[doc. web n. 10262105]

Provvedimento del 14 maggio del 2026

Registro dei provvedimenti
n. 349 del 14 maggio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento” o “RGPD”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con comunicazione del 23 dicembre 2025 (prot. n. 178195, notificata in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente richiamata, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti della Ventive S.r.l. (di seguito, anche, la “Società” o il “Titolare”).

Il procedimento trae origine da un reclamo del 18 marzo 2025 (acquisito con prot. n. 36907 del 20 marzo 2025) con il quale il reclamante informava l’Autorità di aver ricevuto, in data 27 febbraio 2025, sulla sua e-mail professionale, una comunicazione promozionale da parte della Società subito dopo aver accettato, sulla piattaforma LinkedIn, la richiesta di contatto avanzata da parte di un dipendente della Società stessa.

In seguito alla richiesta di chiarimenti da parte del reclamante circa l’origine dei dati, non essendo il suo indirizzo e-mail presente su LinkedIn, la Società ha risposto di aver acquisito tale indirizzo per il tramite dell’applicazione Lusha.

Con posta elettronica certificata del 28 febbraio 2025, il reclamante ha così chiesto alla Società di ottenere «la documentazione attestante il [suo] consenso». Tale richiesta è rimasta priva di riscontro.

1.2. La richiesta di informazioni formulata dall’Autorità

In data 31 luglio 2025 (prot. n. 107203 di pari data) l’Ufficio ha formulato nei confronti della Società una richiesta di informazioni, ai sensi dell’art. 157 del Codice, riguardo a quanto rappresentato nel reclamo, chiedendo se intendesse aderire alle richieste del reclamante, nonché informazioni relative all’attività svolta in ambito marketing e ai rapporti con la piattaforma Lusha.

Con posta elettronica certificata del 23 settembre 2025 (prot. n. 125562 del 24 settembre 2025) il titolare ha fornito riscontro alla richiesta di informazioni dell’Ufficio, rappresentando che la Società:

- è una realtà giovane, con un numero esiguo di dipendenti e collaboratori e che, nonostante le dimensioni, ha vissuto una fase di rapida crescita;

- è coinvolta in numerosi e diversificati tipi di servizi destinati principalmente a persone giuridiche come: investimento e consulenza a supporto di Startup e PMI innovative; servizi di contabilità, consulenza fiscale e legale, supporto nella ricerca di partnership ed opportunità di mercato, nella definizione di strategie di marketing e nello sviluppo di software e di consulenza IT strategica;

- tratta quasi esclusivamente dati personali di carattere professionale/aziendale o dati pubblici e necessari a dare seguito alle richieste di consulenza avanzate dai clienti stessi, principalmente dati di contatto (e-mail, nome e cognome) forniti direttamente dal cliente e relativi al personale interno allo stesso;

- svolge attività di marketing al fine di acquisire nuovi clienti, precisando che «vengono acquisiti e utilizzati prevalentemente dati di contatto generici delle persone giuridiche (es. info@...., amministrazione@..... ecc.) ovvero dati personali di carattere professionale/aziendale delle persone fisiche, resi pubblici e disponibili mediante pubblicazione online, sui siti istituzionali»;

- utilizza, per svolgere finalità di marketing, il sito web e anche il social network professionale LinkedIn;

- facendo legittimo affidamento su quanto affermato da Lusha, che dichiara di agire quale titolare autonomo del trattamento nonché di impegnarsi «a fornire i propri servizi innovativi nel rispetto della privacy di tutte le persone coinvolte e delle leggi applicabili in materia di privacy e protezione dei dati», nonché sul dichiarato ampio utilizzo che altri operatori farebbero della piattaforma, nei mesi da febbraio a maggio 2025, ha usufruito di Lusha per intensificare la propria attività di marketing, puntando ad incrementare i contatti di carattere commerciale;

- solo attraverso la successiva e analitica lettura delle informazioni sul trattamento dei dati personali ha preso atto che i dati vengono acquisiti da Lusha e poi messi a disposizione dei clienti sulla base del proprio legittimo interesse e non, come richiesto, sulla base di un consenso specifico alla comunicazione ad un altro titolare per finalità di contatto commerciale;

- ha acquistato da Lusha circa 300 contatti confidando erroneamente nell’origine legittima degli stessi e nell’altrettanto loro legittimo trattamento e comunicazione degli stessi a terzi per inviare e-mail di contatto finalizzate a proporre i propri servizi, previa richiesta di contatto del destinatario (persona fisica con profilo professionale pubblico o giuridica) attraverso la piattaforma Linkedin;

- ricevuta l’e-mail del 27 febbraio 2025, con la quale l’interessato chiedeva di avere contezza circa l’acquisito consenso al trattamento dei dati, da un lato provvedeva immediatamente a fornire riscontro e dall’altro, in data 4 marzo 2025, contattava Lusha chiedendo conferma circa la legittimità della provenienza dei dati forniti.  Solo in data 8 maggio 2025 Lusha forniva riscontro. A partire da tale momento, la Società ha cominciato a dubitare della legittimità dell’origine dei dati e del relativo trattamento provvedendo pertanto ad interrompere l’abbonamento e a cessare immediatamente l’utilizzo della piattaforma.

Con riferimento alle richieste del reclamante, la Società ha sostenuto di aver cercato fin da subito di darvi seguito cessando di trattare i suoi dati ed invitandolo a cancellarli dalla piattaforma Lusha attraverso le modalità dalla stessa messe a disposizione.

2. CONTESTAZIONE DELLE VIOLAZIONI E MEMORIA DIFENSIVA

All’esito dell’istruttoria, l’Ufficio ha adottato il sopra richiamato atto del 23 dicembre 2025, prot. n. 178195, contestando alla Società talune possibili violazioni della normativa in materia di protezione dei dati personali, come di seguito esposte. 

2.1 Trattamento di dati personali per finalità di marketing in assenza di idonea base giuridica e di adeguata informazione agli interessati

Dalle dichiarazioni rese è risultato che la Società avesse acquisito, per finalità di marketing, dati personali da un soggetto terzo – in particolare circa 300 contatti sono stati acquisiti dalla piattaforma Lusha – in assenza di idonea base giuridica e di adeguata e completa informazione, nonché senza eseguire alcun controllo sulla fonte di origine dei dati e sulla possibilità di un loro lecito riutilizzo. 

L’omessa individuazione di una base giuridica per i trattamenti di dati personali per finalità di marketing era suscettibile di porsi in contrasto con il principio di liceità e correttezza del trattamento e, quindi, in possibile violazione dell’art. 5, par. 1, lett. a) del Regolamento e dell’art. 130, comma 2 del Codice.

L’assenza di informazione era suscettibile di integrare una possibile violazione anche del principio di trasparenza, di cui agli artt. 5, par. 1, lett. a) e 14 del Regolamento.

Alla luce di quanto sopra, l’Ufficio ha contestato la possibile violazione degli artt. 5, par. 1, lett. a) e 14 del Regolamento, nonché dell’art. 130 del Codice per aver la Società effettuato trattamenti di dati personali per finalità commerciali in assenza di idoneo fondamento di liceità e adeguata informazione agli interessati.

2.2 Memoria difensiva e audizione della Società

La Società, ai sensi dell’art. 166, comma 6, del Codice e dell’art. 13 del regolamento interno del Garante n. 1/2019, ha presentato le proprie memorie difensive con nota del 23 febbraio 2026, acquisita agli atti in pari data (prot. n. 27907), ed è stata ascoltata in audizione in data 18 marzo 2026, come richiesto ai sensi dell’art. 166, comma 6 del Codice.

Nelle proprie memorie difensive la Società non ha inteso negare l’illegittimità formale della propria condotta, evidenziando piuttosto le specifiche circostanze soggettive e oggettive ritenute attenuanti della gravità della condotta, quali la buona fede, l’assenza di dolo o colpa grave la natura episodica del fatto e il concreto impegno del progressivo adeguamento alla normativa. 

In primo luogo, ribadendo la recente costituzione delle Società e il suo rapido sviluppo nel settore del supporto strategico, finanziario e consulenziale a startup e PMI, prevalentemente in ambito B2B, è stato rappresentato che essa si è «uniformata a prassi di mercato ampiamente diffuse, nelle quali l’utilizzo di strumenti di lead generation e data enrichment, quali la piattaforma Lusha, risulta largamente impiegato da operatori economici analoghi», in buona fede ritenute conformi alla normativa. Tali circostanze hanno condotto alla scelta, definita dalla Società stessa come “opinabile”, della predetta piattaforma quale fonte dei dati.

In particolare, nell’affidarsi a Lusha, nel periodo compreso tra febbraio e maggio 2025, la Società ha confidato «nelle dichiarazioni rese dal provider circa la liceità della provenienza dei dati e la conformità del trattamento alla normativa vigente (verificando sul sito le certificazioni ISO di cui era in possesso il fornitore)», avvedendosi solo successivamente al reclamo del fatto che Lusha si avvalesse del legittimo interesse come condizione di liceità per la messa a disposizione dei dati e «non di uno specifico consenso al trasferimento per finalità promozionali». Conseguentemente: «Una volta emersa tale criticità, Ventive ha immediatamente cessato l’utilizzo della piattaforma, cancellato i dati acquisiti, risolto il rapporto contrattuale, avviato una revisione interna delle procedure e conferito incarico ad un consulente, per rispondere alle richieste [dell’] Autorità del luglio 2025, e nella precisa e determinata volontà di conformare la propria attività al quadro normativo di riferimento, come emerso dalle contestazioni ricevute».

La Società ha poi confermato la dinamica dei fatti esposti dal reclamante e le operazioni di trattamento occorse con i dati personali ad esso riferiti.

Al fine di dimostrare la lieve gravità della propria condotta, quanto alla condizione di liceità del trattamento dei dati del reclamante, la Società, «seppur erroneamente» anche a detta della stessa, ha fatto leva su una presunta «legittima aspettativa qualificata di interlocuzione professionale individuale» dell’interessato correlata alla circostanza che quest’ultimo aveva precedentemente accettato il collegamento con un rappresentante della Società  su LinkedIn, ossia in «un contesto relazionale orientato allo scambio di opportunità professionali».

La Società ha poi precisato che la comunicazione inviata al reclamante era volta a presentare i servizi istituzionali della stessa con iniziative inerenti alla sfera lavorativa dell’interessato, non si trattava quindi di « pubblicità generica, massiva o indiscriminata, né è stata oggetto di reiterazione». 

La Società ha rappresentato di avere intrapreso un percorso di adeguamento per la corretta attuazione degli obblighi derivanti dalla normativa in materia di protezione dei dati personali. Ciò, in particolare, «riorganizzando integralmente i processi di acquisizione dei contatti, adottando sistemi fondati esclusivamente su meccanismi di opt-in […], centralizzando e razionalizzando le attività di marketing, al fine di garantire un costante controllo sulla liceità dei trattamenti effettuati» aggiornando le informative privacy e promuovendo specifiche attività di formazione del personale.

In sede di audizione, la Società ha ribadito il processo di adeguamento alla normativa in materia di protezione dei dati personali e l’impegno per un cambiamento radicale anche attraverso ingenti investimenti, del tutto inusuali nel settore. 

Inoltre, confermando che la Società è attiva da soli tre anni, la stessa ha rappresentato di aver «utilizzato una volta sola Lusha e dalla quale ha acquisito circa 500 contatti dei quali 130 sono stati oggetto di comunicazione».

Infine, nella nota integrativa del 25 marzo 2026 (acquisita agli atti in data 27 marzo 2026 prot. n. 47797), la Società ha sottolineato come il reclamo non sia stato soltanto motivo di immediata «cessazione della condotta oggetto di contestazione» ma anche l’occasione per la definizione di un «nuovo modello operativo […] ripensato secondo una logica di high compliance, fondata in via prioritaria sulla raccolta diretta e first-party dei contatti, sulle richieste provenienti dagli interessati, sulle iniziative inbound e sul recall tramite sito aziendale, nonché su relazioni professionali selettive, contestualizzate e non massive». 

3. VALUTAZIONI DELL’AUTORITÀ 

In via preliminare si ricorda che chiunque, in un procedimento dinanzi al Garante, dichiari o attesti falsamente notizie o circostanze o produca atti o documenti falsi ne risponde penalmente ai sensi dell’art. 168 del Codice.

Nel merito, all’esito dell’attività istruttoria, valutate le argomentazioni addotte dalla Società, in particolare nel riscontro del 23 febbraio 2026, nell’audizione del 18 marzo 2026 e nella documentazione integrativa successivamente trasmessa, si ritiene che le stesse non risultino idonee ad escluderne la responsabilità.

3.1 Invio di comunicazioni commerciali in assenza di consenso

Dalla documentazione in atti risulta che la Società, in qualità di titolare del trattamento, abbia effettuato trattamenti di dati personali per finalità di marketing in assenza di un idoneo presupposto di liceità.

Nello specifico risulta accertato che la Società ha effettuato una comunicazione di natura commerciale nei confronti del reclamante in assenza di idonea base giuridica. 

La Società ha dichiarato inoltre, che, previo abbonamento al servizio “Premium Monthly Premium for 3000 credits, and 5 user(s)” (al prezzo di $239,70 al mese) della società Lusha, gestore della omonima piattaforma, sono stati raccolti circa 500 contatti per il perseguimento di finalità commerciali di cui 132 (dato aggiornato con la comunicazione del 16 marzo 2026 e acquisita con prot. 40742 del 17 marzo 2026) sarebbero stati effettivamente utilizzati per l’invio ai rispettivi interessati di comunicazioni di carattere commerciale via posta elettronica. La condizione di liceità del trattamento è stata individuata da Lusha nel proprio legittimo interesse (art. 6, par. 1, lett. f) del Regolamento) e non nel consenso; di tale circostanza la Società si è colposamente avveduta solo successivamente all’avvio dell’istruttoria da parte dell’Autorità. 

Al riguardo, in primo luogo, si osserva che diversamente da quanto sostenuto dalla Società, la comunicazione inviata all’interessato si caratterizza per un contenuto chiaramente promozionale, così dovendosi inquadrare anche il messaggio volto alla «presentazione dei servizi istituzionali della Società», come dalla stessa definito. La presentazione dei servizi infatti ha come finalità ultima la promozione dell’acquisto degli stessi da parte di chi la riceve a nulla rilevando in parte qua che la proposta commerciale non sia stata oggetto di reiterazione o inviata in forma massima.

Con riferimento alla prospettata ipotesi di fondare i trattamenti svolti per l’invio di comunicazioni promozionali tramite posta elettronica sulla base dell’interesse legittimo del titolare di cui all’art. 6, par. 1, lett. f) del Regolamento, si osserva quanto segue.

La possibilità di ricorrere al legittimo interesse ex art. 6, par. 1, lett. f) del Regolamento nella fattispecie in esame è preclusa, dal momento in cui l’ordinamento nazionale ha previsto una specifica base giuridica per il trattamento di dati personali per l’invio di materiale pubblicitario tramite posta elettronica.

Al riguardo, si osserva infatti che l’invio di comunicazioni promozionali tramite posta elettronica soggiace alla speciale disciplina originata dalla direttiva 2002/58/CE e recepita nell’ordinamento italiano nel Titolo X del Codice, di carattere speciale rispetto a quella del Regolamento che resta applicabile solo per i profili non specificamente disciplinati dalla direttiva stessa. 

In particolare, si richiama quanto disposto dall’art. 130 del Codice in base al quale l’invio di comunicazioni con modalità automatizzate è consentito solo con il consenso del contraente o utente, potendosi ammettere una deroga unicamente nel caso in cui l’indirizzo e-mail – e solo l’indirizzo e-mail – sia stato rilasciato dall’interessato nel contesto di una vendita di beni o servizi analoghi (art. 130, comma 4 del Codice).

In altri termini, l’invio per posta elettronica di comunicazioni di carattere commerciale trova la sua disciplina nella richiamata normativa di carattere speciale e non nel Regolamento, con l’effetto che esso non può essere fondato su legittimo interesse del titolare, ma unicamente sul consenso dell’interessato.

La mancanza del consenso richiesto dalla normativa speciale, inoltre, non può essere desunta all’accettazione di una richiesta di collegamento su LinkedIn; comportamento al quale non può attribuirsi un significato diverso da quello derivante dalle ordinarie dinamiche di funzionamento della citata piattaforma.

Per altro, né dalle logiche di utilizzo della piattaforma, né dalle sue condizioni contrattuali né, tanto meno, da alcuna norma, l’accettazione di una richiesta di collegamento può essere interpretata come una «aspettativa qualificata di interlocuzione professionale», né posta come fondamento all’invio di comunicazioni di carattere commerciale ammissibile solo con il consenso esplicito degli interessati.

A tal fine, è irrilevante la «stretta coerenza tematica» tra il contatto così instaurato e la successiva comunicazione via e-mail. Premesso che la Società, in qualità di titolare del trattamento, si è avvalsa di un preciso strumento per l’invio di comunicazioni commerciali, il fatto di aver inviato una comunicazione attinente all’attività imprenditoriale del reclamante non dimostra l’aspettativa dello stesso a ricevere tali comunicazioni via e-mail, né tanto meno la presenza di una volontà in tal senso, ma solo l’interesse economico della Società ad effettuarla.

La Società stessa ha per altro riconosciuto di aver «ritenuto, seppur erroneamente, che la comunicazione potesse rientrare nell’alveo delle legittime aspettative dell’interessato», definendo come un errore frutto di inesperienza l’affidamento riposto sulle dichiarazioni di Lusha.

Pertanto, l’errore in cui è incorsa la Società non è idoneo a far venir meno la sua responsabilità, quanto meno a titolo di colpa. Secondo la giurisprudenza, infatti, l’esimente della buona fede di cui all’art. 3 l. n. 689 del 1981, rileva come causa di esclusione della responsabilità amministrativa solo qualora sussistano elementi positivi idonei ad ingenerare nell’autore della violazione il convincimento della liceità della sua condotta e risulti che il trasgressore abbia fatto tutto quanto possibile per conformarsi al precetto di legge, onde nessun rimprovero possa essergli mosso. In tal senso, Cassazione civile sez. II, 29/11/2023, n. 33121, per la quale, in tema di violazioni amministrative, poiché, ai sensi dell’articolo 3 della legge n. 689 del 1981, per integrare l’elemento soggettivo dell’illecito è sufficiente la semplice colpa, l’errore sulla liceità della relativa condotta, correntemente indicato come “buona fede”, può rilevare in termini di esclusione della responsabilità amministrativa solo quando esso risulti inevitabile, occorrendo a tal fine un elemento positivo, estraneo all’autore dell’infrazione, idoneo ad ingenerare in lui la convinzione della sopra riferita liceità, oltre alla condizione che da parte dell’autore sia stato fatto tutto il possibile per osservare la legge e che nessun rimprovero possa essergli mosso, così che l’errore sia stato incolpevole, non suscettibile cioè di essere impedito dall’interessato con l’ordinaria diligenza (ex multis si veda, anche, Cassazione civile sez. II, 11/06/2007, n. 13610). 

Sotto altro profilo e in termini più generali, non può non tenersi conto del fatto che la gravità intrinseca della condotta sia amplificata dalla particolare fonte di origine dei dati. L’Autorità sta infatti rilevando un incremento di servizi offerti da piattaforme digitali che, a fronte di un corrispettivo economico, mettono a disposizione dati personali (in particolare dati di contatto come numero di telefono ed e-mail), senza offrire adeguate e sostanziali garanzie né documentazione sulla liceità della raccolta, delle successive operazioni e in particolare sulla cessione e possibilità di ulteriore trattamento di tali dati da parte degli acquirenti. 

Questi ultimi a loro volta si affidano acriticamente, senza effettuare alcun controllo, alle garanzie solo formali di conformità alla normativa offerte da tali piattaforme digitali, talvolta facendo mero affidamento sulla loro notorietà nel settore o sulla parvenza di professionalità con la quale presentano i servizi. Ciò, con l’effetto di rendersi direttamente responsabili di eventuali violazioni delle norme del Regolamento – non scusabili per effetto di una presunta “buona fede” e, anzi, sintomatico di una non adeguata diligenza professionale – oltre che di concreti rischi per i diritti e le libertà fondamentali degli interessati.

Deve quindi ritenersi accertata la violazione dei principi di liceità e correttezza di cui all’art. 5, par. 1, lett. a) del Regolamento e dell’art. 130, comma 2, del Codice.

3.2 Invio di comunicazioni commerciali in assenza di informazione

Dalla documentazione in atti risulta che la Società, in qualità di titolare del trattamento, abbia inviato una comunicazione di carattere commerciale al reclamante senza fornire alcuna informazione sul trattamento, ai sensi dell’art. 14 del Regolamento. La Società, ha dichiarato, inoltre,, di avere raccolto e trattato per finalità commerciali circa 500 contatti, riferiti ad altrettanti interessati, senza inviare alcuna informazione agli interessati circa le caratteristiche del trattamento in corso.

Con riferimento agli obblighi di informazione, l’art. 5, par. 1, lett. a) del Regolamento dispone che i dati personali devono essere trattati in modo corretto e trasparente nei confronti dell’interessato (principio di correttezza e trasparenza) e, più nello specifico, con riferimento alle informazioni da fornire qualora i dati non siano stati ottenuti presso l’interessato, l’art. 14 del Regolamento dispone che il titolare fornisce all’interessato informazioni sul trattamento entro un termine ragionevole dall’ottenimento dei dati, al più tardi entro un mese, oppure nel caso in cui i dati siano destinati alla comunicazione con l’interessato, al più tardi al momento della prima comunicazione all’interessato (art. 14, par. 3, Reg.).

Per tutto quanto sopra deve quindi ritenersi accertata la violazione del principio di trasparenza di cui agli artt. 5, par. 1, lett. a) e 14 del Regolamento. 

4. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata l’illiceità dei trattamenti presi in esame e la responsabilità della Ventive S.r.l. in ordine alle seguenti violazioni:

a) art. 5, par. 1, lett. a) del Regolamento e art. 130, comma 2 del Codice per aver la Società effettuato trattamenti di dati personali per finalità commerciali in assenza di una idonea condizione di liceità e, in particolare, del previo consenso richiesto dalla normativa. In riferimento a tali trattamenti, si prende atto del fatto che la Società ha dichiarato di aver cessato l’utilizzo della piattaforma e cancellato i dati acquisiti sicché non è necessaria l’imposizione di una misura

correttiva ma solo di una sanzione pecuniaria nei termini di seguito indicati;
b) artt. 5, par. 1, lett. a) e 14 del Regolamento, per aver la Società raccolto da terzi e trattato dati personali in assenza di informazione. Anche in riferimento a tale condotta non è necessaria l’imposizione di una misura correttiva ma solo di una sanzione pecuniaria nei termini di seguito indicati.

5. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, risultano violate varie disposizioni del Regolamento, segnatamente gli artt. 5, par. 1, lett. a) e 14 del Regolamento e l’art. 130, comma 2 del Codice, in relazione ai trattamenti effettuati dalla Ventive S.r.l, e si impone l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7 del Codice e 18 della legge n. 689/1981, per cui occorre applicare l’art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave con conseguente applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione che deve «in ogni caso [essere] effettiva, proporzionata e dissuasiva» (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento. Nel caso in esame, assumono rilevanza:

a) la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), tenuto conto dell’oggetto e delle finalità dei trattamenti, riconducibili ad attività di marketing tramite invio di comunicazioni elettroniche in assenza di un’idonea condizione di liceità e di informativa nonché della circostanza che la condotta sia stata effettuata nei confronti di numerosi interessati;

b) quale fattore aggravante, il carattere gravemente colposo della condotta del Titolare (art. 83, par. 2, lett. b) del Regolamento) che, nonostante la disciplina in materia di comunicazioni commerciali sia rimasta invariata dopo l’entrata in vigore del Regolamento, nonché sia stata oggetto di linee guida e chiarimenti fin dal 2013, non ha adottato i necessari accorgimenti per assicurare la correttezza e liceità dei trattamenti effettuati, omettendo inoltre di visionare con attenzione la documentazione messa a disposizione dalla piattaforma dalla quale sono stati acquisiti i dati al fine di verificare la liceità dalla raccolta;

c) quale fattore attenuante, le misure prontamente adottate dal Titolare per attenuare il danno subito dagli interessati, limitare gli effetti delle condotte illecite, nonché l’avvio di un percorso di adeguamento volto alla corretta attuazione degli obblighi previsti dalla normativa in materia di protezione dei dati personali (art. 83, par. 2, lett. c) del Regolamento);

d) quale fattore attenuante, la circostanza che il Titolare non sia stato prima d’ora destinatario di un provvedimento correttivo e sanzionatorio da parte del Garante (art. 83, par. 2, lett. e) del Regolamento);

e) quale fattore attenuante, il grado di fattiva cooperazione con l’autorità di controllo che si è sostanziata anche nel pieno riconoscimento delle contestazioni mosse (art. 83, par. 2, lett. f) del Regolamento);

f) quale fattore attenuante, il fatto che il trattamento non ha avuto ad oggetto categorie particolari di dati personali ovvero dati relativi a condanne penali e reati (art. 83, par. 2, lett. g) del Regolamento);

g) quale fattore attenuante, le ridotte dimensioni economiche del Titolare che, al momento della violazione, si trovava in una fase di crescita organizzativa (art. 83, par. 2, lett. k) del Regolamento).

In base al complesso degli elementi sopra indicati e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, tenuto conto del necessario bilanciamento fra i diritti degli interessati e la libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative e funzionali della Società, si ritiene di poter parametrare la sanzione pecuniaria su una soglia minima e, quindi, che si debba applicare la sanzione amministrativa del pagamento di una somma di euro 4.000 (quattromila/00), pari allo 0,03% del massimo edittale. 

Nel caso in argomento si ritiene che debba applicarsi anche la sanzione accessoria della pubblicazione sul sito del Garante della presente ordinanza ingiunzione, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto del particolare disvalore delle condotte poste in essere correlato della gravità delle violazioni, coinvolgenti i principi cardine della normativa in materia, con riferimento allo svolgimento di attività di marketing nei confronti di una pluralità di interessati nonché alla particolare fonte di origine dei dati personali oggetto di trattamento.

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. a), del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da parte di Ventive S.r.l., in persona del rappresentante legale pro-tempore, con sede legale in Via di Affogalasino, 34, Roma, 00148, C.F. 15435551005, in qualità di titolare del trattamento;

ORDINA

alla Ventive S.r.l., in persona del rappresentante legale pro-tempore, con sede legale in Via Affogalasino, 34, Roma, 00148, C.F. 15435551005, in qualità di titolare del trattamento, di pagare la somma di euro 4.000 (quattromila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, entro il termine di trenta giorni, con il pagamento di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 4.000 (quattromila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

a) la pubblicazione del presente provvedimento sul proprio sito internet istituzionale, ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019, nonché l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante della presente ordinanza di ingiunzione, come previsto dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019;

b) l’annotazione del presente provvedimento nel registro interno dell’Autorità – previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante – relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 14 maggio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Montuori