[doc. web n. 10197577]

Provvedimento del 23 ottobre 2025

Registro dei provvedimenti
n. 635 del 23 ottobre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componenti, e il dott. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018 n. 101, recante disposizioni per l'adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA

Con reclamo del 20 gennaio 2024 l'avv. XX ha lamentato di aver ricevuto, il 14 febbraio 2023, una email promozionale da parte di un agente della Giambanet S.r.l. (di seguito, Giambanet o la Società). In replica alla richiesta di XX di conoscere l'origine dei dati, l'agente - XX - ha risposto di averli reperiti dall'albo degli avvocati ma di aver provveduto a cancellarli. Il giorno successivo (15 febbraio 2023) l'agente ha tuttavia inviato un'analoga email. L'avv. XX si è dunque rivolto alla Giambanet per lamentare l'accaduto, riferendo di essere risalito a tale Società dopo aver effettuato una ricerca. Giambanet, con nota del 22 dicembre 2023 inviata ad XX, ha ritenuto di non dover rispondere dell'operato scorretto del proprio agente in ragione dell'indipendenza contrattuale di quest'ultimo (mandato di agenzia senza rappresentanza).

Analoghe dichiarazioni sono state rese al Garante da Giambanet con nota del 10 marzo 2024, in risposta alla richiesta di informazioni inviata dall'Ufficio il 27 febbraio 2024, allegando copia del mandato conferito all'agente. Da tale mandato risultava che egli sarebbe stato incaricato della promozione di prodotti editoriali attenendosi ad un vincolo di zona. Dal mandato allegato risultava in particolare che XX, in qualità di agente aveva "l'incarico di promuovere la conclusione di contratti di vendita dei prodotti commercializzati dalla stessa Proponente (ndr., Giambanet)" e, più in particolare, egli aveva "l'incarico di promuovere per conto della società Giambanet S.r.l. la conclusione di contratti di vendita dei prodotti XX nei confronti di avvocati, notai, magistrati e altri esercenti l'area legale".

Il reclamante ha fatto pervenire osservazioni in replica a tale riscontro con nota del 12 marzo 2024, ribadendo di non ritenere rilevante la qualifica di XX e i suoi rapporti contrattuali con Giambanet ai fini delle responsabilità nei suoi confronti per l'invio delle comunicazioni indesiderate.

2. LA CONTESTAZIONE DELLE VIOLAZIONI

Con nota del 13 maggio 2024, prot. n. 57836/24, è stato comunicato alla Società l’avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, per l’adozione di eventuali provvedimenti di cui all’art. 58, par. 2, del Regolamento, riconoscendo in capo a Giambanet la responsabilità per la presunta violazione dell’art. 6, par. 1, lett. a) del Regolamento e dell’art. 130, comma 2 del Codice per aver inviato email promozionali senza consenso tramite un proprio agente.

3. LA DIFESA DELLA SOCIETÀ

Con la memoria del 10 giugno 2024 la Società ha articolato la propria difesa ribadendo l'estraneità ai fatti in ragione dell'autonomia dell'agente. Essa in particolare ha sostenuto che la condotta illecita sarebbe stata da imputare unicamente al sig. XX che avrebbe agito in autonomia discostandosi dalle istruzioni impartite da Giambanet e dalla stessa committente XX, con ciò assumendo indirettamente il ruolo di autonomo titolare del trattamento. Al riguardo ha anche aggiunto che Giambanet non avrebbe avuto alcun ruolo nella vicenda essendo unicamente un intermediario fra la committente XX e l'agente XX. A sostegno di questa tesi, ha allegato delle proposte di acquisto sottoscritte da XX su carta intestata XX per prodotti editoriali di quest'ultima.

Inoltre, in sede difensiva, Giambanet ha prodotto uno stralcio dell'interlocuzione via email intercorsa fra XX e XX, con XX come destinatario per conoscenza, facendo propri i principi espressi dalla committente in ordine alla mancanza di responsabilità. In tale interlocuzione XX, con email del 2 marzo 2023, si rivolgeva a XX e, facendo riferimento a una sua precedente pec, comunicava la sua intenzione di "agire contro entrambi" (XX e XX), dal momento che l'agente aveva dichiarato di aver operato per conto di XX. Da quanto allegato da Giambanet, risulta che XX aveva riscontrato la richiesta di XX il 3 marzo 2023 sostenendo che, nel caso di specie, l'agente non si era attenuto alle sue indicazioni assumendo, di conseguenza, il ruolo di titolare del trattamento. In tale sede, XX aveva infine rappresentato ad XX che "fermo restando che è nella sua facoltà esporre ciò che vuole al Garante, la sua azione contro XX è palesemente infondata".

Infine, la Società ha espresso alcune considerazioni in merito alla vicenda occorsa, sostenendo che l'invio delle email da parte di XX si poteva comunque considerare lecito. Essa infatti ha invocato il considerando 47 del Regolamento e l'art. 130, comma 4, del Codice, per sostenere che tali comunicazioni potevano essere inviate anche senza consenso, in ragione del legittimo interesse del titolare del trattamento.

4. VALUTAZIONI DELL'AUTORITÀ

Sulla base di quanto sin qui ricostruito, si ritiene di poter confermare le violazioni contestate con l'atto di avvio del procedimento, per le motivazioni di seguito esposte.

4.1 Ruoli nel trattamento e responsabilità di Giambanet

Giambanet ha ritenuto (cfr. memoria difensiva del 10 giugno 2024) di non avere alcuna responsabilità nella vicenda perché essa avrebbe fatto unicamente da intermediaria nel rapporto commerciale fra la committente XX (nel cui interesse era posta in essere l'attività commerciale) e l'agente, sig. XX. Inoltre, XX avrebbe disatteso le istruzioni impartite da Giambanet assumendosi di conseguenza la diretta responsabilità di quanto avvenuto (cfr. nota di riscontro del 10 marzo 2024 e memoria difensiva).

Si osserva innanzitutto che da tali affermazioni emergono alcune contraddizioni: se Giambanet aveva impartito istruzioni a XX - come dichiarato il 10 marzo 2024 - non si vede come essa poi possa definirsi un mero intermediario in un rapporto (narrato come se fosse diretto) fra XX e XX, invocando, solo in fase difensiva, responsabilità della committente XX mai rappresentate in sede istruttoria.

Tali assunti, inoltre, sono anche smentiti dai fatti.

Da quanto agli atti, l'incarico a XX era stato conferito da Giambanet e non dalla committente (cfr. allegato "XX contratto" alla nota del 10 marzo 2024). Inoltre, le proposte di acquisto allegate da Giambanet alla memoria difensiva, pur essendo redatte su modulistica della committente, riportano vicino alla firma dell'agente il timbro della Giambanet (cfr. allegato doc 2 alla memoria difensiva).  E, del resto, se XX non avesse avuto un rapporto di collaborazione diretta con Giambanet, non si comprende a che titolo quest'ultima potesse disporre di copia delle interlocuzioni intercorse con XX e XX, aventi XX come destinatario per conoscenza (cfr. allegato doc 1 alla memoria difensiva).

In tale quadro, deve ritenersi che Giambanet, in quanto facente parte della rete di vendita ufficiale della XX, avesse incaricato il sig. XX di procacciare clienti nella zona di riferimento, impartendo sommarie istruzioni con il contratto sottoscritto l'8 gennaio 2018, nel quale si leggeva che esso aveva ad oggetto l'incarico "di promuovere per conto della società Giambanet S.r.l la conclusione di contratti di vendita dei prodotti XX".

Con riguardo ai mezzi da utilizzare per l'attività promozionale, tale contratto menzionava unicamente "mezzi e strutture adeguate, avvalendosi di tutte le forme di collaborazione che riterrà opportune e delle quali si farà carico". Non risultavano impartite altre istruzioni all'agente in merito al trattamento dei dati personali, né erano previste forme di controllo dell'operato del collaboratore per assicurare che l'attività condotta per conto della Giambanet fosse eseguita nel rispetto delle norme poste a tutela dei dati personali.

Pertanto, l'operato di XX va inquadrato nel complessivo quadro di responsabilità che, al netto del ruolo della committente, residuano in capo a Giambanet, essendo essa la preponente dell'attività commerciale ed avendo (anche) essa un diretto beneficio economico dall'attività di vendita svolta dal XX - il cui ruolo potrebbe essere ricondotto a quello di un incaricato o di un sub-responsabile del trattamento - pur senza avergli impartito apposite istruzioni in merito al trattamento dei dati personali e senza aver dimostrato di aver effettuato controlli sul suo operato; del resto, nonostante Giambanet avesse censurato la condotta di XX, non risulta che tale censura abbia avuto alcuna conseguenza, sul piano pratico e contrattuale, nei confronti dell'agente.

In conclusione, un eventuale responsabilità della committente XX - che come detto, essendo stata menzionata solo in fase difensiva, non è stata perciò coinvolta nell'istruttoria - non avrebbe comunque fatto venir meno la responsabilità di Giambanet, potendo semmai sommarsi ad essa un'eventuale, e diversa, responsabilità della committente.

4.2 Obbligo del consenso come base giuridica per l'invio di email promozionali

Giambanet ha ritenuto che l'operato del XX dovesse comunque considerarsi lecito in quanto l'invio dei messaggi promozionali ben avrebbe potuto basarsi sul legittimo interesse del titolare, alla luce di quanto indicato nel considerando 47 del Regolamento e dell'art. 130, comma 4, del Codice in merito al soft spam.

Sull'impossibilità di avvalersi di tale costrutto normativo per l'invio di email promozionali, il Garante si è pronunciato diverse volte, chiarendo che il quadro normativo vigente non consente in nessun caso l’invio di messaggi promozionali attraverso reti di comunicazione elettronica (come l'email) senza aver acquisito un preventivo consenso da parte degli interessati (cfr., inter alia, in www.garanteprivacy.it provvedimento 17 maggio 2023, doc web n. 9899880; provvedimento 18 luglio 2023 doc web n. 9939507; provvedimento 11 gennaio 2023 doc web n. 9861941).

Infatti, al di là di quanto espresso nel considerando 47 del Regolamento - che non ha diretto valore precettivo non essendo parte dell'articolato - si deve ricordare che, nell’attuale quadro normativo l’art. 130, comma 2, del Codice - che costituisce una lex specialis - impone di acquisire un idoneo consenso per l'invio di comunicazioni promozionali via email; l’unica eccezione ammessa dall’ordinamento è quella contemplata dall’art. 130, comma 4 del Codice in materia di protezione dei dati personali, in base alla quale è consentito l’utilizzo dell’indirizzo email di soggetti già clienti per l’invio di comunicazioni promozionali aventi ad oggetto prodotti o servizi analoghi a quelli già acquistati; ma anche in questo caso, devono essere rispettati stringenti requisiti: l'indirizzo email deve essere stato rilasciato a seguito di una compravendita effettivamente conclusa non essendo sufficiente una mera manifestazione di interesse(1) e la promozione deve avere ad oggetto prodotti o servizi analoghi a quelli già acquistati. Tali requisiti non ricorrono affatto nel caso in esame.

Allo stesso tempo, non è consentito l’utilizzo di dati personali contenuti in banche dati o registri (come quelli degli ordini professionali) creati per finalità diverse da quella promozionale; ciò in quanto la presenza dei dati in elenchi pubblici o in fonti liberamente accessibili, come i siti web o i social network, non ne autorizza l’utilizzo per finalità promozionali poiché tali finalità sono incompatibili con quelle originarie e pertanto non rientranti fra le legittime aspettative degli interessati (cfr., ad esempio, in www.garanteprivacy.it provvedimento 17 maggio 2023, doc web n. 9899880; provvedimento del 16 settembre 2021, in www.garanteprivacy.it doc. web n. 9705632, cfr. provv. 21 aprile 2021, doc web n. 9680996; provv. 6 ottobre 2021, doc web n. 9705632).

Con riguardo all’inutilizzabilità di fonti pubbliche per raccogliere dati destinati all’attività promozionale, si richiamano anche le Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013: “senza il consenso … non è possibile inviare comunicazioni promozionali con i predetti strumenti neanche nel caso in cui i dati personali siano tratti da registri pubblici, elenchi, siti web atti o documenti conosciuti o conoscibili da chiunque. Analogamente, senza il consenso preventivo degli interessati, non è lecito utilizzare per inviare e-mail promozionali gli indirizzi pec contenuti nell’indice nazionale degli indirizzi pec delle imprese e dei professionisti … istituito per favorire la presentazione di istanze, dichiarazioni e dati, nonché lo scambio di informazioni e documenti tra la pubblica amministrazione e le imprese e i professionisti in modalità telematica” (https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/2542348).

5. CONCLUSIONI

Sulle base delle argomentazioni sin qui espresse, si ritiene di poter confermare le violazioni contestate con l'atto di avvio del procedimento nei confronti della Giambanet, per conto della quale è stata effettuata l'attività promozionale; ciò in quanto l'invio delle email ad XX non è stato assistito da un idoneo consenso, così come richiesto dal quadro normativo vigente, integrando la violazione dell’art. 6, par. 1, lett. a) del Regolamento e dell’art. 130, comma 2 del Codice.

Tuttavia, nel valutare complessivamente la vicenda e gli effetti pregiudizievoli della condotta, deve osservarsi che essa è particolarmente risalente nel tempo e ha esaurito i suoi effetti molto tempo prima della presentazione del reclamo, dal momento che XX ha ricevuto una prima email promozionale il 14 febbraio 2023 e la seconda il giorno successivo ma, dal 15 febbraio 2023 al 20 gennaio 2024 (data di presentazione del reclamo), non risultano pervenute altre comunicazioni promozionali ad XX da parte di Giambanet.

Inoltre, sulla base degli elementi successivamente prodotti dalla Giambanet, si evincono ulteriori interlocuzioni fra le parti che potrebbero avere un peso nella complessiva valutazione della vicenda alla luce anche dei principi di correttezza e buona fede delle parti.

Si ricorda infatti che XX ha prodotto in sede di reclamo una sola email di risposta di Giambanet, pervenuta il 22 dicembre 2023, con la quale la Società si limitava ad attribuire ogni responsabilità al proprio agente XX. Tuttavia, in corso di istruttoria, Giambanet (cfr. allegato alla nota del 10 marzo 2024 "mail con XX"), rispondendo al Garante e per conoscenza al reclamante, ha allegato uno stralcio di una interlocuzione precedente, dalla quale si evince che, con pec del 18 dicembre 2023, la Società , verosimilmente in replica a una richiesta di XX, scriveva "Fermo restando che è nella sua facoltà esporre ciò che ritiene opportuno al Garante, la Sua azione contro Giambanet Srl, è chiaramente infondata".  A tale comunicazione faceva seguito una pec di XX del 19 dicembre 2023, nella quale si leggeva: "Sono abbastanza sicuro che la sola difesa di fronte al Garante e la successiva difesa in sede civile con chiamata del terzo in causa saranno ampiamente più costose in termini economici e dispendiose in termini di tempo e risorse rispetto alla somma che vi ho chiesto in via transattiva. Ma se preferite procedere così con approccio autolesionista, non sarò certo io a impedirvelo. Anzi, potrò ottenere una somma più alta". Giova evidenziare che il reclamante esercita la professione di avvocato e che pertanto le sue richieste e affermazioni vanno inquadrate alla luce sia delle competenze professionali che del concreto effetto che esse possono avere nei confronti dell'interlocutore.

Il contesto descritto impone dunque di valutare con cautela tutti gli elementi in atti lasciando supporre che lo scopo del reclamo possa non essere (unicamente) l’ottenimento di tutela contro possibili violazioni delle norme. Dalle interlocuzioni qui riportate, infatti, si comprende che il reclamante, prima di rivolgersi al Garante, avrebbe richiesto alla Giambanet una somma "in via transattiva"; ne consegue che egli sarebbe stato disposto a transigere sull'illiceità della condotta di Giambanet se avesse ricevuto la somma richiesta, dimostrando così di poter facilmente rinunciare alla tutela dei propri diritti in cambio di un corrispettivo economico.

Tale assunto non viene meno di fronte al successivo tentativo di XX (cfr. replica del 12 marzo 2024) di giustificare la propria condotta inquadrandola negli strumenti riconosciuti dal diritto: "Confermo anche la correttezza del mio agire contemporaneamente sul piano civile (sia stragiudiziale sia giudiziale), facendo leva sul principio di cui all'art. 82 GDPR e sulla giurisprudenza e prassi delle corti nazionali e della stessa Autorità Garante che più volte hanno confermato la risarcibilità in re ipsa del danno connesso all'illecito trattamento di dati personali. Confido quindi che l'Autorità Garante voglia comunque emettere un formale provvedimento per confermare l'avvenuta violazione da parte di Giambanet. Non si può negare infatti che la prassi di prelevare indirizzi email e numeri di telefono dagli albi professionali per poi utilizzarli a scopo di spam sta assumendo dimensioni davvero inaccettabili. Ed è necessario un intervento fermo e deciso per contenerlo".

Anche volendo attribuire alla condotta del reclamante un intento meramente didascalico, e senza poter vagliare in questa sede ulteriori e diverse intenzioni, si deve tuttavia ricordare che il ruolo dell’Autorità, che persegue l’interesse pubblico, va preservato scoraggiando possibili strumentalizzazioni del suo operato a fini privati.

In conclusione, la condotta descritta, pur integrando le richiamate violazioni, deve essere valutata in un più complessivo quadro che tenga in considerazione, da un lato, il singolo evento e, dall’altro, la potenziale portata del trattamento, stante anche l’assenza di precedenti procedimenti avviati a carico della società. Difatti, il caso oggetto di reclamo, in sé considerato e per come descritto, non presenta particolare rilevanza sotto il profilo del danno all'interessato, avendo questi ricevuto, in epoca risalente, unicamente due email per la promozione di prodotti editoriali attinenti alla sua professione di avvocato.  

Invece, in via più generale e con riguardo alla potenziale portata della condotta, tenuto conto dell'interpretazione delle norme di Giambanet, la presente pronuncia si è resa necessaria per chiarire, ancora una volta, gli obblighi giuridici sottesi alla realizzazione di campagne promozionali con mezzi di comunicazione elettronica (nel caso di specie, email) che il titolare o il responsabile è tenuto ad osservare in caso di future attività promozionali condotte con modalità analoghe a quella oggetto di reclamo.

Per tali ragioni, si ritiene di poter soprassedere dall'applicazione di una sanzione amministrativa pecuniaria e si ritiene che la misura dell’ammonimento possa in tale fase assolvere una funzione correttiva proporzionata e compatibile con la natura di microimpresa e con i risultati economici del titolare. Resta inteso che le violazioni qui rilevate saranno oggetto di annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, e pertanto l'Autorità potrà tenerne conto, nel caso in cui la condotta fosse nuovamente oggetto di reclamo da parte di altri interessati, ai sensi di quanto disposto dall'art. 83, par. 2, lett. e) del Regolamento.

Si rileva pertanto che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione effettuato dalla Giambanet S.r.l., con sede in via G.B. Pirelli, 9, Milano, P.IVA n. 01352510182;

b) di conseguenza, ai sensi dell'art. 58, par. 2, lett. b) del Regolamento, rivolge a Giambanet S.r.l. un ammonimento con riguardo al fatto che l'invio di messaggi promozionali tramite email al reclamante è stato effettuato in assenza del necessario e preventivo consenso;

DISPONE

a) ai sensi dell’art. 154-bis, comma 3, del Codice e dell'art. 37 del regolamento interno del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;

b) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, dispone l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 23 ottobre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Fanizza

_____

1) Al riguardo si richiama una recente pronuncia della Corte di Cassazione che ha chiarito come il concetto di “vendita” debba essere interpretato in senso restrittivo potendo applicarsi la deroga del soft spam solo ai casi in cui tra il titolare e l’interessato sia già stato concluso un contratto a titolo oneroso, non rilevando a tal fine il mero tentativo fatto dall’utente (cfr. Cass. II sez. civile, sentenza del 15 marzo 2023, n. 7555).