Provvedimento del 14 maggio 2026 [10262367]
Provvedimento del 14 maggio 2026 [10262367]
Condividi[doc. web n. 10262367]
Provvedimento del 14 maggio 2026
Registro dei provvedimenti
n. 350 del 14 maggio 2026
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento” o “RGPD”);
VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;
RELATORE il dott. Agostino Ghiglia;
1. L’ATTIVITÀ ISTRUTTORIA SVOLTA
1.1. Premessa
Con comunicazione prot. n. 178214 del 23 dicembre 2025 (notificata in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente richiamata, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti della FeGi M&A Services s.r.l. (di seguito, anche, la “Società” o il “Titolare”).
Il procedimento trae origine da una segnalazione del 2 aprile 2025 (acquisita con prot. 44856 del 3 aprile 2025), con la quale il segnalante ha informato l’Autorità di aver ricevuto una telefonata promozionale da parte della Società.
In risposta alla richiesta del segnalante, il quale si era opposto sostenendo che il suo numero di telefono non fosse pubblicamente disponibile sulla piattaforma LinkedIn, la Società ha comunicato di aver acquisito il dato tramite plugin di Lusha su LinkedIn.
Il segnalante ha quindi esercitato il diritto alla cancellazione dei propri dati, operazione poi confermata da parte della Società.
1.2. La richiesta di informazioni formulata dall’Autorità
In data 23 luglio 2025 (prot. 103751 di pari data), l’Ufficio ha formulato nei confronti della Società una richiesta di informazioni, ai sensi dell’art. 157 del Codice, riguardo a quanto rappresentato nella segnalazione chiedendo altresì di illustrare le misure adottate al fine di garantire che le attività di marketing siano svolte in ottemperanza alla normativa vigente e, in particolare, con specifico riferimento all’utilizzo del plugin Lusha, di fornire informazioni circa: l’origine dei dati personali; i presupposti che ne avrebbero legittimato la raccolta e i successivi trattamenti; se e come è stata resa agli interessati l’informativa sul trattamento dei dati personali; se e come è stato raccolto il consenso degli interessati al trattamento dei propri dati per finalità promozionali.
Con posta elettronica certificata del 13 agosto 2025 (prot. 116708/25) la Società ha fornito riscontro alla richiesta di informazioni dell’Ufficio rappresentando innanzitutto di essere attiva nel settore della consulenza in operazioni di fusione e acquisizione societarie e di agire a seguito dell’incarico conferito da persone fisiche o giuridiche per individuare potenziali “aziende target”.
Nel premettere di essere una società di recente costituzione, di disporre di un solo dipendente e di un fatturato pari a zero, la Società ha dichiarato di aver affidato l’acquisizione dei contatti di “aziende target” al portale Lusha.com.
Tuttavia, in conseguenza delle richieste del segnalante e, successivamente, dell’Autorità, la Società ha ritenuto opportuno valutare un nuovo sistema per acquisire i contatti delle aziende target che sia rispettoso delle disposizioni in materia di protezione dei dati personali.
Infine, con riferimento al numero di contatti acquisiti tramite la piattaforma Lusha, ha dichiarato di aver acquisito circa 700 contatti telefonici e 400 e-mail ma solo una parte di tali dati era stata effettivamente usata per contatti diretti.
2. CONTESTAZIONE DELLE VIOLAZIONI E MEMORIA DIFENSIVA
All’esito dell’istruttoria preliminare, l’Ufficio ha adottato il sopra richiamato atto n. 178214 del 23 dicembre 2025 contestando alla Società le possibili violazioni alla normativa come di seguito esposto.
2.1. Invio di comunicazioni commerciali in assenza di idonea base giuridica e di adeguata informazione agli interessati
Dalle dichiarazioni rese è risultato che la Società avesse acquisito dati personali da terzi (700 numeri di telefono e 400 indirizzi e-mail), senza eseguire alcun controllo sulla fonte di origine dei dati e sulla possibilità di un loro lecito riutilizzo, trattati per proprie finalità commerciali o di marketing in assenza di idonea base giuridica e adeguata informazione.
Oltre alla telefonata di natura commerciale nei confronti del segnalante, la Società ha comunque dichiarato di aver effettuato ulteriori contatti, sempre per finalità commerciali, sulla base dei numeri di telefono e delle e-mail acquisite.
L’omessa individuazione di una base giuridica per il trattamento di dati personali per finalità di marketing era suscettibile di porsi in contrasto con il principio di liceità e correttezza del trattamento e, quindi, in possibile violazione dell’art. 5, par. 1, lett. a) del Regolamento e dell’art. 130, commi 2, 3 e 3-bis del Codice.
Parimenti, l’assenza di adeguata informazione sui trattamenti in corso era suscettibile di integrare una possibile violazione anche del principio di trasparenza di cui agli artt. 5, par. 1, lett. a) e 14 del Regolamento.
Alla luce di quanto sopra, l’Ufficio ha contestato, in sintesi, la possibile violazione degli: art. 5, par. 1, lett. a) e art. 14 del Regolamento, nonché dell’art. 130 del Codice per aver la Società effettuato trattamenti di dati personali per finalità commerciali in assenza di idoneo fondamento di liceità e adeguata informazione agli interessati.
2.2. Mancato esercizio del diritto di difesa da parte del titolare
Nonostante la comunicazione di avvio del procedimento sanzionatorio, con le contestazioni sopra descritte, fosse stata correttamente notificata all’indirizzo di posta elettronica certificata della Società – lo stesso al quale era stata precedentemente inviata la richiesta di informazioni cui è seguito il riscontro del 13 agosto 2025 – la Società non ha fatto pervenire memorie difensive.
In base all’art. 13, comma 5, del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali [doc. web n. 9107633]: «La mancata presentazione di controdeduzioni scritte o della richiesta di audizione non pregiudica il seguito del procedimento».
3. VALUTAZIONI DELL’AUTORITÀ
In via preliminare si ricorda che chiunque, in un procedimento dinanzi al Garante, dichiari o attesti falsamente notizie o circostanze o produca atti o documenti falsi ne risponde penalmente ai sensi dell’art. 168 del Codice.
Nel merito, all’esito dell’attività istruttoria, valutate le argomentazioni addotte dalla Società, in particolare nel riscontro del 13 agosto 2025, si ritiene che le stesse non risultino idonee ad escluderne la responsabilità.
3.1. Invio di comunicazioni commerciali in assenza di consenso
Dalla documentazione in atti risulta che la Società, in qualità di titolare del trattamento, abbia effettuato trattamenti di dati personali per finalità commerciale o di marketing acquisendo i dati di contatto degli interessati da un soggetto terzo e senza aver verificato: di disporre di un previo consenso ex art. 130 del Codice; che il terzo dante causa avesse acquisito un valido consenso per il trattamento dei dati personali per finalità di marketing di terzi.
L’attività promozionale svolta attraverso canali di comunicazione elettronica (quale è l’invio di sms o l’effettuazione di telefonate) soggiace, infatti, alla disciplina speciale di cui alla direttiva 2002/58/CE, recepita nell’ordinamento italiano con il Titolo X del Codice. In particolare, nel caso di specie deve rilevarsi che le attività di marketing svolte tramite il canale telefonico (telemarketing) sono effettuabili solo in forza di un idoneo consenso oppure – unica deroga ammessa – utilizzando numerazioni telefoniche che siano presenti negli elenchi telefonici e non iscritte nel Registro Pubblico delle Opposizioni (art. 130, comma 3-bis, del Codice).
Ne segue che, in assenza di consenso da parte del contraente o utente (ex art. 121, comma 1-bis, lett. f) e g) del Codice) non è possibile effettuare comunicazioni promozionali neanche nel caso in cui i dati personali siano tratti da registri pubblici, elenchi, siti internet, piattaforme digitali, atti o documenti conosciuti o conoscibili da chiunque (si vedano, al riguardo, le Linee guida in materia di attività promozionale e contrasto allo spam, 4 luglio 2013, adottate con prov. n. 330, doc. web n. 2542348).
Inoltre, il fare affidamento sulle garanzie contrattuali e/o formali offerte da soggetti terzi fornitori di liste e contatti, non elimina, in omaggio al principio di accountability (art. 5, par. 2 del Regolamento), per la Società titolare del trattamento, la necessità di esercitare un potere di controllo sui dati acquisiti o sulla liceità dei contatti ceduti, così come la verifica della presenza delle utenze acquisite all’interno del Registro Pubblico delle Opposizioni (“RPO”). Al riguardo, si deve osservare che il riscontro nel citato RPO deve considerarsi quale pre-condizione per poter svolgere correttamente attività di telemarketing e la mancata consultazione non può che determinare l’impossibilità di avviare qualsivoglia campagna promozionale per la quale è previsto l’utilizzo del mezzo telefonico.
Il controllo della filiera nell’effettuazione di attività promozionali è la misura sulla quale è richiesto al titolare di profondere i maggiori sforzi essendo questo uno dei punti più vulnerabili del trattamento nelle attività di marketing.
Ulteriori modalità operative sul corretto svolgimento delle attività di telemarketing possono essere ricavate dalle prescrizioni contenute nel Codice di condotta per le attività di telemarketing e teleselling, approvato con provvedimento n. 148 del 7 marzo 2024 (doc web 9993808). In tale sede è stato infatti previsto che:
- deve essere considerato titolare del trattamento ex art. 4, n. 7 del Regolamento, il soggetto che esegue direttamente o commissiona l’effettuazione tramite il canale telefonico di campagne di telemarketing o teleselling, a prescindere dalla fonte di provenienza dei dati e indipendentemente dal materiale accesso agli stessi (art. 1, comma 1, del Codice di condotta);
- ai sensi di quanto previsto dall’art. 24 del Regolamento, grava sul titolare il compito di mettere in atto misure tecniche e organizzative per garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al Regolamento (art. 4, comma 6, del Codice di condotta);
- il titolare del trattamento pone particolare attenzione nella scelta dei partner commerciali per le attività di telemarketing e di teleselling, privilegiando, nel rispetto della normativa sulla concorrenza, gli aderenti al Codice di condotta ed attuando in ogni caso le prescrizioni di cui all’art. 28 del Regolamento, secondo gli standard e le best practice ivi indicate (art. 5, comma 1, del Codice di condotta);
- il titolare, prima di avviare una campagna di telemarketing o teleselling, sottopone le proprie liste alle verifiche presso il RPO, ai sensi dell’art. 1, comma 12, della legge n. 5/2018 e tiene traccia degli esiti di tale verifica (art. 5, comma 5, del Codice di condotta);
- il titolare valuta l’adozione di corrette modalità di acquisizione del consenso attraverso l’esame delle informative rilasciate al momento della raccolta dei dati e della user experience volta a verificare la presentazione di richieste di conferimento del consenso chiare e comprensibili, non vincolate e facilmente revocabili (art. 6, comma 1, lett. a), del Codice di condotta);
- il titolare valuta la reperibilità del fornitore, in particolare quando si utilizzano banche dati di soggetti terzi ubicati fuori dal territorio nazionale; nel caso di soggetti extra-UE, occorre verificare se sia indicato uno stabilimento in UE ai sensi dell’art. 3, par. 1 del Regolamento oppure un rappresentante ai sensi dell’art. 27 del Regolamento (art. 6, comma 1, lett. b), del Codice di condotta).
Tutto ciò premesso, è possibile accertare che in almeno un caso, quello oggetto di segnalazione, la Società ha effettuato una telefonata di natura commerciale nei confronti del segnalante in assenza del consenso richiesto dalla normativa.
Sotto altro profilo e in termini più generali, non può non tenersi conto del fatto che la gravità intrinseca della condotta sia amplificata dalla particolare fonte di origine dei dati. L’Autorità sta infatti rilevando un incremento di servizi offerti da piattaforme digitali che, a fronte di un corrispettivo economico, mettono a disposizione dati personali (in particolare dati di contatto come numero di telefono ed e-mail), senza offrire adeguate e sostanziali garanzie né documentazione sulla liceità della raccolta, delle successive operazioni e in particolare sulla cessione e possibilità di ulteriore trattamento di tali dati da parte degli acquirenti.
Questi ultimi a loro volta si affidano acriticamente alle garanzie solo formali di conformità alla normativa offerte da tali piattaforme digitali, talvolta facendo mero affidamento sulla loro notorietà nel settore o sulla parvenza di professionalità con la quale presentano i servizi. Ciò, con l’effetto di rendersi direttamente responsabili di eventuali violazioni delle norme del Regolamento – non scusabili per effetto di una presunta “buona fede” e, anzi, sintomatico di una non adeguata diligenza professionale – oltre che di concreti rischi per i diritti e le libertà fondamentali degli interessati.
Deve quindi ritenersi accertata la violazione dei principi di liceità e correttezza di cui all’art. 5, par. 1, lett. a) del Regolamento e dell’art. 130, commi 2, 3 e 3-bis del Codice.
3.2. Invio di comunicazioni commerciali in assenza di informazione
Dalla documentazione in atti risulta che la Società, in qualità di titolare del trattamento, abbia raccolto e trattato per finalità commerciali 700 numeri di telefono e 400 indirizzi e-mail, riferiti ad altrettanti interessati.
Con riferimento agli obblighi di informazione, l’art. 5, par. 1, lett. a) del Regolamento dispone che i dati personali devono essere trattati in modo corretto e trasparente nei confronti dell’interessato (principio di correttezza e trasparenza) e, più nello specifico, con riferimento alle informazioni da fornire qualora i dati non siano stati ottenuti presso l’interessato, l’art. 14 del Regolamento dispone che il titolare fornisce all’interessato informazioni sul trattamento entro un termine ragionevole dall’ottenimento dei dati, al più tardi entro un mese, oppure nel caso in cui i dati siano destinati alla comunicazione con l’interessato, al più tardi al momento della prima comunicazione all’interessato (art. 14, par. 3, Reg.).
In assenza di alcuna informazione al segnalante, al quale doveva essere fornita, al più tardi, contestualmente alla comunicazione commerciale, deve quindi ritenersi accertata la violazione del principio di trasparenza di cui agli artt. 5, par. 1, lett. a) e 14 del Regolamento.
4. CONCLUSIONI
Per quanto sopra esposto si ritiene accertata l’illiceità dei trattamenti presi in esame e la responsabilità della FeGi M&A Services s.r.l. in ordine alle seguenti violazioni:
a) art. 5, par. 1, lett. a) del Regolamento e art. 130, commi 2, 3 e 3-bis del Codice, per aver la Società effettuato trattamenti di dati personali per finalità commerciali in assenza del consenso richiesto dalla normativa. In riferimento a tali trattamenti, ai sensi dell’art. 58, par. 2, lett. f) e g) del Regolamento, si rende necessario imporre il divieto di trattamento dei dati personali e, per l’effetto, imporre la cancellazione dei dati, facendo salvi quelli necessari per altri trattamenti leciti. Si rende inoltre necessaria l’imposizione di una sanzione pecuniaria nei termini di seguito indicati;
b) artt. 5, par. 1, lett. a) e 14 del Regolamento, per aver la Società raccolto da terzi e trattato dati personali in assenza di informazione. Anche in riferimento a tale condotta, è necessaria l’imposizione di una sanzione pecuniaria nei termini di seguito indicati.
5. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA
In base a quanto sopra rappresentato, risultano violate varie disposizioni del Regolamento, segnatamente gli artt. 5, par. 1, lett. a) e 14 del Regolamento e l’art. 130, commi 2, 3 e 3-bis del Codice, in relazione a trattamenti effettuati dalla FeGi M&A Services s.r.l., e si impone l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7 del Codice e 18 della legge n. 689/1981, per cui occorre applicare l’art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave con conseguente applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.
Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione che deve «in ogni caso [essere] effettiva, proporzionata e dissuasiva» (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.
Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.
Nel caso in esame, assumono rilevanza:
a) la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), tenuto conto dell’oggetto e delle finalità dei trattamenti, riconducibili ad attività di marketing in assenza di un’idonea condizione di liceità e informazione, nonché della circostanza che la condotta sia stata reiterata nei confronti di centinaia di interessati;
b) quale fattore aggravante, il carattere gravemente colposo della condotta del Titolare (art. 83, par. 2, lett. b) del Regolamento) che, nonostante la disciplina in materia di comunicazioni commerciali sia rimasta invariata dopo l’entrata in vigore del Regolamento, nonché sia stata oggetto di linee guida e chiarimenti fin dal 2013, non ha adottato i necessari accorgimenti per assicurare la correttezza e liceità dei trattamenti effettuati, omettendo inoltre di visionare con attenzione la documentazione messa a disposizione dalla piattaforma dalla quale sono stati acquisiti i dati al fine di verificare la liceità dalla raccolta;
c) quale fattore attenuante, la circostanza che il Titolare non sia stato prima d’ora destinatario di un provvedimento correttivo e sanzionatorio da parte del Garante (art. 83, par. 2, lett. e) del Regolamento);
d) quale fattore attenuante, il fatto che il trattamento non ha avuto ad oggetto categorie particolari di dati personali ovvero dati relativi a condanne penali e reati (art. 83, par. 2, lett. g) del Regolamento);
e) quale fattore attenuante, le ridotte dimensioni e disponibilità economiche del Titolare, nonché l’importo del fatturato (art. 83, par. 2, lett. k) del Regolamento).
In base al complesso degli elementi sopra indicati e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative e funzionali della Società, si ritiene debba applicarsi la sanzione amministrativa del pagamento di una somma di euro 1.000,00 (mille/00), pari allo 0,01% del massimo edittale.
Nel caso in argomento si ritiene che debba applicarsi anche la sanzione accessoria della pubblicazione sul sito del Garante della presente ordinanza ingiunzione, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto del particolare disvalore delle condotte poste in essere correlato della gravità delle violazioni, coinvolgenti i principi cardine della normativa in materia, con riferimento allo svolgimento di attività di marketing nei confronti di una pluralità di interessati nonché alla particolare fonte di origine dei dati personali oggetto di trattamento.
Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIO’ PREMESSO IL GARANTE
a) ai sensi dell’art. 57, par. 1, lett. a), del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato dalla FeGi M&A Services s.r.l., in persona del rappresentante legale pro-tempore, con sede legale in Via Boschetto, 6 Milano, 20123, C.F. 13566450964, in qualità di titolare del trattamento;
b) impone, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di trattamento dei dati personali trattati in assenza di valido consenso e informazione;
c) impone, ai sensi dell’art. 58, par. 2, lett. g) del Regolamento, la cancellazione di tali dati, facendo salvi quelli necessari per altri trattamenti leciti;
ORDINA
alla FeGi M&A Services s.r.l., in persona del rappresentante legale pro-tempore, con sede legale in Via Boschetto, 6 Milano, 20123, C.F. 13566450964, in qualità di titolare del trattamento, di pagare la somma di euro 1.000,00 (mille/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia entro il termine di trenta giorni, con l’adempimento alle prescrizioni impartite (il cui perfezionamento deve essere comunicato all’Autorità entro il medesimo termine) e il pagamento di un importo pari alla metà della sanzione irrogata.
INGIUNGE
alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 1.000,00 (mille/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.
DISPONE
a) la pubblicazione del presente provvedimento sul proprio sito internet istituzionale, ai sensi degli artt. 154-bis, comma 3 del Codice e 37 del Regolamento n. 1/2019, nonché l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante della presente ordinanza di ingiunzione, come previsto dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019;
b) l’annotazione del presente provvedimento nel registro interno dell’Autorità – previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante – relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.
Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 14 maggio 2026
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Montuori
