[doc. web n. 10227039]

Provvedimento del 12 febbraio 2026

Registro dei provvedimenti
n. 89 del 12 febbraio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento” o “RGPD”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con comunicazione prot. n. 99802 del 15 luglio 2025 (notificata in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente richiamata, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti della Bressanelli Galli Gelpi Porta & C. S.r.l. (di seguito, anche, la “Società” o il “Titolare”), in persona del rappresentante legale pro-tempore, con sede legale in Como (CO), via Canturina 83/B, 22100, C.F. 03604310130.

Il procedimento trae origine da un reclamo del 14 febbraio 2025 (e acquisito in data 17 febbraio 2025 con prot. n. 20305, fasc. n. 447263), con il quale il reclamante ha lamentato la ricezione di e-mail promozionali in assenza di consenso, nonché l’omesso riscontro all’esercizio del diritto di accesso ex art. 15 del Regolamento.

A supporto di quanto esposto, il reclamante ha allegato quattro email promozionali di cui due a firma della Società, del 17 e 25 ottobre 2024 e che promuovevano servizi riconducibili ad una compagnia assicurativa di cui la stessa è mandataria, e altre due, del 18 novembre e 2 dicembre 2024, a firma “La Direzione di BRESSANELLI GALLI GELPI PORTA & C. SRL.”, che promuovevano un servizio di fondo pensione.

Il reclamante ha infatti specificato che la Società è mandataria di una nota compagnia assicurativa e che, per tale motivo, aveva preventivamente provveduto a chiedere informazioni a tale compagnia. Quest’ultima aveva così confermato l’assenza di consensi per finalità di marketing nel proprio interesse e per i servizi dalla stessa offerti nonché informato che le comunicazioni commerciali inviate erano state inoltrate direttamente dalla Società in qualità di titolare autonomo del trattamento.

Successivamente, dopo la citata comunicazione del 15 luglio 2025 (prot. n. 99802) di avvio del procedimento sanzionatorio, l’Autorità ha ricevuto, in data 14 agosto 2025 (prot. 112077 di pari data), un altro reclamo da parte di un altro soggetto (fasc. n. 510396) che lamentava le medesime violazioni; ossia la ricezione, da parte della Società, di tre email promozionali di cui due a firma della Società, del 17 e 25 ottobre 2024 e che anch’esse promuovevano servizi riconducibili alla compagnia assicurativa di cui la stessa è mandataria, e una terza email, del 2 dicembre 2024, a firma “La Direzione di BRESSANELLI GALLI GELPI PORTA & C. SRL.” relativa allo stesso fondo pensione.

1.2. La richiesta di informazioni formulata dall’Autorità

In data 26 marzo 2025 (prot. 40303 di pari data) l’Ufficio formulava nei confronti della Società una richiesta di informazioni, ai sensi dell’art. 157 del Codice, riguardo a quanto rappresentato nel reclamo nonché chiedendo di illustrare le misure adottate al fine di garantire che le attività di marketing siano svolte in ottemperanza alla normativa vigente e, con riscontro pervenuto il 14 aprile 2025 (ed acquisito con prot. n. 51054 di pari data), la Società ha innanzitutto risposto qualificandosi come responsabile del trattamento della compagnia assicurativa di cui è mandataria. Pertanto, in qualità di responsabile, la Società ha:

- dichiarato di non aver risposto all’esercizio dei diritti del reclamante perché ha ritenuto che la richiesta fosse già oggetto di analisi da parte della compagnia assicurativa, considerata titolare del trattamento e dalla quale, quindi, rimaneva in attesa di istruzioni operative;

- confermato che il reclamante non avesse espresso il consenso al trattamento dei propri dati per finalità di marketing ai sensi di quanto indicato nell’informativa sul trattamento dei dati allegata alla polizza della compagnia assicurativa mandante. Tuttavia, tali comunicazioni erano state effettuate sulla base dell’eccezione del “soft spam”, nella misura in cui il reclamante non aveva espresso alcuna indicazione;

- informato che per esercitare i propri diritti, il reclamante poteva rivolgersi alla compagnia assicurativa mandante.

In sostanza, la Società ha ritenuto di agire come responsabile del trattamento sia per l’invio di comunicazioni commerciali sulla base dell’eccezione del soft spam, sia con riferimento alle attività inerenti all’adempimento all’esercizio dei diritti del reclamante.

Con ulteriore comunicazione prot. 69581 del 22 maggio 2025, l’Ufficio ha quindi disposto una seconda richiesta di informazioni nei confronti sia della Società sia della compagnia assicurativa mandante chiedendo ad entrambe di chiarire i rispettivi ruoli, con particolare riguardo all’invio di comunicazioni commerciali, e di fornire il contratto o altro atto giuridico che, ai sensi dell’art. 28, par. 3 del Regolamento, disciplinava i rapporti tra titolare e responsabile del trattamento, chiarendo i compiti e le attività attribuite alla Società in qualità di responsabile del trattamento.

Alla Società si è inoltre richiesto di fornire indicazioni sui trattamenti posti in essere in qualità di autonomo titolare del trattamento con relativa documentazione e, in particolare, copia dell’informativa rivolta agli interessati per i trattamenti effettuati in qualità di autonomo titolare del trattamento, nonché copia del registro delle attività di trattamento di cui all’art. 30 del Regolamento.

La Società ha risposto con comunicazione dell’11 giugno 2025 (prot. 83781 del 12 giugno 25) dichiarando di: «aver inteso agire in qualità di Responsabile del trattamento, inviando in autonomia comunicazioni al [reclamante], utilizzando come base giuridica il legittimo interesse, pur in assenza di istruzioni in tal senso da parte del Titolare».

Nel medesimo giorno, anche la compagnia assicurativa ha dato riscontro alla richiesta di informazioni e, con comunicazione prot. 83803 del 12 giugno 2025, ha «escluso il suo diretto coinvolgimento in qualità di titolare del trattamento, avvisando altresì [la Società] relativamente alla richiesta ricevuta e ribadendo la necessità di contattare i soggetti interessati unicamente a fronte di un consenso espresso, anche agendo in qualità di titolare autonomo».

La compagnia assicurativa, quindi, ha considerato l’evento come fosse frutto di un fraintendimento della Società che ha ritenuto di poter inviare in autonomia offerte commerciali, sulla base del legittimo interesse, senza aver ricevuto indicazioni specifiche e senza informare la compagnia. Compagnia che ha così ribadito che nessun contatto commerciale può essere effettuato per suo conto senza specifiche indicazioni e istruzioni.

2. CONTESTAZIONE DELLE VIOLAZIONI E MEMORIA DIFENSIVA

All’esito dell’istruttoria, l’Ufficio ha rinvenuto elementi sufficienti per poter qualificare la Società quale autonomo titolare del trattamento.

Infatti, nonostante la stessa avesse raccolto i dati in qualità di responsabile del trattamento per conto della compagnia assicurativa, nel caso concreto è risultato che la Società abbia poi riutilizzato tali dati per fini ultronei. Pertanto la Società avrebbe agito in autonomia, non solo in assenza di specifica indicazione da parte della compagnia assicurativa ma, anzi, in contrasto con le direttive da questa impartite (v. art. 28, § 10, Regolamento).

Conseguentemente, con il sopra richiamato atto di contestazione n. 99802 del 15 luglio 2025, l’Ufficio ha contestato alla Società le possibili violazioni alla normativa in materia come di seguito esposto.

2.1. Omesso riscontro all’esercizio dei diritti del reclamante

La qualifica di autonomo titolare del trattamento porta con sé l’onere di dare adeguato e tempestivo riscontro all’esercizio dei diritti degli interessati.

In sede di riscontro alla richiesta di informazione, la Società non ha contestato l’assenza di risposta all’esercizio dei diritti del reclamante. Al contrario ha dichiarato di non aver ritenuto necessario dare alcun seguito alla richiesta in quanto riteneva che questa fosse già all’attenzione della compagnia assicurativa.

Tale comportamento omissivo sembrava porsi in contrasto con l’adeguata gestione dell’esercizio del diritto di accesso ai dati del reclamante e quindi idoneo alla violazione degli artt. 5, par. 1, lett. a); 12, parr. 3 e 4; e 15 del Regolamento.

2.2. Invio di comunicazioni commerciali senza base giuridica

Non potendo riconoscersi alla Società la qualifica di responsabile del trattamento, si è ritenuto che la stessa abbia trattato, in qualità di autonomo titolare del trattamento, dati acquisiti nell’ambito delle attività svolte per conto di terzi e non riutilizzabili per distinti propri fini.

Ciò risultava vero con specifico riguardo all’invio di comunicazioni commerciali, trattamenti per i quali risultava, da un lato, la mancata prestazione del consenso alla ricezione di comunicazioni commerciali da parte o per conto della compagnia assicurativa mandante, dall’altro l’omessa richiesta di uno specifico e autonomo consenso per l’invio di comunicazioni commerciali nell’interesse esclusivo della Società.

Conseguentemente, la Società avrebbe posto in essere trattamenti per finalità di marketing nel proprio interesse in assenza del consenso richiesto dalla normativa. Ciò in possibile contrasto con il principio di liceità del trattamento e quindi integrando un comportamento potenzialmente idoneo a violare gli artt. 5, par. 1, lett. a); 6; e 7 del Regolamento, nonché dell’art. 130, comma 2, del Codice.

2.3. Assenza di idonea informazione

I dati oggetto di trattamento ulteriore o “secondario” da parte della Società erano stati originariamente acquisiti sulla base dell’informativa rilasciata dalla compagnia assicurativa mandante, per le relative finalità, e nessuna ulteriore informativa per gli ulteriori trattamenti effettuati dalla Società in qualità di autonomo titolare del trattamento risultava essere stata fornita al reclamante.

Conseguentemente, il trattamento secondario dei dati per finalità proprie della Società, ivi compresa la possibilità di un loro riutilizzo per finalità di marketing, deve considerarsi avvenuto in assenza di adeguata informazione agli interessati.

L’Ufficio contestava così la possibile violazione del principio di trasparenza e, quindi, degli artt. 5, par. 1, lett. a) e 13 del Regolamento.

2.4. Riepilogo delle violazioni contestate

In conclusione, l’Ufficio ha contestato la possibile violazione degli artt. 5, par. 1, lett. a); 6; 7; 12, parr. 3 e 4; 13; e 15 del Regolamento, nonché dell’art. 130, comma 2, del Codice.

3. Esercizio del diritto di difesa da parte del titolare

La Società non presentava richiesta di audizione ma, esercitando il proprio diritto di difesa, ha trasmesso memoria difensiva in data 1° agosto 2025 (acquisita con prot. n. 108986 del 5 agosto 2025) con la quale, nel «riconosc[ere] la gravità delle contestazioni sollevate» ha fornito le proprie osservazioni sulle singole contestazioni.

3.1. Sul ruolo della Società

In primo luogo, la Società ha ricostruito il ruolo ricoperto dalla stessa in relazione alla compagnia assicurativa avallando la posizione espressa dall’Autorità. In tal senso, in generale la compagnia assicurativa è il titolare del trattamento dei dati dei clienti acquisiti per tramite della Società che, tipicamente, agisce in qualità di responsabile del trattamento in virtù di apposito accordo di designazione ex art. 28 del Regolamento. Conseguentemente, la Società non gode di autonomia decisionale sulle finalità e i mezzi del trattamento dei dati raccolti per conto della compagnia assicurativa se non entro lo stretto ambito necessario all’esecuzione dell’incarico.

Posta questa premessa, la Società ha però: «riconosciuto che nella situazione specifica oggetto di reclamo [la Società] ha, di fatto, oltrepassato i limiti del proprio ruolo di responsabile, ponendo in essere iniziative non previamente avallate [dalla compagnia]». Dunque, prosegue la Società nella memoria difensiva: «inviando comunicazioni promozionali di propria iniziativa (quindi determinando la finalità di marketing ulteriore rispetto a quelle stabilite [dalla compagnia]) e scegliendo le modalità (mezzi) di invio senza coordinarsi con la Compagnia, [la Società] ha – suo malgrado – agito come titolare autonomo per quel trattamento particolare. Analogamente, nel decidere (sia pure passivamente) di non rispondere alla richiesta del [reclamante], attendendo indicazioni che legittimamente la Compagnia non ha fornito, [la Società] ha omesso un adempimento che, se considerata titolare autonomo del trattamento, le spettava direttamente in virtù degli artt. 12 e 15 GDPR».

La Società è ancora più chiara nelle conclusioni di tale ragionamento laddove: «riconosce che la propria iniziale rappresentazione – essere mero responsabile e quindi non dover agire senza input del titolare – era in concreto errata».

Ciò premesso, la Società ha ritenuto che tale errore fosse scaturito, in buona fede, da un contesto di «ambiguità non imputabile a propria esclusiva negligenza». In altre parole, la Società «non ha deliberatamente rivendicato una propria distinta titolarità, ma ha creduto, erroneamente, di poter agire comunque nel perimetro del mandato conferito».

A riprova della sua buona fede, la Società cita l’art. 82 del Regolamento IVASS 40/18 che, al primo comma, stabilisce che i “distributori” che promuovono contratti assicurativi effettuando comunicazioni commerciali mediante tecniche di comunicazione a distanza per l’invio di materiale pubblicitario, per la vendita a distanza, per il compimento di ricerche di mercato o di comunicazioni commerciali, richiedono il previo consenso del contraente. Il terzo comma prevede che, salvo opposizione del contraente e previa informazione della possibilità di opporsi, i distributori possono utilizzare le tecniche di comunicazione a distanza senza acquisire il previo consenso del contraente medesimo nel caso in cui questo abbia già fornito i propri recapiti in occasione della commercializzazione di un contratto di assicurazione relativo allo stesso ramo assicurativo o ad altri rami, purché il prodotto sia distribuito dalla medesima impresa.

In base a questa norma, la Società, in qualità di “distributore”, ha ritenuto di agire come responsabile del trattamento nell’attività di promozione commerciale e dell’interesse esclusivo del titolare.

3.2. Omesso riscontro all’esercizio dei diritti del reclamante

Nella memoria difensiva la Società ha definito «un dato di fatto che la Società non contesta» l’omesso riscontro all’esercizio dei diritti del reclamante.

Tuttavia, tale omissione sarebbe stata conseguenza dalla notizia, della quale la Società è venuta a conoscenza per tramite del reclamante, che la compagnia assicurativa aveva qualificato come “autonomo” l’operato della Società. In altre parole, tale circostanza avrebbe “colpevolmente confuso” la Società che, quindi, ha ritenuto di dover attendere una interlocuzione con la compagnia assicurativa che, tuttavia, non è avvenuto.

Dunque, la Società non avrebbe: «deliberatamente ignorato la richiesta, bensì ha ritenuto (sbagliando) che un ulteriore intervento da parte propria, senza un precedente confronto con la titolare, potesse creare duplicazioni o conflitti. Ne è derivato, di fatto, un silenzio prolungato nei confronti dell’interessato, che comprendevolmente ha esasperato quest’ultimo inducendolo a rivolgersi al Garante».

Prendendo atto della propria inadempienza ai sensi degli artt. 12 e 15 del Regolamento, la Società ha comunque dichiarato che ciò non sia stato frutto di malafede o della volontà di negare un diritto ma della erronea e colposa convinzione che la compagnia avrebbe direttamente gestito il reclamo.
La Società ha così indicato alcuni rimedi medio tempore attuati, come l’aver provveduto a contattare, nel mese di luglio 2025, il reclamante al fine di fornire riscontro formale alle sue richieste, nonché alcuni rimedi procedurali per evitare il ripetersi di simili situazioni in futuro, come: il coinvolgimento di un “Referente interno per la Privacy” e/o, eventualmente, di un Responsabile per la protezione dei dati ex art. 37 del Regolamento; la predisposizione di un registro delle richieste per monitorare il rispetto del termine previsto dall’art. 12 del Regolamento; l’obbligo di risposta al reclamante anche solo per informarlo della presa in carico della richiesta o della sua trasmissione al titolare competente.

In conclusione, la Società ha riconosciuto le violazioni contestate e auspicato che l’Autorità possa considerare le circostanze attenuanti illustrate: l’assenza di volontà elusiva, la natura occasionale e non sistematica dell’omissione, la successiva ottemperanza (ancorché tardiva) alla richiesta dell’interessato e le misure organizzative introdotte per il futuro.

3.3. Obblighi di informativa e principio di trasparenza

Anche con riferimento agli obblighi di informazione la Società ha riconosciuto che il reclamante non avesse ricevuto specifica informativa sui trattamenti per finalità di marketing autonomamente posti in essere dalla stessa. Ha quindi confermato che l’unica informativa fornita al reclamante era quella della compagnia assicurativa al momento della raccolta dei dati per la polizza. Anche tale contestazione deve quindi essere considerata provata.

Riconoscendo che «l’interessato non poteva ragionevolmente aspettarsi di ricevere email promozionali direttamente [dalla Società], né era stato informato che i suoi dati sarebbero stati utilizzati [dalla stessa] per fini ulteriori rispetto a quelli della Compagnia titolare», la Società ha condiviso la carenza di trasparenza verso il reclamante e, quindi, in qualità di autonomo titolare del trattamento, la violazione degli obblighi di informativa di cui all’art. 13 del Regolamento.

In ogni caso, l’impatto pratico di questa carenza informativa, nel caso concreto, è stato giudicato “contenuto” in quanto il reclamante, ricevendo le email con la firma e i riferimenti della Società, ha facilmente potuto individuare la provenienza e immediatamente esercitato i suoi diritti chiedendo spiegazioni.

Ciò posto, la Società ha subito provveduto ad aggiornare l’informativa dedicata ai trattamenti effettuati in qualità di titolare autonomo nonché il proprio registro dei trattamenti. Inoltre, nelle future ed eventuali comunicazioni commerciali che dovesse inviare verrà inserita un’informativa breve o un rinvio diretto all’informativa completa, insieme a un chiaro meccanismo di opt-out in calce ad ogni email.

3.4. Base giuridica del trattamento per finalità di marketing

Anche con riferimento a tale profilo la Società ha confermato quanto già precedentemente espresso nel riscontro del 14 aprile 2025, ossia che il reclamante non avesse espresso il consenso al trattamento per finalità di marketing da parte della compagnia assicurativa.

Ciononostante, la Società aveva ritenuto di poter effettuare tali trattamenti dapprima sulla base dell’eccezione del soft spam di cui all’art. 130, comma 4, del Codice, poi sulla base del legittimo interesse del titolare ex art. 6, par. 1, lett. f) del Regolamento.

Con riferimento al primo dei due presupposti, ossia l’eccezione di cui al soft spam, la Società ha dichiarato che, sebbene avesse ritenuto di poter usufruite di tale eccezione (perché, sempre secondo la Società, il reclamante aveva acquistato servizi assicurativi e la Società aveva offerto un fondo pensione della medesima compagnia, cosa che si potrebbe considerare perlomeno un settore affine a quello assicurativo, nonché la circostanza che l’informativa della compagnia menzionava tale possibilità e il reclamante non avesse manifestato alcun opt-out al momento della raccolta dei dati né successivamente), «alla luce degli approfondimenti sollecitati dal Garante, la Società ha compreso che tale interpretazione estensiva del soft spam non era giuridicamente sostenibile» in quanto:

- Il dato normativo è chiaro nell’indicare il titolare del trattamento come unico beneficiario della deroga di cui al soft spam, non un terzo quale è il responsabile divenuto titolare autonomo del trattamento dei dati personali;

- Sebbene la Società abbia offerto prodotti della compagnia assicurativa e non propri, un servizio di fondo pensione potrebbe non essere interpretato quale prodotto assicurativo standard;

- La compagnia assicurativa mandante non aveva autorizzato la Società mandataria a promuovere i suoi prodotti anche se la possibilità di ricorrere al soft spam era astrattamente prevista dall’informativa della compagnia assicurativa;

- Il reclamante non era stato informato che la Società avrebbe potuto inviargli comunicazioni con email proprie, nelle quali non era presente alcuna esplicita avvertenza circa la possibilità di rifiutare ulteriori comunicazioni;

- Nonostante il ricorso al soft spam fosse basato su un’interpretazione estensiva erroneamente basata sull’art. 82 del provv. IVASS, nel dubbio la Società avrebbe dovuto consultare la compagnia titolare per un assenso.

Con riferimento al legittimo interesse di cui all’art. 6, par. 1, lett. f) del Regolamento, la Società ha specificato che la sua intenzione «non era quella di trovare un’ulteriore base giuridica bensì di chiarire che l’utilizzo della soft spam potesse rientrare in tale titolo». In altre parole, il riferimento al legittimo interesse aveva un valore “meramente descrittivo di un intento”.

Dunque, la Società ha preso atto che: «le quattro email promozionali oggetto di contestazione sono state inviate in assenza di una valida base di liceità prevista dalla legge. Non vi era un consenso dell’interessato; non risultavano applicabili i requisiti del soft spam/ricorso al legittimo interesse che, per quanto inquadrato in buona fede, non era giuridicamente sostenibile in presenza del divieto specifico di cui all’art. 130, comma 2. Quindi seppur due di queste email avevano un contenuto più informativo che promozionale, comunque non potevano essere riferite ad una base giuridica, nel caso di specie illegittima».

Come misure correttive, la Società ha quindi informato di aver disposto la cessazione di ogni attività di marketing diretto rivolta a soggetti per i quali non risulti acquisito un consenso esplicito e verificabile ed è stata aggiornata l’informativa con una sezione dedicata al marketing, nonché escluso, per il futuro, l’utilizzo della deroga del soft spam e del legittimo interesse. Inoltre, le comunicazioni promozionali includeranno sistematicamente un chiaro riferimento al diritto di opposizione ed è stato avviato un processo di formazione interna per il personale.

3.5. Altri elementi di valutazione

Pur riconoscendo la fondatezza giuridica della contestazione dell’Autorità, la Società ha indicato i seguenti ulteriori elementi di valutazione:

- le comunicazioni inviare non configuravano una campagna di “spamming massivo” né vi è stata reiterazione dopo le rimostranze del reclamante;

- non sono stati trattati dati sensibili;

- non c’è stata comunicazione o diffusione di dati a terzi;

- ha cessato l’invio di comunicazioni commerciali senza consenso e nessuna compagna è in corso;

- «in un’ottica di totale trasparenza e collaborazione, [la Società] intende denunciare un ulteriore trattamento effettuato con le medesime modalità. Al fine di individuare preventivamente eventuali ed ulteriori violazioni ha effettuato un’analisi delle mail inviate ai clienti ed è emerso che, oltre a quella oggetto della presente contestazione, è stata inviata una comunicazione commerciale anche al sig. […] e alla società [...]. Si specifica tuttavia che, quest’ultima, non è stata inviata ad un indirizzo email nominativo (ovvero riferito a persona fisica)».

Inoltre, la Società ha ribadito i seguenti impegni:

- laddove intenda, in futuro, inviare comunicazioni commerciali in autonomia, provvederà a raccogliere in anticipo uno specifico consenso informando gli interessati;

- organizzazione di sessioni di formazione per il personale;

- aggiornamento del Registro delle attività di trattamento.

4. VALUTAZIONI DELL’AUTORITÀ

In via preliminare, nel ricordare che chiunque, in un procedimento dinanzi al Garante, dichiari o attesti falsamente notizie o circostanze o produca atti o documenti falsi ne risponde penalmente ai sensi dell’art. 168 del Codice, deve innanzitutto rilevarsi che in data 14 agosto 2025, ossia successivamente all’avvio del procedimento sanzionatorio e prima della memoria difensiva della Società, l’Autorità ha ricevuto un altro reclamo (fasc. n. 510396) da un soggetto diverso ma relativo alla medesima fattispecie. Nello specifico, in tale ultimo reclamo si lamentava la ricezione di tre email promozionali in data 17 e 25 ottobre 2024 e 2 dicembre 2024. A fronte di queste comunicazioni, con email del 17 gennaio 2025 tale secondo reclamante ha esercitato il diritto di accesso al fine di chiedere la base giuridica degli invii, comunicazione poi reiterata tramite PEC in data 4 febbraio 2025. Nel medesimo giorno la Società ha risposto in modo generico affermando che: «È possibile che il software che gestisce l’invio non abbia riconosciuto correttamente questo dato. Stiamo provvedendo a verificare la situazione per evitare che si ripeta in futuro».

La coincidenza delle date e del contenuto delle mail inviate a tale secondo reclamante con quelle ricevute dal primo reclamante di cui al presente procedimento, lasciavano supporre che tali comunicazioni fossero parte della medesima campagna pubblicitaria. Tale eventualità è stata, da ultimo, confermata dalla Società nella memoria difensiva dove ha dichiarato, appunto, di voler «denunciare un ulteriore trattamento effettuato con le medesime modalità».

Conseguentemente e sulla base anche delle ulteriori motivazioni meglio esposte nel par. 4.4, al fine di promuovere l’esame organico di tutte le questioni prospettate nelle istanze sopra richiamate, sebbene pervenute in tempi diversi, ai sensi dell’art. 10, comma 4, del regolamento interno n. 1/2019, si è ritenuto opportuno trattare congiuntamente il primo reclamo di cui al fascicolo n. 447263 e quello di cui al fascicolo n. 510396 dal momento che le suddette doglianze sono state proposte nei confronti dello stesso titolare e hanno ad oggetto le medesime circostanze. La riunione dei suddetti procedimenti consente di dare piena attuazione ai principi di economicità e ragionevole durata del procedimento e di garantire, al contempo, il diritto di difesa e di non aggravamento del procedimento riconosciuto dalla legge al titolare del trattamento. Tanto più nel caso concreto laddove la Società ha sua sponte riconosciuto l’esistenza di tale ulteriore comunicazione commerciale illecita.

Nel merito, all’esito dell’attività istruttoria si rileva che l’articolata e puntuale memoria difensiva della Società abbia integralmente riconosciuto gli addebiti mossi nei suoi confronti – ivi compresi quelli sottesi al secondo reclamo di cui al fasc. 510396 per i quali la Società ha spontaneamente riconosciuto l’illiceità ancorché questo non sia stato proceduto da formale contestazione – sicché, allo stato degli atti, tutte le violazioni astrattamente riscontrate dall’Ufficio non sono state contestate e possono così ritenersi provate e accertate.

Ciò non toglie che può risultare comunque utile formulare alcune minime precisazioni su quanto affermato dalla Società nell’esercizio del suo diritto di difesa.

4.1. Sulla qualifica di titolare del trattamento

L’art. 28, par. 10, del Regolamento dispone che: «se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione».

Tale fattispecie astratta trova riscontro nel caso concreto dove risulta accertato che la Società che in un primo momento aveva raccolto e trattato i dati del reclamante in qualità di responsabile del trattamento per conto della compagnia assicuratrice mandante e, successivamente e in assenza di alcuna indicazione da parte del titolare e, anzi, diversamente dalle direttive precedentemente fornire, ha riutilizzato i dati a sua disposizione per finalità ulteriori, ossia, nello specifico, effettuando un’ulteriore trattamento per finalità di marketing tramite l’invio di quattro email promozionali al primo reclamante di cui al fascicolo n. 447263 e tre email al secondo reclamante di cui al fascicolo n. 510396. Ancorché tali comunicazioni promuovessero servizi comunque afferenti alla compagnia assicurativa, ossia all’originario titolare del trattamento, risulta comunque provato che la Società ha autonomamente deciso le finalità e i mezzi di un nuovo trattamento. In tali termini e con riferimento a questo specifico trattamento, si accerta la qualifica di titolare del trattamento della Società.

Accertata e non contestata la qualifica di titolare del trattamento, a nulla rileva il fatto che la Società non abbia «deliberatamente rivendicato una propria distinta titolarità, ma ha creduto, erroneamente, di poter agire comunque nel perimetro del mandato conferito».

In primo luogo, infatti, le qualifiche ai sensi del Regolamento UE 2016/679 non hanno rilievo formale ma funzionale e fattuale, nel senso che la ripartizione dei ruoli deve essere determinata sulla base delle attività effettivamente svolte in una situazione specifica piuttosto che sulla base della (mera) designazione formale (ad es. in un contratto). Conseguentemente, tali qualifiche devono essere valutate in concreto sulla base dell’effettivo atteggiarsi del soggetto in relazione al trattamento di dati personali (sul tema si vedano le Linee guida dell’EDPB n. 7/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, adottate il 7 luglio 2021, in particolare il par. 2.1.2 della parte I).

In secondo luogo, l’errore in cui la Società sarebbe incorsa non sembra idonea a far venir meno la sua responsabilità quanto meno a titolo di colpa.

Secondo la giurisprudenza, infatti, l’esimente della buona fede di cui all’art. 3 l. n. 689 del 1981, rileva come causa di esclusione della responsabilità amministrativa solo qualora sussistano elementi positivi idonei ad ingenerare nell’autore della violazione il convincimento della liceità della sua condotta e risulti che il trasgressore abbia fatto tutto quanto possibile per conformarsi al precetto di legge, onde nessun rimprovero possa essergli mosso. In tal senso, Cassazione civile sez. II, 29/11/2023, n. 33121, per la quale, in tema di violazioni amministrative, poiché, ai sensi dell’articolo 3 della legge n. 689 del 1981, per integrare l’elemento soggettivo dell’illecito è sufficiente la semplice colpa, l’errore sulla liceità della relativa condotta, correntemente indicato come “buona fede”, può rilevare in termini di esclusione della responsabilità amministrativa solo quando esso risulti inevitabile, occorrendo a tal fine un elemento positivo, estraneo all’autore dell’infrazione, idoneo ad ingenerare in lui la convinzione della sopra riferita liceità, oltre alla condizione che da parte dell’autore sia stato fatto tutto il possibile per osservare la legge e che nessun rimprovero possa essergli mosso, così che l’errore sia stato incolpevole, non suscettibile cioè di essere impedito dall’interessato con l’ordinaria diligenza (ex multis si veda, anche, Cassazione civile sez. II, 11/06/2007, n. 13610).

La Società non ha dimostrato di aver fatto tutto il possibile per osservare la legge innanzitutto perché, avendo ben chiaro il suo ruolo di responsabile del trattamento, avrebbe dovuto strettamente attenersi alle direttive impartite dalla compagnia assicurativa in qualità di titolare del trattamento che, come confermato sia dalla Società sia dalla compagnia, non consentivano di svolgere alcuna attività di marketing in assenza di consenso espresso dell’interessato. Inoltre, in caso di dubbio, avrebbe dovuto rivolgersi al titolare proprio per chiedere chiarimenti sulla possibilità di porre in essere un certo trattamento. È poi il caso di rilevare che, proprio poiché la Società riteneva di agire quale responsabile, sia il trattare i dati solo su istruzione documentata del titolare sia il prestare assistenza al titolare nel caso fosse stato raggiunto da una richiesta di esercizio dei diritti da parte di un interessato costituivano per la stessa veri e propri obblighi derivanti dall’art. 28 del Regolamento (in tal senso si vedano le già citate Linee guida dell’EDPB n. 7/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, in particolare i parr. 1.3.1 e 1.3.5 della parte II; nonché le Linee guida 1/2022 sui diritti degli interessati, del 28 marzo 2023).

Infine, con riferimento all’invocato art. 82 del Regolamento IVASS 40/18, in via generale si ritine che tale norma non sia in contrasto con quanto previsto dall’art. 130 del Codice. Ciononostante, qualora dovessero residuare dubbi circa una possibile antinomia con la norma di rango primario di cui all’art. 130 del Codice, questa potrebbe essere facilmente risolta anche tramite interpretazione sistematica delle due norme.

Infatti, in linea con l’art. 130 del Codice (che è norma di rango primario), l’art. 82 del Regolamento IVASS 40/18 impone la regola del previo consenso del contraente per lo svolgimento di attività di marketing. Solo in via di eccezione, la norma riconosce al “distributore” la possibilità di svolgere comunicazioni commerciali senza consenso e salva opposizione del contraente «nel caso in cui questo abbia già fornito i propri recapiti in occasione della commercializzazione di un contratto di assicurazione relativo allo stesso ramo assicurativo o ad altri rami purché il prodotto sia distribuito dalla medesima impresa». Per far coincidere il concetto di “distributore” con quello di “responsabile del trattamento” bisogna inevitabilmente tener conto del fatto che tale soggetto sia stato previamente autorizzato a porre in essere tale trattamento. Diversamente, la qualifica di distributore non può che coincidere, a seconda del caso concreto, col soggetto titolare o contitolare del trattamento, non potendo il responsabile determinare finalità e mezzi del trattamento se non a costo di acquisire a sua volta la qualifica di titolare autonomo.

Nel caso in esame, non risulta quindi provato che la Società abbia fatto tutto il possibile per osservare la legge e, dunque, che l’errore sia stato incolpevole, non suscettibile cioè di essere impedito dall’interessato con l’ordinaria diligenza.

Al contrario, se avesse agito nel rispetto della normativa in materia, avrebbe evitato sul nascere le comunicazioni senza base giuridica o quanto meno potuto tempestivamente rimediare all’errore in sede di riscontro all’esercizio dei diritti del reclamante.

4.2. Omesso riscontro all’esercizio dei diritti del reclamante

La Società ha anche riconosciuto l’omesso riscontro all’esercizio dei diritti del (primo) reclamante, circostanza che, anch’essa deve essere considerata pacificamente provata.

Tale inerzia è stata motivata con l’aver “colpevolmente” ritenuto di dover attendere una interlocuzione con la compagnia assicurativa.

Nel rinviare al paragrafo precedente sul tema della condotta colposa, basterà qui evidenziare che qualora l’esercizio dei diritti sia esercitato dagli interessati nei confronti del responsabile del trattamento, questo deve prontamente informare di ciò il titolare del trattamento (cfr. Linee guida 7/2020 sui concetti di titolare e responsabile del trattamento). Questo è, quindi, il comportamento che la Società avrebbe dovuto tenere, specie in una situazione di estrema confusione e incertezza come quella descritta nella memoria difensiva, qualora sia stata convinta di agire quale responsabile. Si ritiene, pertanto, che il prolungato silenzio che è seguito all’esercizio dei diritti del reclamante sia direttamente imputabile ad una, quanto meno colposa, omissione della Società che, tanto più in un momento di confusione, avrebbe prontamente dovuto attivarsi per contattare la compagnia assicurativa (sua titolare del trattamento) al fine di meglio gestire la situazione.

Nel caso di specie, inoltre, comportandosi nei fatti quale autonomo titolare del trattamento, avrebbe comunque dovuto riscontrare la richiesta del reclamante nei termini previsti dall’art. 12, parr. 3 e 4, del Regolamento. Cosa non avvenuta.

Deve quindi accertarsi la violazione dei principi in materia di corretta gestione dell’esercizio dei diritti del reclamante di cui agli artt. 5, par. 1, lett. a); 12, parr. 3 e 4; e 15 del Regolamento.

4.3. Obblighi di informativa e principio di trasparenza

Anche con riferimento agli obblighi di informazione risulta accertata l’assenza di ogni specifica informativa sui trattamenti svolti dalla Società per le autonome finalità di marketing.

Deve quindi accertarsi la violazione del principio di trasparenza di cui agli artt. 5, par. 1, lett. a) e 13 del Regolamento.

4.4. Base giuridica del trattamento per finalità di marketing

Dalle risultanze istruttorie nonché dalla memoria difensiva, risulta inoltre accertato e non contestato che la Società abbia inviato quattro email promozionali in assenza di idonea base giuridica. A queste devono aggiungersi le ulteriori tre email promozionali inviate al secondo reclamante.

Infatti, confermata l’assenza di uno specifico consenso da parte del reclamante sia per l’invio di comunicazioni commerciali per conto della compagnia assicurativa sia da parte della Società in qualità di autonomo titolare del trattamento, quest’ultima ha invocato fondamenti di liceità non adeguati al caso concreto.

In primo luogo, il legittimo interesse non figura tra i fondamenti di liceità previsti dall’art. 130, comma 2, del Codice che, in qualità di lex specialis, trova applicazione al caso concreto per l’invio di materiale pubblicitario tramite posta elettronica.

Con riferimento al soft spam di cui all’art. 130, comma 4, del Codice, tale eccezione non è invocabile da un soggetto diverso dall’originario titolare del trattamento. In tale contesto, il responsabile del trattamento che, in assenza di specifica direttiva da parte del titolare, pone in essere un ulteriore trattamento di dati personali si troverebbe ad effettuare un riutilizzo dei dati personali sine titulo e, in assenza di autonoma informativa e di un nuovo fondamento di liceità, già l’acquisizione dei dati dovrebbe essere considerata illecita. Tali circostanze rendono illecita la stessa acquisizione dei dati prima ancora di determinare l’impossibilità di avversi dell’eccezione del soft spam.

Deve quindi accertarsi la violazione del principio di liceità del trattamento di cui agli artt. 5, par. 1, lett. a); 6, par. 1, lett. a); e 7 del Regolamento, nonché dell’art. 130, comma 2, del Codice.

Conseguentemente, la violazione delle norme relative al fondamento di liceità del trattamento, e in particolare alla richiesta di consenso ex art. 130 del Codice, rende illeciti i trattamenti di dati personali su di esso fondati.

A tal riguardo, in sede di memoria difensiva, la Società stessa ha denunciato di aver inviato un’altra comunicazione commerciale con le medesime modalità oggetto del presente provvedimento.

Tale dichiarazione collima con il secondo reclamo ricevuto dall’Autorità in data 14 agosto 2025 (fasc. n. 510396), ossia successivamente all’avvio del procedimento sanzionatorio e prima della memoria difensiva, che anch’esso fa riferimento a comunicazioni promozionali prive di consenso ricevute dal secondo reclamante negli stessi giorni del primo reclamante.

Deve quindi concludersi che i trattamenti illeciti accertati e in violazione degli articoli sopra individuati sono stati posti in essere nei confronti di, almeno, due reclamanti, per un periodo ricompreso tra il 17 ottobre e il 2 dicembre 2024.

5. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata l’illiceità dei trattamenti presi in esame e la responsabilità della Bressanelli Galli Gelpi Porta & C. S.r.l. in ordine alle seguenti violazioni:

a) artt. 5, par. 1, lett. a); 12, parr. 3 e 4; e 15 del Regolamento, per aver la Società omesso di fornire riscontro all’esercizio del diritto di accesso da parte del reclamante;

b) artt. 5, par. 1, lett. a); e 13 del Regolamento, per non aver la Società predisposto alcuna specifica informativa sui trattamenti svolti per le autonome finalità di marketing;

c) 5, par. 1, lett. a); 6, par. 1, lett. a); e 7 del Regolamento, nonché dell’art. 130, comma 2 del Codice, per aver la Società effettuato attività di marketing tramite posta elettronica in assenza di idonea base giuridica.

Accertata dunque l’illiceità delle condotte con riferimento ai trattamenti presi in esame, si rende necessario:

a) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, imporre il divieto di trattamento per finalità ulteriori o secondarie, ivi comprese quelle promozionali, dei dati del reclamante e degli altri interessati dei quali la Società ha acquisito la disponibilità in qualità di responsabile del trattamento;

b) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, imporre il divieto di ogni trattamento per finalità di marketing svolto senza previo, specifico e valido consenso degli interessati;

c) ai sensi dell’art. 58, par. 2, lett. c) del Regolamento, dare adeguato riscontro al secondo reclamante, nonché ad eventuali altri interessati che abbiano chiesto informazioni circa la ricezione di comunicazioni commerciali in assenza di consenso da parte della Società in qualità di autonomo titolare del trattamento;

d) adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

6. ORDINANZA INGIUNZIONE

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti del Titolare della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento (pagamento di una somma fino a € 20.000.000,00 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore);

Per la determinazione del massimo edittale della sanzione pecuniaria, occorre pertanto fare riferimento al fatturato della Società, come ricavato dalle informazioni economiche acquisite in atti.

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.

Nel caso in esame, assumono rilevanza:

a) la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), tenuto conto della natura della stessa riguardante principi cardine della normativa sul corretto trattamento dei dati personali: ossia la qualifica di titolare del trattamento, il rispetto degli obblighi di trasparenza e l’individuazione degli adeguati fondamenti di liceità dei trattamenti con la richiesta di un consenso valido;

b) la durata della violazione che si è protratta tra l’ottobre e il dicembre 2024 e che ha visto la risposta all’esercizio dei diritti del reclamante solo in data 28 luglio 2025, ossia dopo 228 giorni dalla richiesta di esercizio dei diritti del 12 dicembre 2024 (art. 83, par. 2, lett. a) del Regolamento);

c) quale fattore aggravante, il carattere gravemente negligente delle condotte del Titolare che ha così omesso di fornire adeguato riscontro all’interessato (art. 83, par. 2, lett. f) del Regolamento);

d) quale fattore attenuante, le misure adottate dal titolare per attenuare il danno subito dagli interessati (art. 83, par. 2, lett. c) del Regolamento);

e) quale fattore attenuante, la circostanza che il Titolare non sia stato prima d’ora destinatario di un provvedimento correttivo e sanzionatorio da parte del Garante (art. 83, par. 2, lett. e) del Regolamento);

f) quale fattore attenuante, il grado di fattiva cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi (art. 83, par. 2, lett. f) del Regolamento);

g) quale fattore attenuante, il fatto che il trattamento non ha avuto ad oggetto categorie particolari di dati personali ovvero dati relativi a condanne penali e reati (art. 83, par. 2, lett. g) del Regolamento);

h) quali ulteriori fattori attenuanti, il pieno riconoscimento delle contestazioni mosse nei suoi confronti, l’interruzione dei trattamenti oggetto di esame e i rimedi indicati per limitare gli effetti delle condotte illecite nonché gli impegni assunti qualora intenda, in futuro, inviare in autonomia comunicazioni commerciali e, da ultimo, l’aver spontaneamente evidenziato all’Autorità un ulteriore comunicazione commerciale illecita (art. 83, par. 2, lett. k) del Regolamento).

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra i diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative e funzionali della Società, si ritiene debba applicarsi la sanzione amministrativa del pagamento di una somma di euro 15.000,00 (quindicimila/00), pari allo 0,33% del fatturato.

7. SANZIONE ACCESSORIA ALLA PUBBLICAZIONE DELL’ORDINANZA-INGIUNZIONE

Nel caso in argomento si ritiene che debba applicarsi anche la sanzione accessoria della pubblicazione sul sito del Garante della presente ordinanza ingiunzione, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della gravità delle violazioni, coinvolgente i principi cardine della normativa in materia, e del disvalore delle condotte con riferimento all’elusione dei principi in materia di fondamento di liceità dei trattamenti e di consenso per finalità di marketing posti in essere tramite utilizzo secondario dei dati degli interessati di cui si aveva disponibilità in qualità di responsabile del trattamento.

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. a), del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da parte di Bressanelli Galli Gelpi Porta & C. S.r.l., con sede legale in Como (CO), via Canturina 83/B, 22100, C.F. 03604310130, in qualità di autonomo titolare del trattamento;

b) impone, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di trattamento per finalità ulteriori o secondarie, ivi comprese quelle promozionali, dei dati del reclamante e degli altri interessati dei quali la Società ha acquisito la disponibilità in qualità di responsabile del trattamento;

c) impone, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni trattamento per finalità di marketing svolto senza previo, specifico e valido consenso degli interessati;

d) impone, ai sensi dell’art. 58, par. 2, lett. c) del Regolamento, di dare adeguato riscontro al secondo reclamante, nonché ad eventuali altri interessati che abbiano chiesto informazioni circa la ricezione di comunicazioni commerciali in assenza di consenso da parte della Società in qualità di autonomo titolare del trattamento;

e) ingiunge, ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nei punti precedenti può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento.

ORDINA

alla Bressanelli Galli Gelpi Porta & C. S.r.l., in persona del rappresentante legale pro-tempore, con sede legale in Como (CO), via Canturina 83/B, 22100, C.F. 03604310130, in qualità di autonomo titolare del trattamento, di pagare la somma di euro 15.000,00 (quindicimila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 15.000,00 (quindicimila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

a) la pubblicazione del presente provvedimento, ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019, nonché l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante della presente ordinanza di ingiunzione, come previsto dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019;

b) l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 12 febbraio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Montuori