[doc. web n. 10225019]

Provvedimento del 12 febbraio 2026

Registro dei provvedimenti
n. 87 del 12 febbraio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018 n. 101, recante disposizioni per l'adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Con reclamo del 7 gennaio 2025 l'avv. XX (fasc. 434523) ha lamentato la ricezione di una email promozionale indesiderata, pervenuta il 25 novembre 2024 e inviata dalla Lex Iuris S.r.l. (di seguito, Lex Iuris o la Società); contestualmente l’interessato ha presentato a Lex Iuris una richiesta di accesso ai dati personali senza tuttavia ricevere riscontro.

Analogo reclamo, sempre in data 7 gennaio 2025, è pervenuto al Garante da parte dell'avv. XX (fasc. 434512) lamentando la ricezione di una email promozionale indesiderata da parte di Lex Iuris, pervenuta il 25 novembre 2024 nonché il mancato riscontro alla richiesta di accesso ai dati personali presentata a Lex Iuris in pari data.

In corso di istruttoria, la Società ha dichiarato che entrambi gli invii di email promozionali erano avvenuti per "errore materiale, umano, nel processo di selezione e trascrizione del contatto è stato trasposto e utilizzato l’indirizzo email salvato per altre finalità di contatto (eventuali collaborazioni)". In particolare, Lex Iuris ha rappresentato di svolgere attività di formazione giuridica e professionale rivolta soprattutto a figure professionali di ambito giuridico “mediante l’organizzazione di corsi di formazione, di corsi accreditati, convegni, seminari e webinar, in conformità con gli obblighi di aggiornamento previsti dalla Legge professionale. Il corpo docenti di Lex Iuris è formato da professori universitari, ricercatori, notai e avvocati, tutti con esperienza professionale e didattica pluriennale”. In tale contesto la Società avrebbe reperito l’indirizzo email dell’avv. XX, pubblicato online per finalità professionali e lavorative, al solo fine di valutare una possibile collaborazione come docente. Tuttavia, per mero errore umano, l’indirizzo sarebbe stato inserito nella lista dei destinatari delle comunicazioni promozionali. Analoghe giustificazioni sono state fornite per l’invio dell’email all’avv. XX.

Con riguardo ai mancati riscontri alle richieste di esercizio dei diritti la Società ha fatto riferimento a un "errore interno di tipo organizzativo, dovuto all’assenza, all’epoca dei fatti, di un sistema strutturato per la tracciabilità delle richieste degli interessati".

La Società, infine, ha dichiarato di aver adottato le seguenti misure correttive per evitare il ripetersi di eventi analoghi:

a) l’adozione di una procedura interna per la gestione delle richieste di esercizio dei diritti;

b) la nomina di un “referente privacy interno, responsabile del protocollo e della gestione delle istanze”;

c) la formazione del personale addetto alla comunicazione e alla gestione delle comunicazioni promozionali;

d) l’aggiornamento del modulo di invio email con inserimento dell’informativa completa e del link diretto alla privacy policy.

2. LA CONTESTAZIONE DELLE VIOLAZIONI

Con nota del 10 luglio 2025 (prot. n. 97696/25) è stato comunicato alla Società l’avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, per l’adozione di eventuali provvedimenti di cui all’art. 58, par. 2, del Regolamento, riconoscendo in capo a Lex Iuris la responsabilità per la presunta violazione delle seguenti disposizioni:

- art. 6, par. 1, lett. a) del Regolamento e art. 130, comma 2 del Codice, per l'invio di comunicazioni promozionali senza consenso;

- artt. 12 e 15 del Regolamento per non aver fornito riscontro alle richieste di esercizio dei diritti avanzate dagli interessati.

3. LA DIFESA DELLA SOCIETÀ

La Società ha presentato proprie memorie difensive il 31 luglio 2025 confermando quanto dichiarato nelle note di riscontro presentate in sede istruttoria e precisando che la vicenda deve comunque essere contestualizzata al fine di ridurne la portata. Infatti, pur riconoscendo l’illiceità dell’invio dei messaggi promozionali senza il consenso degli interessati, la Società ha evidenziato che il suo intento non era di inviare plurimi messaggi a diversi soggetti, fermo restando l’errore sulla finalità dei messaggi. Nel caso di specie essa ha infatti sottolineato il fatto che “entrambi i destinatari condividono lo stesso cognome, circostanza che ha verosimilmente indotto l’operatore incaricato a ritenere, in buona fede ma erroneamente, che si trattasse di una medesima persona con recapiti alternativi”.

L’intento della Società dunque era di contattare un unico destinatario.

Con riguardo al mancato riscontro alle richieste degli interessati, Lex Iuris ha dichiarato che tali richieste erano pervenute “in un periodo di significativa complessità gestionale per la Società, caratterizzato da un avvicendamento degli organi direttivi e dalle intervenute dimissioni del responsabile dell’area Comunicazione con conseguente assunzione di nuovo personale. Sebbene il nuovo personale fosse stato debitamente formato, la Società stava attraversando una fase di riassetto e riorganizzazione, con inevitabili criticità nella gestione ordinaria delle istanze”.

La Società ha infine ribadito le misure correttive adottate per evitare il ripetersi di eventi analoghi.

4. VALUTAZIONI DI ORDINE GIURIDICO

In base ai profili fattuali sopra evidenziati e alle affermazioni rese in sede di riscontro, di cui il dichiarante risponde ai sensi dell’art. 168 Codice, si ritiene di confermare le violazioni rilevate nell'atto di contestazione del 10 luglio 2025.

4.1 invio di messaggi promozionali senza consenso

Pur tenendo conto delle giustificazioni addotte dalla Società in merito al rappresentato errore di inserimento degli indirizzi email nelle liste formate per finalità di marketing, e tenuto conto della plausibile confusione derivante dalla similarità degli indirizzi dei reclamanti, aventi il medesimo cognome, la negligenza con cui è stata effettuata l’attività promozionale non consente di considerare tale errore scusabile. Infatti, i dati dichiaratamente raccolti per proporre una collaborazione professionale avrebbero dovuto essere distinti da eventuali liste create per veicolare messaggi promozionali, essendo le due finalità del tutto dissimili e presupponendo che le liste create per finalità di marketing debbano provenire da fonti in grado di documentare anche il rilascio di un idoneo consenso.

Ne consegue che gli indirizzi email dei reclamanti, estratti da fonti pubbliche, sono stati utilizzati per l’invio di comunicazioni promozionali indesiderate.

Si deve ricordare che, ai sensi dell'art. 130, comma 2 del Codice, l'invio di comunicazioni promozionali via email è consentito solo in presenza di un idoneo consenso (salvo la specifica deroga prevista dall'art. 130, comma 4, del Codice).

Con riguardo inoltre all’utilizzo dei dati pubblicati on line o sui social network, il Garante ha più volte ricordato che essi non sono liberamente utilizzabili per finalità promozionali per il solo fatto di essere resi pubblici, poiché deve essere sempre rispettata la finalità di utilizzo in base alla quale i dati sono stati originariamente raccolti in accordo con le legittime aspettative degli interessati (cfr. ad esempio, in www.garanteprivacy.it, i provvedimenti del Garante del 16 settembre 2021, doc. web n. 9705632, provvedimento 17 maggio 2023, doc web n. 9899880; provvedimento 18 luglio 2023 doc web n. 9939507; provvedimento 11 gennaio 2023 doc web n.9861941, provvedimento del 4 luglio 2024, doc. web n. 10070284).

Tutto ciò premesso si osserva che, nel caso in esame, l'invio delle email promozionali è avvenuto in assenza del consenso al trattamento dei dati da parte degli interessati e in assenza di altra idonea base giuridica. Per tali ragioni si ritiene integrata la violazione dell’art. 6, par. 1, lett. a) del Regolamento e dell’art. 130, comma 2 del Codice.

Tuttavia, al fine di adottare una misura correttiva che sia proporzionata e dissuasiva, si deve avere riguardo alle numerose circostanze attenuanti rilevando, innanzitutto, l'assenza di un danno per gli interessati, che hanno ricevuto una sola email e non risultano essere più stati contattati in seguito.

Infine, occorre tenere conto del carattere isolato della vicenda, non risultando al momento altre analoghe doglianze pervenute al Garante, nonché della natura di piccola impresa della Lex Iuris e delle dichiarazioni rese in sede difensiva riguardo al rafforzamento delle attività di formazione del personale addetto ai contatti commerciali.

Per tali ragioni, sebbene si ravvisino le violazioni sopra richiamate, le circostanze descritte inducono a qualificare il caso come “violazione minore”, ai sensi dell’art. 83, par. 2, e del considerando 148 del Regolamento e si ritiene, pertanto, di poter soprassedere dall'applicazione di una sanzione amministrativa pecuniaria. Si ritiene, tuttavia che, relativamente al caso in esame, occorra ammonire il titolare del trattamento, ai sensi dell'art. 58, par. 2, lett. b), del Regolamento, dal momento che la condotta è stata posta in essere in violazione delle norme.

4.2 mancato riscontro alla richiesta di accesso ai dati personali

Si prende atto del contesto descritto dalla Società (sebbene sia stato soltanto dichiarato ma non documentato), relativamente all’avvicendamento del personale e ai cambiamenti organizzativi in corso al momento della ricezione delle richieste degli interessati. Tali circostanze tuttavia non paiono sufficienti a giustificare la condotta, tenuto conto che le istanze dei reclamanti sono state inviate contemporaneamente sia all’indirizzo email che alla pec di Lex Iuris; considerato che il titolare dispone di un termine ragionevole, non superiore a trenta giorni, per rispondere alle richieste, una così prolungata mancanza di controllo della corrispondenza, soprattutto pec, pare inverosimile, attese le conseguenze pregiudizievoli che potrebbero derivarne alla Società stessa.

Pertanto, la condotta omissiva risulta connotata da palese e grave negligenza comportando per gli interessati una lesione del diritto a conoscere l’origine dei dati e la natura del trattamento.

Si conferma dunque la violazione degli artt. 12 e 15 del Regolamento e, tenuto conto che la Società ha dichiarato di aver adottato delle misure correttive, non si rinvengono i presupposti per ulteriori interventi da parte dell'Autorità. Tuttavia, con riguardo alle violazioni occorse si rende necessario adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Lex Iuris della sanzione amministrativa pecuniaria prevista dall’art. 58, par. 2, lett. i) e 83 del Regolamento.

In ragione di quanto disposto dall’art. 154-bis, comma 3 del Codice, si procede alla pubblicazione del presente provvedimento sul sito internet dell’Autorità (cfr. anche art. 37 del regolamento interno del Garante n. 1/2019).

Si rileva inoltre che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

5. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, risultano violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati da Lex Iuris, per cui occorre applicare l’art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave con conseguente applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, ipotizzato, sulla base delle informazioni rinvenibili nell'ultimo bilancio (registrato al 31 dicembre 2024), il ricorrere della prima ipotesi prevista dal citato art. 83, par. 5 e quantificato quindi in 20 milioni di euro il massimo edittale applicabile, devono essere considerate le seguenti circostanze aggravanti:

1. la gravità della violazione poiché il mancato riscontro alle richieste degli interessati non ha consentito loro di conoscere l’origine dei dati, le finalità e le modalità del trattamento, rendendo necessaria la proposizione dei reclami al Garante (art. 83, par. 2, lett. a), del Regolamento);

2. la negligenza con cui la Società ha gestito le richieste di esercizio dei diritti, intervenendo solo dopo l'avvio dell'istruttoria da parte del Garante (art. 83, par. 2, lett. b), del Regolamento);

Quali elementi attenuanti, si ritiene di poter tener conto:

1. delle misure adottate dal titolare del trattamento per rendere i propri trattamenti conformi alle norme revisionando le procedure aziendali per assicurare un tempestivo esame delle richieste degli interessati (art. 83, par. 2, lett. c) del Regolamento);

2. dell’assenza di precedenti procedimenti avviati a carico della Società (art. 83, par. 2, lett. e) del Regolamento);

3. del grado di cooperazione con l'Autorità di controllo (art. 83, par. 2, lett. f) del Regolamento);

4. della natura dei dati trattati, consistenti in dati comuni anagrafici e di contatto (art. 83, par. 2, lett. g) del Regolamento);

5. del fatto che la condotta non pare avere avuto carattere sistematico risultando piuttosto isolata ai casi lamentati dai due reclamanti, che hanno inviato nello stesso giorno una richiesta di esercizio dei diritti, tenuto conto anche dei cambiamenti organizzativi, del tutto contingenti, in corso proprio in tale periodo presso la Società (art. 83, par. 2, lett. k) del Regolamento).

In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione.

Pertanto si ritiene che - in base al complesso degli elementi sopra indicati - debba applicarsi a Lex Iuris la sanzione amministrativa del pagamento di una somma di euro 15.000,00 (quindicimila/00) pari allo 0,075% della sanzione edittale massima di 20 milioni di euro.

Nel caso in argomento si ritiene che debba applicarsi, altresì, la sanzione accessoria della pubblicazione nel sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019.

In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare proporzionata in relazione alla gravità e al particolare disvalore delle condotte oggetto di censura, tenuto conto degli elementi di rischio per i diritti e le libertà degli interessati di cui il diritto di accesso ai dati costituisce il principale presidio.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione effettuato da Lex Iuris S.r.l., con sede in Bologna, via Santo Stefano 38, codice fiscale n. 03918631205; di conseguenza, ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, rivolge un ammonimento alla Lex Iuris S.r.l. perché l’invio di comunicazioni promozionali via email, effettuato senza il consenso degli interessati, ha costituito una violazione delle norme poste a tutela dei dati personali come indicato in motivazione;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, a Lex Iuris S.r.l. in persona del suo legale rappresentante, di pagare la somma di euro 15.000,00,00 (quindicimila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di 15.000,00,00 (quindicimila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

a) ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019, la pubblicazione del presente provvedimento nonché, ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione della presente ordinanza ingiunzione sul sito web del Garante;

b) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, dispone l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 12 febbraio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Montuori