[doc. web n. 10140216]

Provvedimento del 27 marzo 2025

Registro dei provvedimenti
n. 174 del 27 marzo 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018 n. 101, recante disposizioni per l'adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Con reclamo del 13 luglio 2023, regolarizzato e integrato il 3 ottobre 2023, il sig. XX ha lamentato la ricezione di numerosi sms promozionali, provenienti da palestre del circuito "02fitness", senza aver mai prestato il consenso e senza possibilità di opporsi.

I messaggi, a detta del reclamante, erano inviati dai numeri telefonici 3661988237 -3285782813- 3922543806; due di questi numeri erano indicati, come recapiti, anche nel sito web 02fitness.it ed erano riferiti alla palestra di Rimini (3285782813) e di Villa Verucchio (3661988237). Il sito web 02fitness.it indicava in calce i seguenti intestatari: Soleo s.s.d.a r.l. P.I.-C.F. 04159360405 (di seguito, Soleo) - POWERFIT S.S.D.A R.L. P.I-C.F. 04565330406 (di seguito, Powerfit) -A.S.D. TEUTA P.I.-C.F. 04054660404 (di seguito a.s.d. Teuta).

Il sig. XX ha prodotto in atti numerosi screenshot dei messaggi ricevuti che contenevano inequivocabilmente promozioni delle palestre 0.2 Villa Verucchio e 0.2 Rimini e indicavano come recapito per maggiori informazioni i medesimi numeri telefonici, oltre ad alcuni messaggi con promozioni più generiche del circuito 02fitness. Alcuni di questi messaggi risultavano inviati anche tramite il canale Whatsapp.

Il reclamante ha altresì rappresentato di non aver potuto reperire informazioni specifiche sul titolare, dal momento che sul sito 02fitness.it l'informativa privacy non era disponibile; egli si è dunque limitato a indicare al Garante le informazioni indicate nel footer del sito stesso e riferite alle Società sopra menzionate.

Il reclamante, ha anche tentato di manifestare la propria opposizione rispondendo agli sms ricevuti e ai messaggi Whatsapp. Proprio in una chat (riconducibile alla palestra 02 Villa Verucchio) risulta che, alla richiesta di essere cancellato dalle liste, è stato risposto "Problemi seri. Bisogna che ti rilassi un po', puoi sempre bloccare tu il numero piuttosto che minacciare la gente che LAVORA". Da ultimo il reclamante ha risposto via sms rappresentando di non poter bloccare i messaggi perché provenienti da numeri sempre diversi e anticipando di aver effettuato la segnalazione al Garante. A tale messaggio riceveva la replica "che pauuuuuuraaaa"; anche questa chat, del 12 luglio 2023, pare riconducibile alla palestra 02 Villa Verucchio.

Il 26 gennaio 2024 l'Ufficio ha fatto accesso al sito 02fitness.it al fine di indentificare il/i titolare/i del trattamento. In tale occasione si è appreso che il link, presente nel sito, "Privacy & Cookie Policy" non rinviava ad alcuna informativa ma rimandava all'home page, confermando pertanto che non era disponibile alcuna informazione sul titolare e sullo stesso trattamento.

Pertanto l'Ufficio, in data 11 marzo 2024 ha formulato una richiesta di informazioni nei confronti dei soggetti indicati nel sito web: Soleo s.s.d.a r.l. e Powerfit S.s.d.a.r.l. (entrambe via pec) nonché agli indirizzi villaverucchio@02fitness.it e rimini@02fitness.it. A tale richiesta ha fatto seguito, il 25 marzo 2024, un'email dell'avv. XX contenente la procura da parte del sig. XX, in qualità di legale rappresentante di Soleo, Powerfit e a.s.d. Teuta; in detta email, l'avv. XX, per conto della Powerfit, richiedeva dei chiarimenti in quanto "non avendo rinvenuto tale società tra i contatti ai quali ha inviato messaggi promozionali il nome del sig. XX e non essendo titolare dei numeri di cellulare dallo stesso XX indicati, chiede di poter aver conoscenza del numero di cellulare del reclamante in modo da poter verificare nelle proprie banche dati e dei messaggi eventualmente allegati dal XX".

Pochi giorni dopo, il 29 marzo 2024, perveniva un'altra email dell'avv. XX con allegate le procure di:

- XX, indicato come legale rappresentante della Powerfit s.s.d.a.r.l. (P.IVA 04565330406), della Soleo s.s.d.a.r.l. (P.IVA 04159360405) e della A.S.D. TEUTA (P.IVA 04054660404);

- XX, indicata come legale rappresentante della Zero due villa s.s.d.a.r.l. (P.IVA 04579380405);

- XX, indicato come legale rappresentante della Soleo s.s.d.a.r.l. (P.IVA 04159360405)

In tale comunicazione si faceva riferimento al fatto che un'analoga risposta sarebbe stata trasmessa al reclamante con posta raccomandata (benché di esso fosse chiaramente indicato il recapito pec).

Con tale comunicazione, l'avv. XX ha dichiarato di rendere riscontro per conto della Powerfit, della Soleo e della Zero Due Villa facendo riferimento ad una richiesta del Garante che sarebbe pervenuta il 13 febbraio 2024; si precisa che la richiesta del Garante è stata inviata l'11 marzo 2024, pertanto è ipotizzabile che la data indicata dall'avv. XX sia frutto di un refuso.

Riguardo alla Powerfit, ha dichiarato che "essa non è titolare di alcuno dei numeri telefonici indicati pertanto non ha inviato alcun messaggio pubblicitario al sig. XX e si ritiene che tale società sia stata citata nella segnalazione per errore".

Riguardo a Soleo e Zero Due Villa, ha dichiarato che non risultavano allegati al reclamo i messaggi che il sig. XX avrebbe ricevuto, né veniva indicato quale fosse il numero di cellulare su cui il reclamante avrebbe ricevuto tali messaggi. Al riguardo l'avv. XX ha altresì precisato di non poter rendere riscontro perché non avrebbe ricevuto risposta alla sua richiesta di conoscere il numero del reclamante, richiesta asseritamente inviata il 25 febbraio 2024 ma in realtà pervenuta con email del 25 marzo 2024 (è probabile che si tratti di un altro refuso nell'indicazione della data). In tale nota è stato inoltre aggiunto che le Società Soleo e Zero Due Villa "hanno proceduto all'acquisto di pacchetti di contatti ai fini pubblicitari, numeri di telefono per i quali i titolari avevano preventivamente rappresentato il consenso al trattamento dei dati"; aggiungendo, poi, che "alle segnalazioni del sig. XX di non voler ricevere messaggi pubblicitari i suoi dati sono stati immediatamente cancellati dalla banca dati di riferimento, se vero è che egli ha dovuto avanzare più richieste con probabilità egli ha prestato un consenso, anche solo on line, per diverse banche dati. Il sig. XX allega un solo modulo dal quale non si evince quando, come ed a chi l'ha consegnato e se esso era l'unico potendo averne sottoscritti molteplici".

Pertanto, stando a quanto si poteva comprendere dalle non chiare argomentazioni:

a) Soleo e Zero Due Villa acquistavano banche dati da terzi ma non era possibile verificare da quale banca dati sarebbero stati estratti i dati del reclamante perché, stando a quanto dichiarato, l'Ufficio non avrebbe reso noto il numero del reclamante;

b) tuttavia, come descritto sopra, le stesse Società hanno dichiarato anche che tali dati sarebbero stati cancellati "immediatamente dalla banca dati di riferimento" non appena ricevute "le segnalazioni" del sig. XX; non si comprende però, né quale fosse tale banca dati di riferimento, né come sia stato possibile cancellare i dati dal momento che si era dichiarato di non conoscere l'utenza telefonica del reclamante;

c) è stato ipotizzato che il reclamante potesse aver prestato il consenso a diverse banche dati e per questo avrebbe ricevuto diversi messaggi ma non c'è alcuna prova di quanto affermato  e, in ogni caso, come più volte chiarito dall'Autorità, il conferimento di un consenso a terzi non può essere considerato un valido presupposto giuridico per l'invio di messaggi promozionali in caso di opposizione espressamente manifestata nei confronti del titolare del trattamento (che è tenuto a prenderne nota in apposita black list).

Al riscontro dell'avv. XX risultavano allegati numerosi documenti non precisamente richiamati nella nota di riscontro (e in alcuni casi duplicati), alcuni dei quali del tutto inconferenti come la ricevuta per l'attivazione di un servizio POS o la convenzione per un servizio di cessione crediti; tra tali allegati erano presenti le informative privacy di alcuni portali che si occupano della raccolta di dati per realizzare liste per il marketing (www.buoni-regali.com; www.buonicoupon.it; www.firmiamo.it; www.impiego24.it; www.impiego.eu; www.jobgratis.com; www.lavoro24.it; www.lavoro.live). Non veniva però chiarito quale delle Società interpellate si fosse avvalsa di tali banche dati e in quale periodo, né se fossero previsti controlli preventivi sulla liceità delle liste acquisite da terzi.

L'Ufficio, con nota del 5 aprile 2024, ha pertanto replicato chiarendo innanzitutto che - contrariamente a quanto affermato dall'avv. XX - la richiesta di informazioni inviata l'11 marzo 2024 conteneva in allegato tutti i messaggi ricevuti dal sig. XX con l'indicazione della sua utenza telefonica (cfr. all. 2 alla richiesta dell'11 marzo 2024). Con l'occasione, le tre Società erano state invitate a voler chiarire i ruoli e le responsabilità di ognuna nel trattamento in questione allegando pertinente documentazione.

A tale nota l'avv. XX, per conto delle tre menzionate Società, continuando a eccepire la mancanza dell'allegato (che, dalle registrazioni di protocollo, risultava invece recapitato), ha replicato il 10 aprile 2024 con una email contenente:

- la nota di riscontro inviata per conto dei titolari;

- le visure camerali di Powerfit, Soleo e Zero Due Villa;

- le procure dei rappresentanti legali di Powerfit, Soleo e Zero Due Villa (già prodotte il 29 marzo 2024);

- copia del documento dell'avv. XX (già prodotto il 29 marzo 2024);

- la ricevuta della seconda raccomandata inviata al reclamante;

- uno scambio di email con cui, da ultimo, XX inviava all'avv. XX la segnalazione di XX fatta al Garante il 13 luglio 2023;

- un file .jpeg, denominato "4 seconda schermata sito" che riportava un testo, verosimilmente un frammento di informativa privo di indicazioni sulla provenienza, del quale si leggeva per intero solo il passaggio relativo al marketing diretto; qui si dichiarava che avrebbero potuto essere inviati messaggi promozionali solo se l'utente in fase di registrazione avesse selezionato l'apposito flag;

- un file .jpeg, denominato "4 quarta schermata sito" contenente una selezione da print screen con dati di registrazione, anche questo privo di indicazioni sulla provenienza;

- due file .dat, denominati "4 quarta schermata sito" e "4 terza schermata sito" che non erano apribili.

Tale nota pertanto conteneva parte delle dichiarazioni già rese il 29 marzo 2024 oltre a ulteriori chiarimenti che tuttavia non documentavano a sufficienza i trattamenti effettuati. Si continuava a ribadire che "l'allegato 2 da Voi menzionato, che sarebbe stato allegato alla vostra pec del 13 febbraio 2024 (n.d.r.: la data è ancora errata) non è in essa presente ma sono presenti solo i documenti del reclamante ed il reclamo, pertanto non era conoscibile il numero di telefono del reclamante nè i messaggi in questione". Comunque, prendendo atto del fatto che l'utenza del reclamante era stata menzionata nella nota dell'Ufficio del 5 aprile 2024, sarebbero state fatte ulteriori verifiche. Pertanto i titolari hanno dichiarato che tale utenza sarebbe stata fornita dallo stesso reclamante iscrivendosi al sito "02 fitness - palestra Rimini" (si ipotizza che si volesse fare riferimento all'indirizzo 02fitness.it). Stando a quanto dichiarato dall'avv. XX, dopo l'inserimento dei dati, il sistema invierebbe un sms al numero di telefono indicato in fase di iscrizione con una password da inserire per completare la procedura. Tra gli allegati, come detto, risultava una schermata - priva di indicazioni in merito al software da cui era stata estratta e al relativo titolare del trattamento - contenente una serie di dati riferiti a un soggetto registrato come "user 8901"; tra i dati riferiti a tale utente risulta anche il numero di cellulare del reclamante e la data di registrazione risultava essere il 27 marzo 2023. I dati identificativi riferiti a tale utente parevano essere, con molta probabilità, di fantasia ("first name: Jojo, last name: Test"). Era presente anche un indirizzo email. Non risultava comunque che, per tale utente, fosse presente un campo che documentasse il rilascio di uno specifico consenso per la ricezione di messaggi promozionali.

Contrariamente a quanto richiesto nella nota del Garante del 5 aprile 2024, non è stato fornito alcun chiarimento in merito ai ruoli e alle responsabilità delle Società coinvolte.

Il 15 aprile 2024 il reclamante, lamentando il fatto che il trattamento non si era interrotto, ha fatto pervenire copia di altri sms che avrebbe ricevuto dopo le dichiarazioni fatte dall'avv. XX circa l'asserita cancellazione da ogni banca dati (l'ultimo sms ricevuto era del 4 aprile 2024).

Con pec del 20 aprile 2024 il reclamante - dopo aver ricevuto anche la raccomandata con il secondo riscontro dei titolari - ha fornito le proprie osservazioni dichiarando di non aver mai effettuato alcuna iscrizione al sito e di non conoscere i riferimenti di fantasia abbinati al suo numero di telefono. Egli ha altresì ricordato che nel sito web 02fitness.it la privacy policy non era raggiungibile e che il modulo di raccolta dati in esso presente (di cui ha allegato una schermata) consentiva al massimo una registrazione al sito ma non anche l'espressione di un consenso per finalità di marketing.

Per verificare le dichiarazioni rese dalle parti, l'Ufficio, in data 1° luglio 2024, ha effettuato un nuovo accesso al sito 02fitness.it trovando conferma di quanto dichiarato dal reclamante. Infatti, in home page erano presenti tre tasti: "palestre", "servizi", "chi siamo".

Cliccando su ognuno di questi tre tasti si apriva la seguente schermata con un form per la raccolta dati:

Come si vede dal contenuto del form, veniva richiesto all'utente di registrarsi per avere informazioni sui contenuti indicati nei pulsanti ("palestre", "servizi" e "chi siamo"). Veniva richiesto di indicare obbligatoriamente nome, cognome, email e telefono e veniva richiesto obbligatoriamente di "sottoscrivere" la privacy policy. Quest'ultima tuttavia non risultava in alcun modo raggiungibile, perché il link in rosso "Privacy Policy" rimandava all'home page e lo stesso avveniva cliccando sul link "Privacy & Cookies Policy" presente in home page. In mancanza di detta informativa, non era possibile comprendere per quali finalità venissero raccolti questi dati, con quali modalità e da chi sarebbero stati trattati, né come fosse possibile esercitare i propri diritti. Peraltro, non si comprendeva neanche quale utilità avrebbe dovuto trarre un utente da tale registrazione visto che, per avere informazioni su "palestre", "servizi" e "chi siamo", non dovrebbe - di norma - essere necessario rilasciare alcun dato personale, né tantomeno registrarsi a un servizio. È risultato inoltre confermato che non era presente alcun campo per la richiesta di consenso alla ricezione di messaggi promozionali ad eccezione del campo "consenso" posto in calce e contrassegnato come obbligatorio, che però faceva riferimento a "Sottoscrivo la Privacy Policy".

Inoltre, nel corso di tale accesso è stato possibile verificare che la procedura di registrazione sembrava andare a buon fine solo se si inseriva un indirizzo email; in tal caso infatti la procedura terminava con l'avviso "Controlla la tua casella di posta elettronica, ti abbiamo inviato la password per effettuare l'accesso". Veniva invece restituito un messaggio di errore se si inseriva un numero di telefono senza indicare un indirizzo email. Ne consegue che - contrariamente a quanto dichiarato dall'avv. XX - il canale tramite cui sarebbe dovuta pervenire la password per confermare l'iscrizione avrebbe dovuto essere l'indirizzo email e non il numero di telefono. Pertanto, non è stata comprovata in alcun modo la volontà del reclamante di registrarsi al sito e, in ogni caso, non risultava mai comprovata l'acquisizione di un idoneo consenso alla ricezione di messaggi promozionali.

2. LA CONTESTAZIONE DELLE VIOLAZIONI

In tale quadro, l’Ufficio ha contestato a Powerfit, Soleo e Zero Due Villa, le violazioni rilevate con l’atto di avvio del procedimento del 3 luglio 2024, prot. n. 81465/24, notificato tramite pec all'avv. XX presso la quale era stato eletto domicilio. Dandosi qui per interamente richiamate le motivazioni espresse nel menzionato atto, a Powerfit, Soleo e Zero Due Villa, è stata contestata la violazione dell’art. 6, par. 1, lett. a) del Regolamento e dell’art. 130, comma 2 del Codice con riguardo all'invio di sms senza consenso; inoltre, si è ritenuta integrata la violazione dell'art. 5, par. 2 e dell'art. 24 del Regolamento con riguardo alla responsabilità dei titolari, nonché la violazione dell'art. 17 del Regolamento per il mancato rispetto del diritto di cancellazione in ragione del fatto che più volte il reclamante aveva richiesto che i suoi dati, acquisiti illecitamente, venissero cancellati dalle liste utilizzate per il marketing senza tuttavia ottenere soddisfazione ma, anzi, ricevendo in alcuni casi risposte irridenti e continuando a ricevere messaggi anche dopo le assicurazioni rese dai titolari al Garante in corso di istruttoria. Inoltre, tenuto conto che nel sito web non era disponibile alcuna informativa sul trattamento dei dati personali, si è ritenuta integrata la violazione degli artt. 5, par. 1, lett. a), 12, par. 1 e 13 del Regolamento. Infine, con riguardo al fatto che per avere informazioni sulle palestre e sui servizi offerti veniva richiesto obbligatoriamente di registrarsi al sito, rilasciando diversi dati personali, in mancanza di informazioni sul trattamento e sulle relative finalità, non rinvenendosi alcuna necessità di raccogliere e conservare dati personali per il solo fine di ottenere informazioni, si è ritenuto che tale trattamento fosse stato posto in essere senza alcuna finalità, in violazione dell'art. 5, par. 1, lett. b) del Regolamento.

LA DIFESA DELLA SOCIETÀ

Con la memoria difensiva del 23 luglio 2024 l'avv. XX, per conto di Powerfit, Soleo e Zero Due Villa ha rappresentato quanto segue:

a) le società coinvolte sono senza scopo di lucro e sarebbero notevolmente danneggiate dall'applicazione di una sanzione amministrativa pecuniaria;

b) la Powerfit si deve considerare estranea ai fatti in quanto "non titolare dei numeri segnalati; la pubblicità contenuta negli messaggi inviati al sig. XX riguarda la palestra 02 di Villa Verucchio e non la palestra di Rimini";

c) la a.s.d. Teuta non è presente nel Registro delle imprese in quanto associazione dilettantistica e anche questa non sarebbe coinvolta nei fatti in quanto "la pubblicità inviata al XX non la riguarda";

d) trattandosi di piccole realtà imprenditoriali, alcune mansioni - come la "privacy" e il sito web - sarebbero state affidate all'esterno e i titolari non se sono mai occupati direttamente. Rispetto al sito web, in particolare, nella memoria difensiva si dichiara "Compreso il disguido nelle modalità di accesso, esso non era conosciuto dalle società le quali avendolo affidato ad un esterno non se ne occupano direttamente. Il tecnico incaricato ha segnalato che tale disguido capita occasionalmente ed è in fase di ripristino. La mail indicata del sig. XX ed il suo numero telefonico sono presenti nel sistema, pertanto il sig. XX li ha segnalati dal sito, probabilmente in un momento in cui il sistema funzionava, mentre il problema sempre del sito è attuale";

e) le società hanno offerto al reclamante sei mesi di fruizione gratuita a una delle palestre a sua scelta.

3. VALUTAZIONI DI ORDINE GIURIDICO

In base ai profili fattuali sopra evidenziati e alle affermazioni rese in sede di riscontro, di cui i dichiaranti rispondono ai sensi dell’art. 168 Codice, si ritiene di confermare le violazioni rilevate nell’atto di contestazione.

Risulta infatti agli atti che il reclamante ha ricevuto plurimi messaggi indesiderati, sia via sms che via Whatsapp, non riuscendo in alcun modo a bloccarli; anche i tentativi fatti per contattare direttamente i mittenti si sono rivelati infruttuosi oltre a fargli ottenere in replica delle risposte sprezzanti e derisorie.

Da quanto si apprende dai messaggi allegati, essi erano volti a veicolare promozioni delle palestre del circuito 02fitness apparentemente per le sedi di Villa Verucchio e Rimini. In mancanza di informazioni sul titolare del trattamento, per indirizzare la prima richiesta di informazioni si è fatto riferimento a quanto indicato nel sito 02fitness.it: in calce alla home page erano infatti indicati tre soggetti con relative partite iva: Powerfit, Soleo e a.s.d. Teuta; quest'ultima non è stata rinvenuta nel Registro delle imprese. Sono stati inoltre utilizzati, in mancanza d'altro e oltre alle pec inviate a Powerfit e Soleo, i recapiti email villaverucchio@02fitness.it e rimini@02fitness.it, indicati come rispettivamente attribuiti alle palestre di Villa Verucchio e Rimini.

Non è stato mai possibile appurare in che modo fossero concretamente coinvolti i soggetti interpellati, né quali fossero i ruoli nel trattamento dei dati personali perché, pur avendolo richiesto più volte in fase di istruttoria, le risposte pervenute per il tramite dell'avv. XX non hanno mai chiarito, e soprattutto comprovato, tali aspetti.

Alla richiesta di informazioni dell'11 marzo 2024 è stato fornito riscontro con una nota interlocutoria dell'avv. XX, in prima istanza volta solo a chiedere di conoscere il numero telefonico del reclamante (informazione che però era già stata fornita). A tale primo riscontro risulta allegata una procura all'avv. XX sottoscritta da XX in qualità di rappresentante legale della Soleo, della Powerfit e della a.s.d. Teuta. Pochi giorni dopo, il 29 marzo 2024, l'avv. XX ha fatto pervenire una nota di riscontro per conto di Powerfit, Soleo e Zero Due Villa, indicando stavolta tre diversi rappresentanti legali, rispettivamente: XX, XX e XX(con altrettante procure). Nessun elemento è stato fornito, in tale sede, rispetto a a.s.d. Teuta. Allo stesso modo, con la nota integrativa del 10 aprile 2024, l'avv. XX ha dichiarato di fornire riscontro per conto dei medesimi soggetti, non menzionando a.s.d. Teuta.

Per tali ragioni, l'atto di avvio del procedimento è stato indirizzato solo a Powerfit, Soleo e Zero Due Villa presso l'avv. XX.

La memoria difensiva successivamente pervenuta (cfr. email del 23 luglio 2024) risulta sottoscritta dall'avv. XX unitamente ai citati rappresentanti di Powerfit, Soleo e Zero Due Villa. Tuttavia, nel testo si fa riferimento a a.s.d. Teuta solo in un breve passaggio, testualmente qui trascritto: "La TA.S.D. TEUTA non è presente nel registro imprese in quanto società dilettantistica per la quale forma non è prevista registrazione e non è coinvolta nella vicenda in quanto la pubblicità inviata al XX non la riguarda".

Nel corso dell'istruttoria è stato confermato che nel sito web 02fitness.it non era presente l'informativa privacy e dunque non era possibile per gli interessati comprendere chi fosse il titolare del trattamento e come esercitare i propri diritti (così come lamentato dal sig. XX).  Inoltre, era presente un form da compilare, conferendo obbligatoriamente alcuni dati personali, al solo fine di ottenere informazioni di carattere generale che ben avrebbero potuto essere veicolate tramite il sito senza la necessità di raccogliere dati personali; dati che, come detto, sarebbero stati rilasciati dagli interessati senza ricevere alcuna informazione in merito al trattamento e persino in merito alla stessa identità del titolare. Ne consegue che è stata posta in essere un'attività di trattamento senza alcuna idonea base giuridica e in assenza di informativa.

Con riguardo all'invio dei messaggi e al presupposto giuridico di tale trattamento, le giustificazioni addotte dalle società coinvolte sono state contradditorie e non adeguatamente documentate. 
In un primo momento (cfr. nota del 29 marzo 2024) è stato dichiarato che Soleo e Zero Due Villa avevano acquistato banche dati per il marketing da società terze. Successivamente (cfr. nota del 10 aprile 2024) è stato dichiarato che tali banche dati venivano acquistate da Powerfit, Soleo e Zero Due Villa. Sempre con il riscontro del 10 aprile 2024 è stato aggiunto che i dati del sig. XX erano stati inseriti - a detta dei dichiaranti dal XX stesso - nel sito web 02fitness.it attraverso una registrazione al portale. Al riguardo si è già osservato come tale registrazione, avulsa da qualsiasi contesto, contenente dati verosimilmente di fantasia e priva di elementi comprovanti il consenso alla ricezione di messaggi promozionali, non sia idonea a documentare in alcun modo la volontà del reclamante; quest'ultimo, peraltro, ha espressamente dichiarato di non aver mai effettuato alcuna registrazione e di non conoscere i dati a lui asseritamente riferiti.

E comunque, quando anche per assurdo si volesse prestare fede a tale documentazione e si disponesse di un consenso lecitamente raccolto, tutti gli invii successivi alle richieste di cancellazione sarebbero comunque ingiustificati.

Con riguardo alle responsabilità dei singoli nella complessiva condotta descritta, non essendo stato fornito alcun chiarimento in merito alle attività concretamente svolte da Powerfit, Soleo e Zero Due Villa, si deve ritenere che esse abbiano avuto eguale responsabilità nella vicenda tenuto anche conto del fatto che il sito web, con il relativo form di raccolta dati, è unico per tutte le palestre e i messaggi ricevuti dal sig. XX facevano riferimento sia a Rimini che a Villa Verucchio. Tale complessiva responsabilità comporta che tutte le società coinvolte abbiano posto in essere le condotte descritte senza curarsi in alcun modo delle attività svolte da terzi per loro conto. Si osserva al riguardo che il Garante ha più volte chiarito che le responsabilità del titolare del trattamento non vengono meno anche nel caso in cui alcune attività vengano concretamente effettuate da soggetti terzi per conto del titolare stesso (cfr. ad esempio il provvedimento del 10 febbraio 2022, doc web n. 9756853).

Un'ultima annotazione merita il contegno tenuto in corso di istruttoria, tenuto conto che più volte l'avv. XX ha dichiarato di non aver ricevuto né il numero di telefono del reclamante, né copia dei messaggi indesiderati oggetto di doglianza. Tali elementi risultavano invece correttamente trasmessi via pec dal registro di protocollo e del resto anche il tenore delle risposte fornite, nonostante le contraddizioni e i refusi, lasciavano intendere che tali informazioni fossero conosciute dalle dichiaranti: non si vede altrimenti come si potesse dichiarare di aver cancellato i dati dopo la segnalazione se tali dati non erano conosciuti, né si comprende come si potesse dichiarare l'estraneità di alcuni soggetti ai contenuti promozionali inviati, senza aver preso visione dei messaggi stessi.

4. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di Powerfit, Soleo e Zero Due Villa in ordine alle seguenti violazioni:

a) art. 6, par. 1, lett. a) del Regolamento e art. 130, comma 2 del Codice con riguardo all'invio di sms senza consenso;

b) art. 5, par. 2 e art. 24 del Regolamento con riguardo alla responsabilità dei titolari che non sono stati in grado di documentare l'esistenza di adeguate misure di garanzia;

c) art. 17 del Regolamento per il mancato rispetto del diritto di cancellazione in ragione del fatto che più volte il reclamante aveva richiesto che i suoi dati, acquisiti illecitamente, venissero cancellati dalle liste utilizzate per il marketing senza tuttavia ottenere soddisfazione ma, anzi, ricevendo in alcuni casi risposte irridenti e continuando a ricevere messaggi anche dopo le assicurazioni rese dai titolari al Garante in corso di istruttoria:

d) artt. 5, par. 1, lett. a), art. 12, par. 1 e art. 13 del Regolamento poiché nel sito web non era disponibile alcuna informativa sul trattamento dei dati personali;

e) art. 5, par. 1, lett. b) del Regolamento, in ragione del fatto che per avere informazioni sulle palestre e sui servizi offerti veniva richiesto obbligatoriamente di registrarsi al sito, rilasciando diversi dati personali, in mancanza di informazioni sul trattamento e sulle relative finalità, non rinvenendosi alcuna necessità di raccogliere e conservare dati personali per il solo scopo di ottenere informazioni e ponendo dunque in essere un trattamento senza alcuna finalità.

Accertata dunque l’illiceità delle condotte di Powerfit, Soleo e Zero Due Villa con riferimento ai trattamenti presi in esame, si rende necessario:

- imporre alle suddette società, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni trattamento per finalità promozionale di dati personali degli interessati raccolti, con le modalità descritte, attraverso il form presente nel sito web 02fitness.it;

- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di dette società della sanzione amministrativa pecuniaria prevista dall’art. 58, par. 2, lett. i) e dell'83, parr. 3 e 5, del Regolamento.

In ragione di quanto disposto dall’art. 154-bis, comma 3 del Codice, si procede alla pubblicazione del presente provvedimento sul sito internet dell’Autorità (cfr. anche art. 37 del regolamento interno del Garante n. 1/2019).

Si rileva infine che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Si ricorda infine che, ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto del trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e) del Regolamento.

5.ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, risultano violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati da Powerfit, Soleo e Zero Due Villa, per cui occorre applicare l'art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave con conseguenziale applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, ipotizzato, sulla base delle informazioni rinvenibili nell'ultimo bilancio (registrato, per tutte e tre le società, al 31 dicembre 2023), il ricorrere della prima ipotesi prevista dal citato art. 83, par. 5 e quantificato quindi in 20 milioni di euro il massimo edittale applicabile, devono essere considerate le seguenti circostanze aggravanti:

1. la durata e la gravità della violazione, dal momento che il reclamante ha provato per mesi ad ottenere l'interruzione dell'invio di messaggi indesiderati senza avere soddisfazione e venendo persino sbeffeggiato, essendo così costretto a richiedere l'intervento del Garante (art. 83, par. 2, lett. a), del Regolamento);

2. il carattere gravemente colposo delle violazioni, dal momento che le Società hanno dimostrato grave negligenza nel trattamento dei dati personali unitamente al totale disinteresse per le attività poste in essere e per le relative conseguenze (art. 83, par. 2, lett. b), del Regolamento);

3. le misure adottate dai titolari del trattamento, che si sono rivelate del tutto insufficienti a garantire il rispetto dei diritti degli interessati (art. 83, par. 2, lett. c), del Regolamento);

4. il grado di responsabilità dei titolari, tenuto conto dell'assenza di misure adeguate a garantire la correttezza del trattamento effettuato per finalità promozionale e il rispetto dei basilari diritti dell'interessato anche dopo la contestazione delle illiceità ricevuta dal Garante (art. 83, par. 2, lett. d), del Regolamento);

5. il grado di cooperazione con l'Autorità di controllo, tenuto conto del fatto che le Società hanno prodotto giustificazioni contraddittorie e non documentate e non hanno fornito i chiarimenti richiesti (art. 83, par. 2, lett. f), del Regolamento).

Quali elementi attenuanti, si ritiene di poter tener conto:

1. del numero di soggetti coinvolti poiché, per quanto risulta in atti, l'invio di messaggi indesiderati avrebbe riguardato solo il reclamante (art. 83, par. 2, lett. a) del Regolamento);

2. dell’assenza di precedenti violazioni pertinenti commesse dai titolari del trattamento (art. 83, par. 2, lett. e), del Regolamento);

3. delle categorie di dati interessati dalla violazione, essendosi trattato solo di dati comuni (art. 83, par. 2, lett. g), del Regolamento)

4. della natura di microimpresa delle Società, che si occupano di attività sportive dilettantistiche senza scopo di lucro (art. 83, par. 2, lett. k del Regolamento).
In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione.

Pertanto si ritiene che - in base al complesso degli elementi sopra indicati - debba applicarsi:

- a Powerfit la sanzione amministrativa del pagamento di una somma di euro 6.000,00 (seimila/00) pari allo 0,03% della sanzione edittale massima di 20 milioni di euro;

- a Soleo la sanzione amministrativa del pagamento di una somma di euro 6.000,00 (seimila/00) pari allo 0,03% della sanzione edittale massima di 20 milioni di euro;

- a Zero Due Villa la sanzione amministrativa del pagamento di una somma di euro 6.000,00 (seimila/00) pari allo 0,03% della sanzione edittale massima di 20 milioni di euro.

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16 del regolamento interno del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante.

In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare proporzionata in relazione alla gravità e al particolare disvalore delle condotte oggetto di censura, tenuto conto degli elementi di rischio per i diritti e le libertà degli interessati (potenzialmente tutti i soggetti per i quali è stato adottato il modulo di registrazione sopra descritto) che non risultano ancora mitigati dai titolari nonostante l'avvio del procedimento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione effettuato da: Powerfit s.s.d.a.r.l., con sede in Rimini, via Marecchiese 152, p. iva 04565330406; Soleo s.s.d.a.r.l., con sede in Cattolica (RN), via Gaetano Donizzetti 41, p. iva 04159360405; Zero Due Villa s.s.d.a.r.l., con sede in Rimini, via Marecchiese 152, p. iva 04579380405; di conseguenza, ai sensi dell'art. 58, par. 2, lett. f), impone a Powerfit s.s.d.a.r.l., Soleo s.s.d.a.r.l. e Zero Due Villa s.s.d.a.r.l. il divieto di ogni trattamento per finalità promozionale di dati personali degli interessati raccolti, con le modalità descritte, attraverso il form presente nel sito web 02fitness.it.

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento:

a) alla Powerfit s.s.d.a.r.l., in persona del suo legale rappresentante, di pagare la somma di euro 6.000,00 (seimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

b) alla Soleo s.s.d.a.r.l., in persona del suo legale rappresentante, di pagare la somma di euro 6.000,00 (seimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

c) alla Zero Due Villa s.s.d.a.r.l., in persona del suo legale rappresentante, di pagare la somma di euro 6.000,00 (seimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alle predette Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare ciascuna la somma di euro 6.000,00 (seimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

a) ai sensi degli artt. 154-bis del Codice e 37 del regolamento interno del Garante n. l/20l9, la pubblicazione del presente provvedimento sul sito web del Garante;

b) ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del regolamento interno del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito web del Garante;

c) ai sensi dell’art. 17 del regolamento interno del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 marzo 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei