anche nelle sue più recenti deliberazioni (vd. Provv. n. 114 del 27 febbraio 2025, disponibile per la consultazione sul sito www.gpdp.it, doc. web n. 10114967, ove si legge che «In ragione dell’ampia formulazione utilizzata in ordine alla platea numerosa e indistinta dei cessionari dei dati personali operanti in settori molto differenti tra loro, infatti, l’interessato che voglia ricevere le offerte relative a uno o più delle categorie merceologiche ivi indicate o voglia riceverle tramite uno soltanto dei canali indicati è, di fatto, costretto a conferire un consenso unitario alla cessione indiscriminata dei propri dati a tutti, indistintamente, i soggetti terzi destinatari a scopi promozionali e non è posto nella condizione di esercitare agevolmente i diritti riconosciuti dalla vigente normativa (…) L’utilizzo di formule per l’acquisizione del consenso al trattamento dei dati personali per la cessione a terzi ai fini marketing così ampie e generiche, da non permettere all’interessato di esprimere una volontà granulare e differenziata per esempio in relazione alla categoria merceologica delle offerte commerciali che desidera ricevere (i.e. telefonia, forniture energetiche, servizi assicurativi, moda, auto ecc.) o che in ragione delle peculiari configurazioni dei form e delle informative utilizzate, non consenta di manifestare agevolmente anche la propria volontà in ordine agli strumenti attraverso cui veicolare le comunicazioni promozionali, non permette di acquisire una valida, consapevole e inequivocabile manifestazione di volontà dell’interessato, dal momento che finisce per realizzare un’incontrollabile diffusione di dati personali a favore di una platea indistinta di operatori, minando anche la possibilità di esercitare efficacemente i diritti riconosciuti dalla legge a favore dei soggetti interessati» ).

In altri termini, la manifestazione di volontà in ordine alla cessione dei dati a terzi per finalità di marketing, può considerarsi realmente libera soltanto se all’interessato è garantita una scelta effettiva e il controllo sui propri dati personali (cfr. Linee guida n. 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679, disponibili per la consultazione sul sito www.edpb.europa.eu, par. 3.1 «L’elemento della manifestazione di volontà “libera” implica che l’interessato abbia una scelta effettiva e il controllo sui propri dati. Come regola generale, il regolamento stabilisce che se l’interessato non dispone di una scelta effettiva o si sente obbligato ad acconsentire oppure subirà conseguenze negative se non acconsente, il consenso non sarà valido. Se il consenso è un elemento non negoziabile delle condizioni generali di contratto/servizio, si presume che non sia stato prestato liberamente. Di conseguenza, il consenso non sarà considerato libero se l’interessato non può rifiutarlo o revocarlo senza subire pregiudizio. Il regolamento generale sulla protezione dei dati ha preso in considerazione anche la nozione di squilibrio tra titolare del trattamento e interessato» e par. 3.1.3 «Se il titolare del trattamento ha riunito diverse finalità di trattamento e non ha chiesto il consenso separato per ciascuna di esse non c’è libertà. La granularità è strettamente correlata alla necessità che il consenso sia specifico, come analizzato nella sezione 3.2. Quando il trattamento di dati mira a perseguire finalità diverse, la soluzione per soddisfare le condizioni per la validità del consenso risiede nella granularità, ossia nella separazione delle finalità e nell’ottenimento del consenso per ciascuna di esse»).

Sul punto si rileva poi che le affermazioni di Nuova Corrente sull’origine dei dati della reclamante non appaiono nemmeno corroborate da sufficienti elementi probatori e in ogni caso sono state ripetutamente contestate dall’istante, che rendendo dichiarazioni ai sensi dell’art. 168 del Codice ha negato di avere consultato i siti richiamati e conferito i propri dati personali.

Quanto al sito offertegratis.com, infatti, la Società aveva fornito soltanto una dichiarazione rilasciata dal list provider recante i riferimenti temporali, l’indirizzo IP e i dati anagrafici della reclamante, tuttavia priva dei requisiti di certezza, inequivocabilità e immodificabilità. 

Analogamente, anche rispetto alle anagrafiche acquisite tramite social network, gli elementi probatori forniti dalla Società appaiono carenti dei predetti requisiti e per l’effetto, non permettono di superare le contestazioni sollevate dall’interessata, atteso che Nuova Corrente si è limitata a produrre un file excel ed una fattura rilasciata da Meta Platforms, Inc. alla Joseph Agency S.r.l.s., avente a oggetto campagne di “Promoting Modulo di My Fibra, ma tale documentazione è priva di riferimenti alla Società Nuova Corrente o alla promozione di servizi energetici.

I sistemi di acquisizione del consenso utilizzati sul portale offertegratis.com e sui social network, infatti, non risultano adeguatamente dotati di misure volte alla verifica dell’identità del soggetto che immette i dati personali nel form e, dunque, a comprovare inequivocabilmente l’avvenuto rilascio del consenso.

L’Autorità si è più volte soffermata anche sul tema dell’inadeguatezza di sistemi di acquisizione del consenso privi di qualsivoglia misura volta alla verifica dell’identità del soggetto che immette i dati personali nel form (quali ad es. il double opt-in), osservando che tali meccanismi non consentono di associare con sufficiente certezza quelle manifestazioni di volontà agli interessati e, dunque, di ritenere assolto l’onere della prova gravante sul titolare in merito all’avvenuta acquisizione di un valido consenso da parte dell’interessato. Analogamente, in mancanza di un sistema di controllo, non appaiono implementate nemmeno misure adeguate ad assicurare che il trattamento dei dati personali avvenga nel pieno rispetto del principio di esattezza del trattamento.

Si aggiunga che tali rilievi risultano ancora più stringenti se considerati nell’attuale contesto socio-economico e tecnologico, caratterizzato dalla diffusione di siti internet non navigabili e recanti esclusivamente form di raccolta contatti, utilizzati al solo fine di conferire una parvenza di liceità a liste di contatti acquisiti al di fuori dei presupposti di legittimità. 

Di recente l’Autorità ha approfondito ampiamente il tema con il Provv. n. 330 del 4 giugno 2025, doc-web n. 10143278, statuendo che «Inoltre, con riguardo all'inesistenza di un espresso obbligo normativo rispetto alla qualificazione del consenso con modalità double opt-in, si osserva che - contrariamente a quanto sostenuto dalla NCA - tra i requisiti di liceità del consenso di cui all'art. 7 del Regolamento, si prefigura l'obbligo per il titolare di dimostrare che l'interessato ha prestato il proprio consenso. Tale dimostrazione, per quanto ormai noto allo stato dell'arte, non può considerarsi sufficientemente resa attraverso la presentazione di stampigliature - qualificate come file di log - recanti dati spesso disconosciuti dagli interessati, prive dei requisiti informatici di immodificabilità e concernenti liste formate da soggetti, spesso ubicati extra-UE, che non offrono garanzie adeguate. In tale contesto si deve innanzitutto tenere conto del fatto che il Regolamento non prevede espressamente specifici obblighi normativi per singole fattispecie ma impone il rispetto di generali principi da adattare al contesto, ai potenziali rischi e alle aspettative degli interessati. Partendo da tale presupposto, il Garante ha più volte fornito orientamenti su casi specifici ricordando che la documentazione del consenso in modalità double opt-in è una forma di documentazione del consenso che offre maggiori garanzie e può considerarsi, allo stato dell'arte, una misura minima di protezione per l'interessato ma anche per lo stesso titolare, tenuto a comprovare la liceità del trattamento (cfr, ad esempio, in www.garanteprivacy.it, provv. 15 dicembre 2022, doc web 9852290, provv. 26 ottobre 2017, doc. web n. 7320903 e provv. 25 novembre 2021, doc. web n. 9737185); analoghe modalità di documentazione del consenso sono indicate anche all'interno del codice di condotta in materia di telemarketing e teleselling (provv. del 7 marzo 2024, doc web n. 9993808)».

Anche con il Provv. n. 574 del 9 maggio 2024, disponibile per la consultazione sul sito www.gpdp.it, doc. web n. 10107938, l’Autorità ha osservato che la scelta di «implementare la descritta procedura di invio di un sms per consentire all’interessato di revocare la disponibilità al ricontatto, non appare funzionale a disincentivare l’eventuale utilizzo di bot che, massivamente, possano inserire numerazioni telefoniche da sottoporre a ricontatto, posto che il limite di due minuti entro il quale l’interessato può esercitare tale ripensamento, di tutta evidenza, non è idoneo a garantire chi a sua insaputa sia stato inserito nel meccanismo di ricontatto e che si trovi a ricevere un misterioso sms nel quale, peraltro, si suggerisce di azionare un link (pratica largamente sconsigliata per evitare di introdurre malware nei propri device). Più efficace, in questo senso, sembra essere una procedura di “conferma” del consenso al ricontatto (cliccando un apposito link o inserendo nel form via web una OTP inviata tramite sms) senza la quale il ricontatto stesso non avrebbe luogo».

Considerate le molteplici e dettagliate indicazioni fornite dall’Autorità sul tema, Nuova Corrente, nella sua qualità di titolare del trattamento e nell’adempimento dei doveri derivanti anche dal principio di accountability, avrebbe potuto e dovuto accorgersi che tale fonte di approvvigionamento dei dati personali, peraltro utilizzati ai fini della realizzazione di attività promozionali nel suo interesse e dalle quali traeva vantaggio economico, si poneva in aperto contrasto con le disposizioni vigenti in materia di protezione dei dati personali e con i più recenti arresti dell’Autorità. 

A tale proposito non può esplicare nemmeno alcuna efficacia attenuante o esimente quanto rappresentato dalla Società in ordine alla mancata consapevolezza del ruolo di Clean Energy Consulting, dal momento che tanto il contratto sottoscritto con Joseph Agency, quanto l’allegata nomina a responsabile del trattamento, recavano il riferimento alla possibilità di avvalersi di altri soggetti e collaboratori nell’adempimento del mandato conferito.  Si aggiunga che la condotta appena descritta pare connotarsi anche di particolare gravità, dal momento che, per stessa ammissione della Società, ha coinvolto quantomeno altri 9 ulteriori soggetti interessati. 

Più in generale, Nuova Corrente sembra non avere ancora completamente assimilato gli obblighi derivanti dal principio di accountability con particolare riguardo alla liceità di tutta la filiera del trattamento che dal contatto consente di giungere al contratto, né i doveri derivanti dalle disposizioni contenute all’art. 28 del Regolamento.

Sotto il primo versante, infatti, la Società sembra avere completamente demandato le scelte sulle modalità di approvvigionamento delle anagrafiche all’agenzia, senza essersi minimamente preoccupata di individuare dei criteri di scelta a monte o effettuare fattivi controlli a valle. Sul punto, infatti, non possono ritenersi sufficienti meri riferimenti alla lecita provenienza delle liste o agli obblighi contrattuali. Né agli atti del procedimento v’è alcun indice di prova in merito alla realizzazione dei controlli a campione e periodici pure richiamati.

In tal senso milita l’art. 5 del Codice di Condotta in materia di telemarketing e telesellig (vd. Provv. n. 70 del 9 marzo 2023, doc. web n. 9868813 e Provv. n. 148 del 7 marzo 2024, doc. web n. 9993808), che a prescindere dalla effettiva adesione assume la valenza di best practices del settore, nella parte in cui chiarisce che «Fermo restando il riparto delle responsabilità e quanto previsto dal precedente articolo 4 in tema di responsabilità solidale, il titolare garantisce e richiede ai propri responsabili che il trattamento, a partire dalla fase di raccolta dei dati, avvenga in conformità al Regolamento, al Codice e al presente Codice di condotta. A tal fine, il titolare adotta misure adeguate per verificare che il responsabile del trattamento rispetti le istruzioni impartite attraverso meccanismi di audit quali, ad esempio, le “numerazioni civetta” (numerazioni proprie all’interno della lista delle numerazioni contattabili) e controlli a campione sui contratti stipulati, per verificare che i contatti siano effettuati con le modalità stabilite dal titolare e in conformità agli articoli 6 e 11 di cui al presente Codice di Condotta e che, in particolare, l’informativa sia stata resa in maniera intellegibile».

A tale proposito la Società ha osservato che la mancanza di controlli sulla Joseph Agency è stata cagionata dalla ridotta durata del rapporto contrattuale. Ma tale eccezione non può essere accolta atteso che Nuova Corrente non ha fornito alcun elemento – nemmeno di carattere documentale – atto a comprovare che tali attività siano state previste e sistematicamente svolte all’interno della propria compagine aziendale, per esempio attraverso la formalizzazione di una procedura ad hoc o l’avvenuta realizzazione di controlli su altri partner commerciali.

Parimenti, anche con riguardo ai rapporti intercorsi con la Joseph Agency S.r.l.s., le evidenze emerse nel corso del procedimento hanno consentito di accertare l’avvenuta realizzazione di condotte contrarie alle disposizioni dell’art. 28 del Regolamento (cd. culpa in eligendo e culpa in vigilando).

In primo luogo, i formulari utilizzati per il conferimento della nomina a responsabile – peraltro nemmeno debitamente compilati - fanno riferimento a norme oramai abrogate. 

Sebbene l’art. 28 del Regolamento imponga il ricorso a partner dotati di adeguate competenze in materia di privacy, i criteri richiamati in ordine alla pre-qualifica dei fornitori (i.e. essere una società italiana regolarmente iscritta al Registro degli Operatori di Comunicazione e postali), hanno poco a che vedere con la materia della protezione dei dati personali, giacché afferenti semmai alla solvibilità economica e alle prescritte abilitazioni in tema di comunicazioni.

Inoltre, agli atti del procedimento non risulta nemmeno provato l’avvenuto rilascio di pertinenti istruzioni in merito alla realizzazione dei contatti promozionali, né la realizzazione di adeguati controlli sull’operato del responsabile. 

In tal senso milita il contegno truffaldino e dissimulatorio tenuto dall’operatore telefonico nel corso del primo dei contatti oggetto di doglianza, per come descritto dalla reclamante e corroborato dalla registrazione della seconda telefonata. Analogamente anche la risoluzione del contratto sottoscritto con l’agenzia non fa alcun riferimento all’avvenuta violazione della normativa sulla protezione dei dati personali e, in ogni caso, è stata effettuata prima ancora della presentazione del reclamo all’Autorità.  

Infine, si osserva dagli accadimenti occorsi nel caso in esame è emersa anche l’avvenuta violazione degli artt. 12 e da 15 a 22 del Regolamento in materia di esercizio dei diritti da parte dei soggetti interessati.

Difatti, nonostante l’onere della prova gravante sul titolare, la Società non ha in alcun modo provato che prima dell’apertura dell’odierno procedimento erano state implementate misure idonee a garantire l’adeguata gestione delle istanze di esercizio dei diritti. Né, con riferimento all’odierna reclamante, Nuova Corrente ha addotto alcuna valida scusante in ordine al mancato riscontro all’istanza regolarmente presentata dalla medesima.

A tale proposito, infatti, la Società ha sostenuto che l’istanza era stata «gestita ed evasa da un punto di vista esclusivamente commerciale», ma tale tesi non si rivela persuasiva dal momento che nell’oggetto e nel corpo della richiesta si faceva espresso ed inequivocabile riferimento alla normativa in materia di protezione dei dati personali, mentre invece non si menzionava alcuna prerogativa commerciale, né il diritto al ripensamento. Irrilevante si appalesa anche l’eccepita circostanza che l’istanza fosse stata trasmessa alla PEC della Società e non alla indirizzo e-mail dedicato alla gestione delle istanze in materia di protezione dei dati personali, poiché sul punto la vigente normativa non impone particolari formalismi e dunque, il titolare è tenuto a riscontrare le istanze in materia di diritti, a prescindere dal canale e dalle forme utilizzate, salvo che ricorra alcuna delle ipotesi previste all’art. 12, paragrafo 5, del Regolamento o sussistano gli estremi per le esclusioni previste in relazione ai singoli diritti riconosciuti ai soggetti interessati. 

In tale quadro, pur apprezzando le misure correttive già spontaneamente implementate nel corso del procedimento e quelle di imminente adozione, deve definitivamente confermarsi la responsabilità di Nuova Corrente in ordine alle violazioni contestate.

4. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di Nuova Corrente in ordine alle seguenti violazioni:

- artt. 5, 6 e 7 del Regolamento, nonché dell’art. 130 del Codice, per aver effettuato i sopra descritti trattamenti di dati personali in assenza di un’idonea base giuridica; 

- artt. 5, 24 e 28 del Regolamento, per aver effettuato i sopra descritti trattamenti di dati personali in violazione dei doveri derivanti dal principio di accountability e dall’art. 28 del Regolamento;

- art. 12 e da 15 a 22 del Regolamento per il mancato riscontro all’istanza di esercizio dei diritti avanzata dall’odierna reclamante e, più in generale, per la mancata adozione di misure idonee a garantire l’adeguata gestione delle istanze di esercizio dei diritti da parte degli interessati.

Accertata altresì l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Nuova Corrente della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.

5. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Nuova Corrente della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.

Più in particolare, ai sensi dell’art. 83, par. 3 del Regolamento «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave». Ai sensi del successivo par. 5 «(…) la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore: a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9; b) i diritti degli interessati a norma degli articoli da 12 a 22; c) i trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale a norma degli articoli da 44 a 49; d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX; e) l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1».

Poiché nel caso di specie è stata accertata l’avvenuta violazione degli artt. 5, 6, 7, 12, da 15 a 22, 24 e 28 del Regolamento, nonché dell’art. 130 del Codice, si applica la disposizione dettata dall’art. 83, par. 3 e 5 del Regolamento. Occorre inoltre fare riferimento anche al fatturato di Nuova Corrente, come ricavato dalle informazioni economiche e tributarie acquisite. Pertanto, nel caso in argomento, si determina ai sensi dell’art. 83, par. 3 e 5 del Regolamento il massimo edittale della sanzione pecuniaria in Euro 20.000.000,00.

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.

Nel caso in esame, assumono rilevanza:

1) la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), tenuto conto dell’oggetto e delle finalità dei dati trattati, riconducibili al fenomeno complessivo del telemarketing, in ordine al quale l’Autorità ha adottato, in particolare negli ultimi cinque anni, numerosi provvedimenti che hanno compiutamente preso in esame i molteplici elementi di criticità fornendo ai titolari numerose indicazioni per adeguare i trattamenti alla normativa vigente e per attenuare l’impatto delle chiamate di disturbo nei confronti degli interessati;

2) quale fattore attenuante (art. 83, par. 2, lett. f) del Regolamento), il grado di cooperazione con l’Autorità di controllo al fine di porre rimedio alle violazioni; 

3) quale ulteriore fattore attenuante (art. 83, par. 2, lett. g) del Regolamento), le categorie di dati personali interessate dalla violazione (i.e. dati di natura comune). 

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative e funzionali della Società, si ritiene debba applicarsi a Nuova Corrente la sanzione amministrativa del pagamento di una somma di euro 15.000,00, pari allo 0,075% della sanzione massima edittale.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della natura dei trattamenti e delle condotte della Società, nonché degli elementi di rischio per i diritti e le libertà degli interessati.
In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare ragionevole e proporzionata in relazione al particolare disvalore delle condotte oggetto di censura, soprattutto avuto riguardo alla loro gravità, in quanto afferenti ai principi fondamentali - e costantemente ribaditi - della normativa in materia di protezione dei dati personali.

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. a), del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da parte di Nuova Corrente S.r.l., con sede legale in Vibo Valentia (VV), Via Spogliatore, S.N.C., P.IVA 12126890966;

ORDINA

a Nuova Corrente S.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Vibo Valentia (VV), Via Spogliatore, S.N.C., P.IVA 12126890966, di pagare la somma di euro 15.000,00 (quindicimila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 15.000,00 (quindicimila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

a) la pubblicazione del presente provvedimento, ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019;

b) l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante della presente ordinanza di ingiunzione, come previsto dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019;

c) l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso. 

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 29 aprile 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori