[doc. web n. 10232777]

Provvedimento del 26 febbraio 2026

Registro dei provvedimenti
n. 123 del 26 febbraio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e l’Avv. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo e l’attività istruttoria

Nel mese di XX, è pervenuto a questa Autorità un reclamo con il quale è stata lamentata una presunta violazione della disciplina in materia di protezione dei dati personali. Nello specifico, il reclamante avrebbe acquistato un kit per effettuare un test genetico inviando a Dante Labs S.r.l. (di seguito “Società”) il proprio campione di DNA, senza ricevere alcun risultato “nonostante i molteplici tentativi di contattare l'azienda. Inoltre, (la) Dante Labs non ha fornito l'accesso ai (…)  dati genetici personali (del reclamante), né ha risposto alle (…) richieste di informazioni o di rimborso”.

L’Ufficio, con nota del XX (prot. n. XX), ha invitato la Società - ai sensi dell’art. 15 del Regolamento n. 1/2019 del Garante per la protezione dei dati personali (doc. web n. 9107633) - ad aderire alle richieste del reclamante entro e non oltre 20 giorni dal ricevimento della nota stessa, in modo puntuale ed esaustivo, inviando, contestualmente, copia di tale riscontro anche al Garante. A tale nota non è stato fornito alcun riscontro da parte della Società.

Con successiva nota del XX (prot. n. XX), inviata a mezzo Pec, all’indirizzo XX, risultante anche dalla visura camerale, l’Ufficio ha chiesto alla Società, ai sensi dell’art. 157 del Codice, di fornire ogni informazione utile in relazione alla vicenda in esame, entro il termine di 30 gg., al fine di consentire all’Autorità di completare l’istruttoria relativa al reclamo.

A tale richiesta, la Società non ha fornito alcun riscontro, sebbene, come risultato dalla verifica effettuata presso l’Ufficio che gestisce il servizio di protocollo del Garante, la citata richiesta di informazioni del XX, sia stata consegnata all’indirizzo Pec sopra indicato della Società.  

2. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5, del Codice

A fronte del mancato riscontro alla richiesta di informazioni, l’Ufficio - attraverso il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza - in data XX, ha notificato alla Società - con atto di contestazione datato XX (prot. n. XX) - l’avvio del procedimento, di cui all’art. 166, comma 5, del Codice, finalizzato all’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento per la violazione dell’art. 157 del Codice, invitando la Società a produrre al Garante scritti difensivi o documenti, ovvero a chiedere di essere sentito in audizione dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, legge n. 689 del 24 novembre 1981).

Unitamente a tale atto di contestazione, il citato Nucleo ha inoltre notificato i richiamati atti del XX (prot. n. XX) e del XX (prot. n. XX), ai quali non era stato fornito alcun riscontro.

Con nota del XX, la Società ha presentato un riscontro, comprensivo della memoria difensiva riferita alla contestazione di violazione dell’art. 157 del Codice, nonché, recante argomentazioni e documentazione riferibili ai profili di merito della vicenda oggetto di reclamo. Riguardo al mancato riscontro alla richiesta di informazioni dell’Autorità, la Società ha dichiarato di “(scusarsi) per il mancato o ritardato riscontro alle Vostre richieste di chiarimenti e comunicazioni ricevute in questi mesi”, chiedendo di “essere audita dall’autorità riguardo i fatti sopra descritti”.

In data XX, si è tenuta l’audizione, nella quale, la Società ha rappresentato che “Ad integrazione di quanto già in atti, in via preliminare si porgono nuovamente le scuse per il ritardo nel mancato riscontro alla richiesta di informazioni dell’Autorità che non è avvenuto volontariamente. La Società ha iniziato, nell’XX, un procedimento di composizione negoziata della crisi e quindi ha ricevuto un numero significativo di Pec da parte dei creditori e questo ha creato molte difficoltà sia nella risposta al reclamante che al Garante”.

Dalla risposta fornita dalla Società con la nota del XX, nonché in corso di audizione, sono emersi elementi nuovi di merito riguardanti rilevanti profili di protezione dei dati personali, in particolare, con riguardo al principio di correttezza e trasparenza di cui all’art. 5, par. 1, lett. a) del Regolamento e ai ruoli di protezione dei dati personali dei diversi soggetti che intervengono nelle operazioni di trattamento relative ai test genetici richiesti dagli interessati a seguito dell’acquisto del relativo kit.  

In particolare, in relazione ai ruoli di protezione dei dati personali, è emerso che titolare del trattamento risulterebbe essere la società Dante Labs Inc. con sede negli Stati Uniti e che la Società (Dante Labs S.r.l.) risulterebbe responsabile del trattamento della Società statunitense, ai sensi dell’art. 28 del Regolamento. Nello specifico, la Società italiana, attraverso i propri laboratori, effettuerebbe per conto della società americana, i test genetici sui campioni di DNA da quest’ultima inviati presso la propria sede italiana. Per tali aspetti l’Ufficio, ha avviato un’istruttoria anche nei confronti della società americana; i predetti procedimenti sono tuttora in corso. Pertanto, con il presente provvedimento si definiscono esclusivamente gli aspetti procedurali attinenti al mancato riscontro, da parte della Società, alla richiesta di informazioni dell’Ufficio del XX, ai sensi dell’art. 157 del Codice.  

3. Esito dell’attività istruttoria

Il trattamento dei dati personali, deve svolgersi nell’osservanza dei principi e degli obblighi previsti dal Regolamento e dal Codice.

Si evidenzia, in particolare, che l’Autorità di controllo, nell’ambito dei compiti e poteri attribuiti dal Regolamento, assicura, fra l’altro, l’applicazione delle disposizioni delle norme poc’anzi citate e svolge le opportune indagini, anche sulla corretta applicazione della disciplina di protezione dei dati personali da parte dei titolari e dei responsabili del trattamento (art. 57 par.1, lett. a), f) ed h) e 58 del Regolamento). A tale scopo, l’Autorità ha il potere di ingiungere al titolare o al responsabile del trattamento, o ai rappresentanti di questi, di fornire ogni informazione di cui necessiti per l’esecuzione dei suoi compiti (art. 58 par.1, lett. a), del Regolamento).

L’art. 157 del Codice prevede, a tal fine, che “nell’ambito dei poteri di cui all'articolo 58 del Regolamento, e per l’espletamento dei propri compiti, il Garante può richiedere al titolare, al responsabile, al rappresentante del titolare o del responsabile, all'interessato o anche a terzi di fornire informazioni e di esibire documenti anche con riferimento al contenuto di banche di dati” e che l’inosservanza di tale disposizione rende applicabile la sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5 del Regolamento (art. 166, comma 2, del Codice).

Si osserva, con riferimento alla vicenda oggetto di reclamo, che, anche alla luce dei principi generali di buon andamento, efficienza, efficacia ed economicità dell’azione amministrativa (art. 97 Cost., nonché art. 9, comma 1 e 10, comma 3, del Regolamento interno del Garante n. 1/2019 del 4 aprile 2019, doc. web n. 9107633), la condotta omissiva della Società ha richiesto anche l’intervento del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza Nucleo per raccogliere elementi utili alle valutazioni e alla decisione del caso.

Tanto premesso, non avendo la Società fornito riscontro alla richiesta di informazioni dell’Autorità del XX risulta accertato che ha posto in essere una condotta omissiva causata da un comportamento negligente, in violazione dell’art. 157 del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dalla Società nel corso dell’istruttoria, nonché degli elementi forniti nella memoria difensiva e in sede di audizione - della cui veridicità risponde ai sensi dell’art. 168 del Codice - seppure meritevoli di considerazione, non risultano, comunque, idonei a superare i rilievi notificati con l’atto di avvio del procedimento, non ricorrendo, alcuna delle ipotesi di cui all’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, si confermano le valutazioni preliminari dell’Ufficio e si accerta l’illiceità della condotta omissiva posta in essere dalla Società riguardante il mancato riscontro alla richiesta di informazioni dell’Ufficio medesimo, formulata con nota del XX (prot. n. XX), in violazione dell’art. 157 del Codice.  
Non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento, tenendo conto che la condotta ha esaurito i suoi effetti, per aver il titolare fornito riscontro all’Autorità.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone, altresì, in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento.

Anzitutto, considerato che la violazione afferente alla vicenda in questione rientra nelle fattispecie elencate dall’art. 83, par. 5, del Regolamento, l’importo totale della sanzione è da quantificarsi fino a 20.000.000 di euro (massimo edittale cd “statico”).

Quanto alla valutazione della gravità della violazione di cui all’art.  83, par. 2, lett. a), b) e g) del Regolamento (cfr. il documento “Linee Guida 04/2022 sul calcolo della sanzioni amministrative pecuniarie ai sensi del GDPR – versione 2.0 – adottato il 24 maggio 2023”), si ritiene che il livello di gravità è da considerarsi lieve, non ricorrendo alcun profilo di dolo e avendo la Società rappresentato di aver avviato “un procedimento di composizione negoziata della crisi”; inoltre, la Società ha risposto all’Autorità appena venuta a conoscenza dell’evento occorso attraverso l’atto di contestazione dello stesso.   

In relazione alla valutazione degli ulteriori elementi previsti dall’art. 83, par. 2 del Regolamento, quali circostanze aggravanti e attenuanti, si tiene conto che:

- nei confronti della Società non sono stati in precedenza adottati provvedimenti riguardanti violazioni pertinenti (art. 83, par. 2, lett. e) del Regolamento);

- quest’ultima ha cooperato con l’Autorità (art. 83, par. 2, lett. f) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, tenuto conto, altresì, di quanto indicato nell’art. 83 del Regolamento e nelle e Linee guida sopra citate circa l’incidenza del criterio del fatturato annuo nel calcolo  della sanzione pecuniaria, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5 del Regolamento, nella misura di euro 600,00 (seicento/00) per la violazione di cui all’art. 157 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019 in considerazione della tipologia della violazione accertata che ha riguardato l’obbligo di riscontrare la richiesta di informazioni del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara che la Società Dante Labs S.r.l., sita in L’Aquila (AQ) Località Boschetto – c.a.p. 67100 - C.F. - P.IVA 01987870662 ha violato l’art. 157 del Codice, in relazione all’art. 166, comma 2, del Codice nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al titolare del trattamento sopra citato di pagare la somma di euro 600,00 (seicento/00) a titolo di sanzione amministrativa pecuniaria per la violazione indicata nel presente provvedimento;

INGIUNGE

al predetto titolare, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 600,00 (seicento/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza-ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 26 febbraio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Montuori