[doc. web n. 10182814]

Provvedimento del 17 luglio 2025

Registro dei provvedimenti
n. 435 del 17 luglio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale reggente ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con atto del 20 febbraio 2025, n. 22445/25 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Juna S.r.l., (di seguito “Juna” o “Società”), in persona del legale rappresentante pro-tempore, con sede legale in Melito di Napoli (NA), via Giulio Cesare, 81, P.I. 08189841219.

Il procedimento trae origine da un’istruttoria avviata dall’Autorità, a seguito della ricezione di un reclamo mediante il quale l’interessato lamentava la ricezione di ripetute chiamate indesiderate e truffaldine sulla propria numerazione mobile finalizzate alla conclusione di contratti di fornitura energetica.

Il reclamante, ritenendo che Juna, nel corso dei richiamati contatti telefonici non avesse posto in essere condotte conformi alle disposizioni del Regolamento, richiedeva l’intervento dell’Autorità.

1.2. L’attività istruttoria e i suoi esiti

Con reclamo trasmesso in data 5 luglio 2024 (cfr. Prot. n. 83668 dell’8 luglio 2024) il Sig. XX lamentava la ricezione di chiamate indesiderate riconducibili all’attività promozionale svolta da Juna S.r.l. e al portale web scontoluce.it. Nella fattispecie, il reclamante riferiva che nel corso di tali contatti telefonici gli operatori sostenevano che le procedure di switch in corso verso il fornitore di energia elettrica prescelto non sarebbero potute andare a buon fine e pertanto suggerivano la stipula di nuovi contratti con altro operatore e a condizioni migliori (cfr. «sono stato contattato ripetutamente e più volte al giorno da un call center (…) che mi ha comunicato che i miei nuovi contratti per l’energia elettrica stipulati recentemente con XX non sarebbero andati a buon fine in quanto il fornitore non era più abilitato a fornire energia nella mia zona. Con minacce di vedermi tagliare la luce, mi consigliavano di stipulare per telefono un contratto con un fornitore abilitato che mi avrebbe concesso condizioni migliori. Per convincermi mi hanno anche fatto credere che mi avrebbero passato la telefonata direttamente ad XX che mi avrebbe confermato quanto da loro asserito. (…) Nelle telefonate successive ho comunicato che non intendevo sottoscrivere alcun nuovo contratto e sono stato avvisato che sarei stato multato con euro 200,00 per ciascuno dei contratti (n. 3) per i quali avevo dato l’autorizzazione alla modifica»). Successivamente, il reclamante si era rivolto direttamente al proprio fornitore, il quale aveva invece confermato che le forniture energetiche richieste erano state correttamente attivate e che entro pochi giorni sarebbero state emesse le prime bollette.

L’interessato trasmetteva la doglianza anche alla Società, che con nota del 9 agosto 2024 (cfr. Prot. n. 98782 del 12 agosto 2024), chiariva che all’esito di indagini interne era emerso che l’anagrafica del reclamante era stata gestita dall’agenzia RE CONSULTING S.r.l.. Tale agenzia operava su incarico di Juna e «svolgeva attività di call center su proprie anagrafiche, su cui Juna si limita a svolgere attività di controllo soltanto all’esito della conclusione di contratti per i quali siamo ingaggiati». La Società rappresentava, altresì, che i contatti telefonici oggetto di doglianza erano stati realizzati sulla base di un consenso espresso dall’interessato e che non era stato mai finalizzato alcun contratto, di conseguenza nessuna pratica riferibile al reclamante era stata avviata sui sistemi aziendali. Con la medesima missiva Juna rassicurava l’istante sull’avvenuta eliminazione dei suoi dati personali dalle banche dati aziendali, rappresentando la volontà di approfondire quanto accaduto al precipuo fine di adottare i provvedimenti più opportuni.

Esaminate le circostanze rappresentate dalle parti, con nota del 22 agosto 2024 (cfr. Prot. n. 100124) l’Ufficio, ai sensi degli artt. 157 del Codice e 58 del Regolamento, chiedeva alla Società di fornire le proprie osservazioni in ordine a quanto rappresentato nell’atto di reclamo, nonché di illustrare le misure adottate al fine di garantire che le attività di telemarketing e teleselling, venissero svolte in ottemperanza alla normativa vigente in materia di protezione dei dati personali. Nella medesima occasione, l’Ufficio chiedeva, altresì, di «far conoscere: l’origine del dato del numero di telefono cellulare del reclamante; le modalità con le quali al medesimo reclamante sia stata fornita la necessaria informativa sul trattamento dei dati personali e dallo stesso sia stato acquisito il prescritto consenso per i trattamenti aventi finalità promo-pubblicitari; se la Società effettui il riscontro delle proprie liste di contatto con il Registro Pubblico delle opposizioni (RPO); se le numerazioni di contatto indicate nell’atto di reclamo siano usualmente utilizzate dalla Società e se le stesse siano censite presso il Registro degli Operatori di Comunicazione (ROC)».

Successivamente, con riscontro trasmesso in data 20 settembre 2024 (cfr. Prot. n. 110532 del 23 settembre 2024, di seguito anche “RISCONTRO I”), la Società ribadiva preliminarmente che i dati del reclamante erano stati acquisiti dall’Agenzia RE CONSULTING S.r.l. «sulla base di proprie e autonome liste di contatti, acquisite tramite list provider». Juna evidenziava, inoltre, che l’accordo con la richiamata agenzia era stato stipulato in data 1° giugno 2024 e non prevedeva alcun conferimento di dati (cfr. «i dati trattati dall’Agente sono sottoposti a verifica della Juna soltanto nel momento in cui il contatto esprime interesse per la conclusione di un contratto con la committenza e, pertanto, viene sottoposto a verifica»).

Con riferimento all’informativa sul trattamento dei dati personali, Juna rappresentava che «tipicamente i list provider acquisiscono le anagrafiche tramite landing page di siti web – nel caso di specie, www.nuoveofferte.com – sulle quali sono sia caricate le informative sui trattamenti svolti dall’agente, sia raccolti i consensi che legittimano il contatto per fini promozionali».

La Società dichiarava, inoltre, che l’incombenza di effettuare le verifiche presso il Registro Pubblico delle Opposizioni (di seguito anche “RPO”) e quella di provvedere alla iscrizione delle numerazioni chiamanti al Registro degli Operatori della Comunicazione e postali (di seguito anche “ROC”) erano in carico all’Agente, ciò in virtù di un apposito impegno assunto contrattualmente e che, in considerazione della recente stipula del contratto, non erano state ancora svolte attività di audit sull’operato di RE CONSULTING S.r.l..

Esaminate le dichiarazioni e la documentazione fornite da Juna, l’Ufficio ravvisava la necessità di acquisire ulteriori elementi, per l’effetto ai sensi degli artt. 157 del Codice e 58 del Regolamento chiedeva alla Società di «a) descrivere le attività di telemarketing e teleselling svolte da Juna S.r.l., ivi inclusi tutti i processi che dalla raccolta del dato consentono di giungere al contatto e poi alla stipula del contratto; b) descrivere le misure adottate al fine di garantire che le attività di telemarketing e teleselling siano realizzate in ottemperanza alla normativa sulla protezione dei dati personali; c) indicare le tipologie di servizi e i brand oggetto di promozione; d) in caso di svolgimento di attività promozionali in qualità di plurimandataria, indicare le misure di sicurezza adottate al fine di garantire la separazione dei dati personali trattati per conto dei diversi clienti; e) indicare il ruolo soggettivo assunto da Juna S.r.l. in relazione ai trattamenti di dati personali svolti nell’ambito delle attività di telemarketing e teleselling; f) fornire l’elenco delle eventuali ulteriori agenzie e/o sub-agenzie operanti presso la propria rete di vendita e le nomine a responsabile del trattamento ex art. 28 del Regolamento, se conferite, descrivendo altresì le eventuali attività di vigilanza e monitoraggio poste in essere nei loro confronti; g) descrivere la procedura di selezione di agenti e list provider; h) fornire copia dell’informativa conferita agli interessati nell’ambito delle attività di telemarketing e teleselling» (cfr. Prot. n. 118660 del 11 ottobre 2024).

Con riscontro trasmesso il 31 ottobre 2024 (cfr. Prot. n. 128904 del 4 novembre 2024, di seguito anche “RISCONTRO II”), Juna dichiarava di svolgere attività di telemarketing e teleselling alternativamente «a) acquistando liste fredde di contatti da list provider (o ricevendo le stesse dalle committenti, in rari casi), circostanza che viene preliminarmente resa nota alle committenti (titolari dei trattamenti); b) acquisendo dati tramite landing page autorizzate dal committente (a titolo di esempio, si vedano gli URL www.scontoluce.it o XX). Tali contatti vengono poi lavorati da operatori e personale di call center di Juna S.r.l.».

Più in particolare, nel caso di contatti provenienti da liste cd. fredde Juna dapprima provvede alla verifica presso il Registro Pubblico delle Opposizioni e poi, ove previsto e previo caricamento sul CRM aziendale, al confronto con le black list eventualmente fornite dai committenti. All’esito di tali verifiche, gli operatori effettuano le chiamate promozionali utilizzando numerazioni iscritte al ROC e dedicate alla committente della campagna di marketing. I contatti commerciali «vengono effettuati secondo istruzioni conferite al personale nonché secondo il Codice di Condotta per i call center». I contratti eventualmente stipulati sono poi sottoposti «a verifica da parte degli operatori di back office, che controllano la coerenza dei dati e somministrano script di vocal order forniti dalla Committente per la conferma della volontà del cliente di stipulare il contratto definitivo».

Con riferimento, invece, ai dati acquisiti mediante cd. landing pages la Società evidenziava che «uno script automatico permette l’acquisizione dei dati nel CRM. La nuova anagrafica è caricata in campagna e, dopo i suddetti controlli, viene classificata come anagrafica idonea alla chiamata. I successivi passaggi sono sovrapponibili al processo di chiamata tramite liste fredde».

La Società ha chiarito, poi, di occuparsi della promozione di servizi inerenti «forniture luce e gas (brand XX ed XX) e telefonia (XX)».

Quanto alle misure adottate al fine di garantire la separazione dei dati personali trattati per conto dei diversi committenti, la Società ha dichiarato di utilizzare «un unico CRM, dove tuttavia sono predisposti, lato utente/operatore, profili autorizzativi differenziati per cliente, in modo tale che l’operatore ha modo di accedere ai soli dati dei clienti collegati alla committenza per la quale opera». 
Rispetto allo svolgimento di attività di telemarketing e teleselling, Juna ha dichiarato di assumere alternativamente «il ruolo di titolare autonomo del trattamento, circostanza che si avvera nella maggior parte dei casi, quando la committente, affidando a Juna il reperimento di nuovi lead o prospect, affida a quest’ultima la raccolta e l’utilizzo di proprie (della Juna) anagrafiche. In via estremamente residuale, Juna può essere affidataria di anagrafiche fornite direttamente dalla committente, contestualmente all’affidamento del ruolo di responsabile del trattamento ai sensi dell’art. 28 GDPR)». Parimenti anche le agenzie e le sub-agenzie di cui Juna si avvale, operano alternativamente in qualità di titolari o responsabili del trattamento a seconda della provenienza delle anagrafiche utilizzate.

Infine, la Società ha dichiarato che nella fase di selezione di agenti e list provider con riferimento agli adempimenti in materia di protezione dei dati personali, è solita acquisire la documentazione relativa a «informativa erogata ai propri contatti ai sensi dell’art. 13 GDPR, template rilascio consensi, landing page da cui sono tratti i dati».

1.3. Contestazione delle violazioni

L’Ufficio, all’esito dell’istruttoria, adottava il sopra richiamato atto di contestazione n. 22445/25 nel quale, in primo luogo, si rilevava che non apparivano pienamente condivisibili le valutazioni condotte dalla Società in ordine al ruolo soggettivo ricoperto nell’ambito della realizzazione di attività di telemarketing e teleselling effettuate nell’interesse di compagnie energetiche e telefoniche (i.e. committenti).

Dai riscontri forniti, infatti, emergeva che Juna svolgeva attività di call center, senza vincoli di esclusiva, avvalendosi dell’ausilio di collaboratori interni ed esterni alla propria organizzazione.

Nel contesto appena descritto, dunque, sembrava possibile concludere che in relazione ai trattamenti di dati personali finalizzati alla promozione commerciale di accordi di fornitura energetica e telefonica, i committenti assumessero il ruolo di titolari del trattamento ai sensi dell’art. 4, n. 7) del Regolamento e che Juna ricoprisse, invece, il ruolo di responsabile del trattamento ai sensi del combinato disposto degli artt. 4, n. 8) e 28 del Regolamento.

Analogamente l’Ufficio riteneva che, nell’ambito della rete commerciale di Juna, le ulteriori agenzie di cui la medesima si avvaleva per lo svolgimento di attività promozionale nell’interesse dei committenti, assumessero il ruolo di sub-responsabili del trattamento.

Contrariamente a quanto ritenuto dalla Società, infatti, la circostanza che in alcuni casi le attività promozionali fossero svolte utilizzando liste di contattabilità acquisite autonomamente, non valeva a sconfessare gli assunti sino ad ora prospettati, ma induceva soltanto a ritenere che Juna potesse assumere il ruolo di titolare limitatamente ai trattamenti correlati alla mera acquisizione delle liste di contatto.

L’Ufficio rilevava, inoltre, che l’erronea qualificazione del ruolo soggettivo ricoperto, aveva dato luogo anche all’inadempimento degli obblighi correlati alla medesima qualifica soggettiva ai sensi della vigente normativa in materia di protezione dei dati personali.

Difatti, limitatamente all’attività di list provider, Juna sembrava avere effettuato trattamenti di dati personali, ivi inclusa la raccolta e la cessione a terzi, in assenza dei necessari presupposti di liceità ed esattezza, con conseguente violazione degli obblighi gravanti sul titolare del trattamento ai sensi artt. 5, 6, 7, 24 e 25 del Regolamento e 130 del Codice.

A tale riguardo assumeva rilevanza la configurazione del portale scontoluce.it - gestito da Juna - che presentava un form di raccolta dati personali utile alla fruizione dei servizi offerti.

Sebbene in calce a tale form fossero presenti distinte formule per l’acquisizione del consenso, quella relativa alla cessione dei dati personali a terzi per scopi di marketing e commerciali, a ben vedere non consentiva di conferire un consenso libero, specifico e granulare ai sensi degli artt. 4, punto n. 11), 6 e 7 del Regolamento.

Peraltro, sul portale in commento non erano state implementate nemmeno misure idonee a garantire l’esattezza dei dati inseriti nei form di contatto, nè l’identità dell’interessato.

Parimenti anche in relazione allo svolgimento di attività di telemarketing e teleselling nell’interesse di compagnie operanti nel settore energetico e telefonico, la Società sembrava avere agito nell’erronea convinzione sul ruolo soggettivo ricoperto e di conseguenza in aperta violazione degli obblighi correlati alla qualifica di responsabile del trattamento ai sensi dell’art. 28 del Regolamento.

Il rilievo appariva confermato proprio dalle risultanze emerse in relazione ai contatti promozionali realizzati nei confronti dell’odierno reclamante. Tali contatti erano stati effettuati da RE CONSULTING S.r.l., sulla base di consensi conferiti dall’interessato mediante il portale nuoveofferte.com, gestito dalla società londinese Dynamic Web Europe Ltd.

Tuttavia l’accordo in questione non conteneva alcuna clausola sugli adempimenti in materia di protezione dei dati personali, né la nomina a sub-responsabile, fatta eccezione per i riferimenti presenti all’interno delle Istruzioni Operative e dei Controlli sulle anagrafiche allegate al contratto. Inoltre, le chiamate rivolte all’odierno reclamante risultavano realizzate in assenza di un’idonea base giuridica e tutte provenienti da numerazioni non iscritte al ROC.

A prescindere dal ruolo soggettivo ricoperto, gli elementi emersi nel corso dell’istruttoria inducevano a ritenere che Juna avesse agito in violazione delle disposizioni di cui agli artt. 5, 6, 7 del Regolamento e 130 del Codice per aver svolto attività di telemarketing e teleselling preordinate alla stipula di contratti di fornitura energetica e telefonica in assenza di un’idonea base giuridica.

Le liste di contattabilità utilizzate da Juna e dai suoi collaboratori, per la realizzazione di attività di telemarketing e teleselling, non risultavano sorrette dai prescritti presupposti di liceità ed esattezza del trattamento.

In maniera del tutto similare rispetto ai rilievi sollevati in ordine al portale scontoluce.it, l’Ufficio rilevava che anche il sito web nuoveofferte.com e XX non apparivano del tutto in linea con la vigente normativa in materia di protezione dei dati personali.

L’Ufficio, pertanto, contestava a Juna le seguenti ipotesi di violazione:

a) artt. 5, 6, 7, 24 e 25 del Regolamento per avere effettuato trattamenti di dati personali finalizzati alla formazione e gestione di liste di contattabilità, in assenza dei presupposti di liceità ed esattezza del trattamento;

b) art. 28 del Regolamento anche in relazione all’art. 4, punto n. 7 del Regolamento per avere effettuato trattamenti di dati personali in assenza della previa e corretta individuazione del ruolo soggettivo ricoperto e di conseguenza per avere agito in violazione degli obblighi correlati alla sussistenza di tale qualifica soggettiva;

c) artt. 5, 6, 7 del Regolamento e 130 del Codice per avere effettuato i sopra descritti trattamenti di dati personali in contrasto con i principi di liceità ed esattezza del trattamento, nonchè in assenza di un’idonea base giuridica.

2. LA DIFESA DEL TITOLARE

La Società non richiedeva l’audizione dinanzi all’Autorità, ma presentava scritti difensivi e documenti in base a quanto previsto dall’art. 166, comma 6, del Codice e dall’art. 13 del regolamento del Garante n. 1/2019.

Più in particolare, con nota trasmessa in data 20 marzo 2025 (cfr. Prot. n. 377733 del 21 marzo 2025), Juna rappresentava preliminarmente di avere avviato le procedure per l’attivazione degli strumenti di risoluzione contrattuale nei confronti di RE CONSULTING S.r.l..

Nella medesima occasione, inoltre, la Società dichiarava di avere agito correttamente «pur ammettendo che la culpa in vigilando nei confronti della Re Consulting - pur giustificabile dalla recentissima stipula, datata 1° giugno 2024 - possa aver colposamente generato l’evento oggetto di segnalazione».

Quanto, invece, alla contestazione relativa alla qualificazione dei ruoli soggettivi correlati al trattamento di dati personali, Juna chiariva che «quanto riferito in sede di primi riscontri è stato riportato (genericamente) a titolo di sommaria ricognizione dei tipici rapporti commerciali» ed evidenziava che «coerentemente con le regole cristallizzate nel Codice di condotta di settore del marzo 2024, i rapporti attivi di Juna sono in effetti ricondotti agli schemi contrattuali titolare/responsabile».

Dipoi, la Società evidenziava che la pagina web scontoluce.it «è stata asservita a trattamenti plurimandatari da parte di titolari con cui è stata condivisa la configurazione della landing page ed i relativi contenuti; ragione per la quale Juna è ivi identificata quale titolare dei trattamenti, con consenso per il trasferimento a terzi per distinte attività di marketing. Per quanto l’identificazione di Juna quale titolare (e non responsabile, come formalizzato nei contratti di committenza) possa fondatamente apparire fuorviante, preme sottolineare - a titolo di attenuante - che tale imprecisione informativa non ha impedito, come non impedisce, il pieno esercizio dei diritti data protection di cui agli artt. 15-22 GDPR, tant’è vero che ha comunque permesso l’esercizio del diritto di cancellazione dei dati dell’interessato dr. XX nonché l’avvio dell’attuale procedura di contestazione».

Sul tema Juna rappresentava, altresì, di avere avviato «un processo di revisione del presidio informativo della landing page, che si concluderà entro la prima metà del mese di aprile 2025».

Con riguardo ai dati personali acquisiti tramite landing page, Juna rappresentava che «In relazione alla granularità del consenso per la cessione dei dati a terzi vale sottolineare che anche tale configurazione è stata oggetto, nel tempo, di approvazione dalle titolari / committenti, così come il set di dati da inserire nel form di contatto della landing page scontoluce.it. In merito a tale ultimo punto, si evidenzia che la verifica sull’esattezza dei dati conferiti tramite le landing page avviene tipicamente in sede di ricontatto, sede nella quale gli operatori chiedono conferma dell’effettiva richiesta di contatto tramite il form di riferimento. In merito alla formula di consenso per il trattamento dei dati delle titolari / committenti, la Scrivente ha comunque avviato autonomamente la revisione della formulazione, coerentemente con la revisione del presidio informativo di cui al precedente punto».

Con riferimento al portale XX, la Società si impegnava a «segnalare quanto contestato alla titolare XX in merito alla landing page XX, pur declinando qualsiasi responsabilità in ordine alla configurazione della stessa ed ai relativi contenuti».
Infine, la Società dichiarava che «le landing page in questione prevedono un passaggio medio di contatti di ca. 500 anagrafiche al mese, quantità che possono considerarsi ben lontane dal concetto di “larga scala”».

3. VALUTAZIONI DELL’AUTORITÀ

Va in primo luogo rappresentato che le osservazioni fornite da Juna nel corso del procedimento non appaiono idonee a escludere la responsabilità della Società in ordine alle violazioni contestate.

Al contrario, proprio le valutazioni espresse in occasione della trasmissione delle memorie difensive, come si illustrerà più ampiamente infra, inducono a ritenere che la Società non abbia ancora completamente assimilato gli obblighi derivanti dalla vigente normativa in materia di protezione dei dati personali.

Ai fini di un corretto inquadramento dei profili giuridici sottesi all’odierno procedimento, preliminarmente è senz’altro utile rammentare che Juna è una società attiva nel campo dei servizi di call center e che opera senza di vincolo di esclusiva per conto di società energetiche e telefoniche, avvalendosi di una rete di collaboratori interni ed esterni.

A tal fine, la Società utilizza liste di contatti fornite dai committenti oppure liste acquisiste autonomamente tramite cd. landing page proprie o implementate da terzi.

E’ necessario, pertanto, operare una distinzione tra i trattamenti di dati personali effettuati da Juna in qualità di titolare autonomo ai sensi dell’art. 4, punto 7) del Regolamento e quelli svolti in qualità di responsabile, in nome e per conto di diversi committenti ex artt. 4, punto 8) e 28 del Regolamento.

Nella fattispecie, infatti, si rileva che nell’ambito della realizzazione di attività di telemarketing e teleselling - che richiamando le definizioni cristallizzate nel Codice di Condotta per le attività di telemarketing e teleselling (cfr. Provv. n. 70 del 9 marzo 2023, doc-web n. 9868813 e Provv. n. 148 del 7 marzo 2024, doc-web n. 9993808, disponibili per la consultazione sul sito www.gpdp.it) sono riconducibili rispettivamente alle «attività di contatto telefonico con operatore effettuate per finalità promozionale attraverso chiamate dirette a numerazioni fisse e mobili nazionali» e alle «attività di contatto telefonico con operatore effettuate per finalità di vendita diretta attraverso chiamate destinate a numerazioni fisse e mobili nazionali» - realizzate nell’interesse di compagnie energetiche e telefoniche, i committenti assumono il ruolo di titolari autonomi, mentre Juna ricopre il ruolo di responsabile del trattamento.

Nel caso in esame, ricorrono proprio gli elementi tipici del rapporto titolare-responsabile: i committenti stabiliscono le finalità e le modalità di svolgimento delle campagne promozionali, fornendo eventualmente anche liste proprie o esternalizzandone il reperimento (cfr. RISCONTRO II «le attività di telemarketing e teleselling sono svolte dalla Juna srl alternativamente: a) acquistando liste fredde di contatti da list provider (o ricevendo le stesse dalle committenti, in rari casi), circostanza che viene previamente resa nota alle committenti (titolari del trattamento); b) acquisendo dati tramite landing page autorizzate dal committente»); i contatti promozionali sono commissionati ed effettuati nell’interesse dei preponenti, che ne traggono il beneficio economico; le liste di contattabilità vengono confrontate con le black list fornite dai committenti.

Tale ricostruzione è pure corroborata dalla lettera dell’art. 4 del citato Codice di condotta in materia di telemarketing, che indipendentemente dall’effettiva adesione, ha un’indubbia valenza di best practices, nella parte in cui prevede che «A prescindere dalla fonte di provenienza dei dati e indipendentemente dal materiale accesso agli stessi, agisce in qualità di titolare del trattamento, secondo quanto previsto all’art. 4, punto 7), del Regolamento, il soggetto che esegue direttamente o commissiona l’effettuazione tramite il canale telefonico di campagne di telemarketing e teleselling» e che «I fornitori di servizi incaricati di svolgere uno o più trattamenti connessi all’esecuzione di campagne di telemarketing e teleselling, o anche di reperire dati dai list provider, operano in qualità di responsabili del trattamento, in virtù di un contratto, o altro atto giuridicamente vincolante ai sensi di legge, che includa tutti gli elementi e disciplini tutti i profili di cui all’art. 28 del Regolamento. Ricadono in tale categoria, fra gli altri, i call center/teleseller e le agenzie incaricate dai committenti dei contatti telefonici».

Del resto, i principi appena illustrati recepiscono l’annoso orientamento dell’Autorità sul tema, ex multis vd. Provv. 586 del 26 settembre 2024 (doc-web n. 10072622) ove si rileva che «i soggetti che affidano all’esterno della propria realtà imprenditoriale attività promozionali, assumono in ogni caso la veste giuridica del titolare dei correlati trattamenti di dati personali. Tale impostazione, già presente nel richiamato provvedimento del Garante n. 230 del 15 giugno 2011, trova conferma nella legge n. 5/2018 (“Nuove disposizioni in materia di iscrizione e funzionamento del registro delle opposizioni e istituzione di prefissi nazionali per le chiamate telefoniche a scopo statistico, promozionale e di ricerche di mercato”) laddove, all’art. 1, comma 11, si ribadisce che “il titolare del trattamento dei dati personali è responsabile in solido delle violazioni delle disposizioni della presente legge anche nel caso di affidamento a terzi di attività di call center per l'effettuazione delle chiamate telefoniche».

Analogamente, sulla base dei rilievi sino ad ora prospettati, è possibile ritenere che rispetto allo svolgimento delle attività di telemarketing e teleselling, le ulteriori agenzie di cui Juna si avvale per lo svolgimento di attività promozionale nell’interesse dei committenti, assumano il ruolo di sub-responsabili del trattamento.

Contrariamente a quanto ritenuto dalla Società, infatti, la circostanza che in alcuni casi le attività promozionali siano svolte utilizzando dati personali acquisiti autonomamente, non vale a incidere sull’allocazione dei ruoli soggettivi in ordine alla realizzazione di attività di telemarketing e teleselling, ma piuttosto induce a ritenere che limitatamente alle operazioni correlate alla mera e autonoma acquisizione delle liste, Juna assuma il ruolo di titolare autonomo.

Anche a tale riguardo, un prezioso ausilio interpretativo è fornito dal citato Codice di Condotta, che dopo avere definito il list provider (o editore) come «il soggetto che, anche in via non principale rispetto alla propria attività, operando in qualità di titolare del trattamento, procede, in virtù del consenso degli interessati, alla comunicazione dei dati personali, autonomamente raccolti, a soggetti terzi per finalità di teleselling e telemarketing», all’art. 4, comma 4, prevede che «I list provider, quando acquisiscono autonomamente, nell’ambito di un trattamento antecedente e del tutto indipendente da quello legato all’esecuzione delle comunicazioni commerciali, i dati personali al fine di creare liste da cedere ad altri soggetti, agiscono in qualità di titolari del trattamento».

Considerato che Juna è un call center plurimandatario, che dunque provvede all’approvvigionamento di liste e alle attività di lead generation anche in via autonoma, al fine di utilizzarle poi nell’espletamento delle singole commesse affidate, non v’è dubbio che rispetto a tali trattamenti di dati personali, la medesima assuma il ruolo e le responsabilità correlate alla qualifica di titolare del trattamento.

Nel caso in esame, dall’erronea qualificazione del ruolo soggettivo ricoperto, è anche scaturito l’inadempimento degli obblighi correlati alla medesima qualifica soggettiva ai sensi della vigente normativa in materia di protezione dei dati personali.

Più in particolare, rispetto ai trattamenti svolti in qualità di titolare del trattamento e correlati alla gestione di cd. landing page quali scontoluce.it, che è proprio nella titolarità di Juna, dalla disamina della documentazione versata agli atti del procedimento, è emersa la responsabilità di Juna in relazione alla raccolta di dati personali, alla successiva realizzazione di attività di telemarketing e teleselling, nonché in relazione alla cessione a terzi ai fini promozionali per l’avvenuta violazione degli artt. 5, 6, 7, 24 e 25 del Regolamento e 130 del Codice.

Più in particolare, è emerso che il portale scontoluce.it non è navigabile, ma sebbene presenti vari riferimenti al mercato energetico (cfr. «Il mercato dell'energia è una giungla? Scegli con noi l'offerta di risparmio adatta alle tue esigenze» e «Per trovare la tariffa XX più adatta alle tue esigenze è necessario analizzare i propri consumi, valutare attentamente tutti i costi del tuo contratto e confrontare le offerte per l'energia elettrica ed il gas, e trovare le più convenienti e le più adatte ai tuoi consumi»), contiene soltanto un form di raccolta dati personali utile alla fruizione dei servizi offerti.

Tuttavia, il form per l’acquisizione del consenso relativo alla cessione dei dati personali a terzi per scopi di marketing e commerciali, non consente di esprimere un consenso libero, specifico e granulare ai sensi degli artt. 4, punto n. 11), 6 e 7 del Regolamento (cfr. «Acconsento la cessione per scopi di marketing e commerciali, con l’uso del telefono con operatore e/o con sistemi automatizzati (es. email, sms) e/o invio di materiale promozionale a mezzo posta, a terzi soggetti facenti parte delle seguenti categorie economiche o merceologiche: Turistico, Tempo libero, High Tech, Moda, Arredamento, Largo Consumo, Food-Beverage, Finanza, Banche, Assicurazioni, Energia, Ambiente, Comunicazione, Media, Entertainment, Real Estate, Farmaceutico, Automobili, Abbigliamento e tessile, Formazione, Energia, Editoria, ICT, Retail, Sport, Telecomunicazioni, e Servizi in generale»).

In ragione dell’ampia formulazione utilizzata, l’interessato che voglia ricevere le offerte relative a uno o più delle – numerose e molto diverse tra loro - categorie merceologiche ivi indicate o voglia riceverle tramite uno soltanto dei canali indicati è, di fatto, posto unicamente dinanzi alla scelta binaria di conferire un consenso unitario alla cessione dei propri dati a terzi a scopi promozionali e quindi ricevere anche comunicazioni promozionali non in linea con i propri interessi oppure rinunciare in toto a tale possibilità.

Peraltro, indicare nell’informativa un numero eccessivo di categorie merceologiche o addirittura tutte, oppure una lista eccessivamente corposa di destinatari operanti in campi anche molto diversi tra loro, non permette di acquisire un consenso valido ai sensi della vigente normativa in materia di protezione dei dati personali, dal momento che il conferimento di quel consenso finisce per legittimare il trasferimento dei dati a una moltitudine indistinta di operatori, minando di fatto il potere di controllo e governabilità dell’interessato sui propri dati personali (cfr. Provv. n. 114 del 27 febbraio 2025, doc. web n. 10114967 «L’utilizzo di formule per l’acquisizione del consenso al trattamento dei dati personali per la cessione a terzi ai fini marketing così ampie e generiche, da non permettere all’interessato di esprimere una volontà granulare e differenziata per esempio in relazione alla categoria merceologica delle offerte commerciali che desidera ricevere (...) o che in ragione delle peculiari configurazioni dei form e delle informative utilizzate, non consenta di manifestare agevolmente anche la propria volontà in ordine agli strumenti attraverso cui veicolare le comunicazioni promozionali, non permette di acquisire una valida, consapevole e inequivocabile manifestazione di volontà dell’interessato, dal momento che finisce per realizzare un’incontrollabile diffusione di dati personali a favore di una platea indistinta di operatori, minando anche la possibilità di esercitare efficacemente i diritti riconosciuti dalla legge a favore dei soggetti interessati. La manifestazione di volontà in ordine alla cessione dei dati a terzi per finalità di marketing, può considerarsi realmente libera soltanto se all’interessato è garantita una scelta effettiva e il controllo sui propri dati personali (…). Di converso, tale prerogativa risulta frustrata (…) mediante l’utilizzo di formule di consenso e accorgimenti grafici che hanno l’effetto di trasferire i dati personali a una platea indistinta di destinatari, operante in settori anche molto diversi tra loro o addirittura a call center plurimandatari. Invero, l’interessato deve essere posto in condizione di manifestare in maniera libera, granulare e specifica la propria volontà e dunque di potere scegliere anche per macro-categorie rispetto a quali prodotti o servizi, ricevere comunicazioni promozionali (…). A contrariis l’interessato che voglia ricevere per esempio soltanto offerte relative ai servizi di fornitura energetica, è posto dinanzi alla binaria condizione di non conferire alcun consenso oppure di conferirlo e ricevere una moltitudine di comunicazioni commerciali riguardanti anche servizi che nulla hanno a che vedere con l’ambito energetico, con una conseguente e indebita intrusione nella propria sfera di riservatezza e un’irrimediabile perdita di controllo sui propri dati personali. L’utilizzo di moduli siffatti, peraltro, redendo difficoltoso risalire alla fonte dei dati e al titolare del trattamento, mina la possibilità di esercitare i diritti riconosciuti all’interessato anche in ordine alla scelta dei mezzi utilizzati per la ricezione delle comunicazioni commerciali»).

In tal senso militano anche le Linee guida n. 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679, par. 3.1 nella parte in cui prevedono che «L’elemento della manifestazione di volontà “libera” implica che l’interessato abbia una scelta effettiva e il controllo sui propri dati. Come regola generale, il regolamento stabilisce che se l’interessato non dispone di una scelta effettiva o si sente obbligato ad acconsentire oppure subirà conseguenze negative se non acconsente, il consenso non sarà valido. Se il consenso è un elemento non negoziabile delle condizioni generali di contratto/servizio, si presume che non sia stato prestato liberamente. Di conseguenza, il consenso non sarà considerato libero se l’interessato non può rifiutarlo o revocarlo senza subire pregiudizio. Il regolamento generale sulla protezione dei dati ha preso in considerazione anche la nozione di squilibrio tra titolare del trattamento e interessato» e par. 3.1.3 «Se il titolare del trattamento ha riunito diverse finalità di trattamento e non ha chiesto il consenso separato per ciascuna di esse non c’è libertà. La granularità è strettamente correlata alla necessità che il consenso sia specifico, come analizzato nella sezione 3.2. Quando il trattamento di dati mira a perseguire finalità diverse, la soluzione per soddisfare le condizioni per la validità del consenso risiede nella granularità, ossia nella separazione delle finalità e nell’ottenimento del consenso per ciascuna di esse».

Peraltro, sul portale in commento non risulta che siano state implementate misure idonee a garantire l’esattezza dei dati inseriti nei form di contatto, nè l’identità dell’interessato, determinando peraltro il concreto rischio che siffatte landing page possano essere surrettiziamente utilizzate per conferire una parvenza di legittimità a liste di contatti acquisite aliunde e illegittimamente.

Sul punto, l’eccezione avanzata dalla Società, in ordine all’ottenimento di una previa autorizzazione da parte dei committenti in ordine alla configurazione dei portali utilizzati e riconducibili alla titolarità di Juna, non può essere accolta dal momento che ai sensi dell’art. 5, par. 2 del Regolamento e in virtù del principio di accountability, è proprio sul titolare del trattamento che ricade la responsabilità in ordine al rispetto della vigente normativa in materia di protezione dei dati personali.  

Quanto, invece, ai trattamenti svolti in qualità di responsabile del trattamento - oltre alla carente consapevolezza in ordine al ruolo soggettivo ricoperto - nel corso del procedimento è emerso che la Società ha effettuato attività di telemarketing e teleselling, avvalendosi di soggetti esterni che non erano in grado di assicurare un adeguato livello di competenze e in assenza delle formalità previste dalla legge.

A tale riguardo la documentazione fornita dalla Società si rivela, infatti, carente e in parte contradditoria, dal momento che pur avendo riconosciuto che l’anagrafica del reclamante è stata acquisita e trattata dalla RE CONSULTING S.r.l., agli atti del procedimento non risulta pervenuta né la nomina rilasciata ai sensi di legge, né l’avvenuta realizzazione dei controlli sulle competenze o sull’operato della medesima.

Peraltro, non può essere accolta nemmeno la tesi difensiva prospettata dalla Società in ordine alla circostanza che l’assenza di controlli sull’operato della RE CONSULTING S.R.L. sarebbe imputabile all’avvenuta stipula del contratto soltanto in data 1° giugno 2024, dal momento che in base alla lettera dell’accordo, Juna non solo si era riservata il diritto di effettuare audit sulle attività demandate alla sub-agenzia, ma aveva anche concordato una dettagliata procedura di controllo delle fonti delle anagrafiche, che prevedeva tra le altre cose, la realizzazione di verifiche prima del formale avvio della campagna e in concomitanza della medesima (cfr. all. 1 bis – RISCONTRO I «Juna si riseva il diritto di effettuare, in qualunque, momento, una verifica sulle liste di anagrafiche di potenziali clienti utilizzate dall’agente (…) la procedura di controllo si svilupperà in 3 FASI (…) FASE 1: verifica condotta prima del formale avvio della CAMPAGNA TLS (...) FASE 2: verifica condotta in concomitanza con la CAMPAGNA TLS»).

E’ di palmare evidenza che la previsione di analitiche istruzioni, della possibilità di effettuare audit e l’acquisizione di dichiarazioni in ordine alla liceità delle anagrafiche, se non accompagnata dalla effettiva realizzazione delle attività pur contrattualmente concordate, si risolve in un mero espediente formale, che non può esplicare alcuna efficacia esimente o attenuante in favore del responsabile originario.

In tal senso depone anche la lettera dell’art. 28, par. 4 del Regolamento nella parte in cui prevede che «(…) Qualora l'altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l'intera responsabilità dell'adempimento degli obblighi dell'altro responsabile».

Si aggiunga che l’omesso controllo sull’origine delle anagrafiche e la sussistenza di un’idonea base giuridica del trattamento, risulta acclarata anche all’esito delle deduzioni fornite dalla medesima Società in ordine all’avvenuta acquisizione dei dati personali appartenenti all’odierno reclamante mediante il portale londinese nuoveofferte.com.

Difatti, se Juna avesse diligentemente verificato l’origine dei dati, si sarebbe avveduta che, in maniera del tutto analoga a quanto rilevato in ordine al sito web scontoluce.it e per le medesime ragioni da intendersi richiamate, anche il portale in commento non consente di acquisire un valido consenso e non presenta misure atte a verificare l’identità dell’interessato, nè l’esattezza dei dati conferiti.

D’altro canto, anche i trattamenti realizzati sulla base dei dati personali e dei consensi conferiti mediante il portale XX – riconducibile alla titolarità di XX. - non appaiono sorretti da un’idonea base giuridica, dal momento che la formula utilizzata non consente all’interessato di manifestare una volontà libera e differenziata rispetto alle autodichiarazioni richieste con riferimento alla maggiore età e alle dichiarazioni mendaci (cfr. «Inserendo i miei dati personali, autorizzo a contattarmi per ricevere assistenza e informazioni sulle offerte XX. Dichiaro di aver preso visione dell'informativa privacy, di essere maggiorenne, di essere l'intestatario del numero fornito e di essere a conoscenza delle sanzioni previste dalla vigente normativa in caso di rilascio di dichiarazioni mendaci»).

A tale riguardo, non si rivela pertinente l’eccezione ex adverso avanzata in ordine alla riconducibilità del medesimo portale al committente, dal momento che in virtù dei doveri di segnalazione e informativa gravanti sul responsabile del trattamento ai sensi dell’art. 28 Regolamento, quest’ultimo avrebbe dovuto e potuto segnalare al committente la sussistenza delle criticità rilevate.

Per tutte le ragioni sino ad ora illustrate, è possibile ritenere che Juna abbia agito in violazione delle disposizioni di cui agli artt. 5, 6, 7 del Regolamento e 130 del Codice per aver svolto attività di telemarketing e teleselling preordinate alla stipula di contratti di fornitura energetica e telefonica in assenza di un’idonea base giuridica, dal momento che le liste di contattabilità utilizzate da Juna e dai suoi collaboratori, per la realizzazione di attività di telemarketing e teleselling, non risultano sorrette dai prescritti presupposti di liceità ed esattezza del trattamento.

Deve quindi definitivamente confermarsi la responsabilità di Juna in ordine a tutte le violazioni contestate.

4. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di Juna in ordine alle seguenti violazioni:

a) artt. 5, 6, 7, 24 e 25 del Regolamento per avere effettuato trattamenti di dati personali finalizzati alla formazione e gestione di liste di contattabilità, in assenza dei presupposti di liceità ed esattezza del trattamento;

b) art. 28 del Regolamento anche in relazione all’art. 4, punto n. 7 del Regolamento per avere effettuato trattamenti di dati personali in assenza della previa e corretta individuazione del ruolo soggettivo ricoperto e di conseguenza per avere agito in violazione degli obblighi correlati alla sussistenza di tale qualifica soggettiva;

c) artt. 5, 6, 7 del Regolamento e 130 del Codice per avere effettuato i sopra descritti trattamenti di dati personali in contrasto con i principi di liceità ed esattezza del trattamento, nonchè in assenza di un’idonea base giuridica.

Accertata altresì l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario:

- imporre a Juna, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento dei dati personali appartenenti al reclamante;

- ingiungere a Juna, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, l’implementazione di misure atte a garantire che le attività di telemarketing e teleselling realizzate sulla base di dati personali raccolti mediante cd. landing page, siano svolte in ottemperanza alla vigente normativa in materia di protezione dei dati personali;

- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Juna della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.

5. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Juna della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a € 20.000.000,00 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore).

Per la determinazione del massimo edittale della sanzione pecuniaria, occorre pertanto fare riferimento al fatturato di Juna, come ricavato dall’ultimo bilancio d’esercizio disponibile (2023).

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.

Nel caso in esame, assumono rilevanza:

1) la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), tenuto conto dell’oggetto e delle finalità dei dati trattati, riconducibili al fenomeno complessivo del telemarketing, in ordine al quale l’Autorità ha adottato, oltre al Codice di condotta per le attività di telemarketing e teleselling (cfr. Provv. n. 70 del 9 marzo 2023), in particolare negli ultimi cinque anni, numerosi provvedimenti che hanno compiutamente preso in esame i molteplici elementi di criticità fornendo ai titolari numerose indicazioni per adeguare i trattamenti alla normativa vigente e per attenuare l’impatto delle chiamate di disturbo nei confronti degli interessati; 

2)  quale fattore attenuante, (art. 83, par. 2, lett. f) del Regolamento) il grado di cooperazione con l’Autorità di controllo al fine di porre rimedio alla violazione.

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative e funzionali della Società, si ritiene debba applicarsi a Juna la sanzione amministrativa del pagamento di una somma di euro 25.000,00, pari allo 0,125% della sanzione massima edittale.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della natura dei trattamenti e delle condotte della Società, nonché degli elementi di rischio per i diritti e le libertà degli interessati.

In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare ragionevole e proporzionata in relazione alla natura delle violazioni accertate riguardanti principi fondanti della normativa in materia di protezione dei dati personali, nonché in ragione della peculiare pericolosità e pervasività delle condotte oggetto di accertamento, correlata all’utilizzo di portali web e internet.

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) impone a Juna, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento dei dati del reclamante;

b) ingiunge a Juna, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, l’implementazione di misure atte a garantire che le attività di telemarketing e teleselling realizzate sulla base di dati personali raccolti mediante cd. landing page, siano svolte in ottemperanza alla vigente normativa in materia di protezione dei dati personali;

c) ingiunge a Juna, ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alla misura imposta; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

ORDINA

a Juna S.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Melito di Napoli (NA), via Giulio Cesare, 81, P.I. 08189841219, di pagare la somma di euro 25.000,00 (venticinquemila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 25.000,00 (venticinquemila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

a)  la pubblicazione del presente provvedimento, ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019, nonché l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante della presente ordinanza di ingiunzione, come previsto dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019;

b) l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha sede il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 17 luglio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE REGGENTE
Filippi