Con una recentissima decisione datata 4 giugno 2025 (registro dei provvedimenti n. 330), il Garante per la Privacy si è pronunciato su un ricorso promosso da un cittadino privato il quale ha contestato la continua reiterazione da parte di Noi Compriamo Auto.it Srl di una serie continuata di mail indesiderate aventi ad oggetto promozioni ed offerte correlate, senza tuttavia avere mai prestato alcun tipo di consenso alla ricezione di tali messaggi.

Oltre l’insistenza di quest’attività ha altresì aggiunto di aver inoltrato una richiesta di esercizio dei diritti alla società medesima (d’ora in poi NCA) ricevendo un tardivo riscontro dopo un sollecito via pec in cui si affermava che il relativo consenso sarebbe stato rilasciato dall’interessato ad una società partner attraverso un relativo portale.

L’attività istruttoria che ha avuto immediatamente seguito, concretizzandosi nella richiesta di informazioni presso la relativa società, ha confermato quanto dichiarato nel riscontro al reclamante.

Con riferimento alle email inviate, la Società ha poi precisato di aver immediatamente inserito in black list il reclamante non appena ricevuta la sua richiesta, addebitando le successive comunicazioni ricevute ai suoi partner mossi da un’iniziativa successiva di ordine autonomo. Inoltre e più in generale, con riguardo alle modalità di svolgimento delle attività promozionali da parte di NCA, quest’ultima ha dichiarato di avvalersi di partnership con soggetti terzi che effettuano l’attività promozionale per conto di NCA impegnandosi al rispetto delle norme in materia di protezione dei dati personali.

La Società al riguardo ha poi allegato dei contratti sottoscritti con i due partner aggiungendo che, in ragione di quanto emerso a seguito del reclamo, tali rapporti contrattuali erano stati successivamente conclusi.

Sulla base delle suddette premesse, pertanto, è stato comunicato alla Società l’avvio del procedimento ai sensi dell’art. 166, comma 5 del Codice in materia di protezione dei dati personali (d.lgs. n. 196/2003), per l’adozione di eventuali provvedimenti di cui all’art. 58, par. 2 del Regolamento generale sulla protezione dati (RGPD o GDPR  n. 2016/679), riconoscendo in capo a NCD la responsabilità per la presunta violazione  anzitutto dell’art. 28 del cit. Regolamento per non avere correttamente disciplinato i rapporti con i responsabili del trattamento, dell’art. 5, par. 2 e 24 del Regolamento in ragione dello scarso controllo da parte di NCA nei trattamenti finalizzati alla realizzazione delle campagne promozionali con conseguente incapacità di ottemperare all’obbligo di comprovare il rispetto delle norme, ed infine dell’art. 6, par. 1, lett. a) del Regolamento e dell’art. 130 comma 2 del Codice, per l’invio di comunicazioni promozionali senza consenso, nonché dell’art. 12, par. 2 del Regolamento per non aver agevolato l’esercizio dei diritti da parte del reclamante.

Il ragionamento giuridico posto a base della decisione

Esaminate le deduzioni difensive rese in sede di riscontro, il Garante ha così ritenuto di confermare le violazioni rilevate nell’atto di contestazione.

La motivazione del riscontro del relativo addebito muove dalla considerazione secondo cui NCA debba innanzitutto qualificarsi come titolare del trattamento con tutte le connesse responsabilità in ordine alla selezione ed al controllo dei soggetti che operano per suo conto.

L’evidenza della condotta, d’altra parte, risulterebbe dal fatto che il contenuto promozionale fosse indubbiamente riferito a NCA, poiché i link presenti nelle mail riconducevano alla landing page di quest’ultima; se la realizzazione di una campagna promozionale può apportare benefici in termini di incremento delle vendite, quest’ultima può altresì comportare una lesione dei diritti delle persone, nonché un danno proprio verso quell’immagine aziendale che invece si voleva promuovere.

Pertanto, se ne deduce, che un committente possa sì avere interesse ad esercitare quelle attività di selezione e vigilanza proprie di chi opera come titolare del trattamento, e che costituiscono per esso un obbligo, ma allo stesso tempo anche un’importante occasione di verificare la corretta esecuzione della commessa.

Nella fattispecie concreta, dalle risultanze dell’istruttoria si è avuto l’invio di email nel chiaro intento di promuovere servizi di NCA, benché tale attività sia stata concretamente eseguita da intermediari cui la società si sarebbe successivamente affidata.

Dalla documentazione prodotta da NCA si è desunto come i rapporti tra le parti non siano stati disciplinati con riguardo al trattamento dei dati personali, giacché i contratti con i partner sono stati sottoscritti da soggetti diversi dalla NCA; inoltre, il contratto sottoscritto con il ricorrente ha avuto come oggetto la sola disciplina dei rapporti economici fra le parti con riguardo a generiche attività di digital advertising, senza tuttavia contenere idonee istruzioni da parte del titolare del trattamento.

Invece, il contratto sottoscritto dal ricorrente contiene soltanto una clausola di manleva con cui il fornitore si è impegnato a garantire il rispetto delle norme in materia di protezione dati, trattando unicamente indirizzi email di soggetti che avevano conferito un idoneo consenso.

Anche la presenza di clausole di manleva nei contratti sottoscritti con i partner, oltreché le garanzie di conformità da questi offerte in via pattizia, sono state tuttavia ritenute insuscettibili di essere considerate misure sufficienti per giustificare il mancato controllo preliminare e successivo da parte del titolare, trattandosi di aspetti dotati un valore esclusivamente riferibile alle eventuali responsabilità contrattuali delle parti, ma di per sé senza alcun rilievo ai fini delle garanzie richieste dal quadro normativo a protezione dei dati personali.

La decisione del Garante

Vanificando l’opposizione manifestata dall’interessato direttamente a NCA, poiché l’inserimento in black list non ha prodotto alcun ristabilimento degli interessi pregressi, atteso che i partner hanno potuto continuare ad inviare comunicazioni promozionali sulla base del consenso asseritamente acquisito in maniera autonoma, viene pertanto confermata la violazione dell’art. 28 del Regolamento, non essendo stati correttamente disciplinati i rapporti con i responsabili del trattamento.

Inoltre, è stata ulteriormente confermata la violazione degli artt. 5, par. 2 e 24 del Regolamento, considerando che il titolare del trattamento è tenuto a mettere in atto misure tecniche ed organizzative adeguate e garantire che il trattamento sia effettuato in conformità al Regolamento.

Alla luce di questa normativa, pertanto, l’esito dell’istruttoria ha negato che NCA abbia adottato particolari precauzioni nell’affidamento del servizio promozionale ai partner, sia con riguardo alla responsabilità in eligendo, che relativamente a successivi interventi in vigilando, dimostrando così scarso controllo nei trattamenti finalizzati alla realizzazione delle campagne promozionali con conseguente incapacità di ottemperare all’obbligo di comprovare il rispetto delle norme.

Infine, si conferma altresì la violazione dell’art. 6, par. 1, lett. a) del Regolamento nonché dell’art. 130 comma 2 del Codice, poiché le comunicazioni promozionali inviate al ricorrente non erano assistite da un idoneo consenso correttamente documentato all’origine e non potendo essere invocato dopo che il reclamante si era opposto nei confronti di NCA.

Alla luce di quanto osservato, l’Autorità Garante conclude che risultano violate le disposizioni del Regolamento in relazione a trattamenti collegati effettuati da NCA, per cui il provvedimento sanzionatorio prende le mosse dall’art. 83, par. 3 del Regolamento, in base al quale, se in relazione allo stesso trattamento od a trattamenti collegati, un titolare del trattamento viola, con dolo o con colpa, varie disposizioni del Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave con conseguente applicazione della sola sanzione prevista dall’art. 83, par. 5 del Regolamento.

Considerando, altresì, la complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà dell’impresa, anche al fine di limitare l’impatto economico della sanzione, si ritiene che - sulla base del complesso degli elementi sopra indicati – debba applicarsi a NCA la sanzione amministrativa del pagamento di una somma di euro 45.000 (quarantacinquemila/00) pari allo 0,23% della sanzione edittale massima di 20 milioni di euro.

Ulteriormente, considerando la relativa applicazione proporzionata alla gravità ed al particolare disvalore delle condotte oggetto di censura, tenuto conto degli elementi di rischio per i diritti e le libertà degli interessati, si è altresì ritenuto di dover applicare la sanzione accessoria della pubblicazione nel sito del Garante, contenente l’ordinanza ingiunzione ex art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Se la tua azienda invia email promozionali tramite partner o piattaforme di digital advertising, assicurati che i flussi dati rispettino gli obblighi del GDPR e del Codice Privacy. La recente decisione n. 330/2025 del Garante Privacy ha inflitto 45 000 € di sanzione per mancata governance dei responsabili del trattamento e invii senza consenso marketing valido. Il nostro studio legale ti aiuta a:

Contattaci ora e trasforma la compliance privacy & email marketing in un vantaggio competitivo.