[doc. web n. 10181812 ]

Provvedimento dell'11 settembre 2025

Registro dei provvedimenti
n. 522 dell'11 settembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018 n. 101, recante disposizioni per l'adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Con reclamo del 14 settembre 2023, regolarizzato il 16 novembre 2023, il sig. XX ha lamentato di aver ricevuto una email promozionale da parte di una concessionaria della G.Villa S.r.l. (di seguito, G.Villa o la Società), ad un indirizzo email mai comunicato a nessuno (proprio per non ricevere comunicazioni di marketing) e aperto di recente solo per attivare un telefono android.

Il reclamante ha lamentato altresì di aver mandato al titolare una richiesta di esercizio dei diritti (accesso ai dati e cancellazione) in data 28 luglio 2023 senza aver mai ricevuto riscontro.

Il 26 gennaio 2024 l'Ufficio ha inviato una richiesta di informazioni a G.Villa con posta raccomandata all'indirizzo indicato in calce all'email ricevuta dal reclamante, non essendo presenti altri riferimenti che potessero ricondurre con certezza al titolare; a tale richiesta non sarebbe pervenuto alcun riscontro. Per tali ragioni è stato formulato un atto di avvio del procedimento per il mancato riscontro, notificato per il tramite della Guardia di Finanza in data 2 aprile 2024.

Il 18 marzo 2024, il reclamante ha aggiunto che due indirizzi indicati nella privacy policy del sito del titolare https://www.gvilla.com/privacy/ avrebbero rifiutato la ricezione di email con i seguenti messaggi di errore:

- XX:  Failed; 5.1.1 (bad destination mailbox address)

- XX:  Failed; 5.1.1 (bad destination mailbox address)

Con pec del 30 aprile 2023, la Società ha fatto pervenire le proprie memorie difensive in merito al contestato mancato riscontro alla richiesta del Garante, rappresentando che la raccomandata inviata dal Garante sarebbe pervenuta a un'unità locale e non alla sede legale (in considerazione della riorganizzazione aziendale avvenuta nel corso del 2023). Il personale presente all'epoca in tale sede era dimissionario e pertanto la posta non sarebbe stata gestita e il plico è stato infatti rinvenuto successivamente ancora chiuso in un cassetto.

Nel merito la Società ha dichiarato quanto segue:

a) l'indirizzo XX era assegnato a un consigliere di amministrazione della precedente proprietà ma, a seguito della modifica societaria, tale indirizzo è stato chiuso in data 28 agosto 2023; sebbene tale indirizzo fosse ancora indicato nella privacy policy, nella mail ricevuta dal reclamante era presente un diverso recapito oltre al link per la disiscrizione; l'indirizzo XX è stato comunque rimosso dalla privacy policy;

b) con riguardo alle richieste del reclamante, la Società ha dichiarato di averne acquisito i dati (compreso l'indirizzo email) e il consenso per finalità di  marketing in occasione della vendita di un veicolo che sarebbe stata effettuata il 21 settembre 2013; a supporto di tale dichiarazione la Società ha allegato un documento da cui risulta il rilascio del consenso nella data indicata ma, essendo stata trasmessa solo la parte finale del documento, non sono presenti i dati del soggetto che lo avrebbe sottoscritto;

c) i dati del reclamante, compreso l'indirizzo email, risulterebbero presenti nel gestionale acquisito dalla precedente proprietà; gli stessi sarebbero comunque già stati cancellati dalle liste di contatto per inibirne il futuro utilizzo per finalità promozionali; non sarebbero tuttavia stati cancellati dai sistemi della Società.

L'Ufficio ha informato il reclamante del riscontro pervenuto dal titolare. Questi, con pec del 23 maggio 2023, indirizzata anche a G.Villa, ha confermato che il suo indirizzo email era stato creato il 26 giugno 2023, precisando che nel 2013, all'atto dell'acquisto di un veicolo, era stato fornito un altro indirizzo.

2. LA CONTESTAZIONE DELLE VIOLAZIONI

Con note del 14 marzo 2024 (prot. n. 32096/24) e del 22 agosto 2024 (prot. n. 100210/24) è stato comunicato alla Società l’avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, per l’adozione di eventuali provvedimenti di cui all’art. 58, par. 2, del Regolamento, riconoscendo in capo a G.Villa la responsabilità per la presunta violazione delle seguenti disposizioni:

- art. 157 del Codice per non aver fornito riscontro alla richiesta di informazioni del 26 gennaio 2024;

- art. 5, par. 1, lett. e) del Regolamento per non aver determinato i tempi di conservazione dei dati per finalità promozionale con la conseguenza che essi sono stati utilizzati a distanza di dieci anni;

- art. 6, par. 1, lett. a) del Regolamento e art. 130, comma 2 del Codice, per l'invio di comunicazioni promozionali senza consenso;

- art. 12, par. 3 e artt. 15 e 17 del Regolamento per non aver fornito riscontro alla richiesta di esercizio dei diritti avanzata dall'interessato.

3. LA DIFESA DELLA SOCIETÀ

Rispetto alla violazione dell'art. 157 del Codice, contestata con atto del 14 marzo 2024, la Società ha presentato proprie memorie difensive il 30 aprile 2024 dichiarando che, a causa di una riorganizzazione aziendale, la sede dove era stata indirizzata la richiesta di informazioni non era regolarmente presidiata all'epoca della consegna del plico, tenuto anche conto del fatto che il personale preposto era dimissionario.

Con riguardo alle restanti violazioni, contestate con atto del 22 agosto 2024, la Società ha dichiarato:

a) di aver provveduto, anche incaricando una struttura esterna specializzata, ad effettuare una revisione complessiva di tutte le procedure aziendali che possono comportare un trattamento di dati personali al fine di renderle il più possibile conformi alle norme; in tale quadro essa ha altresì nominato un responsabile per la protezione dei dati;

b) di aver provveduto a cancellare tutti i dati del reclamante dai propri sistemi;

Infine, il 18 febbraio 2025 si è tenuta un'audizione, come da espressa richiesta della Società, nella quale sono state dettagliatamente descritte tutte le misure correttive adottate da G. Villa, in aggiunta a quelle già anticipate con la memoria del 16 settembre 2024, per rendere conformi i propri trattamenti. In particolare, è stato rappresentato che tutte le procedure aziendali sono state riviste e, con particolare riguardo ai trattamenti realizzati per finalità promozionali, la Società ha dichiarato che i sistemi aziendali sono stati interamente verificati ed è stata impostata una procedura automatica per l'anonimizzazione dei dati dopo 24 mesi dalla raccolta, ferma restando la conservazione di tali dati ove sia prevista per altre finalità. A seguito di tale modifica, sono stati anonimizzati o cancellati tutti i dati relativi a interessati per i quali il consenso non risultava più valido o idoneamente documentato.

4. VALUTAZIONI DI ORDINE GIURIDICO

In base ai profili fattuali sopra evidenziati e alle affermazioni rese in sede di riscontro, di cui il dichiarante risponde ai sensi dell’art. 168 Codice, si ritiene di confermare le violazioni rilevate nell'atto di contestazione del 22 agosto 2024, potendo invece ritenersi archiviato il procedimento avviato con atto del 14 marzo 2024.

In particolare, rispetto al contestato mancato riscontro alla richiesta di informazioni, si prende atto delle giustificazioni addotte da G. Villa con riguardo alla circostanza, del tutto contingente e non strutturale, relativa al mancato presidio della sede per l'avvicendamento del personale a seguito di ristrutturazione aziendale.

Rispetto alle violazioni contestate nel merito, invece, si conferma quanto rilevato con l'atto di avvio del procedimento del 22 agosto 2024 per le ragioni di seguito esposte.

Da quanto sin qui ricostruito risulta che il reclamante ha ricevuto un'email promozionale a un indirizzo che egli non aveva fornito alla Società G.Villa; questa ha documentato unicamente di avere rinvenuto tale indirizzo nei propri sistemi senza tuttavia essere stata in grado di comprovare da dove tale indirizzo fosse stato acquisito. La dichiarazione in merito al fatto che sarebbe stato il sig. XX ad indicarlo non è adeguatamente comprovata dal momento che il documento asseritamente contenente il consenso dell'interessato (allegato 7 alla memoria del 30 aprile 2024) è privo di qualsiasi dato personale riferibile al sottoscrittore. Peraltro, lo stesso reclamante - che non ha disconosciuto il fatto di aver rilasciato i dati in occasione di una vendita avvenuta nel 2013 - ha dichiarato che l'indirizzo email destinatario della promozione sarebbe stato attivato solo di recente (fornendo elementi di dettaglio in merito alla creazione dell'account) e non esisteva all'epoca della sottoscrizione del contratto; egli ha infine precisato che gli scambi via email con il venditore della G.Villa erano stati effettuati utilizzando un diverso indirizzo.

Inoltre, anche quando si potesse riconoscere una validità documentale all'atto, si dovrebbe osservare che un consenso conferito nel 2013 non può ritenersi ancora valido a distanza di oltre 10 anni e con un quadro normativo mutato, tanto più se si tiene conto del fatto che l'informativa fornita all'interessato nel 2013 era priva di indicazione in merito ai tempi di conservazione dei dati e pertanto il consenso così raccolto era già privo di validità ab origine. Come già chiarito dal Garante (cfr. provv. del 15 ottobre 2020, doc. web n. 9486485, in www.garanteprivacy.it), il consenso al trattamento dei dati personali per finalità promozionali, in quanto massima espressione dell’autodeterminazione dell’individuo, deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall’interessato, a condizione che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento nonché dei tempi di conservazione stabiliti dal titolare, e indicati nell’informativa, nel rispetto dell’art. 5, par. 1, lett. e) del Regolamento.

Ciò premesso, si conferma la violazione dell'art. 5, par. 1, lett. e) del Regolamento e, considerato che l'email al sig. XX risulta inviata in assenza di idonea base giuridica, deve ritenersi integrata anche la violazione dell’art. 6, par. 1, lett. a) del Regolamento e dell’art. 130, comma 2 del Codice.

Con riguardo al mancato riscontro alle richieste di accesso ai dati e di cancellazione del reclamante, si osserva che questi aveva esercitato i propri diritti in data 28 luglio 2023 scrivendo all'indirizzo XX; stando a quanto dichiarato, tale indirizzo sarebbe stato disattivato in data 28 agosto 2023, pertanto, alla data in cui il reclamante ha scritto, l'indirizzo era abilitato alla ricezione e il titolare avrebbe potuto fornire il riscontro. Per tali ragioni si ritiene integrata anche la violazione dell'art. 12, par. 3 e degli artt. 15 e 17 del Regolamento.

5. CONCLUSIONI

Ciò premesso, si confermano le seguenti violazioni:

- art. 5, par. 1, lett. e) del Regolamento;

- art. 6, par. 1, lett. a) del Regolamento e art. 130, comma 2 del Codice;

- art. 12, par. 3 e artt. 15 e 17 del Regolamento.

Si deve comunque osservare che la Società ha dichiarato di aver revisionato le proprie procedure tecniche e organizzative alla luce di quanto avvenuto, provvedendo a prendere atto immediatamente dell'opposizione del sig. XX. Essa inoltre, ha successivamente dichiarato di aver cancellato i dati dell'interessato dai propri sistemi e di aver provveduto a cancellare o rendere anonimi i dati di tutti gli altri interessati per i quali non fosse più documentata la presenza di un idoneo consenso.

Accertata dunque l’illiceità delle condotte di G.Villa con riferimento ai trattamenti presi in esame, considerato che il titolare ha già provveduto a porre in essere le necessarie misure correttive, non si rinvengono i presupposti per ulteriori interventi da parte dell'Autorità. Tuttavia, con riguardo alle violazioni occorse si rende necessario adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di G.Villa della sanzione amministrativa pecuniaria prevista dall’art. 58, par. 2, lett. i) e 83 del Regolamento.

In ragione di quanto disposto dall’art. 154-bis, comma 3 del Codice, si procede alla pubblicazione del presente provvedimento sul sito internet dell’Autorità (cfr. anche art. 37 del regolamento interno del Garante n. 1/2019).

Si rileva inoltre che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

6. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, risultano violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati da G.Villa, per cui occorre applicare l’art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave con conseguente applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, ipotizzato, sulla base delle informazioni rinvenibili nell'ultimo bilancio (registrato al 31 dicembre 2023), il ricorrere della prima ipotesi prevista dal citato art. 83, par. 5 e quantificato quindi in 20 milioni di euro il massimo edittale applicabile, devono essere considerate le seguenti circostanze aggravanti:

1. la gravità della violazione poiché i dati degli interessati sono stati conservati per finalità promozionali senza aver raccolto un idoneo consenso all'origine e per un tempo indeterminato e ingiustificatamente dilatato, tenuto conto che tale tipo di trattamento, pur essendo stato valutato solo per il reclamante, era esteso a tutti i soggetti presenti nella banca dati (art. 83, par. 2, lett. a), del Regolamento);

2. la negligenza con cui la Società ha conservato e utilizzato i dati raccolti in un periodo antecedente alla modifica del quadro normativo senza verificare e adeguare nel tempo i trattamenti, se non dopo l'avvio dell'istruttoria da parte del Garante (art. 83, par. 2, lett. b), del Regolamento);

Quali elementi attenuanti, si ritiene di poter tener conto:

1. delle misure adottate dal titolare del trattamento per rendere i propri trattamenti conformi alle norme revisionando completamente sistemi e procedure aziendali per tutte le tipologie di trattamento oltre a quelle poste in essere per finalità promozionale (art. 83, par. 2, lett. c) del Regolamento);

2. del basso livello di danno che il trattamento ha comportato per l'interessato (art. 83, par. 2, lett. a) del Regolamento);

3. dell’assenza di precedenti procedimenti avviati a carico della Società (art. 83, par. 2, lett. e) del Regolamento);

4. del grado di cooperazione con l'Autorità di controllo (art. 83, par. 2, lett. f) del Regolamento);

5. della natura dei dati trattati, consistenti in dati comuni anagrafici e di contatto (art. 83, par. 2, lett. g) del Regolamento).

In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione.

Pertanto si ritiene che - in base al complesso degli elementi sopra indicati - debba applicarsi a G.Villa la sanzione amministrativa del pagamento di una somma di euro 22.500,00 (ventiduemilacinquecento/00) pari allo 0,11% della sanzione edittale massima di 20 milioni di euro.

Nel caso in argomento si ritiene che debba applicarsi, altresì, la sanzione accessoria della pubblicazione nel sito del Garante dell'ordinanza ingiunzione, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019.

In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare proporzionata in relazione alla gravità e al particolare disvalore delle condotte oggetto di censura, tenuto conto degli elementi di rischio per i diritti e le libertà degli interessati (potenzialmente tutti gli interessati destinatari dell'attività promozionale sopra descritta).

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione effettuato da G.Villa S.r.l., con sede in via Arrigo Boito, 114, Monza (MB), P.IVA 00816420962; di conseguenza  

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, a G.Villa S.r.l. in persona del suo legale rappresentante, di pagare la somma di euro 22.500,00 (ventiduemilacinquecento/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di 22.500,00 (ventiduemilacinquecento/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

a) ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019, la pubblicazione del presente provvedimento nonché, ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione della presente ordinanza ingiunzione sul sito web del Garante;

b) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, dispone l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 settembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Fanizza