[doc. web n. 10241455]

Provvedimento del 26 marzo 2026

Registro dei provvedimenti
n. 211 del 26 marzo 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con comunicazione prot. n. 10741 del 26 gennaio 2026, che qui deve intendersi integralmente richiamata, l'Ufficio ha avviato, ai sensi dell'art. 166, comma 5, del Codice, un procedimento per l'adozione dei provvedimenti di cui all'art. 58, par. 2, del Regolamento nei confronti della società Fix It s.r.l.s., in persona del rappresentante legale p.t., con sede legale in Via Lunga, 2670 - 35046 Borgo Veneto (PD), P.IVA IT04967340284 (di seguito anche “Società”), in qualità di titolare della piattaforma www.megamta.com.   

Il procedimento trae origine da un reclamo presentato in data 27 settembre 2025 da un interessato il quale ha lamentato la ricezione, al proprio indirizzo email, di una comunicazione commerciale non autorizzata da parte della Società e il mancato riscontro all’esercizio dei propri diritti ex art. 15 del Regolamento formulato, via email, il 30 luglio 2025.

1.2. Contestazione delle violazioni

All'esito dell'istruttoria caratterizzata dalla interlocuzione con la Società e dallo scambio di documentazione (cfr. nota del Garante prot. n. 153530 del 19 novembre 2025 e riscontro della Società prot. n. 165376 del 26 novembre 2025), l'Ufficio, con il richiamato atto prot. n. 10741 del 26 gennaio 2026, ha notificato a Fix It la presunta violazione delle seguenti disposizioni:

- art. 5, comma 1, lett. a) e comma 2; art. 6; art. 12 e 15 del Regolamento e art. 130 del Codice, per aver trattato i dati personali dell’interessato per fini di marketing senza idonea base giuridica, per non aver saputo comprovare la liceità di tale trattamento e per non aver fornito riscontro alla richiesta di accesso ai dati personali formulata dal reclamante.

2. ESERCIZIO DEL DIRITTO DI DIFESA DA PARTE DEL TITOLARE

Con scritti difensivi prot. n. 27460 del 23 febbraio 2026, la Società ha, in primo luogo, rappresentato di non aver ricevuto l’email con cui il reclamante ha esercitato i propri diritti e, per tale motivo, non ha fornito il riscontro richiesto. In ogni caso la Società ha chiarito che “L’accesso ai dati personali è possibile effettuarlo in qualsiasi momento, 24 ore al giorno 7 giorni su 7, tramite la propria area personale dell’apposito portale MegaMta.com raggiungibile da ogni nostra comunicazione email”.

Inoltre la stessa ha dato atto del fatto che l’interessato ha provveduto, in data 21 settembre 2025, alla disiscrizione dai propri sistemi e che, da quel momento, non è stata inviata alcuna ulteriore comunicazione commerciale allo stesso.

Per quello che qui interessa, l’Ufficio rileva che alcuna informazione puntuale, invece, è stata fornita in merito alla base legale del trattamento contestato; infatti, l’unico riferimento presente nelle note della Società lasciano intendere che, in via generale, la ricezione delle comunicazioni oggetto di analisi possono essere conseguenza di una iscrizione al sito con rilascio del relativo consenso, circostanza che però è stata negata dal reclamante.  

3. VALUTAZIONI DELL’AUTORITÀ

3.1 Sulla presunta violazione degli artt. art. 5, comma 1, lett. a) e comma 2, 6 del Regolamento e 130 del Codice.

Le argomentazioni difensive addotte dalla Società non appaiono idonee a escludere la responsabilità in ordine alle violazioni contestate.

Il titolare del trattamento è, infatti, obbligato a trattare i dati personali in modo lecito e corretto (art. 5, comma 1, lett. a) del Regolamento) sulla base di una delle condizioni di liceità previste dalla normativa in materia di protezione dei dati personali (nel caso di specie art. 6 del Regolamento e 130 del Codice). A ciò, nel caso che qui ci occupa, si accompagna anche l’ulteriore obbligo che impone alla Società di essere anche in grado di comprovare tale modalità di trattamento (art. 5, comma 2 del Regolamento), fornendo l’evidenza della legittimità del proprio trattamento che il reclamante ha contestato.

Sul punto, come già accennato, la Società non ha fornito un riscontro specifico in merito al presupposto giuridico in base al quale ha trattato i dati personali del reclamante; infatti, aver genericamente rappresentato che “La nostra piattaforma è destinata al solo ed esclusivo fine di inviare comunicazioni a destinatari che hanno accettato e confermato di voler ricevere comunicazioni da MegaMTA” non può essere considerata una dichiarazione idonea a indicare che il consenso dell’interessato sia stato utilizzato come base di legittimità per i trattamenti posti in essere nel caso di specie, né la stessa dichiarazione rappresenta una valida evidenza di un trattamento comunque lecito.  

Pertanto, in assenza di evidenze specifiche, il trattamento dei dati in questione si deve considerare illecito.

Inoltre, l’Ufficio prende atto che il trattamento da parte della Società è cessato e che, di conseguenza, alcuna ulteriore attività è necessaria da parte del titolare.

3.2 Sulla presunta violazione degli artt. 12 e 15 del Regolamento.

In merito alle violazioni indicate, la Società ha rappresentato di non aver ricevuto la comunicazione del 30 luglio 2025 con la quale il reclamante ha formulato la richiesta di esercizio del diritto di accesso ai propri dati.

A seguito di tale dichiarazione, l’Ufficio, che pure appare in copia alla comunicazione email allegata al reclamo, ha provveduto da parte sua ad effettuare una verifica sui propri sistemi, senza però riuscire a trovare la comunicazione in questione che non risulta, dunque, né protocollata, né inserita nel fascicolo istruttorio. Inoltre, il documento allegato dal reclamante risulta essere una email ordinaria che, a differenza delle comunicazioni p.e.c., non prevede un meccanismo che ne certifichi la corretta ricezione da parte del destinatario.

Pertanto, a fronte della contestazione della Società in merito alla ricezione della medesima comunicazione e della verifica dell’Ufficio, a cui non risulta presente nel fascicolo istruttorio, si ritiene che nel caso di specie non sussistono agli atti evidenze della violazione degli artt. 12 e 15 del Regolamento ad opera della Società, con conseguente archiviazione della relativa contestazione.  

4. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità della società Fix It s.r.l.s. in ordine alle violazioni degli artt. 5, comma 1, lett. a) e comma 2, 6 del Regolamento e 130 del Codice per aver trattato i dati personali dell’interessato per fini di marketing senza idonea base giuridica e per non aver saputo comprovare la liceità del relativo trattamento.

Diversamente, in relazione alla prospettata violazione degli artt. 12 e 15 del Regolamento, si ritiene di dover provvedere alla relativa archiviazione per le argomentazioni sopra indicate.

Accertata per quanto sopra l'illiceità dei trattamenti nei limiti indicati, si rende necessario rivolgere alla società Fix It s.r.l.s., ai sensi dell’art. 58, par, 2 lett. b) del Regolamento, un ammonimento relativo alla illiceità dell’invio della comunicazione commerciale realizzata senza le condizioni di liceità previste dagli artt. 6 del Regolamento e 130 del Codice.

Da ultimo, in considerazione della natura dei dati oggetti di trattamento (dati comuni), del numero degli interessati coinvolti (il solo reclamante), che il trattamento in questione, cessato da settembre 2025, è stato isolato (vi è evidenza di un unico invio) e dell’assenza di precedenti simili a carico del titolare del trattamento, non si ritiene necessaria l’adozione di una sanzione di natura pecuniaria.

TUTTO CIO’ PREMESSO IL GARANTE

Accertate le violazioni degli artt. 5, comma 1, lett. a) e comma 2, 6 del Regolamento e 130 del Codice a carico della società Fix It s.r.l.s., in persona del rappresentante legale p.t., con sede legale in Via Lunga, 2670 - 35046 Borgo Veneto (PD), P.IVA IT04967340284 e dichiarata l’illeceità dei trattamenti dei dati personali nei limiti di quanto sopra argomentato, rivolge alla società Fix It s.r.l.s., ai sensi dell’art. 58, par, 2 lett. b) del Regolamento, un ammonimento relativo alla illiceità dell’invio della comunicazione commerciale realizzata senza le condizioni di liceità previste dagli artt. 6 del Regolamento e 130 del Codice.

DISPONE

a) la pubblicazione del presente provvedimento sul sito web del Garante, ai sensi dell'art. 166, comma 7 del Codice;

b) l'annotazione del presente provvedimento nel registro interno dell'Autorità previsto dall'art. 57, par. 1, lett. u), del Regolamento, relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

Ai sensi dell'art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 26 marzo 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Montuori