[doc. web n. 10200530]

Provvedimento del 23 ottobre 2025

Registro dei provvedimenti
n. 654 del 23 ottobre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018 n. 101, recante disposizioni per l'adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1.  L’ATTIVITÀ ISTRUTTORIA SVOLTA

A partire dalla fine del 2023, sono pervenute al Garante numerose istanze con le quali è stata lamentata la ricezione di email promozionali indesiderate, inviate dalla Zephiromedia S.r.l. (di seguito, Zephiromedia o “Società”) in maniera massiva e ripetuta; in molti casi è stata lamentata anche l'impossibilità di opporsi all'ulteriore ricezione di messaggi attraverso il tasto unsubscribe o scrivendo via email agli indirizzi indicati nell’informativa privacy e molti hanno lamentato il mancato riscontro alle richieste di esercizio dei diritti. Molte di queste istanze risultavano inviate anche a Zephiromedia come richieste dirette. Infine, alcuni segnalanti hanno rappresentato che l'indirizzo indicato dalla Società per l'esercizio dei diritti - 'privacy@zephiromedia.it' - non è risultato raggiungibile. Tutti gli istanti hanno negato di aver mai dato il consenso a Zephiromedia per la ricezione di messaggi promozionali.

Pertanto, data la numerosità delle doglianze e il livello di esasperazione rappresentato dagli interessati, è stato effettuato un accertamento ispettivo nei giorni 8 e 9 ottobre 2024, con gli esiti di seguito descritti che tengono conto anche delle integrazioni pervenute il 31 ottobre 2024 a scioglimento delle riserve.

La Società ha dichiarato di essersi costituita nel 2023 e di occuparsi di email marketing verso utenti italiani e spagnoli. Non avendo committenti diretti, opera attraverso contratti di affiliazione (subappalto da parte di main contractor). Per l'attività promozionale si avvale di una lista di oltre 9 milioni di record, relativi ad altrettanti interessati italiani, acquisita dalla XX (di seguito XX), con sede in Londra, che a sua volta l'ha acquisita dalla XX (di seguito XX), anch'essa con sede a Londra. Ogni record contiene i campi relativi ai dati personali degli interessati (nome, cognome, email), al timestamp e alla data e ora di registrazione, nonché all'URL del portale di riferimento e della relativa informativa privacy. Inoltre, essa ha dichiarato di avvalersi di un'altra lista, fornita da XX, con 6 milioni di record di interessati spagnoli ma dalla successiva integrazione delle riserve è emerso che la lista contiene invece oltre 12 milioni di contatti.

Dagli accertamenti condotti in loco accedendo alle piattaforme di invio delle email è emerso che la Società invia i messaggi promozionali da mittenti aventi diverse estensioni: meltemiforcar.it, meltemiforenergy.it, meltemiforhouse.it, meltemioffer.it, meltemipromo.it, meltemitariffa.com, promozionidalweb.it, clikkalo.com, clikkasulweb.it. Al riguardo si osserva che l'utilizzo di così numerose e disparate denominazioni influisce anche sulla corretta quantificazione delle doglianze pervenute al Garante. Infatti, non tutti gli interessati hanno correttamente individuato il titolare del trattamento in Zephiromedia poiché molti di essi, limitandosi alla denominazione apparente del mittente delle email, hanno formulato la doglianza indicando diversamente il titolare del trattamento (ad esempio, “clikkalo”) o non lo hanno indicato affatto, non consentendo l'abbinamento con Zephiromedia al momento dell’acquisizione agli atti dell’Autorità. Ne consegue che il numero delle istanze ricevute dal Garante e attribuite alla Società (circa 23, in molti casi dirette anche a Zephiromedia) è sicuramente sottostimato.

Con riguardo al recepimento delle richieste di cancellazione, la Società ha dichiarato che, alla selezione del tasto unsubscribe in calce alle email, fa seguito una registrazione nelle piattaforme di invio. Tale volontà viene successivamente recepita manualmente nel CRM della Società e in un'apposita black list per essere poi sincronizzata anche con le altre piattaforme di invio. Inoltre, le richieste pervenute tramite altri canali (ad es. via email o tramite il form di contatto sul proprio sito) sono inoltrate al DPO.

Nel corso dell'accertamento sono stati chiesti chiarimenti anche in merito ad alcune delle istanze pervenute al Garante con riguardo soprattutto alle lamentate difficoltà di ottenere la cancellazione dei dati e di opporsi all'ulteriore ricezione di messaggi. È stato fatto uso anche di una email promozionale di Zephiromedia ricevuta il 2 ottobre 2024 (pochi giorni prima dell'accertamento) all'indirizzo email personale di uno dei funzionari verbalizzanti (XX).

La suddetta email - nel corso dell'accertamento - è stata inoltrata ai recapiti forniti da Zephiromedia per l'esercizio dei diritti (ritenuti non funzionanti da parte degli interessati). È stato accertato che l'email inviata all'indirizzo privacy@zephiromedia.it è risultata consegnata ma classificata come posta indesiderata; stessa sorte è toccata all'email inviata all'indirizzo del DPO, come comunicato dalla Società con la nota del 31 ottobre 2024.

Sono state inoltre verificate le segnalazioni (fasc. 405640 e 405116) di utenti che avevano tentato più volte la disiscrizione tramite il tasto unsubscribe continuando a ricevere email indesiderate. Tali utenti sono risultati disiscritti nella piattaforma di invio ma la Società ha fatto riserva di comunicare la data esatta di cancellazione essendo tale informazione residente nel server aziendale, non raggiungibile da remoto. Successivamente, a scioglimento delle riserve, la Società ha dichiarato che:

- l'indirizzo XX (fasc. 405640) risulta essersi disiscritto il 9 febbraio 2024 alle 16,33;

- l'indirizzo XX (fasc. 405116) risulta disiscritto il 16 settembre 2024 alle ore 4,20.

È stato inoltre chiesto alla parte di fornire prova del riscontro dato a una richiesta di esercizio dei diritti inviata da un interessato via pec (fasc. 323753, indirizzo pec XX); la Società ha dichiarato di aver ricevuto la pec ma non risultano seguiti dati alla richiesta. Successivamente, essa ha chiarito di non aver fornito riscontro in quanto "con tale comunicazione, il soggetto interessato non ha formulato nei confronti della Società (Titolare del trattamento) una richiesta di cancellazione o di esercizio degli altri diritti previsti dagli artt. 15 a 22 del Reg. UE 2016/679; ma il soggetto interessato ha rivolto una segnalazione all’Autorità Garante".

Riguardo alla richiesta pervenuta a Zephiromedia dal segnalante di cui al fascicolo 336724 (XX), la Società ha dichiarato che il DPO aveva provveduto a inoltrare la richiesta di cancellazione al fornitore di liste ma ha fatto riserva di fornire la prova anche dell'avvenuto riscontro all'interessato; successivamente la Società ha aggiunto che "l’indirizzo email riferibile al soggetto interessato non risulta essere presente all’interno del database della Società e il mancato riscontro è dipeso dalla circostanza che la richiesta non è stata inoltrata dal DPO al rappresentante legale della Società, ma soltanto all’operatore IT".

Analoga riserva era stata espressa anche per i segnalanti di cui ai fascicoli 340662 (XX) e 343269 (XX) che avevano inoltrato delle richieste di esercizio dei diritti; a scioglimento della riserva la Società ha dichiarato che:

- riguardo all'indirizzo XX (fasc. 340662), risulterebbe una sola richiesta indirizzata alla casella del DPO, che era finita nella posta indesiderata perché classificata come spam, pervenuta "in data 24 settembre 2024, dai toni offensivi e che il DPO non ha ritenuto essere intesa a formalizzare una richiesta di esercizio dei diritti dell'interessato". La Società ha aggiunto che l'indirizzo di posta elettronica XX risulterebbe essersi disiscritto (non spiega in che modo) in data 9 luglio 2024 e non avrebbe più ricevuto comunicazioni da parte di Zephiromedia;

- riguardo all'indirizzo XX (fasc. 343269), con il quale era stata avanzata una richiesta di esercizio dei diritti per la ricezione di messaggi a XX, la Società ha allegato la corrispondenza intercorsa con l'interessato tra il 23 gennaio e l'8 febbraio 2024, nella quale Zephiromedia chiedeva all'utente di indicare l'indirizzo email da rimuovere (anche se questi lo aveva già esplicitato); infine, la Società ha dichiarato che "la disiscrizione dell’indirizzo email riferibile al soggetto interessato risulta essere stata correttamente eseguita autonomamente dall’interessato".

Con riguardo alla documentazione del consenso di alcuni interessati presa in esame nel corso dell'accertamento la Società ha fatto riserva di produrre quanto richiesto, non potendo accedere al server aziendale da remoto. Pertanto, il 31 ottobre 2024 ha prodotto un documento pdf nel quale, per ogni interessato, sono riportati i seguenti dati: Name, Surname, Email, IP, Timestamp, registration url: https://scontofelice.com, privacy url: https://scontofelice.com/privacy-it.html?m=privacy#privacy, Opt_in_privacy = yes, Opt_in_marketing = yes, Opt_in_profiling = yes, Opt_in_third_party = yes.

A detta della Società tale documento dovrebbe comprovare i consensi rilasciati dagli interessati.

In corso di accertamento è stata presa in considerazione una delle URL utilizzate dal list provider XX per la raccolta dati - https://scontofelice.com - rinvenendo che in calce al form di raccolta dati sono presenti quattro check box per altrettante espressioni di volontà; tuttavia, il record mostrato durante il primo giorno di attività (cfr. all. 1 al verbale dell'8 ottobre 2024) non presentava il dettaglio di tali specifiche volontà. Anche su questo la Società si è riservata di fare approfondimenti e, a scioglimento delle riserve, ha allegato un documento (all. 6) contenente un print screen relativo a nove record con i seguenti campi: nome, cognome, sesso, email, data di nascita, regione, opt_in_privacy, opt_in_marketing, opt_in_profiling, opt_in_third_party, ip, timestamp, URL. Si osserva tuttavia che il nominativo considerato in accertamento faceva riferimento all'utenza XX che però non risulta presente nel print screen allegato.

Inoltre, in corso di ispezione i verbalizzanti hanno notato - e acquisito in atti (cfr. all. 10 al verbale del 9 ottobre 2024) - che l'informativa pubblicata nel sito web https://scontofelice.com indicava come titolare del trattamento la XX. Alla richiesta di maggiori approfondimenti, la Società ha confermato di aver acquistato la lista dalla XX che, a sua volta, l'ha acquistata dalla XX che ha materialmente raccolto i dati. Inoltre, ha aggiunto che la XX è di proprietà del sig. XX, rappresentante legale della Zephiromedia. A scioglimento della riserva la Società ha precisato di aver "rilevato alcuni errori in quanto in alcune sezioni del sito web https://www.scontofelice.com/ e della relativa informativa privacy erano rimasti dei precedenti riferimenti alla XX. in luogo dei corretti riferimenti alla Società Zephiromedia e all’indicazione della XX quale società che ha in origine raccolto i dati personali dei soggetti interessati. Alla luce di tali rilevazioni, la Società ha provveduto a correggere ogni errore".

Con riguardo alle verifiche effettuate prima di acquistare la lista di XX, la Società ha dichiarato di aver richiesto un campione dei consensi di 10 interessati. A scioglimento della riserva, Zephiromedia ha dichiarato di aver effettuato le seguenti verifiche prima dell'acquisto della lista:

- esame del form di registrazione accertando che consentisse l'espressione di consensi specifici e non obbligati;

- esame dell'informativa;

- esame delle informazioni relative al consenso (si veda all. 6 alla nota del 31 ottobre 2024);

- presenza di clausole di garanzia offerte dalla XX.

2. LA CONTESTAZIONE DELLE VIOLAZIONI

Con nota del 3 febbraio 2025 (prot. n. 13610/25) è stato comunicato alla Società l’avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, per l’adozione di eventuali provvedimenti di cui all’art. 58, par. 2, del Regolamento.

In particolare, dalla documentazione presente agli atti dell’Ufficio e dall’accertamento ispettivo sono emersi dei possibili profili di violazione, di seguito descritti.

2.1 Riscontro alle richieste di esercizio dei diritti

Le numerose doglianze ricevute dal Garante hanno avuto ad oggetto, oltre alla ricezione di ripetuti messaggi indesiderati, anche l'impossibilità di opporsi all'ulteriore ricezione di comunicazioni via email attraverso il tasto unsubscribe o scrivendo via email e molti hanno lamentato il mancato riscontro alle richieste di esercizio dei diritti. Inoltre, alcuni segnalanti hanno rappresentato che l'indirizzo indicato dalla Società per l'esercizio dei diritti - 'privacy@zephiromedia.it' - non è risultato raggiungibile (422291, 358678).

Come descritto sopra, l'attività condotta ha confermato le problematiche lamentate dai segnalanti poiché non è stato documentato il tempestivo recepimento delle richieste di disiscrizione pervenute tramite il tasto unsubscribe e perché è stato accertato che le richieste di esercizio dei diritti in atti, compresa quella inviata durante l'accertamento ispettivo dall'account di posta di uno dei verbalizzanti, sono state recapitate nella casella spam e non trattate. In particolare, si ribadisce che:

a) l'email promozionale pervenuta a XX è stata inoltrata all'indirizzo privacy@zephiromedia.it risultando consegnata ma classificata come posta indesiderata; analoga sorte è toccata alla stessa email inoltrata all'indirizzo del DPO;

b) l'indirizzo XX (fasc. 405640), in base a quanto dichiarato dalla Società, risulta essersi disiscritto il 9 febbraio 2024 alle 16,33; tuttavia, l'interessato nella segnalazione inviata al Garante il 26 settembre 2024 ha lamentato di ricevere continuamente email (ne ha allegata una ricevuta in data 19 settembre 2024) nonostante la disiscrizione effettuata più di una volta; pertanto l'interessato è stato destinatario di messaggi promozionali anche diversi mesi dopo l'asserita registrazione dell'opposizione;

c) l'indirizzo XX (fasc. 405116) a detta della Società sarebbe stato disiscritto il 16 settembre 2024 alle ore 4,20; si osserva comunque che la segnalazione al Garante è pervenuta in pari data alle ore 6,55 lamentando che l'email ricevuta era solo l'ultima di una lunga serie nonostante i vari tentativi di disiscrizione;

d) la richiesta di esercizio dei diritti inviata da un interessato via pec (fasc. 323753, indirizzo pec XX), correttamente ricevuta dalla Società, non è stata trattata in quanto "con tale comunicazione, il soggetto interessato non ha formulato nei confronti della Società (Titolare del trattamento) una richiesta di cancellazione o di esercizio degli altri diritti previsti dagli artt. 15 a 22 del Reg. UE 2016/679; ma il soggetto interessato ha rivolto una segnalazione all’Autorità Garante". Si deve tuttavia osservare che la richiesta del sig. Manco era indirizzata congiuntamente al Garante e a Zephiromedia per lamentare la ricezione di plurime email, inviate senza il suo consenso e senza possibilità di opporsi; pertanto, essendo Zephiromedia direttamente destinataria della richiesta, avrebbe dovuto fornire riscontro e, in ogni caso, indipendentemente dal modo in cui in interessato qualifica la propria richiesta, il titolare è sempre tenuto a fornire un riscontro rispetto a una doglianza circostanziata, fatta salva la possibilità di chiedere chiarimenti o integrazioni in caso di dubbi in merito alla richiesta stessa o all'identità del richiedente;

e) con riguardo al segnalante di cui al fascicolo 336724 (XX), la Società ha dichiarato che il DPO aveva provveduto a inoltrare la richiesta di cancellazione al fornitore di liste ma non ha fornito riscontro all'interessato poiché "la richiesta non è stata inoltrata dal DPO al rappresentante legale della Società, ma soltanto all’operatore IT";

f) riguardo all'indirizzo XX (fasc. 340662), risulterebbe una sola richiesta indirizzata alla casella del DPO, che era finita nella posta indesiderata perché classificata come spam, pervenuta "in data 24 settembre 2024, dai toni offensivi e che il DPO non ha ritenuto essere intesa a formalizzare una richiesta di esercizio dei diritti dell'interessato". Si osserva tuttavia che, dal reclamo agli atti del Garante, l'interessato aveva presentato una richiesta al DPO, non avente toni offensivi, il 18 gennaio 2024, sollecitata il 24 gennaio 2024 (quindi in data molto antecedente rispetto all'asserita richiesta, peraltro non prodotta in atti, asseritamente ricevuta dal DPO il 24 settembre 2024); inoltre, la Società ha aggiunto che l'indirizzo di posta elettronica XX risulterebbe essersi disiscritto (non spiega in che modo) in data 9 luglio 2024 e non avrebbe più ricevuto comunicazioni da parte di Zephiromedia; tuttavia, se successivamente al 9 luglio 2024 l'interessato non avesse più ricevuto messaggi indesiderati, non si comprende per quali ragioni avrebbe dovuto scrivere un'email dai toni offensivi al DPO a settembre 2024 e, in ogni caso, la richiesta presentata a gennaio 2024 non aveva avuto riscontro;

g) riguardo all'indirizzo XX (fasc. 343269), tramite il quale era stata avanzata una richiesta di esercizio dei diritti per la ricezione di messaggi a XX, la Società ha allegato la corrispondenza intercorsa con l'interessato tra il 23 gennaio e l'8 febbraio 2024, nella quale Zephiromedia chiedeva all'utente di indicare l'indirizzo email da rimuovere (anche se questi lo aveva già esplicitato); infine, la Società ha dichiarato che "la disiscrizione dell’indirizzo email riferibile al soggetto interessato risulta essere stata correttamente eseguita autonomamente dall’interessato"; non viene tuttavia indicato in quale data sarebbe avvenuta tale cancellazione ma, stando a quanto dichiarato, sarebbe stata effettuata solo in conseguenza di un'autonoma attività da parte dell'interessato stesso e non a seguito della richiesta inviata via pec il 23 gennaio 2024. Nel reclamo presentato al Garante il 12 febbraio 2024 l'interessato ha lamentato di aver ricevuto circa 50 messaggi in tre settimane da parte di Zephiromedia.

Sulla base di tali elementi, si è ritenuto che la Società non disponesse di adeguate misure tecniche e organizzative per recepire la volontà degli interessati, risultando peraltro comprovato, nei casi in esame, il mancato riscontro alle richieste di accesso ai dati, di cancellazione e di opposizione pervenute. Per tali ragioni, si è ritenuta integrata la violazione dell'art. 12, parr. 2 e 3 e degli artt. 15, 17, 21 e 24 del Regolamento.

2.2 Trattamento di dati per finalità promozionali senza un idoneo consenso degli interessati

L'attività ispettiva è stata volta in particolare a verificare la fonte dei dati utilizzati per la veicolazione di messaggi promozionali, tenuto conto delle elevate criticità - di cui si è dato atto in molteplici pronunce dell'Autorità - derivanti dall'utilizzo di liste formate attraverso portali on line, per di più gestiti da soggetti ubicati extra-UE. È stato dunque richiesto a Zephiromedia di comprovare che l'acquisizione di liste dal fornitore terzo fosse stata preceduta da un'accurata verifica dei requisiti di liceità del consenso.

La Società ha dichiarato di aver acquistato i dati degli utenti spagnoli dalla XX e i dati degli utenti italiani dalla XX, che a sua volta li aveva acquistati dalla XX.

Con riguardo alla documentazione del consenso presa in esame nel corso dell'accertamento (relativa ad alcune utenze email) la Società, il 31 ottobre 2024, ha prodotto un documento pdf nel quale, per ogni interessato, erano riportati i seguenti dati: Name, Surname, Email, IP, Timestamp, registration url: https://scontofelice.com, privacy url: https://scontofelice.com/privacy-it.html?m=privacy#privacy, Opt_in_privacy = yes, Opt_in_marketing = yes, Opt_in_profiling = yes, Opt_in_third_party = yes.
A detta della Società tale documento avrebbe dovuto comprovare i consensi rilasciati dagli interessati.

In corso di accertamento è stata presa in considerazione una delle URL utilizzate dal list provider XX per la raccolta dei dati - https://scontofelice.com - rinvenendo che in calce al form di raccolta dati erano presenti quattro check box per altrettante espressioni di volontà; tuttavia, il record mostrato durante il primo giorno di attività (cfr. all. 1 al verbale dell'8 ottobre 2024) non presentava il dettaglio di tali specifiche volontà. Anche su questo la Società, a scioglimento delle riserve, ha allegato un documento (all. 6 alla relazione del 31 ottobre 2024) contenente un print screen relativo a nove record con i seguenti campi: nome, cognome, sesso, email, data di nascita, regione, opt_in_privacy, opt_in_marketing, opt_in_profiling, opt_in_third_party, ip, timestamp, URL. Si osserva tuttavia che il nominativo considerato in accertamento faceva riferimento all'utenza XX che però non risultava presente nel print screen allegato.

Con riguardo alle verifiche effettuate prima di acquistare la lista di XX, la Società ha dichiarato di aver richiesto unicamente un campione dei consensi di 10 interessati su 9 milioni di record; al di là della quantificazione risibile del campione, si osserva anche che il print screen presentato come asserita prova del rilascio di specifici consensi (all. 6 cit.), non può considerarsi sufficiente a documentare in maniera certa la volontà degli interessati. La documentazione del consenso tramite l’indicazione del solo indirizzo IP è una modalità che il Garante ha già ritenuto insufficiente a certificare la volontà inequivocabile degli interessati (v. provv. 26 ottobre 2017, doc. web n. 7320903 e provv. 25 novembre 2021, doc. web n. 9737185, provv. 15 dicembre 2022, doc web 9852290, provv. del 23 febbraio 2023, doc. web n. 9870014, provv. del 4 giugno 2025, doc. web n. 10143278). Infatti, con riguardo all'efficacia probatoria degli elementi prodotti per documentare la volontà degli interessati, si considera correttamente acquisito un consenso che risulti tracciato con modalità informatiche che ne garantiscano l’immodificabilità della data e dell’origine e che sia assistito da procedure di validazione dei canali di contatto (utenza cellulare o indirizzo email dell'interessato) con meccanismi double opt-in dove il consenso acquisito on line viene successivamente convalidato dall’interessato rispondendo ad un messaggio di conferma; inoltre, la verifica di detti consensi deve essere effettuata dal titolare su un campione significativamente rappresentativo della banca dati che intende acquistare.  

Inoltre, con riguardo alle verifiche che la Società ha dichiarato di aver effettuato prima di acquistare la lista - verifiche la cui effettuazione non è stata comunque documentata ma solo descritta - Zephiromedia ha dichiarato di aver esaminato:

- il form di registrazione per accertare che consentisse l'espressione di consensi specifici e non obbligati;

- l'informativa pubblicata nel portale (in questo caso https://scontofelice.com);

- le informazioni relative al consenso (il citato all. 6 alla nota del 31 ottobre 2024);

- la presenza di clausole di garanzia offerte dalla XX.

Da tali preliminari verifiche, la cui effettuazione come detto non è stata comprovata, la Società avrebbe comunque potuto notare la presenza di evidenti criticità che non potevano far ritenere adeguata la raccolta dei dati. Infatti, esaminando l'informativa presente nel sito https://scontofelice.com (così come acquisita agli atti dell'accertamento ispettivo, all. 10 al verbale del 9 ottobre 2024) si nota che:

- il titolare del trattamento indicato era la XX con sede in Inghilterra; essendo tale sede extra-UE il titolare avrebbe dovuto indicare i riferimenti del rappresentante nell'Unione, ai sensi del combinato disposto dell'art. 13, par. 1, lett. a) e dell'art. 27 del Regolamento; tali informazioni non erano presenti nell'informativa;

- il tempo di conservazione dei dati per finalità promozionali veniva indicato in maniera indeterminata: "i dati saranno conservati per il tempo necessario a mantenere costante il rapporto con l'utente, e comunque, non oltre 36 mesi, permettendo a XX di proseguire, legittimamente, la propria attività di marketing e vendita diretta fintanto che l'utente rimarrà interessato ai nostri prodotti e servizi". Sembra dunque che, pur prospettando un termine di conservazione di 36 mesi, tale parametro potesse comunque essere aggirato dalla permanenza dell'interesse dell'utente ad avvalersi del servizio ferma restando la facoltà di revoca. In tale contesto, considerato che il sito https://scontofelice.com – per quanto mostrato - offriva semplicemente la possibilità di iscriversi per ricevere offerte, tenuto conto che l'offerta del servizio si presentava come indipendente dal rilascio di qualsiasi altro consenso facoltativo, l'esperienza dell'utente si sarebbe dovuta concretizzare unicamente nella mera ricezione passiva di offerte e sconti senza altre azioni positive da parte sua oltre all'iniziale registrazione. In ciò non vi sarebbe, dunque, alcuna attività che potesse considerarsi come manifestazione di interesse nei confronti del servizio offerto e dunque non si comprende per quali ragioni XX avrebbe dovuto "proseguire, legittimamente, la propria attività di marketing e vendita diretta fintanto che l'Utente rimarrà interessato ai nostri prodotti e servizi". Tale indeterminatezza dell'informativa costituiva una criticità che era agevolmente rilevabile al momento della verifica del partner e meritava quantomeno un approfondimento;

- sulla base di quanto dichiarato dalla Società e come si evince anche dal contratto di cessione della banca dati sottoscritto tra XX e Zephiromedia, i dati erano stati raccolti dalla XX e non da XX.

Tuttavia nell'informativa acquisita con il citato all. 10 tale circostanza non era menzionata, così come la stessa esistenza della XX.

Su tali presupposti, il consenso eventualmente rilasciato dagli utenti non poteva considerarsi lecito dal momento che le informazioni presentate agli interessati erano incomplete e non corrette.

Inoltre, in corso di ispezione i verbalizzanti hanno notato - e acquisito in atti (cfr. all. 10 al verbale del 9 ottobre 2024) - che l'informativa pubblicata nel sito web https://scontofelice.com indicava come titolare del trattamento la XX. Alla richiesta di maggiori approfondimenti, la Società ha confermato di aver acquistato la lista dalla XX che, a sua volta, l'ha acquistata dalla XX che ha materialmente raccolto i dati. Inoltre, ha aggiunto che la XX è di proprietà del sig. XX, rappresentante legale della Zephiromedia. A scioglimento della riserva la Società ha precisato di aver "rilevato alcuni errori in quanto in alcune sezioni del sito web https://www.scontofelice.com/ e della relativa informativa privacy erano rimasti dei precedenti riferimenti alla XX. in luogo dei corretti riferimenti alla Società Zephiromedia e all’indicazione della XX Ltd quale società che ha in origine raccolto i dati personali dei soggetti interessati. Alla luce di tali rilevazioni, la Società ha provveduto a correggere ogni errore".

Il 30 gennaio 2025 l'Ufficio ha fatto accesso al sito web https://scontofelice.com notando che in esso non era più indicata la società XX quale referente ma erano riportati i dati di Zephiromedia; anche i termini di servizio ivi riportati, relativi alla registrazione, facevano riferimento al fatto che il sito web era di Zephiromedia. Analogamente l'informativa indicava Zephiromedia come titolare del trattamento; tuttavia, nelle finalità del trattamento si leggeva che "i dati personali sono raccolti da XX, con sede in XX, London, United Kingdom, email: XX tramite appositi form presenti su questo sito Internet". In tale contesto, le informazioni rese agli interessati risultavano contraddittorie e non consentivano di comprendere adeguatamente chi fosse il titolare del trattamento e le conseguenze connesse al conferimento dei propri dati.

Quanto sin qui rappresentato ha evidenziato come la liceità dei consensi degli interessati non fosse risultata comprovata, date le criticità emerse sin dalla fase di raccolta. Inoltre, anche qualora la raccolta dei dati e dei relativi consensi fosse avvenuta lecitamente, il consenso rilasciato al primo titolare che aveva raccolto i dati (in questo caso, XX) non poteva essere trasmesso da un titolare all'altro attraverso cessioni potenzialmente infinite. In altre parole, una manifestazione di volontà inizialmente espressa in modo consapevole (purché raccolta lecitamente) rispetto a determinati trattamenti non può dispiegare effetti a catena, attraverso successivi passaggi dei dati personali da un titolare all’altro in maniera del tutto imponderabile per l’interessato stesso. In tale contesto, non hanno trovato accoglimento le argomentazioni esposte nella nota del 31 ottobre 2024 dove la Società ha rappresentato che "il rappresentante legale della società XX (“XX”) è il Sig. XX e i contratti di trasferimento del database informatico, prima dalla XX alla XX e da quest’ultima alla Zephiromedia, costituiscono un’unica operazione giuridica in quanto contratti tra loro strumentali e collegati per l’ottenimento dell’effetto giuridico presupposto, consistente nel trasferimento della proprietà del database in capo alla Zephiromedia (si veda in particolare, quanto indicato al quinto capoverso dell’art 1 del contratto tra XX e XX)". Si tratta infatti di meri accordi commerciali che - al pari delle invocate garanzie e manleve presenti nel contratto di cessione - hanno valore unicamente rispetto alle eventuali responsabilità contrattuali delle parti ma non hanno alcun rilievo ai fini delle garanzie richieste dal quadro normativo in materia di protezione dei dati personali degli interessati coinvolti nel trattamento.

Da ultimo, quando anche vi fosse stato in origine un consenso regolarmente documentato, nessuna base giuridica poteva essere invocata per giustificare i messaggi promozionali inviati dopo le opposizioni degli interessati.

Per tali ragioni, si è ritenuta integrata la violazione degli artt. art. 5, par. 1, lett. a), 6, par. 1, lett. a) e 7 del Regolamento nonché dell’art. 130, comma 2 del Codice.

3. LA DIFESA DELLA SOCIETÀ

Con atto del 3 marzo 2025, la Società ha presentato una memoria difensiva chiedendo l’archiviazione del procedimento in ragione delle seguenti motivazioni:

a) “i reclami prodotti dagli interessati non hanno determinato l’effetto di un vero reclamo sia perché destinati nella posta indesiderata sia perché non correttamente inviati a Zephiromedia con indicazione diversa del titolare del trattamento dati e in alcuni casi non hanno indicato il destinatario”;

b) “il reclamo evidenzia la richiesta eccessiva, in particolare per il carattere pretestuoso e senza contenuto per assenza di violazione. In altri casi si tratta di semplici informazioni e non di richiesta di cancellazione o di esercizio degli altri diritti previsti dagli artt. 15 a 22 del Regolamento UE 2016/679, ma di semplice segnalazione all’Autorità Garante”; la Società ha altresì sostenuto di aver dato completo adempimento alle richieste di esercizio dei diritti indicate dai reclamanti e ha rinviato a quanto dichiarato nella nota di integrazione delle riserve del 31 ottobre 2024 (i cui contenuti sono stati sopra descritti);

c) la Società ha dichiarato di aver corretto l’informativa privacy;

d) “il reclamo è privo di conseguenze e non produce effetti per essere stato presentato all’Autorità Garante oltre il termine stabilito di 72 ore, determinando la decadenza di ogni effetto sanzionatorio. […] la Società Zephiromedia ha predisposto strumenti telefonici e indirizzi di posta elettronica per l’esercizio dei diritti”.

In conclusione, la Società ha evidenziato come non vi fosse stato alcun pregiudizio per i diritti degli interessati e nessun danno correlato.

Da ultimo, Zephiromedia ha richiesto “l’audizione personale nella fase istruttoria in merito ai fatti oggetto di comunicazione”. Tale ultima richiesta, pur essendo generica e riferita ad una fase, quella istruttoria, ormai conclusa, è stata comunque interpretata dall’Ufficio come istanza di audizione in sede difensiva. Pertanto, con nota del 15 settembre 2025 (prot. 120094/25) è stata inviata la convocazione a Zephiromedia per essere audita in data 23 settembre 2025. Il 22 settembre 2025 Zephiromedia ha rappresentato di non poter essere presente all’audizione convocata per il giorno successivo chiedendone il rinvio. L’Ufficio pertanto ha fissato una nuova data per l’audizione al 30 settembre 2025. A tale convocazione non ha fatto seguito alcun riscontro né altra comunicazione da parte di Zephiromedia.

4. VALUTAZIONI DI ORDINE GIURIDICO

In base ai profili fattuali sopra evidenziati e alle affermazioni rese in sede di riscontro, di cui il dichiarante risponde ai sensi dell’art. 168 Codice, le violazioni rilevate nell'atto di contestazione devono ritenersi integralmente confermate.

4.1 Riscontro alle richieste di esercizio dei diritti

Le numerose doglianze ricevute sono tutte concordanti nel descrivere le difficoltà incontrate dagli interessati per ottenere la cancellazione dei dati e, soprattutto, l’interruzione della ricezione di ripetuti messaggi indesiderati.

La Società si è difesa rappresentando di aver messo a disposizione canali di contatto sia telefonici che email. Al canale telefonico è stato fatto un accenno solo in sede di memoria difensiva senza mai essere stato menzionato neanche durante l’accertamento ispettivo e senza indicare quali sarebbero state le numerazioni telefoniche asseritamente messe a disposizione degli interessati e con quali mezzi sarebbero state rese note. Rispetto al canale email, come sopra descritto, è stato ampiamente accertato – anche durante l’attività ispettiva – che i canali messi a disposizione degli interessati, pur esistenti, non sortivano alcun effetto utile dal momento che le comunicazioni inviate finivano spesso nella casella della posta indesiderata. Tale circostanza è stata accertata anche utilizzando l’email promozionale pervenuta alla casella personale di uno dei verbalizzanti che è stata inoltrata alle caselle email indicate nell’informativa privacy. Del resto, la stessa Zephiromedia ha dichiarato nella nota del 31 ottobre 2024 di non aver dato seguito ad alcune richieste per le più varie ragioni: perché le richieste non erano state correttamente qualificate e formulate, per i toni asseritamente offensivi della richiesta (non riscontrati negli atti presentati al Garante), per mancanza di elementi che invece erano stati correttamente indicati nella richiesta.

Si ricorda inoltre che molti segnalanti hanno lamentato l’inutilità del link unsubscribe e la continua ricezione di messaggi nonostante i tentativi di disiscrizione inviati anche via email. In un reclamo presentato al Garante l'interessato ha lamentato di aver ricevuto circa 50 messaggi in tre settimane da parte di Zephiromedia.

Per stessa ammissione della Società, molti degli interessati che avevano presentato istanze al Garante si sarebbero disiscritti autonomamente; pur non essendo stati forniti chiarimenti in merito, i segnalanti avrebbero ottenuto l’interruzione della condotta in maniera autonoma, riuscendo in qualche modo a disiscriversi senza l’intervento del titolare.

Si rinvia, per maggior dettaglio, a quanto riportato al paragrafo 2.1.

In tale contesto, le argomentazioni esposte dalla Società a sua difesa assumono toni quasi paradossali arrivando a ritenere che i reclami siano inefficaci o pretestuosi per il solo fatto di essere sfuggiti al vaglio del titolare finendo nella posta indesiderata. È più probabile invece che i filtri antispam della Società non siano correttamente impostati o che, ancor più verosimilmente, i propri sistemi di filtraggio qualifichino come spam le email da essa stessa inviate ai reclamanti e da questi reinoltrati alla Società per chiedere la cancellazione (come fatto anche a partire dall’email ricevuta da uno dei verbalizzanti).

Altrettanto inverosimile è l’invocazione di inesistenti vizi procedurali, come il presunto obbligo di presentare reclamo entro 72 ore, che dovrebbero far ritenere irricevibili le doglianze.

Per tali ragioni, a fronte delle numerose doglianze ricevute dal contenuto concordante, accertata la totale mancanza di misure adeguate a recepire e trattare le richieste di esercizio dei diritti degli interessati, si conferma la violazione dell'art. 12, parr. 2 e 3 e degli artt. 15, 17, 21 e 24 del Regolamento.

Di conseguenza, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, si rende necessario ingiungere al titolare di effettuare una valutazione degli strumenti utilizzati per il recepimento delle richieste degli interessati adeguando altresì le proprie procedure organizzative al fine di dare riscontro a tali richieste in maniera efficace e tempestiva.

Tenuto conto del fatto che la Società non ha sinora adottato alcuna misura correttiva, nonostante i rilievi mossi dal Garante, si rende necessaria, in chiave dissuasiva, l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 58, par. 2, lett. i) del Regolamento.

4.2 Trattamento di dati per finalità promozionali senza un idoneo consenso degli interessati

In sede difensiva la Società non ha aggiunto altre argomentazioni riguardo alle contestazioni mosse dall’Ufficio riguardo alle numerose illiceità rilevate rispetto all’invio delle email promozionali. Tali contestazioni devono pertanto ritenersi confermate.

Rinviando al par. 2.2 per i dettagli, basti qui ricordare che è stato accertato, sia mediante le numerose istanze ricevute dal Garante che in sede ispettiva, che la Zephiromedia utilizzava per l’attività promozionale liste acquisite da una società con sede a Londra, XX, che a sua volta, li acquistava da un’altra società con sede a Londra, XX.

In merito a tali attività sono state rilevate numerose criticità in ordine alle modalità di acquisizione dei dati e dei relativi consensi al trattamento per finalità promozionale. Tali criticità, piuttosto evidenti, non sono state tenute in considerazione da parte di Zephiromedia nella fase di selezione del fornitore di liste:

- la Società ha dichiarato di aver richiesto unicamente un campione dei consensi di 10 interessati su 9 milioni di record;

- il print screen presentato come asserita prova del rilascio di specifici consensi non può considerarsi sufficiente a documentare in maniera certa la volontà degli interessati. La documentazione del consenso tramite l’indicazione del solo indirizzo IP è una modalità che il Garante ha già ritenuto insufficiente a certificare la volontà inequivocabile degli interessati dovendo invece considerare correttamente acquisito un consenso che risulti tracciato con modalità informatiche che ne garantiscano l’immodificabilità della data e dell’origine e che sia assistito da procedure di validazione dei canali di contatto (utenza cellulare o indirizzo email dell'interessato) con meccanismi double opt-in dove il consenso acquisito on line viene successivamente convalidato dall’interessato rispondendo ad un messaggio di conferma; inoltre, la verifica di detti consensi deve essere effettuata dal titolare su un campione significativamente rappresentativo della banca dati che intende acquistare.

- Zephiromedia ha dichiarato, senza fornire prova documentale, di aver esaminato: i)    il form di registrazione per accertare che consentisse l'espressione di consensi specifici e non obbligati; ii) l'informativa pubblicata nel portale (in questo caso https://scontofelice.com); iii) le informazioni relative al consenso; iv) la presenza di clausole di garanzia offerte dalla XX. Ciò nonostante, la Società non ha considerato alcune evidenti criticità che avrebbero dovuto far escludere il fornitore o fare, quanto meno, un approfondimento: la mancata indicazione nell’informativa del rappresentante ex art. 27 per la XX che ha sede extra-UE; l’indeterminatezza dei tempi di conservazione dei dati.

Richiamate le censure in ordine all’inadeguata documentazione dei consensi e alle verifiche del tutto insufficienti asseritamente effettuate da Zephiromedia su tali liste, peraltro fornite da soggetti ubicati extra-UE, si ritiene che la liceità dei consensi degli interessati non sia risultata comprovata, date le criticità emerse sin dalla fase di raccolta. Inoltre, come già chiarito nell’atto di avvio del procedimento, anche qualora la raccolta dei dati e dei relativi consensi fosse avvenuta lecitamente, il consenso rilasciato al primo titolare che ha raccolto i dati (in questo caso, XX) non può essere trasmesso da un titolare all'altro attraverso cessioni potenzialmente infinite. In altre parole, una manifestazione di volontà inizialmente espressa in modo consapevole (purché raccolta lecitamente) rispetto a determinati trattamenti non può dispiegare effetti a catena, attraverso successivi passaggi dei dati personali da un titolare all’altro in maniera del tutto imponderabile per l’interessato stesso. In tale contesto, non possono trovare accoglimento le argomentazioni esposte nella nota del 31 ottobre 2024 dove la Società ha rappresentato che "il rappresentante legale della società XX (“XX”) è il Sig. XX e i contratti di trasferimento del database informatico, prima dalla XX alla XX e da quest’ultima alla Zephiromedia, costituiscono un’unica operazione giuridica in quanto contratti tra loro strumentali e collegati per l’ottenimento dell’effetto giuridico presupposto, consistente nel trasferimento della proprietà del database in capo alla Zephiromedia (si veda in particolare, quanto indicato al quinto capoverso dell’art 1 del contratto tra XX e XX)". Si tratta infatti di meri accordi commerciali che - al pari delle invocate garanzie e manleve presenti nel contratto di cessione - hanno valore unicamente rispetto alle eventuali responsabilità contrattuali delle parti ma non hanno alcun rilievo ai fini delle garanzie richieste dal quadro normativo a protezione dei dati personali.

Da ultimo, quando anche vi fosse stato in origine un consenso regolarmente documentato, nessuna base giuridica poteva essere invocata per giustificare i messaggi promozionali inviati dopo le opposizioni degli interessati.

Per tali ragioni, si conferma la violazione degli artt. art. 5, par. 1, lett. a), 6, par. 1, lett. a) e 7 del Regolamento nonché dell’art. 130, comma 2 del Codice.

Di conseguenza, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento si rende necessario imporre a Zephiromedia il divieto di trattamento per finalità promozionali dei dati raccolti con le modalità descritte senza documentare l’acquisizione di un idoneo consenso.

Tenuto conto del fatto che la Società non ha sinora adottato alcuna misura correttiva, nonostante i rilievi mossi nel corso dell’attività istruttoria, si rende necessaria, in chiave dissuasiva, l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 58, par. 2, lett. i) del Regolamento.

In ragione di quanto disposto dall’art. 154-bis, comma 3 del Codice, si procede alla pubblicazione del presente provvedimento sul sito internet dell’Autorità (cfr. anche art. 37 del regolamento interno del Garante n. 1/2019).

Si rileva inoltre che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

5. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, risultano violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati da Zephiromedia, per cui occorre applicare l’art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave con conseguente applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, sulla base delle informazioni rinvenibili nell'ultimo bilancio (registrato al 31 dicembre 2023), il ricorrere della prima ipotesi prevista dal citato art. 83, par. 5 e quantificato quindi in 20 milioni di euro il massimo edittale applicabile, devono essere considerate le seguenti circostanze aggravanti:

1. la gravità della violazione e il numero di interessati coinvolti (la Società dispone di un database di 9 milioni di utenze di interessati italiani e di 12 milioni di utenti spagnoli), dal momento che la Società ha utilizzato delle liste di contatti fornite da un soggetto terzo ubicato extra-UE che non offriva garanzie sufficienti in merito al rilascio del consenso al trattamento per finalità promozionali (art. 83, par. 2, lett. a), del Regolamento);

2. l’invio di messaggi promozionali indesiderati agli interessati anche dopo l’opposizione quale effetto della condotta negligente tenuta per registrare la volontà degli interessati (art. 83, par. 2, lett. b), del Regolamento);

3. l’assenza di misure da parte del titolare del trattamento per attenuare il danno derivante agli interessati dalla ricezione di numerosi messaggi indesiderati e per recepirne le richieste di cancellazione (art. 83, par. 2, lett. c), del Regolamento).

Quali elementi attenuanti, si ritiene di poter tener conto:

1. della natura dei dati trattati, consistenti in dati comuni anagrafici e di contatto (art. 83, par. 2, lett. g) del Regolamento);

2. delle condizioni economiche del contravventore e del carattere di microimpresa della Società (art. 83, par. 2, lett. k) del Regolamento).

In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione.

Pertanto si ritiene che - in base al complesso degli elementi sopra indicati - debba applicarsi a Zephiromedia la sanzione amministrativa del pagamento di una somma di euro 30.000,00 (trentamila/00) pari allo 0,16% della sanzione edittale massima di 20 milioni di euro.

Nel caso in argomento si ritiene che debba applicarsi, altresì, la sanzione accessoria della pubblicazione nel sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019.

In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare proporzionata in relazione alla gravità e al particolare disvalore delle condotte oggetto di censura, tenuto conto degli elementi di rischio per i diritti e le libertà degli interessati (potenzialmente tutti gli interessati destinatari dell'attività promozionale sopra descritta).

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione effettuato da Zephiromedia S.r.l., con sede in con sede legale in Lecce, via Galileo Galilei n. 7, P.IVA 02769940020; di conseguenza:

a) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge al titolare di effettuare una valutazione degli strumenti utilizzati per il recepimento delle richieste degli interessati adeguando altresì le proprie procedure organizzative al fine di dare riscontro a tali richieste in maniera efficace e tempestiva;

b) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento impone a Zephiromedia il divieto di trattamento per finalità promozionali dei dati raccolti con le modalità descritte senza documentare l’acquisizione di un idoneo consenso;

c) ai sensi dell’art. 157 del Codice, ingiunge al titolare di comunicare all’Autorità, nel termine di 30 giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5 lett. e) del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, a Zephiromedia S.r.l. in persona del suo legale rappresentante, di pagare la somma di euro 30.000,00,00 (trentamila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 30.000,00 (trentamila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

a) ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019, la pubblicazione per intero del presente provvedimento sul sito web del Garante;

b) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, dispone l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 23 ottobre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Fanizza