[doc. web n. 10234589]

Provvedimento del 26 febbraio 2026

Registro dei provvedimenti
n. 127 del 26 febbraio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000 (disponibile per la consultazione sul sito www.gpdp.it, doc. web n. 1098801);

RELATORE il dott. Agostino Ghiglia;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con atto Prot. n. 173646 del 12 dicembre 2025, notificato in pari data mediante posta elettronica certificata, che qui deve intendersi integralmente riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Flamel S.r.l. (di seguito anche “Flamel” o “Responsabile”), in persona del legale rappresentante pro-tempore, con sede legale in Napoli (NA), Via M. Cervantes De Savaedra, 55/5, P.IVA 10468101216.

Il procedimento trae origine da un’istruttoria avviata a seguito della trasmissione all’Autorità di due reclami presentati rispettivamente nei confronti dell’impresa individuale S.M. Trattamento Acqua di XX (di seguito anche “S.M. Trattamento Acqua” o “Titolare”) e del responsabile del trattamento, mediante i quali l’interessato lamentava l’avvenuta ricezione di alcune chiamate indesiderate e di un messaggio di conferma sulla propria utenza telefonica iscritta al Registro Pubblico delle Opposizioni (di seguito anche “RPO”), tutti effettuati nell’interesse di S.M. Trattamento Acqua. Con la medesima doglianza l’interessato lamentava anche il mancato riscontro all’istanza di esercizio dei diritti avanzata ai sensi dell’art. 15 del Regolamento nei confronti del titolare del trattamento, ritenendo pertanto opportuno rivolgersi all’Autorità per la tutela dei diritti riconosciuti ai sensi della vigente normativa in materia di protezione dei dati personali.

1.2. Reclamo n. 434092 (cfr. Prot. n. 1198 dell’8 gennaio 2025)

Con reclamo presentato in data 5 gennaio 2025 (cfr. Prot. n. 1198 dell’8 gennaio 2025) e successivamente integrato in data 10 gennaio 2025 (cfr. Prot. n. 3819 del 14 gennaio 2025), l’interessato lamentava di aver ricevuto sulla propria numerazione mobile, iscritta al RPO, una chiamata pre-registrata, effettuata nell’interesse del titolare, mediante la quale veniva informato che nella sua regione era «possibile ora avere un depuratore a costo zero». Più in particolare, l’interessato rappresentava che, al fine di comprendere chi stesse effettuando tale chiamata indesiderata, aveva chiesto di essere ricontattato. Così, l’istante riceveva dapprima una telefonata «dal numero XX “controllo qualità” che mi ha formulato alcune domande: la provincia di residenza ed il numero dei membri della famiglia» e poi un ulteriore contatto «dal sig. XX (numero XX) il quale mi ha richiesto il dato di residenza nonché ulteriori dati personali (sulla professione mia e degli altri membri della famiglia, sulle abitudini di consumo, ecc.), ed ha affermato di operare per conto di SM Trattamento Acqua». Il reclamante rappresentava, altresì, di avere ricevuto un messaggio di conferma dell’avvenuto contatto recante «la dicitura “rif SM TRATTAMENTO ACQUA GHEDI BS” riconducibile alla Ditta S.M. TRATTAMENTO ACQUA DI XX con sede in Via Pietro Mascagni, 13 25016 Ghedi – Brescia».

Con la medesima doglianza, l’interessato lamentava anche il mancato riscontro da parte del titolare all’istanza di esercizio dei diritti avanzata a mezzo posta elettronica certificata in data 3 dicembre 2024. A tale riguardo, il reclamante precisava, altresì, di essere stato ricontattato in data 4 dicembre 2024 «da una addetta di S.M. Trattamento Acqua, sempre sulla mia utenza cellulare, per finalizzare la proposta commerciale. A tale addetta ho fatto presente che avevo inviato una PEC per richiedere l’informativa per il trattamento dati personali. L’addetta mi ha risposto che non intendeva rispondere alla PEC in quanto non temeva alcuna conseguenza».

Il reclamante trasmetteva la doglianza in esame anche all’indirizzo del titolare che, con nota del 10 gennaio 2025 (cfr. Prot. n. 3815 del 14 gennaio 2025), riscontrava l’istante dichiarando di avvalersi di Flamel per la fornitura di «lead coperti da privacy e autorizzazione del trattamento dati personali» e ne forniva i recapiti.

Successivamente, a seguito di una formale richiesta da parte dell’Ufficio, l’istante provvedeva alla regolarizzazione del reclamo (cfr. Prot. n. 51245 del 14 aprile 2025 e n. 55412 del 23 aprile 2025).

All’esito di una verifica effettuata dall’Ufficio, emergeva che nessuna delle numerazioni chiamanti indicate nell’atto di reclamo risultava iscritta presso il Registro degli Operatori di Comunicazione e postali (“ROC”).

Pertanto, esaminato l’atto di reclamo e la documentazione ivi allegata, l’Ufficio ai sensi degli artt. 58, par. 1, lett. a) del Regolamento e 157 del Codice notificava al titolare una richiesta di informazioni, invitandolo a fornire le proprie osservazioni in ordine a quanto rappresentato dall’istante, nonché maggiori informazioni sulle attività promozionali svolte e sulla gestione delle istanze in materia di diritti da parte dei soggetti interessati (cfr. Prot. n. 67971 del 20 maggio 2025).

Con nota trasmessa in data 22 maggio 2025 il titolare riscontrava le richieste dell’Ufficio, fornendo copia della privacy policy aziendale, dell’ordine di acquisto delle anagrafiche, nonché della fattura giustificativa dell'acquisto (cfr. Prot. n. 69633/2025).

Con particolare riferimento alla provenienza delle anagrafiche, nell’ordine di acquisto veniva riportata la dicitura «Modalità di acquisizione e procacciamento dei lead: Meta, Tik Tok, Voicebot».

1.3. Reclamo n. 446644 (cfr. Prot. n. 19519 del 14 febbraio 2025)

Con istanza del 13 febbraio 2025 (cfr. Prot. 19519 del 14 febbraio 2025), il reclamante reiterava il medesimo atto di reclamo già presentato in data 8 gennaio 2025 – chiarendo solo successivamente nel corso dell’istruttoria che tale doglianza si riferiva propriamente al responsabile - e trasmetteva la documentazione riguardante l’istanza di esercizio dei diritti avanzata in data 10 gennaio 2025 nei confronti di Flamel. Con riscontro del 30 gennaio 2025, il responsabile aveva chiarito all’interessato che i lamentati contatti erano avvenuti a causa di un errore informatico occorso nella consultazione del RPO e che i dati personali e i consensi da parte del reclamante erano stati acquisiti in data 11 aprile 2022 attraverso un form presente sul sito www.ilmegafono.info, riconducibile alla Wonderlead Global LTD.

Sul punto, il reclamante evidenziava che «L’indirizzo IP indicato risulta geolocalizzato a Genova, città nella quale non mi sono recato nel periodo indicato» e dichiarava di non avere mai consultato il sito richiamato.

Esaminato l’atto di reclamo e la documentazione allegata, l’Ufficio ai sensi degli artt. 58, par. 1, lett. a) del Regolamento e 157 del Codice, notificava al titolare una richiesta di informazioni, invitandolo a trasmettere le proprie osservazioni in ordine a quanto rappresentato con il predetto reclamo, nonché a fornire informazioni sulle attività di telemarketing e teleselling svolte nel proprio interesse e sulla gestione delle istanze in materia di diritti degli interessati (cfr. Prot. n. 58620 del 2 maggio 2025).

Con nota del 9 maggio 2025 (cfr. Prot n. 63710 del 12 maggio 2025) il titolare rappresentava che «dopo aver letto e contattato nuovamente il nostro fornitore di leads dal quale già conoscete le generalità avendogliele inviate in risposta alla vostra precedente richiesta, la invitiamo a rivolgersi a loro poichè da parte nostra non vi è nessuna responsabilità in quanto acquistiamo leads dichiarati coperti da privacy. La invitiamo a colloquiare con gli avvocati di Flamel in modo da trovare la definizione del tutto con loro. Siamo altresì a conoscenza di un contatto avvenuto in precedenza con la stessa e di un probabile accordo già in essere».

1.4. Riunione dei procedimenti ai sensi dell’art. 10, comma 4, del regolamento interno n. 1/2019

Considerata la coincidenza oggettiva – e in parte anche soggettiva - delle doglianze presentate dal reclamante, ai sensi dell’art. 10, comma 4, del regolamento interno n. 1/2019 (disponibile per la consultazione sul sito www.gpdp.it, doc-web n. 9107633), l’Ufficio riteneva opportuno provvedere alla trattazione congiunta dei reclami nn. 434092 e 446644, atteso che la riunione dei procedimenti consentiva di dare piena attuazione ai principi di economicità e ragionevole durata del procedimento e di garantire, al contempo, anche il diritto di difesa e di non aggravamento del procedimento riconosciuto dalla legge al titolare del trattamento.

Tale riunione veniva comunicata al reclamante e nella medesima occasione, veniva trasmessa anche la nota di riscontro alla richiesta d’informazioni fatta pervenire dal titolare, rammentando la facoltà di presentare eventuali osservazioni (cfr. Prot. n. 136902 del 15 ottobre 2025).

1.5 La richiesta di informazioni integrativa formulata dall’Autorità

Preso atto delle circostanze rappresentate e di tutta la documentazione versata agli atti del procedimento, con nota del 15 ottobre 2025 (cfr. Prot. n. 136911/2025) l’Ufficio invitava S.M. Trattamento Acqua e Flamel a fornire le proprie osservazioni in ordine a quanto rappresentato dal reclamante e taluni chiarimenti in merito ai trattamenti dei dati effettuati per finalità promo-pubblicitarie.

Così, con nota trasmessa il 4 novembre 2025 (cfr. Prot. n. 146594 del 5 novembre 2025), il titolare riscontrava la richiesta d’informazioni dell’Ufficio, chiarendo che i rapporti intrattenuti con Flamel avevano «natura prettamente commerciale», avendo acquisito da tale società «leads proveniente dalle piattaforme meta» e precisando di non poter fornire chiarimenti in merito al «trattamento dati effettuati da Flamel in quanto non è di nostra pertinenza».

Il titolare chiariva poi di non aver raggiunto alcun accordo risarcitorio con l’interessato, rappresentando al contempo che probabilmente Flamel avrebbe invece riconosciuto al reclamante la somma di € 500,00 a titolo risarcitorio.

In merito al coinvolgimento di Wonderlead Global LTD, S.M. Trattamento Acqua riferiva di essere estranea ai rapporti commerciali intrattenuti da Flamel con tale società.

Riguardo all’istanza di esercizio dei diritti avanzata dal reclamante in data 3 dicembre 2024, il titolare rappresentava di non aver fornito riscontro in quanto, alla luce di un confronto con il proprio consulente legale, aveva ritenuto di non essere responsabile delle anagrafiche fornite da Flamel, considerando incombenza di quest’ultima fornire una risposta all’interessato.

Rispetto alle attività di teleselling svolte e, segnatamente, alla «lavorazione di lead acquistati da società terzi», S.M. Trattamento Acqua riferiva che «Il lead arriva su foglio condiviso da Flamel con nominativo telefono e città. Sono i nominativi già contattati dalla Flamel e interessati ad una consulenza per acquisto di un depuratore acqua, quindi lead che hanno già dato il loro consenso alla chiamata. Il lead viene contattato dai nostri collaboratori per fissare un appuntamento con il commerciale». Il titolare chiariva poi che «le campagne non hanno mai avuto il logo sm trattamento acqua in quanto semplicemente campagne generiche».

Infine, S.M. Trattamento Acqua rilevava che «Non essendo nostro compito, non abbiamo idea delle modalità di selezione dei list provider e dei partner commerciali coinvolti nel trattamento dei dati».

Con nota trasmessa il 4 novembre 2025 (cfr. Prot. n. 146600 del 5 novembre 2025), anche Flamel trasmetteva i chiarimenti richiesti, precisando preliminarmente che «all'epoca dei fatti oggetto di reclamo, era un'impresa di recente costituzione, che muoveva i primi passi nel settore del marketing digitale. Il rapporto con la D.I. S.M. Trattamento Acqua di XX (…) ha rappresentato, di fatto, la prima commessa effettiva» e che «le procedure interne in materia di privacy, sebbene presenti, non avevano ancora raggiunto il livello di strutturazione e maturità oggi implementato». Flamel rappresentava, altresì, di avere di recente «intrapreso un percorso di profondo adeguamento e potenziamento delle proprie policy interne, che ha portato, tra le altre cose, alla successiva nomina di un Responsabile della Protezione dei Dati (DPO) e all'adozione di più stringenti procedure di verifica dei partner commerciali».

Con specifico riguardo al rapporto intercorrente tra S.M. Trattamento Acqua e Flamel, quest’ultima rilevava che lo stesso era «qualificabile come un contratto di prestazione di servizi di marketing. S.M. Trattamento Acqua, in qualità di Committente e Titolare del trattamento, ha incaricato Flamel di ideare e gestire una campagna di lead generation. Il ruolo di Flamel era quello di fornitore del servizio, agendo quale Responsabile del trattamento. I trattamenti effettuati da Flamel per conto di S.M. Trattamento Acqua consistevano nell'ideazione della campagna marketing, nell'acquisizione di liste di contatti da un fornitore terzo specializzato e nella successiva trasmissione di tali liste a un call center per l'effettuazione dei contatti telefonici. Flamel non ha effettuato direttamente alcun contatto telefonico con gli interessati». A tale riguardo, Flamel ha prodotto copia del modulo d’ordine sottoscritto tra le parti in data 29 agosto 2024, rappresentando che «tale documento costituiva l'accordo principale tra le parti per la campagna in oggetto».

Con riferimento alle istanze di esercizio dei diritti riconosciuti agli interessati, il responsabile riferiva di garantire «l'esercizio dei diritti degli interessati attraverso la gestione delle richieste che le pervengono» e in relazione alla richiesta formulata dal reclamante chiariva di aver «immediatamente provveduto a inserire i suoi dati in una blacklist interna per assicurare che non venisse più contattato per alcuna campagna gestita da Flamel».

In merito all’eventuale raggiungimento di un accordo risarcitorio con l’interessato, Flamel evidenziava che «nessuna somma a titolo risarcitorio è stata accordata o corrisposta all'odierno reclamante da parte di Flamel S.r.l. Ma vi è piena volontà nelle more del presente procedimento a trovare un accordo bonario (…) ai soli fini transattivi».

Rispetto ai rapporti commerciali intrattenuti con Wonderlead Global LTD, il responsabile rappresentava che tale società «era il fornitore specializzato dal quale Flamel S.r.l. ha acquistato le liste di contatti ("leads") utilizzate per la campagna di S.M. Trattamento Acqua, la quale era stata informata di tale circostanza. Il ruolo di Wonderlead Global LTD era quello di autonomo Titolare del trattamento per la fase di raccolta dei dati e del relativo consenso. Nel contratto di fornitura stipulato con Flamel, Wonderlead Global LTD ha garantito la provenienza e la liceità della raccolta dei dati, nonché la sussistenza di un idoneo consenso degli interessati alla comunicazione a terzi per finalità di marketing. Flamel ha agito in buona fede, confidando sulle garanzie contrattuali fornite da un operatore specializzato del settore».

Inoltre, Flamel rappresentava che «L'origine dei dati dell'odierno reclamante, per quanto a conoscenza di Flamel, è da ricondursi alla società Wonderlead Global LTD. Quest'ultima ha dichiarato di aver raccolto i dati tramite un form online sul sito ilmegafono.info. Flamel non ha avuto alcun ruolo nella fase di raccolta originaria e si è basata sulle dichiarazioni e garanzie del proprio fornitore».

Quanto alla dicitura «Modalità di acquisizione e procacciamento dei lead: Meta, Tik Tok, Voicebot» presente nel modulo d'ordine sottoscritto con S.M. Trattamento Acqua, Flamel precisava che «tale indicazione rappresentava una descrizione generale delle metodologie che il fornitore (Wonderlead) dichiara di utilizzare per la generazione dei contatti, e non una certificazione della specifica fonte di ogni singolo dato fornito».

Più in generale, Flamel rappresentava che l'attività dalla stessa svolta non consisteva nella commercializzazione di liste di contattabilità, in quanto «Il (…) modello di business si basa sulla progettazione e gestione di campagne di marketing per conto di clienti terzi. Tale attività include la definizione della strategia, l'acquisizione di contatti qualificati da fornitori specializzati, come Wonderlead, e il coordinamento delle attività operative, che vengono affidate a partner esterni, come i call center. Flamel non crea né possiede database propri per finalità di marketing, ma acquisisce di volta in volta le anagrafiche necessarie per le singole campagne commissionate, sulla base delle garanzie fornite dai cedenti circa la liceità del trattamento (…) Flamel S.r.l. non vende liste di contattabilità, ma le utilizza esclusivamente nell'ambito delle campagne di marketing commissionate dai propri clienti».

Infine, Flamel precisava che «l'attività operativa di contatto telefonico per la campagna di S.M. Trattamento Acqua è stata affidata a un call center esterno, la società Z1on S.r.l.s. (…) Tale società era stata incaricata di effettuare le chiamate e di eseguire la preventiva verifica delle liste sul Registro Pubblico delle Opposizioni (RPO). Il contatto indesiderato lamentato (…) è dunque riconducibile a un errore operativo occorso in tale fase, non direttamente imputabile a Flamel, che aveva demandato tale specifico adempimento».

1.6. Osservazioni del reclamante

Con nota trasmessa il 24 ottobre 2025 (cfr. Prot. n. 141503/2025), il reclamante faceva pervenire le proprie osservazioni contestando integralmente la ricostruzione fattuale prospettata dal titolare nell’ambito dei riscontri forniti all’Autorità ed evidenziando in particolare che «la risposta di Flamel s.r.l. (allegata al reclamo del 13/02/2025) dà evidenza del fatto che il dato personale del sottoscritto deriverebbe da un consenso prestato nel 2022. Il dato, quindi, non poteva essere utilizzato per finalità di marketing e doveva essere cancellato. 6. Non risulta alcuna prova che il sottoscritto abbia fornito il consenso al trattamento. 7. Il sottoscritto non ha mai fornito il consenso al trattamento, non ha mai consultato il sito “ilmegafono.info”».

1.7. Contestazione delle violazioni

L’Ufficio, all’esito dell’istruttoria, adottava il 12 dicembre 2025 l’atto di contestazione Prot. n. 173646/25 nel quale si rilevava preliminarmente che Flamel aveva agito in assenza di qualsivoglia investitura formale in relazione ai trattamenti svolti per conto di S.M. Trattamento Acqua.

L’Ufficio rilevava, altresì, che nell’adempimento dell’incarico conferito da S.M. Trattamento Acqua, Flamel si era avvalsa di Z1on S.r.l.s. per la realizzazione delle chiamate e delle verifiche presso il RPO, senza la previa individuazione del ruolo soggettivo e comunque in assenza delle autorizzazioni previste dalla normativa vigente in materia di protezione dei dati personali.

Dipoi, l’Ufficio riteneva che Flamel fosse venuta meno anche ai doveri di informazione e segnalazione nei confronti del titolare stabiliti dal Regolamento.

Pertanto, veniva contestata la presunta violazione degli artt. 4 e 28 del Regolamento per avere effettuato trattamenti di dati personali senza la previa investitura formale e in violazione degli obblighi sanciti dalla vigente normativa in capo al responsabile del trattamento.

2. LA DIFESA DEL TITOLARE

Con nota del 8 gennaio 2026 (cfr. Prot. n. 2131 del 9 gennaio 2026), Flamel presentava istanza di proroga del termine previsto dalla legge per il deposito degli scritti difensivi e della richiesta di essere sentita dall’Autorità. Pertanto, in accoglimento dell’istanza in parola, tale termine veniva prorogato sino al 27 gennaio 2026.

Successivamente, con nota del 26 gennaio 2026 (cfr. Prot. n. 11807 del 28 gennaio 2026), il responsabile trasmetteva i propri scritti difensivi, in base a quanto previsto dall’art. 166, comma 6, del Codice e dall’art. 13 del regolamento del Garante n. 1/2019 (disponibile per la consultazione sul sito www.gpdp.it, doc-web n. 9107633).

In tale occasione, Flamel preliminarmente precisava che la gestione delle istanze di esercizio dei diritti degli interessati, svolta per conto di ciascun committente in qualità di responsabile del trattamento, avveniva secondo quanto stabilito dalle istruzioni ricevute e contenute all’interno dell’atto di designazione ex art. 28 del Regolamento e che tanto avveniva anche con riferimento a quelle inerenti ai trattamenti svolti per conto di S.M. Trattamento Acqua.

A tale riguardo, Flamel trasmetteva copia dell’atto di designazione a responsabile del trattamento da parte del titolare, evidenziando che tale nomina era stata sottoscritta e inviata a S.M. Trattamento Acqua in data 2 settembre 2024. Flamel precisava, inoltre, che, soltanto a seguito della notifica dell’atto di contestazione da parte dell’Ufficio, si era avveduta della circostanza che la documentazione in questione era stata trasmessa a un indirizzo mail errato, che il sistema aveva restituito un messaggio di errore e che pertanto il titolare non aveva mai restituito la nomina apponendo la propria sottoscrizione. La nomina conteneva la descrizione dei dati personali e delle finalità del trattamento; le istruzioni per il trattamento dei dati personali; la lista dei sub-responsabili approvati (i.e. Z1on); le misure di sicurezza fisiche, logiche e organizzative; i contatti per la gestione delle violazioni dei dati.

Flamel rappresentava, inoltre, che in data 12 gennaio 2026 era stata introdotta una nuova procedura che prevede «(1) Invio tramite PEC al committente della proposta commerciale sottoscritta dalla Società; (2) Definizione dell’atto di designazione a responsabile del trattamento in accordo con il committente; (3) Sottoscrizione da parte della Società dell’atto di designazione a responsabile del trattamento ed invio dello stesso al committente tramite PEC; (4) Il Privacy Manager della Società verifica di aver ricevuto la proposta commerciale e l’atto di designazione a responsabile del trattamento sottoscritti dal committente e dalla Società e, solo dopo tale verifica formale, comunica internamente che è possibile iniziare le attività previste dal contratto».

Quanto alla richiesta risarcitoria avanzate dal reclamante, Flamel evidenziava che «in data 30.01.2025 la Società riceveva una PEC nella quale il reclamante (…) chiedeva: “[...] il risarcimento del danno patito che quantifico in € 500,00. Vorrete provvedere al pagamento mediante bonifico (…) intestato al sottoscritto entro e non oltre 8 giorni dalla ricezione della presente. In difetto, agirò nelle competenti sedi con aggravio di oneri a Vs. integrale carico”», rispetto alla quale era stata contestata la fondatezza e che pertanto non era stata corrisposta nessuna somma in favore dell’interessato.

Con specifico riferimento al disconoscimento dell’indirizzo IP da parte del reclamante, Flamel precisava che gli elementi «che potrebbero aver confuso la percezione del luogo relativo alla precisa ubicazione del proprio ISP (Internet Service Provider) di riferimento potrebbero dipendere da molti fattori», quali «(1) Uso di Proxy o VPN: (a) Se l'utente sta utilizzando una VPN, proxy, o servizio di anonimizzazione, il sito web registrerà l'IP del server intermediario e non quello effettivo della connessione dell'utente; (b) Alcuni browser (come Opera) offrono VPN integrate attivate automaticamente; (c) Anche le reti aziendali spesso usano proxy per instradare il traffico internet. (2) Uso di una rete mobile (Carrier-Grade NAT): (a) Gli operatori mobili spesso utilizzano CG-NAT (Carrier-Grade NAT), assegnando un IP pubblico condiviso tra più utenti. Questo può far sembrare che l'IP non appartenga all'ISP dell'utente; (b) L'IP assegnato può variare frequentemente e appartenere a un data center o a una rete diversa da quella dell’operatore mobile. (3) CDN e servizi di bilanciamento del carico: (a) Se il sito web utilizza una Content Delivery Network (CDN) (es. Cloudflare, Akamai) o sistemi di bilanciamento del carico, potrebbe registrare l'IP di un nodo intermedio anziché quello reale dell'utente. (4) Traduzione NAT su reti aziendali o pubbliche: (a) In molte reti aziendali, gli utenti navigano con un IP pubblico condiviso, diverso da quello della loro connessione locale; (b) Lo stesso avviene in reti pubbliche (es. Wi-Fi di hotel, aeroporti, coworking) che possono usare un NAT centralizzato. (5) Interferenze da firewall o software di sicurezza: (a) Alcuni software di sicurezza o firewall possono modificare l'IP visibile per proteggere la navigazione, specialmente in contesti aziendali. (6) Uso di un servizio cloud o RDP (Remote Desktop): (a) Se l'utente è connesso da un server remoto (es. Amazon AWS, Google Cloud, Microsoft Azure), il sito web registrerà l’IP del server e non quello della sua rete domestica. (7) Connessione a un hotspot Wi-Fi pubblico o privato: (a) Se l'utente si connette a una rete Wi-Fi pubblica (es. bar, ristoranti, coworking), l'IP sarà quello dell'ISP che fornisce il servizio all'hotspot e non il suo provider abituale. (8) Uso di reti TOR: (a) Se l'utente naviga tramite TOR, l'IP registrato sarà quello di un nodo di uscita della rete e non quello reale».

Flamel rappresentava di aver recentemente sottoscritto con una «società specializzata in protezione dei dati personali e sicurezza delle informazioni, un contratto di consulenza professionale avente lo scopo di assisterla mediante audit di conformità preliminare degli URL Collect, relativi alla gestione dell’acquisizione del “Consenso specifico per la comunicazione e/o cessione a soggetti terzi a fini di marketing”, fornito da parte degli interessati, verificando almeno i seguenti elementi: (1) Trasparenza - deve presentare in modo chiaro ed esaustivo le finalità della raccolta dati, inclusi i tipi di dati personali raccolti e l'utilizzo previsto: (a) dell'informativa resa ai sensi dell’art. 13 del Regolamento; (b) ove previsto, designazione del Rappresentante UE ai sensi dell’art. 27 del Regolamento; (c) assenza di precedenti sanzioni da parte dell’Autorità di controllo competente; (d) l'esperienza d'uso. (2) Consenso e cessione a terzi - valutare la presenza di meccanismi per la raccolta del consenso esplicito, e che le politiche di cessione dei dati siano conformi ai requisiti normativi e alle politiche aziendali interne: (a) presenza del meccanismo double opt-in; (b) validità del consenso prestato dall’interessato non superiore a ventiquattro mesi; (c) richiesta, alla sottoscrizione del contratto, di un campione dei log dei consensi registrati in double opt-in (opponibili a terzi). (3) Sicurezza dei dati - verifica delle misure di sicurezza implementate per proteggere i dati raccolti tramite i form di acquisizione dati. (4) Diritti degli interessati - assicurarsi che siano riportate informazioni chiare sui diritti degli interessati e sulle modalità per esercitarli, come l'accesso, la rettifica o la cancellazione dei dati personali e la possibilità di ottenere la disiscrizione». Per l’effetto, a seguito di tali verifiche e a partire dal 12 gennaio 2026 la predetta società di consulenza «procede a qualificare i record ceduti dal List provider, per conto di ciascun committente, come da procedura interna, di cui si evidenziano i flussi principali: (1) Acquisizione dal List provider della lista dei contatti contenente i record dell’URL Collect (di seguito “Lista”) tramite la ricezione del file con tecnologie informatiche che consentano la cifratura del dato. (2) Deduplicazione della Lista rispetto alla blacklist CRM del committente, per evitare che avvenga un trattamento di dati ove gli interessati abbiano già precedentemente esercitato i propri diritti nei confronti del Titolare del trattamento. (3) Comunicazione della Lista alla società di call center che effettuerà per conto del committente le attività di contatto telefonico, tramite l’invio del file con tecnologie informatiche che consentano la cifratura del dato (es. Google Sheet gestito dal titolare del trattamento)».

In merito ai rapporti contrattuali in essere con Z1on S.r.l.s., Flamel documentava di aver sottoscritto «un contratto quadro di appalto di servizi di contact center e teleselling nel quale è stata definita all’art. 11 la designazione a responsabile del trattamento ai sensi dell’art. 28 del Regolamento».

Quanto invece al mancato utilizzo di numerazioni iscritte al ROC, Flamel richiamava la disposizione dell’art. 6 del suddetto contratto, segnatamente nella parte in cui le parti prevedevano che «l’Appaltatore dichiara e garantisce, sotto la propria responsabilità, di operare in conformità alla normativa vigente applicabile alle attività di contact center e teleselling, incluse le disposizioni in materia di comunicazioni commerciali, tutela dei consumatori, comunicazioni elettroniche e protezione dei dati personali», rappresentando che, pur essendosi trattato di un episodio isolato, in data 12 gennaio 2026 erano comunque state riviste le procedure organizzative, introducendo delle specifiche misure correttive (cfr. «Nel contratto quadro di appalto di servizi di contact center e teleselling vengano indicate in allegato le numerazioni utilizzate dalla stessa nell’ambito dell’appalto. (2) In caso di modifica delle numerazioni, l’appaltatore sia obbligato a comunicare tramite PEC alla Società le nuove numerazioni. (3) Vengano verificate le numerazioni indicate dall’appaltatore sul portale dell’AGCOM (https://datiroc.agcom.it/numerazionicallcenter) e qualora le stesse non risultino presenti, l’invio di una PEC all’appaltatore nella quale si informa della sospensione cautelativa del servizio fino al ripristino della conformità richiesta dalle normative vigenti in materia. Tale verifica viene eseguita alla sottoscrizione del contratto e durante l’esecuzione dello stesso. (4) Vengano fornite evidenze relative alle attività di bonifica svolte sul Registro Pubblico delle Opposizioni al fine di escludere numerazioni/soggetti iscritti al RPO»).

Rispetto alla contestazione relativa all’assenza di un meccanismo di conferma della volontà dell’interessato di essere ricontattato (cd. Double opt-in), Flamel riferiva di aver «avviato una rigida procedura di selezione e monitoraggio costante delle URL Collect» nonché di aver «provveduto a inserire in blacklist tutte le liste acquisite in assenza dei requisiti previsti dalle normative vigenti (es. assenza di meccanismo double opt-in)».

Con riferimento ai profili di gravità Flamel evidenziava che l’episodio oggetto di contestazione era circoscritto ad una sola chiamata e che «sulla base dei dati di fatturazione emessa verso tale committente, al netto delle note di credito, risultano complessivamente vendute n. 577 lead qualificate».

Infine, la Società ribadiva le misure adottate già nel corso del procedimento atte a rafforzare la propria compliance in materia di protezione dei dati personali e a porre rimedio alle criticità riscontrate, nonché i costi in tal senso sostenuti.

3. VALUTAZIONI DELL’AUTORITÀ

Va in primo luogo rappresentato che la documentazione e le osservazioni fornite da Flamel nel corso del procedimento non appaiono idonee a escludere la responsabilità della società in relazione alle violazioni contestate.

Con riferimento ai trattamenti di dati personali svolti da Flamel nell’interesse di S.M. Trattamento Acqua è pacificamente emerso che S.M. Trattamento Acqua abbia assunto il ruolo di titolare del trattamento, mentre Flamel abbia svolto i compiti tipicamente demandati al responsabile del trattamento.  

Tuttavia, nonostante nei riscontri forniti all’Autorità abbiano ripetutamente riconosciuto tale allocazione dei ruoli soggettivi, di fatto le parti non hanno mai validamente sottoscritto alcuna nomina a responsabile del trattamento dei dati personali ai sensi e per gli effetti dell’art. 28 del Regolamento, né risulta rilasciata l’autorizzazione richiesta dalla legge ai fini dell’affidamento di talune operazioni a Z1on S.r.l.s..

In base alla tesi difensiva prospettata da Flamel, tale mancanza è occorsa a causa di un errore di digitazione dell’indirizzo e-mail utilizzato per lo scambio della documentazione contrattuale.

Tuttavia, atteso il particolare rigore richiesto dalla normativa di riferimento in ordine alle formalità correlate al conferimento della nomina e considerato, altresì, che per stessa ammissione di Flamel, l’atto di designazione non è mai giunto nella sfera di conoscibilità del titolare e di conseguenza non è mai stato sottoscritto, le osservazioni avanzate sul punto non appaiono dirimenti.

A tale riguardo, infatti, la lettera dell’art. 28 del Regolamento è chiara nel sancire l’obbligo di disciplinare i trattamenti affidati al responsabile del trattamento attraverso un contratto o un altro atto giuridico. Tanto è vero che la norma appena richiamata, pur lasciando una considerevole libertà nella scelta della forma, ne elenca poi gli elementi essenziali.

Analoghe considerazioni devono ritenersi valevoli anche rispetto alle modalità di individuazione del sub-responsabile, atteso che l’art. 28 del Regolamento prevede persino un duplice ordine di formalità, caratterizzato dalla previa autorizzazione generale o speciale da parte del titolare del trattamento e dalla stipula di un contratto o di un altro atto giuridico, che contenga almeno tutti gli elementi previsti all’art. 28, par. 4 del Regolamento.

È di palmare evidenza che nell’ambito di una disciplina di matrice europea e in larga parte scevra da particolari formalismi, quale deve essere considerata la normativa in materia di protezione dei dati personali, negli episodici casi in cui il legislatore abbia richiesto una particolare forma, tale adempimento debba ritenersi imprescindibile.

L’interpretazione appena illustrata è corroborata anche dalle disposizioni contenute all’interno delle Linee Guida n. 07/2020 nella parte in cui si chiarisce che «Qualsivoglia trattamento di dati personali da parte di un responsabile del trattamento deve essere disciplinato da un contratto o altro atto giuridico, a norma del diritto dell’Unione o degli Stati membri, concluso tra il titolare e il responsabile del trattamento, conformemente all’articolo 28, paragrafo 3, del GDPR (…) Tale atto giuridico deve essere per iscritto, anche in formato elettronico. 41 Pertanto, gli accordi non scritti (indipendentemente dalla completezza o dall’efficacia) non possono essere considerati sufficienti per soddisfare i requisiti di cui all’articolo 28 del GDPR (…) Poiché il regolamento stabilisce con chiarezza l’obbligo di stipulare un contratto scritto, qualora non sia in vigore nessun altro atto giuridico pertinente si ha una violazione del GDPR. Sia il titolare sia il responsabile del trattamento hanno la responsabilità di garantire l’esistenza di un contratto o di un altro atto giuridico che disciplini il trattamento (…). 43 Fatte salve le disposizioni di cui all’articolo 83 del GDPR, l’autorità di controllo competente potrà infliggere una sanzione amministrativa pecuniaria sia al titolare sia al responsabile del trattamento, tenendo conto delle circostanze di ogni singolo caso».

Analogamente anche l’affidamento di talune attività di trattamento di dati personali a Z1on S.r.l.s., risulta realizzata in violazione dell’art. 28 del Regolamento nella parte in cui prevede che il responsabile del trattamento non possa ricorrere a un altro responsabile senza la previa autorizzazione scritta, specifica o generale, del titolare del trattamento.

A tal fine, non appare dirimente nemmeno la nomina a responsabile del trattamento conferita da Flamel nei confronti di Z1on S.r.l.s. in relazione ai servizi di contact center e teleselling svolti in esecuzione del contratto quadro sottoscritto tra le parti.

Tale nomina, infatti, si riferisce a trattamenti di dati personali svolti da Flamel in qualità di titolare del trattamento e non contiene alcun riferimento ad S.M. Trattamento Acqua, né all’autorizzazione da questa rilasciata. Se Flamel avesse voluto provvedere alla corretta individuazione dei ruoli soggettivi e al conferimento della designazione di rito, invece, avrebbe dovuto farlo nei modi e nelle forme prescritte all’art. 28, par. 4 del Regolamento.

Si aggiunga che l’art. 28 del Regolamento impone al responsabile del trattamento di informare senza indugio il titolare qualora ritenga che una delle istruzioni impartite da quest’ultimo risulti in contrasto con le previsioni del Regolamento o, più in generale, con le norme vigenti in materia di protezione dei dati personali.

Pertanto, pur ritenendo meritevole di apprezzamento la circostanza che Flamel si sia adoperata in ordine alla predisposizione della pertinente documentazione, si rileva che la medesima avrebbe potuto e dovuto prontamente verificare la completezza dei carteggi onde segnalare a S.M. Trattamento Acqua le irregolarità riguardanti il mancato conferimento delle nomine e delle autorizzazioni previste dalla legge, nonché quelle relative al processo di raccolta dei dati e dei susseguenti trattamenti effettuati per finalità promozionali.

A tale ultimo riguardo si rileva, infatti, che le attività promozionali effettuate nei confronti dell’odierno reclamante sono state realizzate in assenza di un’idonea base giuridica, utilizzando numerazioni non iscritte al ROC e, di conseguenza, in violazione degli artt. 5, 6 e 7 del Regolamento e art. 130 del Codice.

All’esito dello svolgimento delle attività istruttorie, risulta acclarato che S.M. Trattamento Acqua ha acquistato l’anagrafica dell’odierno reclamante da Flamel, la quale a sua volta ha riconosciuto di averla acquisita da una società inglese denominata Wonderlead Global LTD. Quest’ultima ha dichiarato di avere raccolto i dati attraverso un form online presente sul sito www.ilmegafono.info, riconducibile alla titolarità della medesima Wonderlead Global LTD.

Se Flamel avesse diligentemente verificato l’origine dei dati personali utilizzati per la realizzazione della campagna promozionale commissionata da S.M. Trattamento Acqua, anche la sola presa visione del sito www.ilmegafono.info – peraltro non navigabile e riconducibile a una società inglese - avrebbe rivelato che i form e le informative ivi utilizzate non consentivano di acquisire un valido consenso da parte dell’interessato per la cessione dei dati a terzi ai fini promozionali.

Esaminando l’informativa presente sul sito, infatti, si apprendeva che i dati degli utenti venivano ceduti a una moltitudine di destinatari, stabiliti in varie parti del mondo e appartenenti a categorie merceologiche anche molto diverse tra loro oppure a società genericamente attive nel campo del marketing, comportando di fatto la perdita di ogni controllo da parte dell’interessato sui propri dati personali. In più di un’occasione l’Autorità ha avuto modo di dichiarare l’inadeguatezza di tali modalità di acquisizione del consenso, atteso che non consentono all’interessato di esprimere una volontà libera, specifica, granulare ed effettiva, ma al contrario hanno l’effetto di determinare la diffusione dei dati a un numero indistinto di destinatari, ostacolando anche l’esercizio dei diritti degli interessati (cfr. Provv. n. 114 del 27 febbraio 2025, in www.gpdp.it, doc-web. n. 10114967 «In ragione dell’ampia formulazione utilizzata in ordine alla platea numerosa e indistinta dei cessionari dei dati personali operanti in settori molto differenti tra loro, infatti, l’interessato che voglia ricevere le offerte relative a uno o più delle categorie merceologiche ivi indicate o voglia riceverle tramite uno soltanto dei canali indicati è, di fatto, costretto a conferire un consenso unitario alla cessione indiscriminata dei propri dati a tutti, indistintamente, i soggetti terzi destinatari a scopi promozionali e non è posto nella condizione di esercitare agevolmente i diritti riconosciuti dalla vigente normativa (…) L’utilizzo di formule per l’acquisizione del consenso al trattamento dei dati personali per la cessione a terzi ai fini marketing così ampie e generiche, da non permettere all’interessato di esprimere una volontà granulare e differenziata per esempio in relazione alla categoria merceologica delle offerte commerciali che desidera ricevere (…) non permette di acquisire una valida, consapevole e inequivocabile manifestazione di volontà dell’interessato, dal momento che finisce per realizzare un’incontrollabile diffusione di dati personali a favore di una platea indistinta di operatori, minando anche la possibilità di esercitare efficacemente i diritti riconosciuti dalla legge a favore dei soggetti interessati. La manifestazione di volontà in ordine alla cessione dei dati a terzi per finalità di marketing, può considerarsi realmente libera soltanto se all’interessato è garantita una scelta effettiva e il controllo sui propri dati personali (cfr. Linee guida n. 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679, par. 3.1) (…) Invero, l’interessato deve essere posto in condizione di manifestare in maniera libera, granulare e specifica la propria volontà e dunque di potere scegliere anche per macro-categorie rispetto a quali prodotti o servizi, ricevere comunicazioni promozionali (…) A contrariis l’interessato che voglia ricevere per esempio soltanto offerte relative ai servizi di fornitura energetica, è posto dinanzi alla binaria condizione di non conferire alcun consenso oppure di conferirlo e ricevere una moltitudine di comunicazioni commerciali riguardanti anche servizi che nulla hanno a che vedere con l’ambito energetico, con una conseguente e indebita intrusione nella propria sfera di riservatezza e un’irrimediabile perdita di controllo sui propri dati personali. L’utilizzo di moduli siffatti, peraltro, redendo difficoltoso risalire alla fonte dei dati e al titolare del trattamento, mina la possibilità di esercitare i diritti riconosciuti all’interessato anche in ordine alla scelta dei mezzi utilizzati per la ricezione delle comunicazioni commerciali».

Peraltro, nel caso di specie, il link alla lista estesa dei destinatari non risultava nemmeno funzionante, determinando anche per tale ragione una carenza di trasparenza suscettibile di inficiare la validità dei consensi acquisiti mediante il portale in esame.

Inoltre, con specifico riferimento ai contatti rivolti all’odierno reclamante, risulta acclarata l’avvenuta violazione della normativa sulla protezione dei dati personali anche con riferimento alle doverose verifiche delle liste presso il RPO.

Il reclamante ha documentato di essere iscritto al RPO sin dal luglio 2024, ne consegue che, anche nel caso in cui avesse prestato il consenso nel 2022 – circostanza che per le ragioni di cui si dirà infra non risulta provata - tale manifestazione di volontà al momento della realizzazione dei contatti oggetto di doglianza sarebbe venuta meno a seguito della successiva iscrizione al RPO. Pertanto, deve ritenersi che i contatti promozionali anche sotto tale profilo siano stati realizzati in assenza di un’idonea base giuridica.

Al riguardo è stato eccepito che tale mancanza è riconducibile a un non meglio precisato errore operativo commesso dal sub-responsabile. Tuttavia, agli atti del procedimento non è stato acquisito alcun indice probatorio né con riguardo a tale errore, né più in generale all’implementazione di misure atte a garantire la realizzazione di tale adempimento.

A ciò si aggiunge anche la mancata iscrizione al ROC di tutte le numerazioni chiamanti utilizzate per la realizzazione delle chiamate oggetto di doglianza.

Ma pur prescindendo dalle questioni inerenti ai profili di validità dei consensi acquisiti tramite il portale ilmegafono.info, si rileva che in ogni caso la documentazione in atti non è sufficiente a dimostrare in modo certo, verificabile e non equivoco l’effettiva manifestazione di volontà dell’interessato.

A tale riguardo, infatti, è stata prodotta soltanto una dichiarazione formata dal list provider, recante i dati del reclamante, nonché portale, data, ora e l’indirizzo IP dell’avvenuta acquisizione, ma tuttavia priva di qualsivoglia misura che ne garantisca l’immodificabilità e l’inequivocabilità, nonché di elementi di dettaglio in ordine alla formazione e conservazione di tali registrazioni.  

Peraltro, in più occasioni l’Autorità si è già espressa in merito al rigoroso onere probatorio gravante sul titolare rispetto alla provenienza dei dati personali e con particolare riguardo  alla valenza probatoria dei file di log e della combinazione IP-ora di registrazione, in più occasioni tali registrazioni non sono state valutate idonee, di per sé, a comprovare la reale ed effettiva volontà dell’interessato, trattandosi appunto di documentazione modificabile e carente dei requisiti di inequivocabilità (ex multis Provv. 4 giugno 2025, n. 330, doc. web n. 10143278 e Provv. 15 dicembre 2022, n. 429 doc. web n. 9852290, disponibili per la consultazione sul sito www.gpdp.it).

A ciò si aggiunga che anche le considerazioni illustrate da Flamel in ordine a tutte quelle componenti che possono influire sulla registrazione dell’indirizzo IP, di fatto, hanno l’effetto di corroborare anche sotto tale profilo la valutazione sinora prospettata circa l’inadeguatezza probatoria di tale tipologia di informazione.

Inoltre, nel caso di specie la documentazione prodotta a riprova del consenso è stata integralmente contestata dal reclamante che, rendendo dichiarazioni ai sensi del 168 del Codice, ha negato di aver visitato il sito in questione, di aver prestato il consenso, nonché la riconducibilità dell’indirizzo IP alla sua persona, precisando che l’indirizzo IP riportato nei log non è riferibile a un luogo in cui egli si è recato nel periodo indicato.

Né agli atti del procedimento risulta che fosse stato implementato un meccanismo di verifica dell’identità dell’interessato o di conferma della volontà di essere ricontattato (p.e. double opt-in), tale da corroborare gli elementi probatori forniti dalle parti e superare le contestazioni del reclamante, di guisa che anche sotto tale profilo non risulta assolto l’onere della prova circa la sussistenza di un’idonea base giuridica per il trattamento dei dati per finalità promozionali.

L’Autorità, di recente e in più di un’occasione, ha avuto modo di chiarire che «la documentazione del consenso in modalità double opt-in (…) offre maggiori garanzie e può considerarsi, allo stato dell'arte, una misura minima di protezione per l'interessato ma anche per lo stesso titolare, tenuto a comprovare la liceità del trattamento. Pertanto, tale misura (o qualsiasi altra che possa offrire un pari livello di garanzia) rientra perfettamente nel quadro normativo, in ragione del combinato disposto dell'art. 7, par. 1 e dell'art. 24, par. 1 del Regolamento poiché il titolare, tenuto conto del contesto e dei potenziali rischi, deve mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conforme-mente al Regolamento e che l'interessato ha prestato il proprio consenso» (cfr. Provv. 4 giugno 2025, n. 330, doc. web n. 10143278, disponibile sul sito www.gpdp.it).

Pertanto, in applicazione dei canoni di ordinaria e doverosa diligenza, Flamel avrebbe dovuto e potuto accertare la liceità in ordine all’origine dei dati personali e avvalersi di partner commerciali in grado di assicurare l’adozione di strumenti idonei a certificare la validità del consenso e a verificare l’identità del soggetto che, mediante la navigazione sui predetti portali, procede al conferimento dei propri dati personali.

Si rileva, inoltre, che la condotta in esame si connota di particolare gravità, sia in ragione dell’ampio potere decisionale rilasciato dal titolare nei confronti di Flamel in ordine all’acquisizione delle liste, sia perché in base alle dichiarazioni rese dal responsabile, i trattamenti in esame hanno riguardato i dati di diverse centinaia di interessati (oltre cinquecento).

In conclusione, sulla base delle argomentazioni esposte, si ritiene definitivamente confermata la responsabilità di Flamel in ordine a tutte le violazioni contestate con l’atto di avvio del procedimento sopra richiamato.

Si rileva, infine, che dalle interlocuzioni occorse tra le parti, emerge che il reclamante ha rivolto al titolare e successivamente al responsabile una richiesta di accesso e contestualmente anche di risarcimento (i.e. euro 500,00), senza peraltro fornire elementi di dettaglio in ordine al danno asseritamente patito.

A prescindere dall’eventualità che sia stato o meno riconosciuto a favore del reclamante un ristoro economico, si evidenzia che la condotta tenuta dall’interessato presenta una connotazione particolarmente significativa, anche in considerazione dell’attività professionale svolta dal medesimo.

In buona sostanza, dagli atti acquisiti nell’istruttoria è emerso che il reclamante sarebbe stato disponibile a non insistere sull’illiceità della condotta posta in essere dal responsabile, qualora quest’ultimo avesse dato seguito alla pretesa economica di risarcimento formulata.

Sul punto, giova rammentare che, sebbene l’art. 82 del Regolamento riconosca il diritto al risarcimento dei danni cagionati da una violazione imputabile al titolare o al responsabile del trattamento, l’esercizio di tale diritto è demandato all’Autorità giudiziaria ordinaria, secondo le modalità e nei termini previsti dalla normativa applicabile.

Pur non incidendo nel caso di specie sui profili di responsabilità imputabili a Flamel - che prescindono dalle doglianze del singolo reclamante in quanto riguardano tutte le altre anagrafiche trattate nell’ambito del contratto sottoscritto con S.M. Trattamento Acqua - si ritiene tuttavia opportuno rilevare, in via incidentale, come il contegno del reclamante non appaia pienamente coerente con i principi ispiratori della normativa sulla protezione dei dati personali e, più in generale, con i doveri di solidarietà che incombono sui consociati. Tali doveri impongono, infatti, il rispetto del divieto di abuso del diritto e degli strumenti di tutela, che pur essendo stato tradizionalmente elaborato nell’ambito del diritto civile e tributario, deve ritenersi pacificamente applicabile anche ai procedimenti innanzi all’Autorità, al fine di evitare che le competenze del Garante — preordinate alla tutela di un interesse pubblico — vengano strumentalizzate per finalità estranee alla protezione effettiva dei diritti degli interessati riconosciuti dalla normativa vigente in materia di protezione dei dati personali (cfr. provv. 23 ottobre 2025, n. 635, doc. web n. 10197577).

4. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di Flamel in ordine alla violazione degli artt. 4 e 28 del Regolamento per avere effettuato trattamenti di dati personali senza la previa investitura formale e in violazione degli obblighi sanciti dalla vigente normativa in capo al responsabile del trattamento.

Accertata, altresì, l’illiceità delle condotte di Flamel con riferimento ai trattamenti presi in esame, si rende necessario adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Flamel della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 - 5, del Regolamento.

5. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Flamel della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 - 4, del Regolamento.

Più in particolare, ai sensi dell’art. 83, par. 3 del Regolamento «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave». Ai sensi del successivo par. 4 «(…)la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore: a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43; b) gli obblighi dell'organismo di certificazione a norma degli articoli 42 e 43; c) gli obblighi dell'organismo di controllo a norma dell'articolo 41, paragrafo 4».  

Poiché nel caso di specie è stata accertata l’avvenuta violazione degli artt. 4 e 28 del Regolamento, si applica la disposizione dettata dall’art. 83, par. 4 del Regolamento. Occorre inoltre fare riferimento al fatturato di Flamel, come ricavato dalle informazioni economiche e tributarie acquisite. Pertanto, nel caso in argomento, si determina ai sensi dell’art. 83, par. 3 e 4 del Regolamento il massimo edittale della sanzione pecuniaria in € 10.000.000,00.

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.

Nel caso in esame, assumono rilevanza:

1) quale fattore aggravante, la natura delle violazioni (art. 83, par. 2, lett. a) del Regolamento), strettamente correlata alle più basilari nozioni e ai principali obblighi in materia di protezione dei dati personali, quale appunto deve essere considerata la corretta individuazione dei ruoli soggettivi e il doveroso rispetto degli obblighi che ne derivano;

2) quale ulteriore fattore aggravante, la gravità della violazione (art. 83, par. 2, lett. a) del Regolamento), avuto riguardo ai mezzi utilizzati e al numero dei soggetti interessati coinvolti;

3) quale fattore attenuante, la circostanza (art. 83, par. 2, lett. e) del Regolamento) che Flamel non risulta essere stata destinataria di precedenti provvedimenti correttivi e sanzionatori;

4) quale ulteriore fattore attenuante, la categoria di dati personali interessata dalle violazioni (i.e. dati comuni) (art. 83, par. 2, lett. g) del Regolamento).

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative e funzionali della società, si ritiene debba applicarsi a Flamel la sanzione amministrativa del pagamento di una somma di euro 15.000,00 (quindicimila,00), pari allo 0,15% della sanzione massima edittale.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della natura dei trattamenti e delle condotte della società, nonché degli elementi di rischio per i diritti e le libertà degli interessati.

In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare ragionevole e proporzionata in relazione al particolare disvalore delle condotte oggetto di censura, soprattutto avuto riguardo alla pervasività dei mezzi utilizzati e ai destinatari della stessa, nonché alla loro gravità, in quanto afferenti ai principi fondamentali - e costantemente ribaditi - della normativa in materia di protezione dei dati personali.

Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. a), del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da parte di Flamel S.r.l., con sede legale in Napoli (NA), Via M. Cervantes De Savaedra, 55/5, P.IVA 10468101216;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Flamel S.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Napoli (NA), Via M. Cervantes De Savaedra, 55/5, P.IVA 10468101216, di pagare la somma di euro 15.000,00 (quindicimila,00), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata;

INGIUNGE

alla predetta società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 15.000,00 (quindicimila,00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

DISPONE

a) la pubblicazione del presente provvedimento, ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019;

b) l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante della presente ordinanza di ingiunzione, come previsto dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019;

c) l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 26 febbraio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Montuori