[doc. web n. 10199166]

Provvedimento del 23 ottobre 2025

Registro dei provvedimenti
n.  637 del 23 ottobre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018 n. 101, recante disposizioni per l'adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;    

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Con reclamo del 19 giugno 2024 il sig. XX ha lamentato di aver ricevuto numerosi sms indesiderati, inviati da Geturhotels Srl (di seguito, Geturhotels o la Società), nonostante l'opposizione più volte manifestata. In particolare, il sig. XX ha rappresentato di aver iniziato a ricevere i messaggi dal maggio 2021 e di aver tentato di ottenere la cancellazione dei suoi dati chiamando il numero telefonico indicato nel testo dei messaggi parlando con l'operatrice. Non ottenendo soddisfazione, il reclamante ha inviato una richiesta via email in data 22 giugno 2021. La ricezione dei messaggi indesiderati tuttavia è proseguita fino a farsi più sporadica per poi riprendere in maniera costante a partire dal 14 marzo 2024.

Alla richiesta di informazioni dell'Ufficio, la Società ha risposto con pec del 15 ottobre 2024 dichiarando di aver acquisito i dati del sig. XX nel 2015, in occasione della vendita di servizi alberghieri, e di averli trattati per finalità promozionali sulla base di un proprio legittimo interesse ai sensi del considerando 47 del Regolamento.

Con riguardo al mancato recepimento della richiesta di cancellazione, Geturhotels ha dichiarato di non aver registrato tale volontà nel proprio CRM a causa di un "disguido" dovuto verosimilmente al recepimento della richiesta di cancellazione nella sola piattaforma di invio degli sms e non anche nel CRM della Società; tale ipotesi, a detta di Geturhotels, sarebbe confermata dal fatto che l’invio di sms era stato interrotto per un periodo per poi riprendere nel 2024 quando, effettivamente, la Società ha adottato una nuova piattaforma di invio degli sms. La Società ha comunque assicurato di aver provveduto a prendere atto dell'opposizione del reclamante.

2. LA CONTESTAZIONE DELLE VIOLAZIONI

Con nota del 7 febbraio 2025 (prot. n. 16106/25) è stato comunicato a Geturhotels l’avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, per l’adozione di eventuali provvedimenti di cui all’art. 58, par. 2, del Regolamento, riconoscendo in capo alla Società la responsabilità per la presunta violazione delle seguenti disposizioni:

- art. 5, par. 1, lett. e); art. 17 e 24 del Regolamento, per non aver posto in essere misure adeguate a stabilire i tempi di conservazione dei dati per finalità promozionali e a recepire correttamente le richieste di cancellazione dell'interessato;

- art. 6, par. 1, lett. a) del Regolamento e art. 130, comma 2 del Codice, per l'invio di sms in assenza del consenso al trattamento dei dati per finalità promozionali.

In particolare, nell’atto di avvio del procedimento, è stato osservato quanto segue.

La Società aveva basato l'invio di sms promozionali al reclamante - e in generale a tutti i suoi clienti - sul presupposto giuridico del legittimo interesse, in virtù di quanto suggerito dal considerando 47 del Regolamento, ritenendolo applicabile in ragione del pregresso (e invero piuttosto risalente) rapporto contrattuale.

È stato tuttavia osservato che, nell’attuale quadro normativo, l’art. 130, comma 2, del Codice - che costituisce una lex specialis - impone di acquisire un idoneo consenso per l'invio di comunicazioni promozionali via sms; l’unico caso di deroga all'obbligo del consenso per l'invio di messaggi a propri clienti, è previsto dal comma 4 dello stesso art. 130 ma riguarda unicamente l'invio tramite email (esclusi, dunque, altri canali) e solo per proporre prodotti o servizi analoghi a quelli già acquistati.

Pertanto, l'invio degli sms promozionali al reclamante - sin dall'origine e a maggior ragione dopo l'opposizione - era stato effettuato in assenza di un idoneo consenso e doveva considerarsi illecito poiché il trattamento è stato effettuato in violazione dell’art. 6, par. 1, lett. a) del Regolamento e dell’art. 130, comma 2 del Codice.

Inoltre, è stato osservato che la Società ha utilizzato per finalità promozionali, dati raccolti nel 2015, in un periodo in cui peraltro non era neanche vigente il Regolamento. Quindi, oltre all'illiceità derivante dall'assenza di un originario consenso, si doveva rilevare anche il termine di conservazione dei dati ingiustificatamente protratto per 9 anni e interrotto solo dopo l'intervento del Garante.

Si è ricordato infatti che, ai sensi dell'art. 5, par. 1, lett. e) del Regolamento, i dati personali possono essere conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono stati trattati; tale arco di tempo deve essere reso noto all'interessato al momento del conferimento dei dati e, qualora (come avrebbe dovuto essere nel caso di specie) il trattamento sia basato sul consenso, il tempo di conservazione deve essere interrotto in caso di revoca del consenso da parte dell'interessato.

Inoltre, con riguardo ai tempi di conservazione dei dati per finalità promozionali è stato precisato che, se anche fosse stato acquisito un idoneo consenso in origine, tale requisito non avrebbe potuto più ritenersi valido trascorso un così ampio lasso di tempo; ciò in ragione del fatto che un termine di utilizzo dei dati così esteso (se non addirittura indefinito) non poteva rientrare fra le legittime aspettative dell'utente medio, atteso che, oltre un certo limite, la mancata revoca del consenso è più probabilmente riconducibile a dimenticanza piuttosto che all'effettiva volontà di acconsentire all'utilizzo dei dati. Sono state richiamate, al riguardo, le indicazioni fornite dal Garante con il provvedimento generale in tema di fidelity card del 24 febbraio 2005 (in www.garanteprivacy.it, doc web n. 1103045) che, pur avendo perso il carattere imperativo in ragione del rinnovato quadro normativo, contiene comunque delle indicazioni tuttora valide per guidare i titolari nella determinazione dei tempi di conservazione dei dati, nel rispetto della maggiore libertà (e correlata responsabilità) che il principio di accountability ora riconosce.

In generale, è stato ricordato che il Garante ha già più volte chiarito che il consenso al trattamento dei dati personali per finalità promozionali, in quanto massima espressione dell’autodeterminazione dell’individuo, deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall’interessato, a condizione che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento nonché dei tempi di conservazione stabiliti dal titolare e indicati nell’informativa, nel rispetto dell’art. 5, par. 1, lett. e) del Regolamento (v. provv. 15 ottobre 2020, in www.garanteprivacy.it, doc. web n. 9486485).

Infine, rispetto al mancato recepimento della volontà dell'interessato di ottenere la cancellazione dei dati illecitamente trattati, è stato osservato che Geturhotels aveva fatto riferimento a un "disguido" che non era stato in alcun modo documentato e che comunque non poteva giustificarne la condotta omissiva dopo i numerosi tentativi fatti dal sig. XX per vedere rispettata la sua volontà di non ricevere altri messaggi.

Ciò aveva ritenuto configurabile la violazione da parte di Geturhotels dell'art. 5, par. 1, lett. e), dell'art. 17 e dell'art. 24 del Regolamento per non aver posto in essere misure adeguate a stabilire i tempi di conservazione dei dati per finalità promozionali e a recepire correttamente le richieste di cancellazione dell'interessato.

3. LA DIFESA DEL TITOLARE

Con pec del 7 marzo 2025 la Società ha fatto pervenire una memoria difensiva nella quale ha chiarito alcuni aspetti del trattamento e ha fornito giustificazioni in merito alle condotte oggetto di contestazione.

In particolare, la Società ha rappresentato quanto segue.

3.1 Mancato riscontro all’esercizio dei diritti dell’interessato

La società ha ribadito che la volontà dell’interessato di opporsi alla ricezione di ulteriori messaggi non è stata adeguatamente presa in considerazione a causa di un mero errore, trattandosi infatti di un caso isolato. In particolare essa ha precisato che “la scheda anagrafica del cliente del gestionale in uso alla Società contiene un apposito flag che consente di tracciare il consenso e/o l’opposizione del medesimo rispetto al trattamento dei propri dati personali. Considerato il disallineamento tra il contenuto della scheda anagrafica e quanto riportato dall’interessato (ovvero di un periodo di interruzione cui ha fatto seguito una ripresa nel 2024), la Società ipotizza che, all’epoca, la richiesta dell’interessato non sia stata gestita in modo corretto dall’operatore che vi ha provveduto e che questi, sia intervenuto sulla piattaforma di invio e non invece che sul gestionale. Trattandosi di fatti risalenti al 2021, relativi peraltro a modifiche effettuate su una piattaforma di invio ormai dismessa, non è possibile fornire ulteriori elementi rispetto a quelli già indicati”.

Geturhotels ha comunque dichiarato di aver adottato “una policy formale di gestione delle richieste degli interessati, allo scopo di dare puntuali indicazioni ai propri incaricati al trattamento e di garantire il rispetto delle previsioni contenute agli artt. 12 ss. GDPR”. In particolare, ricordando di aver comunque già provveduto a cancellare i dati del reclamante, la Società ha dichiarato di aver adottato le seguenti misure correttive per agevolare la revoca del consenso:

“- è stata anzitutto predisposta una pagina ad hoc, nella quale si indica l’indirizzo mail a cui indirizzare la richiesta di cancellazione, includendo tutte le parole chiave maggiormente utilizzate dagli utenti per ricercare questa funzione: oltre al nome Geturhotels, anche le keyword “richiesta cancellazione”, “revoca del consenso”, “revoca comunicazioni marketing” (All. 1);

- è stato predisposto un protocollo interno, che prevede dei paragrafi dedicati alle modalità di evasione delle richieste degli interessati relative alla revoca del consenso per le comunicazioni di marketing (All. 2)”.

3.2 Base giuridica del trattamento

La Società ha dichiarato di aver effettuato delle valutazioni specifiche in merito alla base giuridica da scegliere per l’effettuazione dell’attività promozionale nei confronti dei propri clienti. All’esito di tali valutazioni, essa ha infatti ritenuto di poter basare il trattamento sul legittimo interesse in ragione dei richiami fatti dalla direttiva 2002/58/CE all’invio di comunicazioni promozionali nell’ambito di una relazione commerciale esistente. La Società in particolare ha ritenuto che “il GDPR, in quanto regolamento, costituisce un atto immediatamente applicabile ed obbligatorio in tutte le sue parti ai sensi dell’art. 288 TFUE. La sua portata precettiva non può dunque essere limitata da disposizioni nazionali.

Semmai, carattere derogatorio e speciale potrebbe essere riconosciuto alle previsioni della direttiva 2002/58/CE, delle quali l’art. 130 costituisce attuazione (cfr. art. 10 dir.).

Va però evidenziato che, come chiaramente emerge dalla lettura dei considerando (40) della direttiva, la ratio della previsione dell’art. 10 dir. non era quella di stabilire una speciale disciplina dell’uso delle comunicazioni elettroniche per finalità di marketing diretto con valenza derogatoria rispetto alle norme sulla protezione dei dati personali, ma di stabilire norme di maggior protezione degli abbonati ai servizi di comunicazione elettronica rispetto a comunicazioni commerciali massive realizzate sfruttando dati di contatto pubblicati su elenchi, siti web, o generati mediante strumenti di composizione automatica (dialer). Il considerando (41) chiariva invece come fosse ragionevole “consentire l'uso delle coordinate elettroniche per offrire prodotti o servizi analoghi, ma unicamente da parte della medesima società che ha ottenuto le coordinate elettroniche a norma della direttiva 95/46/CE”.

In questo senso, dunque, la direttiva 2002/58/CE non intendeva derogare alle previsioni della direttiva 95/46/CE in relazione ai trattamenti dei dati di contatto rientranti nell’ambito di una relazione commerciale. Tantomeno, ha inteso sostituire le basi giuridiche disciplinate da tale direttiva (tra le quali era già annoverato il legittimo interesse: cfr. art. 7, lett. f) dir. 95/46/CE).

Se ne dovrebbe pertanto concludere che, nell’ambito di una relazione commerciale, non vi è alcuna incompatibilità tra quanto previsto dal GDPR e quanto previsto dalla dir. 2002/58/CE.

Con l’ulteriore corollario che una norma nazionale non potrebbe essere interpretata nel senso di privare di effetto una disposizione di diritto europeo immediatamente applicabile”.

La Società ha comunque assicurato di aver “elaborato un nuovo protocollo relativo all’uso di comunicazioni di marketing, che prevede che le comunicazioni commerciali saranno trasmesse a contatti per i quali si sia acquisito un esplicito consenso, da documentare adeguatamente (All. 3)”.

3.3 Tempi di conservazione dei dati

Riguardo alla contestata conservazione prolungata dei dati per finalità promozionali, la Società ha preliminarmente chiarito di aver effettuato, anche in questo caso, una scelta basata su una valutazione complessiva della particolare natura dei servizi offerti tenendo conto di precedenti orientamenti dell’Autorità.

Geturhotels in particolare ha ricordato che le sue campagne di marketing “sono rivolte principalmente all’offerta dei pacchetti turistici per propri resort, che hanno una durata minima di sette notti e che sono fruibili nel periodo estivo: si tratta di servizi che una famiglia media può acquistare una volta l’anno e, in molti casi, i clienti tendono a non ritornare immediatamente in una località turistica che hanno già visitato, ma fanno magari trascorrere qualche anno tra una vacanza e l’altra. Le peculiarità del prodotto giustificano dunque un periodo di conservazione potenzialmente anche più ampio. Tanto più che, rispetto al trattamento consistente nella profilazione, il trattamento per l’invio di comunicazioni commerciali ha un impatto notevolmente inferiore per i diritti e le libertà dell’interessato”. Tali valutazioni sono state effettuate anche tenendo conto dei principi enunciati dal Garante “per quei settori economici nei quali la frequenza degli acquisti è più sporadica ed incerta, e collegata a precisi momenti dell’anno, com’è il caso dei settori della moda e del lusso. In questo senso, con i provvedimenti del 2 dicembre 2015, doc web 4642844, dell’11 maggio 2017, doc. web 6495144, del 5 luglio 2017, doc. web 6844421 e del 16 maggio 2018, doc. web 8998339, codesta Autorità aveva autorizzato il titolare all’estensione del periodo di trattamento dei dati dei clienti per finalità di marketing e profilazione, tenuto conto che i beni offerti da quei titolari avevano un mercato ridotto, il cui acquisto si realizzava in media una o due volte l’anno. In quei casi, è stato ritenuto ragionevole e proporzionato estendere a sette anni il periodo di conservazione”.

Come misura correttiva la Società ha dichiarato che, considerate le peculiarità del settore di attività di Geturhotels ed il carattere prevalentemente stagionale dei suoi servizi, i dati di contatto saranno utilizzati per cinque anni. Tale termine è stato ritenuto congruo alla luce dei citati orientamenti del Garante in merito a settori merceologici di particolare natura.

4. VALUTAZIONI DI ORDINE GIURIDICO

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle affermazioni rese dalla Geturhotels in corso di istruttoria, di cui il dichiarante risponde ai sensi dell’art. 168 del Codice, si formulano le seguenti valutazioni di ordine giuridico.

4.1 Mancato riscontro all’esercizio dei diritti dell’interessato

Dalla documentazione in atti risulta che il titolare non abbia adeguatamente rispettato il diritto dell’interessato ad interrompere la ricezione di messaggi promozionali ritenuti indesiderati. Tale trattamento peraltro si sarebbe protratto per molti anni senza che il reclamante potesse ottenere soddisfazione della sua richiesta.

La Società infatti ha ipotizzato che la revoca sia stata registrata solo sulla piattaforma di invio e non anche sul gestionale delle anagrafiche dei clienti. Tale eventualità è possibile e può determinare di frequente degli errori ma, nel caso di specie, l’interessato si è rivolto numerose volte al titolare per interrompere la ricezione dei messaggi, prima di arrivare a richiedere l’intervento del Garante. Una tale frequenza delle richieste avrebbe dovuto indurre il titolare a ricercare la causa del mancato recepimento della volontà dell’interessato potendo così accorgersi prima dell’errore e porvi rimedio. Tanto più che il reclamante, dopo aver chiamato più volte il numero di telefono indicato negli sms e non ottenendo risultati, ha inviato anche una richiesta via email nel 2021; a tale richiesta non ha fatto seguito alcuna risposta ma è proseguita la ricezione di sms indesiderati fino al 2024.

Pertanto, pur prendendo atto con favore degli interventi correttivi già predisposti dalla Società per evitare il ripetersi di eventi analoghi, non si ritiene giustificabile l’errore rappresentato in ordine al mancato allineamento della registrazione della revoca del consenso nei sistemi e pertanto si conferma la violazione dell’art. 5, par. 1, lett. e) nonché degli artt. 17 e 24 del Regolamento, per non aver posto in essere misure adeguate a recepire correttamente le richieste di cancellazione dell'interessato.

Dal momento che la Società è già intervenuta predisponendo misure correttive alle proprie procedure, non si ritiene necessario adottare ulteriori prescrizioni nei confronti di Geturhotels ritenendo applicabile una sanzione amministrativa pecuniaria ai sensi dell’art. 58, par. 2, lett. i) del regolamento.

4.2 Base giuridica del trattamento

Nell’articolazione delle sue difese, la Società ha offerto un’interpretazione personale del quadro normativo che regola l’effettuazione di attività promozionali tramite canali di comunicazione elettronica. L’interpretazione descritta, seppure dà atto di una preliminare valutazione del titolare e di una conseguente attenzione rispetto ai trattamenti effettuati, non può tuttavia essere condivisa.

Innanzitutto la Società richiama impropriamente l’art. 10 della direttiva 2002/58/CE dovendo invece farsi riferimento, riguardo alle comunicazioni promozionali indesiderate, all’art. 13 di detta direttiva.

Inoltre, a detta della Società, la richiamata direttiva non costituirebbe una deroga alle più generiche disposizioni della direttiva 95/46/CE (ora abrogata e sostituita dal Regolamento) e sarebbe volta unicamente a tutelare gli utenti delle comunicazioni elettroniche da invii massivi di comunicazioni indesiderate a partire da liste formate senza il consenso dell’abbonato, facendo salva invece la possibilità per i titolari che abbiano in essere un rapporto commerciale con l’utente, di inviare comunicazioni promozionali come suggerito anche dal considerando 41 di detta direttiva; nell’interpretazione di Geturhotels, pertanto, anche la base giuridica del legittimo interesse sarebbe invocabile in quanto prevista dalla direttiva 95/46/CE, prima, e dal Regolamento ora.

Tale interpretazione non risulta corretta.

Si deve infatti ricordare che l’attività promozionale svolta attraverso canali di comunicazione elettronica (quale è l’invio di sms o l’effettuazione di telefonate) soggiace alla speciale disciplina originata dalla direttiva 2002/58/CE, recepita nell’ordinamento italiano con il Titolo X del Codice. In particolare, si richiama quanto disposto dall’art. 130 del Codice in base al quale l’invio di comunicazioni con modalità automatizzate è consentito solo con il consenso del contraente o utente potendosi ammettere una deroga unicamente nel caso in cui l’indirizzo e-mail – e solo l’indirizzo e-mail - sia stato rilasciato dall’interessato nel contesto di una vendita di beni o servizi analoghi.  Tale specifica deroga discende dall’art. 13, par. 2 della direttiva 2002/58/CE ed è prevista, nel diritto italiano, dal comma 4 dell’art. 130 del Codice; il principio enunciato da tale disposizione, che la Società ha invocato facendo riferimento solo al considerando n. 41 della direttiva, non risulta applicabile nel caso di specie dal momento che il reclamante è stato contattato tramite sms e non tramite email. Si ricorda che, trattandosi di una deroga all’interno di una norma di carattere speciale, non è possibile adottare un’interpretazione estensiva e pertanto, al di fuori del canale email, il titolare non può avvalersi della facoltà di contattare i propri clienti per finalità promozionale senza aver ottenuto uno specifico consenso. Pertanto, ogni comunicazione promozionale effettuata al di fuori di tali condizioni e utilizzando un canale diverso dalla e-mail ricade nella più generale disciplina dell’art. 130 del Codice, rendendo necessaria la scelta di un’idonea base giuridica. In particolare, con riguardo alle comunicazioni promozionali veicolate tramite mezzi di comunicazione elettronica accessibili al pubblico (tra cui è ricompreso l’sms), l’unico presupposto ammissibile è il consenso dell’interessato, dovendosi invece escludere tutte le altre basi giuridiche previste dall’art. 6 del Regolamento.

Rispetto alla base giuridica applicabile ai trattamenti per finalità promozionale, il Garante si è più volte espresso attraverso pronunce costanti e consolidate (cfr., inter alia, in www.garanteprivacy.it, provv. n. 393 del 18 luglio 2023, doc. web n. 9939507; provv. n. 9 dell'11 gennaio 2023, doc. web n. 9861941; provv. n. 553 del 12 settembre 2024, doc. web n. 10076504; provv. n. 775 del 12 dicembre 2024, doc. web n. 10102462; provv. n. 202 del 17 maggio 2023, doc web 9899880; provv. n. 4 dell’11 gennaio 2024, doc. web n. 10082705; provv. n. 271 del 9 maggio 2024, doc. web n. 10025887; provv. n. 401 del 20 giugno 2024, doc. web n. 10040382; provv.  n. 11 del 15 gennaio 2025, doc. web n. 10110241; provv.  n. 210 del 10 aprile 2025, doc. web. n. 10135041; provv.  n. 212 del 10 aprile 2025, doc. web n. 10134918; provv.  n. 73 del 13 febbraio 2025, doc. web. n. 10119750).

Tutto ciò premesso, si rileva che l’invio di ripetuti messaggi sms al reclamante è stato effettuato in assenza di una idonea base giuridica, non avendo questi rilasciato uno specifico consenso e non essendo sufficiente il preesistente rapporto contrattuale a giustificare i contatti commerciali via sms; di conseguenza si conferma la violazione dell’art. 6, par. 1, lett. a) del Regolamento e dell’art. 130, comma 2 del Codice.

Dal momento che la Società ha dichiarato di aver predisposto delle procedure per effettuare l’attività promozionale sulla base di consensi adeguatamente raccolti, non si ritiene necessario adottare ulteriori prescrizioni nei confronti di Geturhotels ritenendo applicabile una sanzione amministrativa pecuniaria ai sensi dell’art. 58, par. 2, lett. i) del Regolamento.

3.3 Tempi di conservazione dei dati

Da quanto raccolto in atti e successivamente confermato dalla Società, il trattamento per finalità promozionali nei confronti del reclamante si è protratto per diversi anni, utilizzando dati raccolti nel 2015 in occasione dell’erogazione di un servizio alberghiero, interrompendosi solo a seguito dell’intervento del Garante.

Nell’atto di avvio del procedimento è stata contestata l’assenza di un termine di conservazione dei dati e l’eccessiva durata del trattamento per finalità promozionali, tenuto conto del fatto che lo stesso reclamante non ricordava di aver rilasciato i suoi dati in occasione di un soggiorno piuttosto risalente.

Nell’articolare le sue difese, la Società ha giustificato la necessità di protrarre la conservazione dei dati dei propri clienti per un periodo che ora ha comunque rideterminato in 5 anni, considerandolo congruo in ragione dello specifico servizio offerto.

Su tale profilo si ritiene di poter accogliere le motivazioni di Geturhotels, in ragione della particolare natura del servizio offerto, tenendo conto anche della limitazione del termine di conservazione a 5 anni. Pertanto, non si rinvengono i presupposti per l’applicazione di ulteriori misure correttive o sanzionatorie.

5. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, risultano violate diverse disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati da Geturhotels, per cui occorre applicare l'art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave con conseguenziale applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, nel fissare al par. 5 il massimo edittale nella somma di 20 milioni di euro, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, ipotizzato, sulla base delle informazioni rinvenibili nell'ultimo bilancio presente nel Registro delle imprese e prodotto dalla Società (registrato al 31 dicembre 2023), il ricorrere della prima ipotesi prevista dal citato art. 83, par. 5 e quantificato quindi in 20 milioni di euro il massimo edittale applicabile, devono essere considerate le seguenti circostanze aggravanti:

1. la durata del trattamento illecito, protratto per diversi anni e interrotto solo a seguito dell’intervento del Garante, che ha comportato l’invio di messaggi promozionali indesiderati al reclamante senza alcun consenso (art. 83, par. 2, lett. a), del Regolamento);

2. il grado di responsabilità del titolare, tenuto conto che non ha dimostrato di disporre di misure tecniche e organizzative adeguate al corretto svolgimento dell’attività promozionale e alla conseguente attività di recepimento delle revoche del consenso da parte dell’interessato (art. 83, par. 2, lett. d), del Regolamento).

Quali elementi attenuanti, si ritiene di poter tener conto:

1. del fatto che il caso segnalato è risultato isolato, non essendo pervenuti reclami di analogo contenuto nei confronti di Geturhotels, nonché del basso livello di danno subito dal reclamante tenuto conto che il trattamento contestato è del tutto accessorio all’attività principale del titolare che si occupa di erogare servizi alberghieri (art. 83, par. 2, lett. a) del Regolamento);

2. della natura dei dati trattati, consistenti in dati comuni anagrafici e di contatto (art. 83, par. 2, lett. g) del Regolamento);

3. dei dati di bilancio tenuto anche conto che non si tratta di un soggetto che tratta in maniera professionale banche dati per il marketing (art. 83, par. 2, lett. k) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4 e 5 del Regolamento, nella misura di euro 6.000,00 (seimila) pari allo 0,03% della sanzione edittale massima di 20 milioni di euro, per le violazioni descritte nel presente provvedimento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva anche in considerazione delle capacità economiche del titolare.

Nel caso in argomento si ritiene che debba applicarsi, altresì, la sanzione accessoria della pubblicazione nel sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019.

In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare proporzionata in relazione alla gravità e al particolare disvalore delle condotte oggetto di censura, tenuto conto degli elementi di rischio per i diritti e le libertà degli interessati (potenzialmente tutti gli interessati destinatari dell'attività promozionale sopra descritta).

Si rileva che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione effettuato dalla Geturhotels Srl, via Campi 1/B, Mareno di Piave (TV), p. IVA 00912860392, e conseguentemente

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, alla Geturhotels Srl, in persona del suo legale rappresentante, di pagare la somma di euro 6.000,00 (seimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 6.000,00 (seimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

a) ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento nel sito web del Garante;

b) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 23 ottobre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Fanizza