[doc. web n. 10224476]

Provvedimento del 12 febbraio 2026

Registro dei provvedimenti
n. 90 del 12 febbraio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018 n. 101, recante disposizioni per l'adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Con reclamo del 22 febbraio 2025, l'avv. XX ha lamentato la ricezione di una email promozionale indesiderata all’indirizzo di posta elettronica del proprio studio legale XX e il mancato riscontro alla richiesta di accesso ai dati personali, formulata ai sensi dell’art. 15 del Regolamento, da parte della società Fersovere Srl con sede legale in Sovere (Bg) (di seguito Società). In pari data, è pervenuto al Garante un reclamo del tutto analogo nei confronti della medesima Società parte dell'avv. XX, che si è visto recapitare una comunicazione di carattere commerciale all’indirizzo XX e non ha ricevuto riscontro alla richiesta di accesso ai dati personali, formulata ai sensi dell’art. 15 del Regolamento.

Al riguardo, l’Ufficio, al fine di acquisire utili elementi di valutazione, con note dell’11 giugno 2025 (prot. n. 83547 e 83553), ha formulato due distinte richieste di informazioni alla predetta Società alle quali quest’ultima ha fornito riscontro con due note, sostanzialmente analoghe, del 30 giugno 2025.

In tale ambito la Società, con dichiarazioni penalmente rilevanti ai sensi dell’art. 168 del Codice, ha rappresentato che, contrariamente a quanto inizialmente affermato dal reclamante XX, essa aveva fornito riscontro alla richiesta di accesso ai dati con email del 18 gennaio 2025 rivolta all’indirizzo XX.  Tale circostanza è stata successivamente confermata dallo stesso XX. Rispetto, invece, all’analoga richiesta di accesso di XX, la Società ha dichiarato di aver ritenuto già ottemperato l'obbligo di riscontro attraverso la citata nota del 18 gennaio 2025, trattandosi del medesimo studio legale.

Con riguardo, infine, all'invio di email promozionali, la Società ha dichiarato nel riscontro recapitato a XX all’indirizzo di posta elettronica dello studio legale XX:

- di avere avuto accesso per mero errore all’indirizzo email riferibile a XX;

- che l’unico dato oggetto di trattamento è stato l’indirizzo email XX

- che il trattamento è consistito esclusivamente nell’invio di un’unica comunicazione in data 17.01.2025.

Nessuna informazione è stata fornita a XX rispetto all'email inviata all'indirizzo XX.
La Società, infine, ha dichiarato per entrambi gli indirizzi email, di aver cessato qualsivoglia attività di trattamento, rimuovendoli tempestivamente dalle proprie liste di contatto/clienti.

2. LA CONTESTAZIONE DELLE VIOLAZIONI

Dalla documentazione in atti e dalle preliminari valutazioni dell’Ufficio è risultato che la Società ha fornito riscontro ad una sola richiesta di esercizio dei diritti, quella di XX, pervenuta dall’indirizzo pec dello studio legale e ritenendo con ciò di non essere tenuta a fornire risposta alla diversa richiesta di XX.

Vieppiù è emerso che la risposta fornita a XX non fosse adeguata, dal momento che la Società si è limitata ad invocare un generico e non meglio descritto "errore" senza fornire alcun chiarimento riguardo all'origine dei dati, oggetto di espressa richiesta dell'interessato.

Le due doglianze pervenute hanno riguardato inoltre la ricezione di una comunicazione promozionali indesiderata via email per ciascun reclamante per le quali non era stato rilasciato un consenso da parte degli interessati e per le quali la Società non ha fornito, nel riscontro alle istanze di accesso ai dati, alcuna idonea giustificazione in merito alla base giuridica.

In particolare, nelle citate comunicazioni commerciali si legge che "FERSOVERE S.r.l., sta trattando i vostri dati pubblici (provenienti da elenchi pubblici online, siti web o social media) riferiti esclusivamente a persone giuridiche (aziende, professionisti, organizzazioni, etc.)”.

Atteso che le fattispecie in esame riguardavano il medesimo titolare del trattamento (art. 10, comma 4 del Regolamento n. 1/2019 del 4 aprile 2019, doc. web n. 9107633), con atto del 5 settembre 2024 (prot. n. 169781) è stato comunicato alla Società l’avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, per l’adozione di eventuali provvedimenti di cui all’art. 58, par. 2, del Regolamento e per l’eventuale applicazione delle sanzioni di cui all’articolo 83, par. 5 del Regolamento, riconoscendo in capo a Fersovere Srl la responsabilità per la presunta violazione delle seguenti disposizioni:

- art. 6, par. 1, lett. a) del Regolamento e art. 130, comma 2 del Codice, per l’invio di comunicazioni promozionali indesiderate via email per le quali non era stato rilasciato un consenso da parte degli interessati e per le quali la Società non ha fornito alcuna idonea giustificazione in merito alla base giuridica;

- artt. 12 e 15 del Regolamento in ragione del mancato riscontro fornito all’istanza di accesso avanzata da XX e per l’inadeguatezza di quello reso all’istanza di XX.

3. LA DIFESA DELLA SOCIETÀ

La Società ha presentato le proprie memorie difensive il 6 ottobre 2025 con le quali, nel ribadire di avere ricevuto, in data 18 gennaio 2025, due distinte istanze di accesso ex art. 15 del Regolamento, da parte rispettivamente di XX e XX  “entrambi appartenenti allo stesso studio legale “XX”, dichiarava altresì di avere fornito riscontro nei tempi di legge, ossia in data 31 gennaio 2025, solo a XX ritendo tale unica risposta “erroneamente” […] sufficiente anche per l’Avv. XX, in quanto indirizzata allo studio legale “XX” In tale occasione, Fersovere confermava:

• di essere la mittente dell’unica comunicazione di marketing ricevuta dai reclamanti in data 17.01.2025;

• di avere già cessato ogni ulteriore attività di trattamento dei dati personali, cancellando i dati stessi (gli indirizzi e-mail)”.

Inoltre, nel ribadire la propria piena collaborazione e l’assenza di qualsivoglia intento elusivo o dilatorio, la Società ha evidenziato nuovamente di avere “riconosciuto l’errore commesso” e ha comunicato di avere “intrapreso un percorso di ravvedimento operoso. In particolare, la Società ha incaricato un professionista specializzato nella materia, […] di supportare la società nella compliance privacy/antispam erogando, in primis, un corso di formazione rivolto a tutti i dipendenti”.

La Società ha inoltre attribuito ad un mero l’errore l’invio di “comunicazioni commerciali agli indirizzi e-mail dei reclamanti tratti da elenchi pubblici senza il previo consenso degli stessi”.

Anche in relazione a tali profili, Fersovere ha rappresentato di avere “avviato un percorso di revisione interna” in base al quale: ”le nuove procedure di corretta acquisizione e verifica del consenso saranno implementate al termine del corso di formazione programmato per i dipendenti; e che “è già stato abbozzato, […], il testo di informativa da fornire ai destinatari delle comunicazioni commerciali, ferma in ogni caso la preventiva revisione dei processi aziendali”.

La Società, infine, nel ribadire la sua buona fede, ha dichiarato infine “che l’attività immobiliare svolta da Fersovere ha un peso del tutto marginale, incidendo per circa un decimo sul fatturato complessivo, mentre l’attività principale della società […] è rappresentata dal “commercio all’ingrosso di materiale di recupero”. La Società, che conta un organico sotto i dieci dipendenti, ha effettuato l’invio delle comunicazioni commerciali unicamente con l’obiettivo di completare la vendita delle ultime unità rimaste invendute a seguito dell’investimento immobiliare recentemente effettuato".

4. VALUTAZIONI DI ORDINE GIURIDICO

In base ai profili fattuali sopra evidenziati e alle affermazioni rese in sede di riscontro, di cui, come detto, i dichiaranti rispondono ai sensi dell’art. 168 Codice, si ritiene di confermare le violazioni rilevate nell’atto di contestazione.

Invero, è agli atti ed incontestato dal titolare del trattamento che i reclamanti hanno ricevuto via email una comunicazione di carattere commerciale da parte della società Fersovere senza che la stessa abbia preventivamente raccolto presso di essi uno specifico consenso come richiesto dalla specifica normativa di settore.

Si deve infatti ricordare che l’invio di comunicazioni promozionali tramite strumenti di comunicazione elettronica, quali appunto le email, è disciplinato dall’art. 130 del Codice, in recepimento dell’art. 13 della direttiva 2002/58/CE, che costituisce una lex specialis rispetto al Regolamento, ammettendo come unica base giuridica per il predetto trattamento di dati personali il consenso dell’utente salvo alcuni casi, tassativamente descritti, di deroga non pertinenti al caso in esame ed infatti non invocati dal titolare (art. 130, comma 4 del Codice).

Vale la pensa quindi richiamare le numerose precedenti pronunce del Garante, dove si evidenzia come l'unico presupposto normativo che legittimi il trattamento di dati personali per l'invio di email promozionali sia il consenso del contraente o utente; ciò anche nel caso in cui tali dati (indipendentemente dal fatto che siano riferiti a persone fisiche o giuridiche) siano acquisiti da fonti pubbliche o da soggetti terzi per finalità di marketing (ad es. cfr., ex multis, in www.garanteprivacy.it provv. dell'11 gennaio 2023 - doc web n. 9861941; provv. del 17 maggio 2023 - doc web n. 9899880; provv. 18 luglio 2023 - doc. web n. 9939507; provv. n. 410 del 4 luglio 2024, doc. web n. 10070284).
Risulta parimenti accertato ed incontestato dal titolare del trattamento il mancato (in un caso) o inadeguato (nell’altro) riscontro alle istanze di accesso pervenute dai reclamanti.

Al riguardo, si osserva che il diritto di accesso di cui all’art. 15 del Regolamento è concepito quale strumento volto a consentire, in linea generale, all’interessato di esercitare un “controllo” sui dati personali che lo riguardano, assicurando allo stesso piena consapevolezza in ordine alle informazioni oggetto di trattamento e alle effettive modalità di quest’ultimo. Lo scopo del diritto di accesso, invero, è primariamente quello di rendere noti “quali” dati e “come” siano stati trattati dal titolare al fine di fornire all’interessato gli strumenti per “conoscere e verificare la liceità e l’esattezza del trattamento” allo stesso riferito (v. cons. 63 del Regolamento; EDPB, “Guidelines 01/2022 on data subject rights - Right of access”, adottate il 28 marzo 2023, paragrafi 10-13; cfr. provv. n. 440 del 17 luglio 2024, doc. web n. 10053211).

Ai sensi dell’art. 15 del Regolamento, pertanto, il titolare, in riscontro ad un’istanza di accesso, senza giustificato ritardo e comunque al più tardi entro un mese dal ricevimento della richiesta (art. 12, par. 3 del Regolamento) [termine nella fattispecie in esame in un caso rispettato], non solo non può fornire informazioni incomplete ovvero omettere di rendere informazioni in suo possesso riferibili all’interessato ma non può neanche ritenere il diritto di accesso dell’interessato soddisfatto con la comunicazione dell’avvenuta cancellazione delle informazioni ad esso riferite.

La cancellazione delle informazioni di un interessato costituisce invero l’oggetto di un altro specifico diritto riconosciuto agli interessati, quello di cui all’art.17 del Regolamento. Tali diritti non sono tra loro intercambiali, a piacimento del titolare, né si può ritenere che un diritto “assorba” o contenga, come il più il meno, l’altro avendo ciascuno di essi una funzione diversa. Per tali ragioni, ferma restando la correttezza della scelta di un titolare di cessare unilateralmente, anche cancellandoli, ogni operazione su dati di carattere personale raccolti e successivamente trattati in assenza di un’idonea condizione di liceità, ciò non basta ad esimerlo dall’obbligo di fornire un adeguato e compiuto riscontro ad ogni istanza di esercizio di un diritto di protezione dei dati personali esercitato dagli interessati.

5. CONCLUSIONI.

Quanto sin qui ricostruito dà atto del fatto che Fersovere ha effettuato un’attività promozionale, mediante l'invio di una email di carattere commerciale a due potenziali clienti, senza aver acquisito un idoneo consenso per tale finalità e ha mancato di fornire riscontro all’istanza di accesso ai dati di uno di essi e mentre ha fornito un riscontro inadeguato all’altro.

Pertanto, in base ai profili fattuali sopra evidenziati e alle affermazioni rese in sede di riscontro, di cui il dichiarante risponde ai sensi dell’art. 168 Codice, si ritiene di confermare le violazioni rilevate negli atti di contestazione sopra citati.

Tuttavia, giova svolgere alcune considerazioni in merito alla condotta del titolare e alle misure correttive adottate, dando atto che Fersovere ha prontamente provveduto alla cancellazione delle informazioni illecitamente trattate e dell’adozione di specifiche misure organizzative e policy per accrescere la consapevolezza del personale e per la corretta applicazione degli obblighi derivanti dalla normativa in materia di protezione dei dati di carattere personale.

Con particolare riguardo alle censure mosse rispetto al mancato riscontro alla richiesta di XX, merita accoglimento la giustificazione riguardo all’erronea convinzione del titolare di aver già provveduto a dare riscontro, dato che le richieste di acceso ai dati erano di contenuto identico, inviate nella stessa data e da indirizzi pec aventi la medesima estensione.

Merita evidenziarsi, inoltre, come le violazioni in esame abbiano preso le mosse dall’invio di una sola comunicazione commerciale per ciascun reclamante, con scarso pregiudizio per questi ultimi che non hanno più ricevuto comunicazioni in seguito, e come la condotta sia stata posta in essere nell’ambito di un’attività che non costituisce il core business dell’azienda.

Per tali ragioni, giusta anche l’assenza di precedenti analoghi in capo al titolare del trattamento, le circostanze descritte inducono a qualificare il caso come “violazione minore”, ai sensi dell’art. 83, par. 2, e del considerando 148 del Regolamento e si ritiene di poter soprassedere dall'applicazione di una sanzione amministrativa pecuniaria.  Si ritiene, pertanto che, relativamente al caso in esame, la misura dell’ammonimento possa in tale fase assolvere una funzione correttiva proporzionata e compatibile con la natura di piccola impresa. Resta inteso che le violazioni qui rilevate saranno oggetto di annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, e pertanto l'Autorità potrà tenerne conto, nel caso in cui la condotta fosse nuovamente oggetto di reclamo, ai sensi di quanto disposto dall'art. 83, par. 2, lett. e) del Regolamento.

Si rileva pertanto che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. f) del Regolamento, dichiara illecito il trattamento di dati personal descritto nei termini di cui in motivazione effettuato dalla Fersovere Srl con sede legale in Sovere (Bg) Viale delle industrie 11 cap 24060 P.IVA n. 01403800160;

b) di conseguenza, ai sensi dell'art. 58, par. 2, lett. b) del Regolamento, rivolge a Fersovere Srl un ammonimento con riguardo al fatto che l'invio di messaggi promozionali tramite email ai reclamanti è stato effettuato in assenza del necessario e preventivo consenso e con riguardo alla violazione del relativo diritto di accesso ai dati.

DISPONE

a) ai sensi dell’art. 154-bis, comma 3, del Codice e dell'art. 37 del regolamento interno del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;

b) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, dispone l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 12 febbraio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Montuori