[doc. web n. 10187997]

Provvedimento del 25 settembre 2025

Registro dei provvedimenti
n. 539 del 25 settembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE l’avv. Guido Scorza;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con atto del 20 maggio 2025 n. 68217/25, notificato in pari data mediante posta elettronica certificata, che qui deve intendersi integralmente riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di E-Power S.r.l. (di seguito anche “E-Power” o  “Società”), in persona del legale rappresentante pro-tempore, con sede legale in Via San Valentino, 8, Bussolengo (VR), P.I. 04925830236.

Il procedimento trae origine da una istruttoria avviata dall’Autorità, a seguito della ricezione di molteplici doglianze nei confronti della Società, mediante le quali gli interessati lamentavano l’avvenuta ricezione di chiamate promozionali effettuate in assenza di un’idonea base giuridica e il mancato riscontro alle istanze di esercizio dei diritti avanzate ai sensi degli artt. 15 e ss. del Regolamento.

1.2. Le richieste di informazioni formulate dall’Autorità

Con reclamo trasmesso in data 24 agosto 2024 (cfr. Prot. n. 100758 del 26 agosto 2024), il Sig. XX lamentava l’avvenuta ricezione di due chiamate indesiderate finalizzate alla promozione di servizi d’installazione di impianti fotovoltaici, effettuate nell’interesse di E-Power.

Più in particolare, l’interessato precisava di non avere conferito alcun consenso in ordine alla ricezione di comunicazioni pubblicitarie e di avere iscritto la propria numerazione al Registro Pubblico delle Opposizioni. Con la medesima doglianza, inoltre, il reclamante lamentava anche il mancato riscontro all’istanza di esercizio dei diritti ex artt. 15 e ss. del Regolamento avanzata dapprima verbalmente nel corso dei contatti telefonici oggetto di doglianza e successivamente a mezzo posta elettronica certificata in data 11 giugno 2024.

Esaminato l’atto di reclamo e tutta la documentazione ivi allegata, con nota del 3 settembre 2024 (cfr. Prot. n. 103861) l’Ufficio chiedeva alla Società ai sensi degli artt. 58, par. 1, lett. a) del Regolamento e 157 del Codice, di fornire le proprie osservazioni riguardo a quanto rappresentato dal reclamante e comunicare se intendesse aderire alle richieste avanzate dallo stesso, assegnando un termine pari a 20 giorni.

Con nota trasmessa a mezzo posta elettronica certificata in data 24 settembre 2024 (cfr. Prot. n. 111131/2024) – e dunque un giorno dopo la scadenza del termine fissato dall’Autorità - la Società rappresentava preliminarmente di aver «appurato che il numero di telefono del Sig. XX è stato utilizzato dai nostri operatori solo perché vi è stato un errore di trascrizione e, di conseguenza, di digitazione» e che «entrambe le chiamate effettuate verso il Sig. XX, sono state interrotte non appena gli operatori si sono resi conto di aver contattato la persona sbagliata». Nella medesima occasione, E-Power dichiarava che «solo con la pec inviata da quest’ultimo l’11.06.2024 abbiamo appreso quale fosse la sua identità e l’errore che era stato commesso» e di non effettuare alcun trattamento dei dati personali appartenenti al reclamante.

Successivamente, con nota trasmessa in data 28 settembre 2024 (cfr. Prot. n. 113944 del 1° ottobre 2024) l’interessato contestava quanto rappresentato dal Titolare, evidenziando al contempo che «nella prima telefonata dalla E-Power SRL ho richiesto all'operatore, esercitando i miei diritti di accesso ai dati, l'origine dei dati, cosa che l'operatore non ha comunicato. Ho inoltre segnalato l'iscrizione del mio numero nel registro delle opposizioni. Fosse stata una telefonata errata, penso che l'operatore avrebbe espresso ciò».

Esaminate le circostanze rappresentate dalle parti e tenuto conto, altresì, delle ulteriori doglianze del medesimo tenore e contenuto pervenute all’Autorità nei confronti di E-Power (cfr. fascicoli nn. 333837 – 350233 – 353329 – 354746 – 363373 – 363497 – 365840 – 367440 – 377300 – 378020 – 380925 – 382598 – 389731 – 401569 – 406889 - 421022), con nota Prot. n. 151866 del 31 dicembre 2024, ai sensi degli artt. 58, par. 1, lett. a) del Regolamento e 157 del Codice, l’Ufficio rivolgeva una richiesta di informazioni integrativa alla Società reiterando «preliminarmente la richiesta di fornire le proprie osservazioni in ordine alle circostanze dichiarate dal reclamante e, in particolare, di indicare le ragioni del mancato riscontro all’istanza di esercizio dei diritti presentata da quest’ultimo a mezzo posta elettronica certificata in data 11 giugno 2024». Con la medesima richiesta, inoltre, l’Ufficio invitava la Società a illustrare «a) il processo di acquisizione delle liste di contattabilità, anche in relazione al conferimento dell’informativa sul trattamento dei dati personali all’interessato e all’eventuale acquisizione del consenso al trattamento dei dati personali; b) il processo di svolgimento delle campagne di marketing e vendita che dal contatto telefonico, passando eventualmente anche per la presa di appuntamento in presenza, consente di giungere al contratto; c) la procedura di gestione delle richieste di ri-contatto effettuate anche mediante il form presente sul sito web aziendale, con l’indicazione dell’informativa fornita all’interessato e dei controlli effettuati al fine di verificare l’identità dell’utente e l’esattezza dei dati conferiti (All. 2); d) i controlli effettuati presso la propria rete di vendita al fine di verificare il reale assetto aziendale dei propri partner, anche per comprendere se le attività di marketing siano effettivamente realizzate in ottemperanza alla normativa sulla protezione dei dati personali, l’utilizzo da parte dei medesimi di sole numerazioni iscritte al ROC - Registro degli operatori di comunicazione e postali, nonché il corretto adempimento alle disposizioni sul Registro pubblico delle opposizioni; e) il processo di gestione delle richieste di esercizio dei diritti da parte degli interessati; f) l’identità e il ruolo soggettivo ricoperto dai soggetti coinvolti nella gestione delle attività di cui ai precedenti punti da a) ad e)».

Con istanza trasmessa a mezzo posta elettronica certificata in data 20 gennaio 2025 (cfr. Prot. n. 7067 del 21 gennaio 2025), la Società chiedeva la proroga di ulteriori 15 giorni del termine concesso ai fini del riscontro, rappresentandone la necessità in considerazione della mole di documenti richiesti e della concomitanza dell’indagine con il periodo festivo.

Esaminate le motivazioni fornite dal Titolare, al fine di acquisire ogni elemento utile al procedimento e di dare piena attuazione al principio del contraddittorio, con nota Prot. n. 8084 del 22 gennaio 2025, l’Autorità concedeva una proroga pari a 15 giorni del termine ex art. 157 del Codice per l’invio di osservazioni. Tuttavia, alla scadenza del termine concesso ai fini del riscontro - avvenuta in data 4 febbraio 2025 - in un primo momento la Società rimaneva silente.

Soltanto in data 12 febbraio 2025 (cfr. Prot. n. 18719 del 13 febbraio 2025), E-Power faceva pervenire il riscontro richiesto, ribadendo preliminarmente che «il numero di telefono del Sig. XX è stato utilizzato dai nostri operatori solo perché esso era stato erroneamente trascritto in corrispondenza dei dati di un altro soggetto da contattare» e precisando che «entrambe le chiamate effettuate verso il Sig. XX sono state interrotte non appena gli operatori si sono resi conto di aver contattato la persona sbagliata».

Nella medesima occasione, la Società trasmetteva anche copia del contratto sottoscritto in data 28 giugno 2024 con la società moldava I.C.S. Besteast S.r.l. (di seguito anche “List Provider” o “Besteast”), avente ad oggetto la concessione in licenza d’uso di «50.000 anagrafiche dei clienti selezionati come d’accordi, con consenso esplicito alla comunicazione dei propri dati personali a società terze per tutte le attività di marketing diretto, a mezzo contatto telefonico da utilizzare per proporre servizi nel settore energia» e la nomina a responsabile del trattamento conferita da Besteast nei confronti di E-Power in data 16 gennaio 2025.

1.3. La riunione dei procedimenti.

Nelle more dell’istruttoria, pervenivano all’Autorità ulteriori segnalazioni nei confronti di E-Power di analogo tenore e relative alla medesima fattispecie (chiamate indesiderate - cfr. fascicoli nn. 437015 – 440082 – 450031 – 456498 – 456623 – 464400).

Al fine di promuovere l’esame organico di tutte le questioni prospettate, sebbene pervenute in tempi diversi, ai sensi dell’art. 10, comma 4, del regolamento interno n. 1/2019 (disponibile per la consultazione sul sito www.gpdp.it, doc-web n. 9107633) l’Ufficio riteneva opportuno trattare nell’ambito dell’odierno procedimento anche tali segnalazioni medio tempore pervenute nei confronti di E-Power.

Difatti, la riunione dei procedimenti consente di dare piena attuazione ai principi di economicità e ragionevole durata del procedimento e di garantire, al contempo, anche il diritto di difesa e di non aggravamento del procedimento riconosciuto dalla legge al titolare del trattamento.

1.4. Contestazione delle violazioni

L’Ufficio, all’esito dell’istruttoria, adottava il sopra richiamato atto di contestazione n. 68217/25 nel quale, in primo luogo, si osservava che E-Power non aveva tempestivamente e compiutamente fornito riscontro alle richieste di informazioni notificate dall’Autorità ai sensi degli artt. 157 del Codice e 58 del Regolamento e che tale contegno valeva a integrare una condotta autonomamente sanzionabile ai sensi dell’art. 166 del Codice, nonché a violare il più generale obbligo di cooperazione gravante sul titolare ai sensi dell’art. 31 del Regolamento.

Sotto altro e diverso profilo, l’Ufficio contestava alla Società anche l’avvenuta realizzazione di attività promozionali in assenza di un’idonea base giuridica e utilizzando numerazioni non iscritte al Registro degli Operatori della Comunicazione e Postali (di seguito anche “ROC”), con conseguente violazione degli artt. 5, 6 e 7 del Regolamento e art. 130 del Codice.

A tale riguardo, peraltro, nonostante le esplicite richieste dell’Autorità e l’onere gravante sul titolare ai sensi degli artt. 5 e 24 del Regolamento, la Società non aveva fornito alcun elemento atto a comprovare che i trattamenti di dati personali correlati allo svolgimento di attività promozionali fossero realizzate in ottemperanza alla vigente normativa.

In aggiunta, i trattamenti di dati personali in esame sollevavano criticità anche sotto il profilo della corretta attribuzione dei ruoli soggettivi e, conseguentemente, dell’adempimento degli obblighi dai medesimi derivanti, dal momento che E-Power aveva documentato di avvalersi di ICS Besteast S.r.l., un list provider stabilito in Moldavia, per il reperimento delle liste di contattabilità e che nell’ambito di tale accordo aveva ricevuto anche la nomina ex art. 28 del Regolamento in ordine alla «revisione qualitativa liste contatti ricevute e rivendute; commercializzazione e monetizzazione contatti; sub nomina a responsabile esterno per attivazione nuovi contratti».

A parere dell’Ufficio, invece, dalla documentazione versata agli atti del procedimento emergeva che E-Power assumeva la veste di titolare autonomo del trattamento ai sensi dell’art. 4, punto 7) del Regolamento, dal momento che era il soggetto nel cui interesse venivano svolte le attività di telemarketing e teleselling oggetto di doglianza, determinando le finalità e i mezzi del trattamento.  

Analogamente anche ICS Besteast S.r.l., in base alla ricostruzione effettuata dall’Ufficio, nella sua qualità di list provider, assumeva il ruolo di titolare autonomo del trattamento in relazione all’acquisizione di dati personali per la comunicazione a terzi ai fini della realizzazione di attività di teleselling e telemarketing.

Sul punto, l’Ufficio rilevava che l’errata attribuzione dei ruoli soggettivi, se considerata unitamente alle circostanze emerse dalle doglianze pervenute all’Autorità e alla mancata produzione della documentazione richiesta, sembravano evidenziare la totale assenza di controlli da parte di E-Power in ordine alla legittima provenienza e formazione delle liste di contattabilità utilizzate.

Tale carenza appariva aggravata anche dalla circostanza che il list provider non era stabilito all’interno dell’Unione Europea, né in un territorio coperto da una decisione di adeguatezza ai sensi dell’art. 45 del Regolamento.

Infine, si contestava la mancata implementazione delle procedure adeguate ad assicurare l’ottemperanza alla normativa vigente in materia di diritti degli interessati e la carente rispondenza della configurazione del form di ricontatto presente sul sito web aziendale alla vigente normativa in materia di protezione dei dati personali.

L’Ufficio, pertanto, contestava a E-Power le seguenti ipotesi di violazione:

a) artt. 157 del Codice, anche in relazione agli artt. 31 e 58 del Regolamento per il tardivo e incompiuto riscontro alle richieste di informazioni trasmesse dall’Autorità;

b) artt. 5, 6, 7 e 24 del Regolamento, nonché 130 del Codice per aver effettuato - e continuare ad effettuare - i sopra descritti trattamenti di dati personali in contrasto con i principi di liceità e responsabilizzazione, in assenza di un’idonea base giuridica e mettendo in atto misure tecniche e organizzative non adeguate per garantire, fin dalla progettazione, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento con riferimento all’idoneità della base giuridica e al rilascio di un regolare consenso;

c) artt. 12, 15, 17 e 21 del Regolamento per l’omesso riscontro all’istanza di esercizio dei diritti presentata dal reclamante;

d) artt. 5 e 24 del Regolamento, anche in relazione all’art. 4, punto 7) del Regolamento, per avere effettuato trattamenti di dati personali con finalità promozionali senza la previa corretta individuazione del ruolo soggettivo ricoperto e di conseguenza in violazione dei doveri che derivano dal ruolo ricoperto;

e) artt. 5 e 13 del Regolamento in relazione al trattamento dei dati raccolti mediante il form presente sul sito web aziendale.

2. LA DIFESA DEL TITOLARE

La parte non presentava richiesta di audizione davanti all’Autorità, ma trasmetteva scritti difensivi e documenti in base a quanto previsto dall’art. 166, comma 6, del Codice e dall’art. 13 del regolamento interno del Garante n. 1/2019 (cfr. Prot. n. 85930 del 17 giugno 2025).

E-Power, in tale occasione, documentava preliminarmente gli impedimenti occorsi in pendenza del procedimento, rappresentando che avevano determinato una serie di rallentamenti alle attività aziendali, ivi inclusi la mancata evasione dell’istanza presentata dal reclamante in materia di diritti e il ritardato riscontro alla richiesta di informazioni notificata dall’Autorità.

La Società trasmetteva, altresì, la documentazione riguardante l’impianto privacy aziendale evidenziando di essersi avvalsa da diversi anni di una società esterna e di aver avviato una revisione delle procedure interne e della modulistica utilizzata, al fine del miglioramento della compliance aziendale in materia di protezione dei dati personali.

Con riferimento alle contestazioni sollevate in ordine alla sussistenza dei presupposti di liceità per la realizzazione di chiamate promozionali, E-Power rappresentava che la «base giuridica del trattamento dei dati effettuato dalla scrivente è sempre stata valutata e documentata sulla base della natura e delle finalità del trattamento, ricorrendo, ove necessario, al consenso espresso degli interessati, raccolto secondo modalità conformi all’art. 7 GDPR. Per quanto concerne eventuali trattamenti di dati effettuati senza adeguata formalizzazione del consenso, si precisa che ciò potrebbe essere avvenuto in circostanze circoscritte, in buona fede e senza alcuna intenzione elusiva, a causa di una errata configurazione tecnica o organizzativa, oggi già oggetto di revisione e aggiornamento (…) Qualora siano emerse anomalie nelle liste utilizzate o nell’assetto dei consensi registrati, ciò potrebbe dipendere da inefficienze nei sistemi di gestione del CRM, oggi in fase di adeguamento».

Quanto alle numerazioni chiamanti oggetto di doglianza, la Società evidenziava che «l’utilizzo di numerazioni non iscritte al ROC è dipeso da un errore organizzativo non doloso derivante da una carenza interna di coordinamento in quanto è avvenuto in conseguenza di un errore gestionale dovuto alla mancata separazione tra numerazioni aziendali generiche e quelle impiegate per attività promozionali. La Società ha sin da subito interrotto tale prassi e ha avviato le pratiche per la regolarizzazione delle numerazioni presso AGCOM» e che a breve avrebbe avviato la procedura di iscrizione al ROC delle numerazioni aziendali utilizzate.

Con riguardo ai dati raccolti tramite il form presente sul sito istituzionale, la Società illustrava di avere avviato «un processo di adeguamento, che ha condotto: All’aggiornamento dell’informativa privacy sul sito, in formato conforme all’art. 13 GDPR che sarà a breve on line all’introduzione di un meccanismo chiaro e inequivocabile di acquisizione del consenso, distinto per finalità; alla registrazione e tracciabilità del consenso mediante sistemi log e CRM» e che le «eventuali criticità rilevate dal Garante erano legate a una versione precedente del form, non più attiva, che era on line a causa di un problema legato ai rapporti con la società che gestiva la piattaforma internet».

In relazione all’individuazione del ruolo soggettivo ricoperto nello svolgimento di attività di telemarketing e teleselling, E-Power chiariva di avere «operato come Titolare del trattamento così come indicato nel contratto sottoscritto con ICS. Tuttavia, si evidenzia che era stata già formalizzato il ruolo dei Responsabili del trattamento e del DPO (all. 2 e 3), ma ci si è fidati delle liste pervenute dalla fornitrice che opera da tempo nel settore ed è sempre stata affidabile. L’attività promozionale è stata condotta nella convinzione che il trattamento rientrasse nelle operazioni gestite direttamente dalla società fornitrice in qualità di titolare» e che, a seguito della contestazione, erano stati stipulati nuovi contratti di acquisto delle liste, selezionati solo fornitori stabiliti in UE ed implementata una procedura preordinata alla esatta individuazione del ruolo soggettivo ricoperto.

La Società rappresentava, altresì, che era stato approvato un protocollo interno per la gestione delle istanze e sarebbe stata attivata una casella e-mail dedicata all’esercizio dei diritti da parte degli interessati.

Infine, E-Power dichiarava di avere avviato sessioni di formazione annuali per tutto il personale e audit privacy semestrali interni.

2. VALUTAZIONI DELL’AUTORITÀ

Va preliminarmente rappresentato che le osservazioni fornite da E-Power nel corso del procedimento appaiono idonee a escludere la responsabilità della Società per ciò che riguarda la violazione degli artt. 157 del Codice e 31- 58 del Regolamento, in  ordine al tardivo riscontro alle richieste di informazioni trasmesse dall’Autorità, atteso che la Società ha prodotto idonea documentazione atta a comprovare che i ritardi contestati sono scaturiti da circostanze non prevedibili, né imputabili alla medesima.

A tale riguardo, infatti, è opportuno rammentare che ai sensi dell’art. 3 della L. n. 689/81 «Nelle violazioni cui è applicabile una sanzione amministrativa ciascuno è responsabile della propria azione od omissione, cosciente e volontaria, sia essa dolosa o colposa», ne consegue che in materia di sanzioni amministrative deve ritenersi esclusa la configurabilità di una responsabilità meramente oggettiva.

Peraltro, quella appena illustrata appare anche l’interpretazione maggiormente aderente alla lettera e alla ratio ispiratrice del Regolamento europeo, notoriamente informato al principio di responsabilizzazione del titolare del trattamento (cd. accountability).

Per l’effetto, avuto riguardo alla lieve entità del ritardo, alle modeste dimensioni della Società e alle peculiarità della compagine organizzativa, le circostanze imprevedibili e non imputabili addotte da E-Power, nel caso di specie appaiono idonee a escludere la sussistenza dell’elemento soggettivo in ordine alla violazione degli artt. 157 del Codice e 31-58 del Regolamento e di conseguenza la sussistenza di una violazione rilevante della disciplina in materia di protezione dei dati personali.

Quanto, invece, alle restanti contestazioni, deve osservarsi che all’esito della disamina di tutte le circostanze e della documentazione agli atti del procedimento, risulta accertata in primo luogo la responsabilità della Società in ordine alla realizzazione di attività promozionali in assenza di un’idonea base giuridica e utilizzando numerazioni non iscritte al Registro degli Operatori della Comunicazione e Postali (di seguito anche “ROC”), con conseguente violazione degli artt. 5, 6 e 7 del Regolamento e art. 130 del Codice.

A tale riguardo, assumono una particolare valenza probatoria le numerose doglianze pervenute all’attenzione dell’Autorità (un reclamo e 22 segnalazioni), tutte sufficientemente particolareggiate e tra loro concordanti nel segnalare la ricezione di comunicazioni promozionali effettuate nell’interesse di E-Power e in assenza di un’idonea base giuridica. Nella totalità dei casi, inoltre, le numerazioni chiamanti indicate non risultavano iscritte al ROC e i contatti oggetto di doglianza erano stati realizzati malgrado l’avvenuta iscrizione da parte degli interessati della propria numerazione al Registro Pubblico delle Opposizioni.

La Società non ha contestato l’attribuzione dei contatti oggetto di doglianza alla propria organizzazione, ma nonostante l’onere della prova gravante sul titolare del trattamento ai sensi degli artt. 5 e 24 del Regolamento, si è limitata a trasmettere il contratto di acquisto delle anagrafiche, senza tuttavia fornire alcuna specificazione o documentazione concernente le modalità di acquisizione dei dati personali e dei validi consensi per la realizzazione di attività promozionali, né delle verifiche condotte presso il Registro Pubblico delle Opposizioni prima dell’avvio della campagna promozionale.

Sul punto si evidenzia che, alla stregua di quanto costantemente ribadito anche in occasione delle precedenti decisioni dell’Autorità, grava sul titolare l’onere di dimostrare non solo l’acquisizione dei consensi da parte degli interessati, ma anche che tali manifestazioni di volontà presentino i requisiti di validità previsti dall’art. 7 del Regolamento (ex multis Provv. n. 114 del 27 febbraio 2025, doc. web n. 10114967; Provv. n. 330 del 4 giugno 2025, doc. web n. 10143278, consultabili sul sito www.gpdp.it).

In tal senso militano anche le Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679 (disponibili per la consultazione sul sito www.edpb.europa.eu), ove al par. 5.1 si legge che «L’articolo 7, paragrafo 1, prevede in maniera chiara l’obbligo esplicito del titolare del trattamento di dimostrare il consenso dell’interessato. Conformemente a tale articolo, l’onere della prova è a carico del titolare del trattamento (…) Il titolare del trattamento è libero di sviluppare metodi propri per rispettare tale disposizione in maniera adatta alle sue attività quotidiane (…) Spetta al titolare del trattamento dimostrare che è stato ottenuto un consenso valido dall’interessato. Il regolamento non prescrive esattamente come ciò debba avvenire. Tuttavia, il titolare del trattamento deve essere in grado di dimostrare che l’interessato nel caso specifico ha espresso il proprio consenso».

E-Power non ha fornito nemmeno alcun elemento idoneo a comprovare la realizzazione delle opportune verifiche – nemmeno a campione – sulle liste acquistate e sulla formazione della medesime in ottemperanza alla vigente normativa in materia di protezione dei dati personali.

Peraltro, tale omissione è ancora più grave se si considera che il fornitore prescelto aveva sede in un paese non appartenete all’Unione Europea, né destinatario di una decisione di adeguatezza ai sensi dell’art. 45 del Regolamento. Tale rilievo, ovviamente non significa che l’avvalimento di un partner estero configuri automaticamente un’ipotesi di violazione, ma che i controlli sulla filiera del trattamento devono essere adeguati alle specificità e alle caratteristiche della medesima.

A tale riguardo non possono ritenersi sufficienti nemmeno le clausole di manleva inserite all’interno del contratto sottoscritto dalle parti. Le previsioni in parola, difatti, se non accompagnate dall’implementazione di adeguate misure di verifica, si risolvono in mero espediente formale inidoneo a garantire l’efficace adempimento di tutti gli obblighi gravanti sul titolare del trattamento.

Si aggiunga che le verifiche da effettuare nei confronti dei list provider rientrano anche tra gli obblighi espressamente gravanti sul titolare in base al Codice di condotta per le attività di telemarketing e teleselling (disponibile sul sito www.gpdp.it, Provv. n. 70 del 9 marzo 2023, doc-web n. 9868813 e Provv. n. 148 del 7 marzo 2024, , doc.web n. 9993808), che a prescindere dalla effettiva adesione, assume la valenza di best practices (cfr. art. 6 «Nella selezione dei list provider, i committenti adottano la massima diligenza e valutano la presenza di tutti gli elementi di garanzia necessari, tra cui: a) l’adozione di corrette modalità di acquisizione del consenso attraverso l’esame delle informative rilasciate al momento della raccolta dei dati e della user experience, volta a verificare la presentazione di richieste di conferimento del consenso chiare e comprensibili, non vincolate e facilmente revocabili; sarà considerato correttamente acquisito un consenso che risulti adeguatamente documentato, tenendo traccia, con modalità informatiche che ne garantiscano l’immodificabilità della data e dell’origine, come, ad esempio, la conservazione sia della coppia IP-timestamp del soggetto che ha fornito il consenso on line selezionando le apposite caselle, sia dell’invio allo stesso soggetto di un messaggio di notifica della registrazione del consenso (ad esempio, SMS) oppure con meccanismi cosiddetti double opt-in dove il consenso acquisito on line viene successivamente confermato dall’interessato rispondendo ad un messaggio di conferma; la verifica di detti consensi deve essere effettuata almeno su un campione significativamente rappresentativo della banca dati e, in ogni caso, deve essere effettuata ogni volta che il titolare riceva un reclamo o una richiesta di esercizio dei diritti di cui agli artt. 12-22 del Regolamento da parte di un interessato (…) Il committente, che intenda trattare per finalità di telemarketing o teleselling dati autonomamente raccolti in qualità di autonomi titolari da parte di editori, deve: a) richiedere che le liste di numerazioni acquisite da utilizzare nella campagna promozionale siano state verificate prima dal relativo titolare del trattamento presso il RPO e rispettino pertanto le volontà degli interessati, ove iscritti, a non essere inseriti nelle campagne promozionali; b) confrontare tali dati con quelli presenti nella black list, al fine di escludere dalle liste di contatto tutti gli interessati che abbiano precedentemente esercitato il proprio diritto di opposizione o revocato il proprio consenso nei confronti del committente rispetto alla medesima lista di contatti; c) verificare le liste, così formate, presso il Registro pubblico delle opposizioni; d) informare entro e non oltre 15 giorni l’editore, o il fornitore, di manifestazioni di volontà negativa espresse dagli interessati rispetto alla raccolta del consenso da parte dell’editore, al fine di tenerne conto nella formazione e gestione delle liste laddove l’interessato abbia manifestato la volontà in tal senso»).

D’altro canto, non può essere accolta nemmeno la tesi di parte in ordine all’attribuzione della mancata iscrizione al ROC delle numerazioni chiamanti a un non meglio specificato errore organizzativo. Le doglianze pervenute all’Autorità, infatti, coprono un lungo lasso temporale (marzo 2024 – marzo 2025) e un’ampia casistica di contatti, circostanze di per sé incompatibili con un momentaneo e isolato disallineamento organizzativo.

Peraltro, anche con riferimento al reclamo proposto dal Sig. XX, i chiarimenti forniti dalla Società non appaiono idonei a escludere profili di responsabilità, atteso che la prospettata tesi dell’errore di digitazione/trascrizione non si rivela affatto persuasiva. L’odierno reclamante ha ricevuto più di una comunicazione indesiderata, in giornate differenti e da due differenti numerazioni non iscritte al ROC. Rendendo dichiarazioni ai sensi dell’art. 168 del Codice, il reclamante ha rappresentato di avere chiesto chiarimenti sull’origine dei dati e di avere evidenziato l’avvenuta iscrizione al Registro Pubblico delle Opposizioni già nel corso del primo contatto. Tali dichiarazioni non sono state affatto contestate da E-Power e in ogni caso, se pure si volesse accogliere la tesi avanzata dalla Società, si evidenzia che già a seguito del primo contatto E-Power avrebbe dovuto provvedere – in base al principio di esattezza di cui all’art. 5 del Regolamento - alla repentina rettifica dei dati personali presenti sui propri sistemi e alla registrazione dell’opposizione dell’interessato. Gli accorgimenti appena illustrati, difatti, avrebbero evitato la realizzazione del secondo contatto indesiderato.

L’inadempimento degli obblighi gravanti sul titolare del trattamento appare strettamente correlata anche all’errata qualificazione dei ruoli soggettivi in ordine alla formazione delle liste di contattabilità e all’utilizzo delle medesime per la realizzazione di attività di telemarketing e teleselling.

E-Power ha documentato di avvalersi di ICS Besteast S.r.l., un list provider stabilito in Moldavia, per il reperimento delle liste di contattabilità e che nell’ambito di tale accordo ha ricevuto anche la nomina ex art. 28 del Regolamento in ordine alla «revisione qualitativa liste contatti ricevute e rivendute; commercializzazione e monetizzazione contatti; sub nomina a responsabile esterno per attivazione nuovi contratti».

Il contratto in parola risulta essere stato sottoscritto in data 26 giugno 2024, mentre la nomina è stata conferita soltanto il 16 gennaio 2025. Tale disallineamento temporale induce a ritenere che la nomina sia stata artatamente rilasciata soltanto ai fini del procedimento e che le parti non si siano adeguatamente soffermate sulla qualificazione dei ruoli soggettivi, né al momento della conclusione del contratto, né successivamente in occasione della sottoscrizione della nomina ex art. 28 del Regolamento.

La ricostruzione dei ruoli soggettivi appena descritta non appare condivisibile. Dalla documentazione versata agli atti del procedimento, infatti, emerge che E-Power assume la veste di titolare del trattamento ai sensi dell’art. 4, punto 7) del Regolamento, dal momento che è il soggetto nel cui interesse vengono svolte le attività di telemarketing e teleselling oggetto di doglianza, determinando le finalità e i mezzi del trattamento. Analogamente anche ICS Besteast S.r.l., nella sua qualità di list provider, ricopre il ruolo di titolare autonomo del trattamento in relazione all’acquisizione di dati personali per la comunicazione a terzi ai fini della realizzazione di attività di teleselling e telemarketing.

A tale proposito assumono rilevanza le definizioni contenute all’art. 4 del Regolamento, ove il titolare del trattamento è definito come «la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali», mentre il responsabile del trattamento è «la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento». Inoltre, anche il par. 4 delle Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR chiarisce che «Le due condizioni fondamentali per la qualifica di responsabile del trattamento sono: a) essere un soggetto distinto rispetto al titolare del trattamento; b) trattare i dati personali per conto del titolare del trattamento (…) Il trattamento di dati personali per conto del titolare comporta innanzitutto che il soggetto distinto tratti i dati personali a beneficio del titolare del trattamento (…) il trattamento deve essere effettuato per conto di un titolare, ma non agendo sotto la sua autorità o controllo diretti. Agire «per conto di» significa servire gli interessi di terzi e richiama la nozione giuridica di «delega». Nel caso della normativa in materia di protezione dei dati, il responsabile del trattamento è chiamato a seguire le istruzioni impartite dal titolare almeno per quanto concerne la finalità del trattamento e gli elementi essenziali che ne costituiscono i mezzi».

E’ di palmare evidenza che nel caso di specie, E-Power non svolgesse affatto attività promozionali in nome e nell’interesse del list provider, bensì attività commerciale volta alla promozione di propri servizi e che pertanto ne traesse direttamente beneficio economico. Peraltro, sempre in capo a E-Power era rimessa la scelta delle modalità e finalità del trattamento, nonché la selezione dei partner commerciali coinvolti nelle attività di trattamento. E’ indubbio, pertanto, che i rapporti tra le due Società non rientrassero nello schema titolare-responsabile per come definito dalla richiamata normativa, ma che piuttosto le medesime abbiano agito in qualità di titolari autonomi del trattamento.

Inoltre, anche il già citato Codice di Condotta in materia di telemarketing contiene in tal senso preziose indicazioni nella parte in cui prevede che «A prescindere dalla fonte di provenienza dei dati e indipendentemente dal materiale accesso agli stessi, agisce in qualità di titolare del trattamento, secondo quanto previsto all’art. 4, punto 7), del Regolamento, il soggetto che esegue direttamente o commissiona l’effettuazione tramite il canale telefonico di campagne di telemarketing e teleselling (...) I list provider, quando acquisiscono autonomamente, nell’ambito di un trattamento antecedente e del tutto indipendente da quello legato all’esecuzione delle comunicazioni commerciali, i dati personali al fine di creare liste da cedere ad altri soggetti, agiscono in qualità di titolari del trattamento».

Anche l’Autorità si è ripetutamente pronunciata sulla qualificazione dei ruoli soggettivi nell’ambito delle attività di telemarketing, applicando pedissequamente le disposizioni appena citate (ex multis Provvedimenti nn. 248 e 249 del 29 aprile 2025, doc. web nn. 10145986 - 10146517, disponibili per la consultazione sul sito www.gpdp.it).

Sotto altro e diverso versante, dall’istruttoria espletata è emerso che la Società non aveva implementato nemmeno procedure adeguate per assicurare l’ottemperanza alla normativa vigente in materia di diritti degli interessati, né aveva fornito adeguate istruzioni ai propri collaborazioni in ordine all’evasione delle istanze formulate verbalmente. Difatti, pur ammettendo di avere regolarmente ricevuto sia le istanze formulate verbalmente dal Sig. XX, che la richiesta ex artt. 15 e ss. del Regolamento trasmessa a mezzo posta elettronica certificata in data 11 giugno 2024, la Società non ha fornito riscontro nei termini di legge, né ha inteso addurre alcuna idonea scusante in ordine ai motivi di tale ritardo.

Le circostanze imprevedibili addotte dalla Società, infatti, nel caso di specie possono sortire efficacia esimente in ordine al tardivo riscontro alle richieste dell’Autorità, che costituiscono un evento estraneo all’ordinaria amministrazione e che implicano il necessario coinvolgimento dei vertici aziendali. Al contrario, la gestione delle istanze di esercizio dei diritti da parte degli interessati costituisce un adempimento di natura ordinaria e ricorrente, che dovrebbe essere disciplinata dalle prassi aziendali e dalle istruzioni impartite dal titolare ai propri collaboratori.

Infine, anche i trattamenti effettuati sui dati personali raccolti mediante il form presente sul sito web aziendale e utile all’inoltro delle richieste di ricontatto, non appaiono pienamente in linea con la vigente normativa. Tale form non presenta, infatti, misure preordinate alla verifica dell’identità degli interessati e dell’esattezza dei dati personali inseriti. Né la Società ha fornito evidenza di eventuali controlli successivi. Peraltro, nonostante le rassicurazioni fornite dalla Società nel corso del procedimento, il form appare ancora funzionante nella sua originaria configurazione e l’informativa non risulta attualmente consultabile.

Deve quindi definitivamente confermarsi la responsabilità di E-Power in ordine alle violazioni contestate.

3. CONCLUSIONI

Per quanto sopra esposto, si ritiene, preliminarmente di dovere archiviare ai sensi dell’art. 11, comma 1, lett. b) del regolamento interno n. 1/2019 la contestazione relativa alla violazione degli artt. 157 del Codice e 31 e 58 del Regolamento.

Considerato, inoltre, che nei confronti di E-Power sono pervenuti all’Autorità n. 22 segnalazioni e un reclamo relativi a contatti indesiderati e che tali chiamate risultano essere state poste in essere, nella totalità dei casi, al di fuori dei presupposti di liceità previsti dalla vigente normativa, preso atto delle considerazioni difensive, si ritiene accertata la responsabilità della Società in ordine alle seguenti violazioni:

a) artt. 5, 6, 7 e 24 del Regolamento, nonché 130 del Codice per aver effettuato - e continuare ad effettuare - i sopra descritti trattamenti di dati personali in contrasto con i principi di liceità e responsabilizzazione, in assenza di un’idonea base giuridica e mettendo in atto misure tecniche e organizzative non adeguate per garantire, fin dalla progettazione, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento con riferimento all’idoneità della base giuridica e al rilascio di un regolare consenso;

b) artt. 12, 15, 17 e 21 del Regolamento per l’omesso riscontro all’istanza di esercizio dei diritti presentata dal reclamante;

c) artt. 5 e 24 del Regolamento, anche in relazione all’art. 4, punto 7) del Regolamento, per avere effettuato trattamenti di dati personali con finalità promozionali senza la previa corretta individuazione del ruolo soggettivo ricoperto e di conseguenza in violazione dei doveri che derivano dal ruolo ricoperto;

d) artt. 5 e 13 del Regolamento in relazione al trattamento dei dati raccolti mediante il form presente sul sito web aziendale.

Accertata, altresì, l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario:

- imporre a E-Power, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento dei dati personali appartenenti a tutti i segnalanti e al reclamante;

- ingiungere a E-Power, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, l’implementazione delle misure adeguate a garantire che i trattamenti di dati per finalità promozionali siano realizzati in ottemperanza alla vigente normativa in materia di protezione dei dati personali, ciò anche con particolare riferimento alla selezione dei list provider, all’origine dei dati, alla validità dei consensi acquisiti e alle necessarie verifiche presso il RPO;

- ingiungere a E-Power, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, l’implementazione delle misure adeguate a garantire che i trattamenti di dati personali correlati all’utilizzo del sito web aziendale siano realizzati in ottemperanza alla vigente normativa in materia di protezione dei dati personali;

- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di E-Power della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.

4. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di E-Power della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a € 20.000.000,00 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore).

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.

Nel caso in esame, quali fattori aggravanti, assumono rilevanza:

1) la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), tenuto conto della numerosità dei soggetti interessati coinvolti, nonché dell’oggetto e delle finalità dei dati trattati, riconducibili al fenomeno complessivo del telemarketing, in ordine al quale l’Autorità ha adottato, in particolare negli ultimi cinque anni, numerosi provvedimenti che hanno compiutamente preso in esame i molteplici elementi di criticità fornendo ai titolari numerose indicazioni per adeguare i trattamenti alla normativa vigente e per attenuare l’impatto delle chiamate di disturbo nei confronti degli interessati;

2) il carattere colposo della violazione (art. 83, par. 2, lett. b) del Regolamento), dal momento che la Società ha dimostrato grave negligenza disinteressandosi di ogni aspetto connesso alla provenienza delle anagrafiche e alle modalità di realizzazione delle campagne promozionali realizzate nel Suo interesse.

Contestualmente, quali fattori attenuanti, assumono rilevanza:

1) il grado di cooperazione con l’Autorità di controllo al fine di porre rimedio alle violazioni e attenuarne i possibili effetti negativi (art. 83, par. 2, lett. f) del Regolamento), avendo la Società dichiarato e documentato di avere intrapreso una rilevante revisione di tutta la compliance aziendale già nel corso del presente procedimento;

2) l’assenza di precedenti procedimenti avviati a carico della Società e le caratteristiche dimensionali della Società (art. 83, par. 2, lett. k) del Regolamento), costituita da un numero limitato di dipendenti e sedi territoriali, nonché la capacità economica della stessa.

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative e funzionali della Società, si ritiene debba applicarsi a E-Power la sanzione amministrativa del pagamento di una somma di euro 35.000,00 (trentacinquemila/00), pari allo 0,17% della sanzione massima edittale.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della natura dei trattamenti e delle condotte della Società, nonché degli elementi di rischio per i diritti e le libertà degli interessati.

In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare ragionevole e proporzionata in relazione alla gravità e al particolare disvalore delle condotte oggetto di censura, soprattutto avuto riguardo alla numerosità dei soggetti interessati coinvolti, nonché al numero e alla gravità delle condotte contestate, in quanto afferenti ai principi fondamentali della normativa in materia di protezione dei dati personali.

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) provvede all’archiviazione ai sensi dell’art. 11, comma 1, lett. b) del regolamento interno n. 1/2019 della contestazione relativa alla violazione degli artt. 157 del Codice e 31 e 58 del Regolamento;

b) dichiara illecito, ai sensi dell’art. 57, par. 1, lett. a) del Regolamento, nei termini di cui in motivazione, il trattamento effettuato da parte di E-Power S.r.l, con sede legale in Via San Valentino, 8, Bussolengo (VR), P.I. 04925830236;

c) impone a E-Power, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento dei dati della reclamante;

d) ingiungere a E-Power, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, l’implementazione delle misure adeguate a garantire che i trattamenti di dati per finalità promozionali siano realizzati in ottemperanza alla vigente normativa in materia di protezione dei dati personali, ciò anche con particolare riferimento alla selezione dei list provider, all’origine dei dati, alla validità dei consensi acquisiti e alle necessarie verifiche presso il RPO;

e) ingiunge a E-Power, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, l’implementazione delle misure adeguate a garantire che i trattamenti di dati personali correlati all’utilizzo del sito web aziendale siano realizzati in ottemperanza alla vigente normativa in materia di protezione dei dati personali;

f) ingiunge a E-Power, ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

ORDINA

a E-Power S.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Via San Valentino, 8, Bussolengo (VR), P.I. 04925830236, di pagare la somma di euro 35.000,00 (trentacinquemila/00), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 35.000,00 (trentacinquemila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

a) la pubblicazione del presente provvedimento, ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019, nonché l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante della presente ordinanza di ingiunzione, come previsto dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019;

b) l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha sede il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 25 settembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Fanizza