[doc. web n. 10238293]

Provvedimento del 12 febbraio 2026

Registro dei provvedimenti
n. 88 del 12 febbraio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento” o “RGPD”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Agostino Ghiglia;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con comunicazione prot. n. 68937 del 21 maggio 2025 (notificata in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente richiamata, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Klab s.r.l. (di seguito, anche, la “Società” o il “Titolare”), in persona del rappresentante legale pro-tempore, con sede legale in Firenze (FI), via Del Ferrone, 17, 50124, C.F. 06465180484.

Il procedimento trae origine da una segnalazione del 27 maggio 2024 (e acquisita in data 28 maggio 2024 con prot. n. 64693), con la quale il segnalante ha lamentato che, al momento della stipula di un abbonamento presso la palestra Klab s.r.l.,  il relativo contratto prevedeva «esso stesso già il consenso al trattamento dei dati personali in prima pagina» e che, successivamente alla stipula del predetto contratto, al segnalante era stato chiesto di sottoscrivere un ulteriore documento nel quale non era possibile distinguere il consenso prestato per l’erogazione del servizio da quello afferente a servizi di marketing e ad altre finalità.

1.2. La richiesta di informazioni formulata dall’Autorità

In data 21 febbraio 2025 (prot. 23575 di pari data) l’Ufficio formulava nei confronti della Società una richiesta di informazioni, ai sensi dell’art. 157 del Codice, riguardo a quanto rappresentato nella segnalazione e, con riscontro pervenuto il 12 marzo 2025 (ed acquisito con prot. n. 33163 del 13 marzo 2025), la Società ha chiarito che:

a) le basi giuridiche utilizzate per i propri trattamenti erano: la necessità di dare esecuzione al contratto stipulato con i clienti o all’esecuzione di misure precontrattuali adottate su richiesta del cliente; e/o l’esecuzione di un obbligo legale;

b) in data 14 maggio 2024 aveva adottato una nuova informativa sul trattamento dei dati personali;

c) il consenso quale fondamento di liceità era utilizzato per diversi trattamenti specificando che solo per alcuni di essi era «stata data la possibilità di dare/negare il consenso»;

d) in particolare, non era possibile negare il consenso per i seguenti trattamenti: inserimento nelle anagrafiche e nei database informatici dei gestionali; gestione amministrativa, fiscale e contabile per la fatturazione ai clienti; adempimenti degli obblighi legali a cui è soggetto il Titolare del trattamento; esecuzione di misure precontrattuali dietro richiesta del cliente; perfezionamento, conclusione ed esecuzione del contratto con sottoscritto; gestione controllo degli accessi nelle aree previste; accertamento dell’idoneità fisica alla partecipazione di attività sportive e/o agonistiche previste nel contratto; gestione richieste di assistenza, di recesso e risoluzione del contratto; gestione della qualità ed eventuali reclami; gestione degli allenamenti e prestazioni fisiche durante le attività sportive; gestione di eventuali contenziosi ed attività di recupero crediti; comunicazione dei dati personali a soggetti, enti o autorità obbligatoria in forza a disposizioni di legge o ordini di autorità;

e) diversamente, per i seguenti trattamenti era possibile negare il consenso: gestione informazioni, promozioni commerciali, messaggi pubblicitari, indagini e ricerche di mercato relativi ai servizi e/o prodotti offerti, anche mediante comunicazione diretta (e.g.: chiamata telefonica, invio SMS, invio messaggio posta elettronica, etc.); raccolta e diffusione di immagini fotografiche o riprese audio-video a fini informativi, divulgativi ed eventualmente promozionali.

f) Erano riconosciuti agli interessati i seguenti diritti: accesso; rettifica; cancellazione; opposizione; proposizione di un reclamo all’Autorità di controllo.

2. CONTESTAZIONE DELLE VIOLAZIONI E MEMORIA DIFENSIVA

All’esito dell’istruttoria, l’Ufficio adottava il sopra richiamato atto di contestazione n. 68937 del 21 maggio 2025 col quale contestava le possibili violazioni alla normativa in materia come di seguito esposto.

2.1. I fondamenti di liceità dei trattamenti

In sede di riscontro alla richiesta di informazioni, la Società ha dichiarato di aver aggiornato la propria informativa in data 14 maggio 2024 ma non ha fornito copia della stessa.

Inoltre, sebbene abbia chiarito di avvalersi di diversi fondamenti di liceità, la Società ha poi indicato di far ricorso al consenso degli interessati per la gran parte dei trattamenti, distinguendo gli stessi tra finalità per le quali la prestazione del consenso era da considerarsi obbligatoria da quelle per le quali il consenso poteva anche essere negato.

Premesso che il ricorso al consenso ex art. 6, par. 1, lett. a) del Regolamento non sembrava essere la base giuridica più idonea nei casi in cui il trattamento dei dati risultasse effettivamente necessario per la prestazione del servizio o per l’adempimento ad obblighi di legge, la previsione dello stesso distinguendo i trattamenti sulla base della possibilità o meno di negare il consenso sembrava porsi in contrasto con i principi che garantiscono la libertà del consenso e, quindi, la sua validità.

L’Ufficio ha così contestato il fatto che la scelta del consenso ex art. 6, par. 1, lett. a) del Regolamento quale fondamento di liceità dei trattamenti richiamati al par. 1.2, lett. d) del presente provvedimento, risultasse contraddittoria e non necessaria in quanto riferita a trattamenti che trovavano già il loro fondamento di liceità nella necessità di eseguire il contratto con l’interessato (art. 6, par. 1, lett. b), RGPD) o nella necessità di adempiere ad un obbligo legale al quale è soggetto il titolare del trattamento (art. 6, par. 1, lett. c), RGPD). L’illiceità di tale scelta risultava inoltre aggravata dal conseguente necessità di qualificare quale “obbligatoria” la prestazione di un consenso in realtà non dovuto.

Tali decisioni risultavano quindi idonee a determinare la possibile violazione del principio di liceità, correttezza e trasparenza del trattamento di cui all’art. 5, par. 1, lett. a) e all’art. 6 del Regolamento.

2.2. Sulle caratteristiche del consenso richiesto per finalità commerciali e/o di marketing

Dal riscontro alla richiesta di informazioni dell’Autorità risultava che la Società avesse di fatto fondato gran parte dei suoi trattamenti sul consenso dell’interessato.

In aggiunta a quanto visto nel par. 2.1 relativo a quei trattamenti che la Società ha ritenuto di fondare su un supposto “consenso obbligatorio”, si affiancavano un ridotto numero di trattamenti invece fondati su un consenso che poteva anche essere negato. Si tratta dei trattamenti elencati al par. 1.2, lett. e) del presente provvedimento e riassumibili nel trattamento dei dati per finalità di marketing e nella raccolta di riprese-audio video per finalità divulgative e promozionali.

In particolare, proprio il trattamento dei dati personali per finalità commerciali e/o di marketing era oggetto di segnalazione.

Il segnalante ha infatti lamentato che nel documento riepilogativo dei servizi offerti, a lui sottoposto in sede di iscrizione, erano riportati, in calce allo stesso e sulla stessa linea nonché in posizione pari ordinata, la richiesta di tre sottoscrizioni contraddistinte dai seguenti titoli in grassetto: “Codice della privacy”; “Accettazione del regolamento”; “Accettazione del regolamento (art. 8)”.  

Il primo di questi titoletti risultava seguito dalla seguente formula di acquisizione del consenso che precedeva lo spazio per la sottoscrizione: «I dati riportati nel seguente modulo saranno utilizzati secondo le modalità e le finalità di cui al Regolamento 2016/679/UE, art. 13. La KLAB S.r.l. con Socio Unico CHIEDE ai sensi della legge di cui sopra, l’autorizzazione a trattare i dati riportati con finalità di studio e analisi del mercato, nonché a contattarla per corrispondenza, e-mail, sms o telefono».

Il secondo titoletto (“Accettazione del regolamento”) era seguito dalla seguente formula: «Il socio, ai fini dell’art. 1341 Codice Civile, dichiara di accettare espressamente le seguenti clausole: 2.L; 2.M; 8.1; 8.2; 8.3; 8.4; 8.5; 8.6; 9.A; 9.B; 9.C; art. 11». Infine il terzo titoletto (“Accettazione del regolamento (art. 8)”) era seguito dalla seguente formula: «Il socio dichiara di aver preso visione delle condizioni economiche e accetta espressamente quanto previsto dall’art. 8 del REGOLAMENTO RIPORTATO A TERGO»:

Non era quindi prevista una specifica sottoscrizione per il perfezionamento del contratto. Conseguentemente, sebbene la richiesta di consenso potesse, in astratto, essere considerata specifica per la finalità relativa ad analisi di mercato e comunicazioni commerciali, nel concreto le complessive modalità di presentazione della documentazione negoziale, l’assenza di uno spazio per sottoscrivere il contratto e la posizione della richiesta di consenso ai sensi del RGPD (che inoltre precedeva l’accettazione di specifiche clausole negoziali e vessatorie) non sembravano idonee a rendere chiaramente distinguibile la richiesta di consenso per finalità ulteriori, come il marketing, dalla sottoscrizione necessaria per l’esecuzione del servizio richiesto dal segnalante. Di conseguenza, così predisposta, la richiesta del consenso per finalità commerciali poteva risultare difficilmente comprensibile o accessibile. Ciò poteva ingenerare, come nel caso oggetto di segnalazione, la convinzione di non disporre di una scelta effettiva o di sentirsi obbligati alla prestazione del consenso.

Tale modalità di richiesta del consenso per finalità ulteriori a quelle dell’esecuzione contrattuale sembrava porsi così in contrasto con i presupposti a garanzia di un consenso valido e, nello specifico, con la previsione di cui all’art. 7, par. 2, del Regolamento.

L’invalidità del consenso che, a causa di una modalità di acquisizione dello stesso non chiara e distinguibile, deve essere considerato non libero, determina anche l’illiceità dei trattamenti di dati personali su di esso fondati – quelli per finalità di studio, analisi del mercato e marketing – e, quindi, la possibile violazione anche del principio di liceità del trattamento di cui all’art. 5, par. 1, lett. a) e art. 6, par. 1, lett. a) del Regolamento.

2.3. Altre informazioni e diritto di revoca

Sia nella informativa fornita al segnalante, sia dalle dichiarazioni della Società con riferimento all’informativa aggiornata, risultava che – a prescindere dalla possibilità riconosciuta all’interessato, in sede di iscrizione, di prestare o negare il consenso al trattamento di suoi dati per finalità ulteriori – nessuna informazione venisse fornita agli interessati con riferimento alla possibilità di revocare un consenso eventualmente già prestato, quando il consenso era legittimamente previsto come fondamento di liceità di alcuni trattamenti, come l’invio di comunicazioni commerciali o la diffusione di immagini fotografiche o riprese audio video per finalità divulgative e promozionali.

Tale comportamento era suscettibile di integrare la possibile violazione degli artt. 7, par. 3; 13, par. 2, lett. c) del Regolamento.

2.4. Riepilogo delle violazioni contestate

In conclusione, l’Ufficio ha contestato la possibile violazione degli: artt. 5, par. 1, lett. a); 6; 7, parr. 2 e 3; 13, par. 2, lett. c), del Regolamento.

2.5. Esercizio del diritto di difesa da parte del titolare

La Società, esercitando il proprio diritto di difesa, ha trasmesso una sintetica memoria difensiva in data 11 luglio 2025 (acquisita con prot. n. 99251 del 15 luglio 2025) con la quale si è limitata a «prende[re] atto e visione di quanto appurato e contestato dal Garante».

La Società non ha quindi offerto alcuna difesa ma ha fornito l’informativa aggiornata sul trattamento dei dati personali specificando che, per un errore di battitura, avesse in precedenza erroneamente indicato il 14 maggio 2024 come data di aggiornamento della stessa in luogo di quella corretta, ossia il 14 giugno 2024.

3. VALUTAZIONI DELL’AUTORITÀ

All’esito dell’attività istruttoria deve innanzitutto rilevarsi che l’assenza di ogni difesa sostanziale agli addebiti formulati dall’Ufficio deve essere intesa come non contestazione degli stessi e, quindi, le ipotizzate condotte illecite devono essere ora considerate provate.

Nel merito, affinché il trattamento dei dati personali risulti lecito è necessario che lo stesso trovi fondamento su un presupposto giustificante e ritenuto valido ai sensi dell’ordinamento giuridico. Tale principio è espresso già all’art. 8 della Carta dei diritti fondamentali dell’Unione europea che dispone che i dati personali devono essere trattati «in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge».

Conseguentemente, l’art. 5, par. 1, lett. a) del Regolamento (UE) 2016/679 stabilisce il principio per cui i dati personali devono essere trattati “in modo lecito” (principio di liceità), cosa che implica anche il fatto che ogni trattamento deve basarsi su un idoneo fondamento di liceità tra quelli previsti dagli artt. 6 e ss del Regolamento.

Con specifico riferimento al consenso, quale fondamento di liceità di cui all’art. 6, par. 1, lett. a) del Regolamento, deve per prima cosa rilevarsi che lo stesso non può essere considerato quale idoneo fondamento di liceità in tutti quei casi in cui uno specifico trattamento sia un elemento essenziale per la prestazione del servizio e l’esecuzione del contratto. Infatti, la prestazione del consenso deve essere libera e comporta che l’interessato abbia una scelta effettiva e il controllo sul trattamento dei propri dati. Dunque, se l’interessato non dispone di una scelta effettiva o si sente obbligato ad acconsentire, anche al fine di non subire eventuali conseguenze negative in caso di diniego, il consenso non sarà valido (cfr. EDPB, Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679, 4 maggio 2020, §3.1).

Parimenti, il consenso non può essere considerato quale idoneo fondamento di liceità in tutti quei casi in cui il trattamento dei dati dell’interessato sia imposto al titolare da un obbligo di legge. In tali casi, infatti, il trattamento di dati personali sarà ammesso sulla base della stessa norma di legge ex art. 6, par. 1, lett. c) del Regolamento.

Inoltre, affinché il titolare possa validamente basare i trattamenti sul consenso dell’interessato è necessario che il consenso rispetti alcune caratteristiche. Oltre al già visto requisito della libertà, il consenso prestato dall’interessato deve sostanziarsi in una manifestazione di volontà specifica, informata e inequivocabile (art. 4, punto 11, RGPD). A ciò deve aggiungersi che: «se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro» (art. 7, par. 2, RGPD). L’interessato ha comunque sempre il diritto di revocare il proprio consenso in qualsiasi momento (art. 7, par. 3, RGPD).

3.1. I fondamenti di liceità dei trattamenti

Il consenso deve essere “libero”, per tale intendendosi che l’interessato deve avere la possibilità di negare e revocare lo stesso senza subire pregiudizio alcuno, quale può essere l’impossibilità di accedere al servizio richiesto. Ai sensi della normativa in materia, non è quindi ammissibile la presenza di un “consenso obbligatorio”.

Ciò posto deve concludersi che, nel caso concreto, il consenso ex art. 6, par. 1, lett. a) del Regolamento non è l’adeguato fondamento di liceità con riferimento a quei trattamenti effettuati dalla Società che possono trovare base su altri specifici presupposti, come la necessità di dare esecuzione al contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso e la necessità di adempiere ad una norma di legge. Più precisamente, quindi, il consenso dell’interessato non è l’adeguata base giuridica per i seguenti trattamenti: inserimento nelle anagrafiche e nei database informatici dei gestionali; gestione amministrativa, fiscale e contabile per la fatturazione ai clienti; adempimenti degli obblighi legali a cui è soggetto il Titolare del trattamento; esecuzione di misure precontrattuali dietro richiesta del cliente; perfezionamento, conclusione ed esecuzione del contratto con sottoscritto; gestione controllo degli accessi nelle aree previste; accertamento dell’idoneità fisica alla partecipazione di attività sportive e/o agonistiche previste nel contratto; gestione richieste di assistenza, di recesso e risoluzione del contratto; gestione della qualità ed eventuali reclami; gestione degli allenamenti e prestazioni fisiche durante le attività sportive; gestione di eventuali contenziosi ed attività di recupero crediti; comunicazione dei dati personali a soggetti, enti o autorità obbligatoria in forza a disposizioni di legge o ordini di autorità.
Si accerta quindi la violazione del principio di liceità, correttezza e trasparenza del trattamento di cui all’art. 5, par. 1, lett. a) e all’art. 6 del Regolamento.

3.2. Invalidità del consenso per finalità commerciali e/o marketing

Con riferimento a quanto oggetto di segnalazione, sebbene nel modulo negoziale sottoposto al segnalante vi fosse una richiesta di consenso che può essere considerata specifica per la finalità relativa ad analisi di mercato e comunicazioni commerciali, le complessive modalità di presentazione della stessa e la sua specifica posizione nell’ambito della documentazione negoziale – ossia in calce al modulo, in una posizione solitamente occupata dalla sottoscrizione necessaria all’esecuzione del servizio richiesto, qui assente –hanno di fatto reso indistinguibile la richiesta di consenso al trattamento dei dati personali per finalità ulteriori, come il marketing, dalla sottoscrizione giuridicamente necessaria per la conclusione del contratto e la fornitura del servizio richiesto.

Una tale modalità di richiesta del consenso ex art. 6, par. 1, lett. a) del Regolamento non risulta, nel caso concreto e in presenza delle condizioni accertate in istruttoria, presentata in forma comprensibile e facilmente accessibile e con un linguaggio semplice e chiaro, né in modo chiaramente distinguibile dalla richiesta di accettazione delle condizioni negoziali necessarie alla prestazione del servizio richiesto dall’interessato.

Deve quindi accertarsi la violazione del principio di liceità del trattamento di cui agli artt. 5, par. 1, lett. a); 6, par. 1, lett. a); e 7, par. 2 del Regolamento.

Conseguentemente, la violazione delle norme relative al consenso rende illeciti i trattamenti di dati personali per finalità ulteriori, in particolare di marketing, su di esso fondati.

3.3. Assenza del diritto di revoca

Deve confermarsi, infine, anche la violazione degli artt. 7, par. 3 e 13, par. 2, lett. c) del Regolamento, nella misura in cui sia l’informativa vigente all’epoca dei fatti, sia l’informativa aggiornata, non comunicano agli interessati del trattamento la possibilità di revocare un consenso eventualmente già prestato quando lo stesso è previsto come fondamento di liceità ex art. 6, par. 1, lett. a) del Regolamento. Ciò vale, nel caso concreto, in particolare con riferimento all’invio di comunicazioni commerciali o la diffusione di immagini fotografiche o riprese audio video per finalità divulgative e promozionali.

3.4. Informativa sul trattamento dei dati personali

Ancorché non oggetto di specifica contestazione in quanto l’informativa aggiornata il 14 giugno 2024 non era stata fornita all’Ufficio, risulta comunque opportuno formulare alcune osservazioni sulla stessa.

L’art. 6 dell’informativa si limita ad elencare alcuni dei fondamenti di liceità del trattamento previsti dall’art. 6 del Regolamento. Tale modalità redazionale non risulta conferme alla normativa in materia in quanto non consente all’interessato di associare il fondamento di liceità individuato dal titolare con la singola finalità perseguita e i dati oggetto di trattamento. Conseguentemente, risulta frustrato il potere di controllo riconosciuto all’interessato sul trattamento dei propri dati.

Soprattutto, l’art. 12 dell’informativa aggiornata risulta lesiva dei principi sopra illustrati con riferimento ai fondamenti di liceità e alla validità del consenso.

Tale articolo si compone della seguente dicitura «Negazione del consenso per le seguenti finalità» seguita da due caselle vuote e da spuntare a cura dell’interessato accompagnate dalle seguenti formule: «gestione informazioni, promozioni commerciali, messaggi pubblicitari, indagini e ricerche di mercato relativi ai servizi e/o prodotti offerti, anche mediante comunicazione diretta (e.g.: chiamata telefonica, invio SMS, invio messaggio posta elettronica, etc.)» e «raccolta e diffusione di Sue immagini fotografiche o riprese audio-video a fini informativi, divulgativi ed eventualmente promozionali».

Contrariamente a quanto previsto dalla normativa in materia – in particolare, per quanto riguarda le comunicazioni commerciali, si veda l’art. 130 del Codice – e dai principi sulla validità del consenso, così facendo, di fatto, la Società ha imposto agli interessati la manifestazione di una volontà negativa (quella di “negare” il consenso, tramite il meccanismo di opt-out) non richiesta dalla normativa e di fatto suscettibile di eludere, aggirare o forzare la prestazione di un consenso da parte degli interessati.

Nonostante non sia stato possibile contestare tale comportamento a causa di una non fattiva e adeguata collaborazione da parte della Società nel corso dell’istruttoria, il Garante non può non stigmatizzare pratiche così lesive dei diritti che il Regolamento e il Codice riconoscono agli interessati del trattamento, nonché suscettibili di integrare, ai sensi di altre normative, pratiche commerciali scorrette ormai pacificamente sanzionate.

4. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata l’illiceità dei trattamenti presi in esame e la responsabilità di Klab s.r.l. in ordine alle seguenti violazioni:

a) artt. 5, par. 1, lett. a) e 6 del Regolamento, per aver la Società basato i suoi trattamenti su un errato fondamento di liceità;

b) artt. 5, par. 1, lett. a); 6, par. 1, lett. a); e 7, par. 2 del Regolamento, per non aver la Società richiesto il consenso per finalità commerciali in modo chiaramente distinguibile dalla sottoscrizione necessaria per il perfezionamento del contratto e in forma comprensibile e facilmente accessibile;

c) artt. 7, par. 3 e 13, par. 2, lett. c) del Regolamento, per non aver la Società informato gli interessati della possibilità di revocare il consenso nei casi in cui lo stesso era lecitamente previsto come fondamento di liceità.

Accertata dunque l’illiceità delle condotte con riferimento ai trattamenti presi in esame, si rende necessario:

a) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, imporre il divieto di trattamento per finalità promozionali dei dati del segnalante e degli altri interessati eventualmente ancora presenti nella banca dati del Titolare che siano stati raccolti con le modalità sopra descritte e per i quali, dunque, non sia possibile documentare la presenza di un consenso valido;

b) per l’effetto, ai sensi dell’art. 58, par. 2, lett. g) del Regolamento, imporre alla Società la cancellazione dei dati trattati per le predette finalità di marketing, facendo salvi quelli necessari per altri trattamenti leciti;

c) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiungere la Società di individuare un più idoneo fondamento di liceità per i trattamenti posti in essere dandone adeguata indicazione, ai sensi degli artt. 12 e 13 del Regolamento, all’interno dell’informativa sul trattamento dei dati personali;

d) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiungere la Società di richiedere un valido consenso per finalità ulteriori, come il marketing, che sia chiaramente distinguibile dall’accettazione delle condizioni negoziali;

e) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiungere la Società di conformare i trattamenti alle disposizioni del Regolamento, con particolare riferimento agli obblighi di informazione relativi ai fondamenti di liceità del trattamento e al riconoscimento del diritto dell’interessato di revocare il consenso;

f) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiungere la Società di conformare i trattamenti alle disposizioni del Regolamento e, in particolare, rimuovere ogni illecita richiesta di “negazione” del consenso per finalità di marketing nonché per la raccolta e diffusione di immagini fotografiche e riprese audio video per diversi fini e, in suo luogo, richiedere un valido consenso tramite meccanismo di opt-in;

g) adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

5. ORDINANZA INGIUNZIONE

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti del Titolare della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento (pagamento di una somma fino a € 20.000.000,00 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore);

Per la determinazione del massimo edittale della sanzione pecuniaria, occorre pertanto fare riferimento al fatturato della Società, come ricavato dalle informazioni economiche e tributarie acquisite, e pertanto si determina tale massimo edittale, nel caso in argomento, in € 20.000.000,00.

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.

Nel caso in esame, assumono rilevanza:

a) la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), tenuto conto della natura della stessa riguardante principi cardine della normativa sul corretto trattamento dei dati personali: ossia l’individuazione degli adeguati fondamenti di liceità dei trattamenti e la richiesta di un consenso valido;

b) quale fattore aggravante, il carattere gravemente negligente delle condotte del Titolare nello strutturare i trattamenti nel rispetto della normativa, nonché la scarsa collaborazione e il basso grado di cooperazione con l’autorità di controllo in sede di istruttoria, cosa che si è sostanziata anche nella condivisione di scarne informazioni e nel non adeguato invio della documentazione rilevante (art. 83, par. 2, lett. f) del Regolamento);

c) quale fattore attenuante, la circostanza che il Titolare non sia stato prima d’ora destinatario di un provvedimento correttivo e sanzionatorio da parte del Garante (art. 83, par. 2, lett. e) del Regolamento);

d) quale fattore attenuante, il fatto che il trattamento non ha avuto ad oggetto categorie particolari di dati personali ovvero dati relativi a condanne penali e reati (art. 83, par. 2, lett. g) del Regolamento);

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra i diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative e funzionali della Società, si ritiene debba applicarsi la sanzione amministrativa del pagamento di una somma di euro 1.000,00 (mille/00), pari allo 0,24% del fatturato.

6. SANZIONE ACCESSORIA ALLA PUBBLICAZIONE DELL’ORDINANZA-INGIUNZIONE

Nel caso in argomento si ritiene che debba applicarsi anche la sanzione accessoria della pubblicazione sul sito del Garante della presente ordinanza ingiunzione, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della gravità delle violazioni, coinvolgente i principi cardine della normativa in materia, e del disvalore delle condotte con riferimento all’elusione dei principi in materia di fondamento di liceità dei trattamenti e di consenso per finalità di marketing.

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) impone a Klab s.r.l., ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento dei dati del segnalante e di quelli di altri interessati eventualmente acquisiti sulla base di un non idoneo consenso per finalità di marketing;

b) impone a Klab s.r.l., ai sensi dell’art. 58, par. 2, lett. g) del Regolamento, la cancellazione dei dati trattati sulla base di un consenso non valido, di cui al punto precedente, facendo salvi quelli necessari per altri trattamenti leciti;

c) ingiunge a Klab s.r.l., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di conformare i trattamenti alle disposizioni del Regolamento con riferimento: all’individuazione di adeguati presupposti di liceità per i trattamenti svolti; alla richiesta di un consenso chiaramente distinguibile dall’accettazione delle condizioni negoziali per finalità ulteriori; nonché con riferimento agli obblighi informativi, in particolare comunicando agli interessati la possibilità di revocare il consenso quando lo stesso è previsto come fondamento di liceità;

d) ingiunge a Klab s.r.l., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di rimuovere ogni illecita richiesta di “negazione” del consenso per finalità di marketing nonché per la raccolta e diffusione di immagini fotografiche e riprese audio video per diversi fini e, in suo luogo, richiedere un valido consenso tramite meccanismo di opt-in;

e) ingiunge a Klab s.r.l., ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nei punti precedenti può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento.

ORDINA

a Klab s.r.l., in persona del rappresentante legale pro-tempore, con sede legale in Firenze (FI), via Del Ferrone, 17, 50124, C.F. 06465180484, di pagare la somma di euro 1.000,00 (mille/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 1.000,00 (mille/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

a) la pubblicazione del presente provvedimento, ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019, nonché l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante della presente ordinanza di ingiunzione, come previsto dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019;

b) l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 12 febbraio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Montuori