[doc. web n. 10193723]

Provvedimento del 9 ottobre 2025

Registro dei provvedimenti
n. 593 del 9 ottobre 2025 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000 (disponibile per la consultazione sul sito www.gpdp.it, doc. web n. 1098801);

RELATORE la prof.ssa Ginevra Cerrina Feroni;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1.  Premessa

Con atto del 28 marzo 2025, prot. n. 42133/25 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di FT Solutions S.r.l. (di seguito “FT Solutions” o la “Società”), in persona del legale rappresentante pro tempore, con sede legale in Cascina (PI), Via Tosco Romagnola n. 2117, C.F. 02512040508.

Il procedimento trae origine da una più ampia istruttoria condotta dall’Autorità nei confronti di Realmaps S.r.l., che ha portato all’adozione del provvedimento n. 11 del 16 gennaio 2025 (disponibile in www.gpdp.it doc. web n. 10110241) e che era stata avviata a seguito della presentazione di diverse doglianze con le quali veniva lamentata la ricezione di comunicazioni promozionali effettuate da agenzie immobiliari. L’attività di questa Autorità ha fatto emergere che tali agenzie immobiliari avevano acquisito i dati personali (comprese le utenze telefoniche mobili) da Realmaps S.r.l. e che questa, a sua volta, aveva acquisito molte delle anagrafiche contenute nel proprio database da Tedor S.r.l. (che, come si vedrà meglio di seguito, ha ceduto il ramo d’azienda relativo al trattamento delle anagrafiche e i siti collegati a FT Solutions).

In aggiunta, è pervenuto all’Autorità in data 2 agosto 2024 un reclamo proposto proprio nei confronti di Tedor S.r.l. avente ad oggetto la ricezione di telefonate indesiderate effettuate da agenzie immobiliari che riferivano di aver acquisito i dati personali del reclamante “dal sito web https://cercanumeripro.it/, di proprietà della società Tedor S.r.l.” (cfr. fascicolo n. 398105).

Dalla disamina della visura camerale della Tedor S.r.l. estratta dalla Camera di Commercio, l’Autorità ha rilevato che, con atto del 7 agosto 2024, la società Tempo dell’Oro S.r.l (già Tedor S.r.l.) aveva ceduto il ramo d’azienda «avente ad oggetto la proprietà e la gestione di una piattaforma telematica denominata "CercanumeriPro" incluso il dominio web "cercanumeripro.it."» alla newco FT Solutions, costituita appositamente per il prosieguo dei trattamenti relativi alla piattaforma sopra indicata. È emerso peraltro che il rappresentate legale della Società aveva ricoperto, in precedenza, la qualifica di vicepresidente e DPO della Tedor con gestione amministrava proprio del ramo d’azienda CercanumeriPro.

Ciò premesso, nelle date del 5 e 6 novembre 2024, l’Autorità ha condotto un accertamento ispettivo nei confronti di FT Solutions per verificare i trattamenti di dati personali posti in essere da tale Società per finalità di marketing, all’esito del quale è stato confermato che la Società era titolare del sito internet www.cercanumeripro.it, rinvenendo, in sede di accertamento, 2.052.933 anagrafiche.

Si è constatato quindi che, tramite la suddetta pagina web, gli utenti ivi registrati (per lo più agenzie immobiliari o società di recupero crediti) potevano ottenere, previo pagamento, una lista di numeri telefonici (fissi e mobili), associati a specifiche anagrafiche, da utilizzare per l’effettuazione di attività promozionali. Nello specifico, una volta effettuata la registrazione al citato sito internet l’utente/cliente, interessato a svolgere la propria attività promozionale in una determinata zona o area geografica era chiamato ad inserire una serie di parametri, necessari a circoscrivere la ricerca di proprio interesse, nel box “Ricerca per indirizzo” (“Città”, “Indirizzo”, “Numero Civico – Opzionale”). Oltre ai parametri di ricerca presenti nel sito internet, i clienti avevano la possibilità di inviare a FT Solutions un file “csv” contenente ulteriori chiavi di ricerca (c.d. “parametri multipli”) che venivano poi processate dalla Società. All’esito di tali ricerche all’utente/cliente era resa disponibile una lista di anagrafiche, comprensiva dei corrispondenti numeri telefonici, supportata, per quanto rappresentato dalla Società, dal consenso degli interessati al trattamento dei loro dati personali per finalità di marketing.

L’Autorità ha rilevato altresì che i dati così forniti ai clienti, corredati dall’asserito consenso al marketing degli interessati, erano estratti dal database di MishLux Business LP (di seguito “MishLux” o “List provider” o “Fornitore”), società con sede in Irlanda selezionata, come riferito da FT Solutions, mediante ricerca condotta sul motore di ricerca di Google.

Dalle dichiarazioni rese dalla Società ai sensi dell’art. 168 del Codice e dall’esame della documentazione acquisita in occasione dell’accesso ai sistemi informatici, è emerso che le utenze telefoniche selezionate secondo i parametri di ricerca indicati dai clienti erano rese visibili a questi ultimi per 30 giorni, decorsi i quali tali numerazioni venivano oscurate. La Società ha dichiarato altresì di effettuare la verifica dell’iscrizione delle utenze al Registro Pubblico delle Opposizioni (c.d. “RPO”) nei 30 giorni di visualizzazione, indicandone gli esiti, anche in “modo semaforico”, nella lista delle numerazioni fornita ai clienti; l’eventuale iscrizione al citato registro veniva evidenziata in rosso, la non registrazione del numero veniva indicata in verde, la prospettata e non ancora avvenuta verifica nel RPO veniva associata al colore giallo. La lista fornita ai clienti, quindi, riportava l’indicazione dell’esito delle verifiche nel RPO, ripetute dalla Società a distanza di 15 giorni sino al periodo di visibilità delle numerazioni stesse (30 giorni). Inoltre, in tale lista era presente un campo denominato “Black List” che i clienti potevano selezionare per inserire i numeri telefonici forniti non ricontattabili, in quanto “inesistenti” e non più attivi; ciò al fine di ottenere da FT Solutions il rimborso del credito pagato.

1.2. Contestazione delle violazioni

L’Ufficio, all’esito dell’istruttoria condotta e riferita al paragrafo che precede, ha notificato il sopra richiamato atto di avvio del procedimento ex art. 166, comma 5 del Codice (prot. n. 42133 del 28 marzo 2025), che qui deve intendersi integralmente riprodotto, con il quale, in relazione ai trattamenti di dati personali posti in essere tramite il sito web www.cercanumeripro.it, ha contestato alla Società la possibile violazione delle seguenti disposizioni:

a. artt. 5, par. 1, lett. a) e 24 del Regolamento per avere effettuato trattamenti di dati personali con finalità promozionali senza la previa corretta individuazione del ruolo soggettivo ricoperto e di conseguenza in violazione dei doveri che derivano da tale ruolo in quanto la Società si era erroneamente qualificata come responsabile del trattamento pur avendo agito in qualità di autonomo titolare, sia con riferimento ai trattamenti di dati personali effettuati per fini commerciali per il tramite del sito www.cercanumeripro.it, sia con riguardo alle anagrafiche cedute direttamente alle agenzie/clienti mediante applicativi “API”;

b. artt. 5, par. 1, lett. d) e par. 2, 6, par. 1, lett. a), 7, 13 e 14 del Regolamento in ragione dell’intervenuta integrazione di una fattispecie di cessione di dati tra autonomi titolari del trattamento in assenza dei necessari presupposti giuridici, nonché per aver omesso di effettuare le necessarie verifiche sui requisiti di liceità delle anagrafiche acquisiste dal List provider e per aver effettuato trattamenti di dati inesatti e non aggiornati;

c. artt. 5, par. 2, 12, parr. 1 e 2, 21, par. 2, 24 e 25 per l’omesso riscontro alle istanze di esercizio dei diritti presentate dagli interessati;

d. artt. 5, par. 1, lett. a), 6, par. 1, lett. a), 7 e 13 del Regolamento per l’omessa trasparenza sui trattamenti effettuati per il tramite del sito internet www.cercanumeripro.it, nonché per l’errata individuazione della base giuridica dei trattamenti realizzati con la compilazione dei form on-line presenti nella richiamata pagina web;

e. art. 5, par. 1, lett. b) e f), 25 e 32 del Regolamento per la predisposizione di misure non adeguate alla protezione dei dati personali degli interessati e non idonee a garantire un accesso limitato ai dati.

2. LA DIFESA DEL TITOLARE

La Società ha trasmesso in data 28 aprile 2025 (cfr. Prot. n. 57418 del 29 aprile 2025) la propria memoria difensiva, che deve intendersi integralmente richiamata, prendendo posizione in merito alle contestazioni avanzate dall’Ufficio.

Con la propria difesa, la Società ha inteso fornire i propri chiarimenti in merito alla qualificazione del ruolo dalla stessa rivestito nel trattamento dei dati personali all’interno della propria piattaforma “CercanumeriPro.it”, contestando espressamente quanto rilevato sul punto dall’Autorità.

La Società ha infatti dichiarato di agire «formalmente e sostanzialmente come responsabile del trattamento», di ritenere che «ogni responsabilità rispetto al trattamento dei dati per finalità promozionali ricada esclusivamente sul cliente/committente» e ha chiesto la conclusione della presente istruttoria con il riconoscimento del corretto inquadramento della stessa come responsabile del trattamento ai sensi dell’art. 28 del Regolamento.

Rispetto alle ulteriori ipotesi di violazione contestate con il sopra richiamato atto di avvio del procedimento, segnatamente quelle di cui ai punti b, c, d ed e del paragrafo che precede, la Società non ha formulato alcuna osservazione, ritenendo dirimenti e assorbenti le proprie confutazioni in merito alla corretta qualificazione del ruolo rivestito sul piano soggettivo nel trattamento dei dati oggetto della presente istruttoria.

3. VALUTAZIONI DELL’AUTORITÀ

3.1. SULLA CORRETTA INDIVIDUAZIONE DEI RUOLI SOGGETTIVI E SULLA TITOLARITÀ DEL TRATTAMENTO DEI DATI FORNITI AI CLIENTI PER FINALITÀ DI MARKETING

Le argomentazioni difensive esposte dalla Società non consentono di escludere la responsabilità di quest’ultima per le violazioni contestate, per i seguenti motivi, da considerarsi in uno con le osservazioni già espresse nel richiamato atto di contestazione. Ne discende, dunque, l’accertata violazione degli artt. 5, par. 1, lett. a) e 24 del Regolamento.

É opportuno rilevare preliminarmente che tutta la linea difensiva articolata da FT Solutions si concentra sulla qualificazione della stessa come responsabile dei trattamenti effettuati tramite il sito web www.cercanumeripro.it.

Ciò premesso, con il sopra richiamato atto di contestazione, l’Autorità ha osservato in primo luogo che, in base agli elementi fattuali nonché documentali raccolti in sede ispettiva, FT Solutions deve essere qualificata come autonomo titolare sia con riferimento ai trattamenti di dati personali effettuati (per fini commerciali) per il tramite del sito www.cercanumeripro.it, sia con riguardo alle anagrafiche cedute direttamente alle agenzie/clienti mediante applicativi “API”.

In merito al ruolo dalla stessa effettivamente ricoperto, in sede di memoria difensiva, FT Solutions ha chiarito che «l’attività della società consiste nell’offrire ai propri clienti (prevalentemente agenzie immobiliari e società di recupero crediti) un accesso ad una piattaforma digitale tramite cui è possibile ottenere liste di contatti (anagrafiche) da utilizzare per finalità di marketing diretto, previo consenso degli interessati», precisando altresì che «le Condizioni Generali del Servizio (TeC) pubblicate sul sito www.cercanumeripro.it che regolano i rapporti contrattuali tra FT Solutions e i propri clienti, includono una chiara e inequivocabile nomina di FT Solutions quale “responsabile del trattamento ai sensi dell’art. 28 GDPR” (art. 3.2 delle TeC)». A sostegno della propria ricostruzione, la Società ha rilevato che «la mera scelta di un fornitore, non può essere interpretata nella direzione di una “estensione dell’autonomia decisionale” della Ft Solutions srl rispetto al suo ruolo nel trattamento dei dati, tale da qualificarla per tale elemento, quale “Titolare del trattamento” piuttosto che “Responsabile del trattamento”» e in tal senso ha ritenuto di richiamare la disposizione del contratto di servizi sottoscritto tra la Società e i propri clienti inerente all’oggetto del rapporto contrattuale (cfr. «il committente [Cliente/agenzia immobiliare etc. etc. ] incarica in via esclusiva il Fornitore [FT Solutions srl] dell’attività di intermediazione con i fornitori di quest’ultimo per la ricerca e l’acquisizione dei dati alle migliori condizioni»), dichiarando di aver effettivamente svolto, anche sul piano sostanziale, la suddetta attività richiamata nel contratto. La Società ha rappresentato quindi che l’oggetto del contratto «riguarda la semplice e pura “intermediazione” per il tramite del portale frutto dello sviluppo e degli investimenti di FT Solutions srl la quale offre chiaramente un’attività di consulenza che non riguarda le modalità ed i termini del “trattamento dei dati” ma esclusivamente la fornitura degli elenchi, così come consegnata di Soggetto Titolare. [Mishlux]».

Le argomentazioni presentate dalla Società, come anticipato, non permettono di superare le contestazioni formulate dall’Ufficio procedente.

Al riguardo si devono richiamare le definizioni di titolare e responsabile di cui all’art. 4, par. 1, punti 7) e 8) del Regolamento, in forza delle quali è considerata “titolare” la persona fisica o giuridica che, singolarmente o insieme ad altri, determini le finalità e i mezzi del trattamento, mentre è qualificato come “responsabile del trattamento” il soggetto che esegue un trattamento di dati personali per conto del titolare.

Come noto, ai fini di una corretta individuazione della titolarità e della connessa responsabilità delle operazioni sui dati personali, è necessario considerare gli aspetti sostanziali del trattamento in questione, eventualmente anche discostandosi dai meri assetti formali oggetto di accordo dalle parti e ponendo particolare attenzione alla definizione delle finalità e delle modalità concrete del trattamento stesso. In tal senso, come meglio chiarito nelle Linee guida 7/2020 dell’EDPB (adottate il 7 luglio 2021 e consultabili in https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_it.pdf), indipendentemente dalla qualificazione contrattuale dei ruoli, è titolare il soggetto che determina le finalità (“why”) e i mezzi, cioè le modalità (“how”), del trattamento; è invece da considerarsi responsabile il soggetto che opera per conto del titolare, eseguendone le istruzioni anche con un certo grado di autonomia senza tuttavia poter esercitare alcuna facoltà in ordine alla scelta delle finalità del trattamento.

In tal senso, non appare risolutivo dunque il richiamo operato dalla Società alle Condizioni Generali di Servizio sottoscritte con i propri clienti/agenzie e alla nomina a responsabile del trattamento in esse ricompresa. Né tanto meno può ritenersi fondata l’affermazione resa dalla FT Solutions in forza della quale la scelta del proprio fornitore di liste anagrafiche non intaccherebbe l’assenza di autonomia decisionale nella gestione dei dati personali.

Di contro, deve rilevarsi che la scelta del List provider Mishlux costituisce il frutto di una valutazione autonoma della Società che, per sua stessa ammissione, ha agito con ampia autonomia sulla base di proprie valutazioni aziendali anche in termini di qualità dei servizi e di costi/benefici dell’offerta (cfr. pag. 3 della nota integrativa del 30 novembre 2024: «a seguito di una specifica ricerca e selezione, è stata decisa la collaborazione con la MISHLUX BUSINESS LP che è risultata capace di offrire livelli di servizio e le garanzie richieste». A detta della Società «la scelta [di] MishLux Business LP è derivata dalla disponibilità di quest’ultima […] di consentire a FT Solutions di collegarsi al proprio database di numerazioni dal momento che altri fornitori rendevano disponibili solo copie cartacee dei dati». Si v. sul punto verbale del 5 novembre 2024, pag. 2).

Peraltro, la selezione del List provider è stata formalizzata, per espressa ammissione della FT Solutions, in fase di predisposizione tecnica della piattaforma (cfr. memoria difensiva «in fase di predisposizione tecnica della piattaforma, per assicurare che i dati forniti dai clienti rispettassero il requisito del consenso specifico e documentato») e quindi in un momento precedente alla ricezione degli incarichi (che sono dunque successivi) da parte delle agenzie/clienti. Ne consegue che le indicate agenzie/clienti non sono risultate coinvolte nella fase di selezione del fornitore, attività che è restata di esclusivo appannaggio di FT Solutions.

In tal senso, si evidenzia che nel contratto con i clienti/utenti registrati al sito www.cercanumeripro.it è previsto, infatti, un generico incarico che la “committente” agenzia/cliente conferiva a FT Solutions nella selezione dei fornitori “per la ricerca e l’acquisizione dei dati alle migliori condizioni”, senza alcuna indicazione sui criteri da adottare nella scelta del list provider. La portata generale del documento in questione, quindi, esonera l’agenzia/cliente dalla fase di selezione del fornitore, né nel documento emergono riferimenti specifici al fornitore Mishlux o all’agenzia/cliente che avrebbe conferito l’incarico a FT Solutions; ciò consente di ritenere tale contratto un mero simulacro giuridico inficiato, peraltro, nella sua validità dalla mancata indicazione di una data e della sottoscrizione delle parti.

Parimenti, conferma tale impostazione anche l’accordo contrattuale intercorso con le agenzie/clienti avente ad oggetto l’acquisto delle anagrafiche direttamente nel proprio sistema gestionale (c.d. «CMS») tramite “API”, vale a dire applicativi che consentono la comunicazione tra due diversi sistemi informatici (nel caso di specie, di titolarità del cliente e di MishLux). In particolare, nel richiamato contratto non vi è alcuna menzione della circostanza che FT Solutions avrebbe operato l’acquisto delle liste da soggetti terzi oppure con la compartecipazione di Mishilux, né che tali anagrafiche sarebbero state sottoposte all’accettazione o ad autorizzazioni preventive da parte delle agenzie/clienti. Anche in questo caso, si conferma il ruolo di FT Solutions che, avendo scelto in autonomia il list provider Mishlux, è da ritenersi titolare del trattamento.

Peraltro, nel contratto sottoscritto il 6 settembre 2024 con Realmaps (Cliente), prodotto in sede di scioglimento delle riserve, FT Solutions, benché ancora individuata con la denominazione sociale della cedente il ramo di azienda sopra citato (vale a dire “Tempo dell’Oro S.r.l.” - Tedor) è chiaramente indicata come “Titolare”.

Inoltre, dall’analisi del contratto precedentemente in essere tra Realmaps e la cedente Tedor, acquisito dall’Ufficio nell’ambito dell’accertamento ispettivo condotto nei confronti di Realmaps, al punto 2.4 delle “Disposizioni Preliminari”, si legge che «TEDOR agisce in qualità di titolare di banche/a dati contenenti dati personali di interessati che hanno rilasciato un consenso esplicito, specifico e informato […] per la comunicazione dei dati personali al Cliente» (Realmaps). Al successivo punto 10.3 degli “Impegni del Cliente e Manleva”, si legge che «[…] le Anagrafiche sono raccolte da TEDOR […]» la quale al successivo punto 11.3 delle “Dichiarazioni e Garanzie – Esclusiva” «dichiara e garantisce che tutti i soggetti interessati hanno rilasciato adeguato consenso informato, libero e specifico per il trattamento per finalità di comunicazione ai terzi […]»; inoltre «TEDOR dichiara che le Anagrafiche non sono state raccolte da elenchi categorici o da elenchi pubblici di altro tipo ma che i dati personali sono stati conferiti direttamente e specificatamente dagli interessati; pertanto, non risultano applicabili le disposizioni previste dalla normativa sul Registro Pubblico delle opposizioni […] espressamente destinate alle numerazioni telefoniche raccolte da elenchi pubblici» (punto 11.5 delle “Dichiarazioni e Garanzie – Esclusiva”).

Irrilevante, sul punto, quanto affermato da FT Solutions per cui in tale accordo sarebbero presenti meri refusi ed errori determinati da «un’acerba e inesperta gestione contrattuale». Vero è, come correttamente precisato dalla Società, che «l’atto notarile del ramo d’azienda relativo alla piattaforma CercanumeriPro (ALL. 1°) ha formalizzato il trasferimento dell’intera infrastruttura digitale, dei contratti e degli obblighi» dalla cedente Tedor S.r.l. alla cessionaria FT Solutions, la quale è pertanto subentrata nella medesima posizione in precedenza rivestita dalla cedente, vale a dire Titolare del trattamento dei dati personali.

Per altro verso, il contratto intercorso tra FT Solutions e Mishlux non contiene elementi identificativi delle agenzie/clienti alle/ai quali sarebbero stati forniti i dati (indicati genericamente come “Committente”); in tale contratto emerge, infatti, che «Mishlux si impegna a tutelare l’esclusività del rapporto commerciale del Cliente con i Committenti [le Agenzie/clienti] e pertanto è fatto assoluto divieto a ML [Mishlux] di intraprendere relazioni commerciali dirette con i Committenti per tutta la durata del contratto e per un periodo di 6 (sei) mesi successivo alla cessazione dello stesso».

La descritta “esclusività” di FT Solutions nel rapporto commerciale con i clienti finali e, di conseguenza, anche con il fornitore, conferma l’ampia autonomia della Società nella scelta dei propri partner e, anche tale circostanza, consente di escludere che la Società abbia agito in qualità di mero responsabile e sulla base di indicazioni (necessarie per il preteso ruolo di responsabile ma non rinvenute) da parte dei diversi titolari.

Per altro verso, se è vero che l’individuazione del titolare del trattamento deve andare oltre il dato formale, ciò non può certo significare di non doverne comunque tenere conto e, nel trattamento in parola, i contratti rivelano non solo che la Società ha agito in prima persona nella formalizzazione delle obbligazioni reciproche con i partner, ma ha dettato alle agenzie/clienti specifiche disposizioni per la realizzazione dell’attività commerciale, indicando, ad esempio, la frequenza dei contatti telefonici promozionali da effettuare oppure il divieto di celare il numero chiamante (v. punti 3.3 e 3.7 dei “Termini e Condizioni”); disposizioni indicative di una posizione di controllo e di direzione, propria di un titolare del trattamento, esercitata da FT Solutions sulla corretta esecuzione dell’attività promozionale effettuata mediante le liste messe a disposizione delle agenzie/clienti.

FT Solutions ha stabilito, dunque, le modalità operative con cui i dati dovevano essere trattati dalle Agenzie committenti, eccedendo di fatto rispetto all’asserito ruolo di responsabile del trattamento.

Alla luce anche di tali evidenze, la qualifica di “responsabile del trattamento” appare più rispondere ad una opportunità giuridica/contrattuale, che non il riflesso del ruolo effettivamente ricoperto dalla Società nel trattamento dei dati degli interessati. Al riguardo, la Corte di Cassazione, con Ordinanza n. 21234 del 23 luglio 2021, ha ribadito «che può far valere la qualità di “responsabile del trattamento” solo il soggetto che sia stato preposto al trattamento dal “titolare” e che si sia attenuto alle istruzioni da questi impartitegli in esplicazione del suo potere decisionale; ne consegue che ove ciò non avvenga, il “responsabile” potrà essere riconosciuto come “titolare” in concreto del trattamento, in ragione dell’autonomia decisionale e gestionale manifestata anche disattendendo le disposizioni del “titolare”».

All’esito della approfondita valutazione degli elementi sopra descritti, dunque, deve ritenersi che il ruolo ricoperto dal list provider FT Solutions sia quello di titolare del trattamento dei dati personali, con la conseguente necessità di rispettare tutti gli obblighi previsti dalla normativa in materia di protezione dei dati personali.   

Quanto alle procedure di verifica delle utenze telefoniche nel RPO e a quelle di inserimento di alcune utenze nell’apposita black list da parte dei clienti, in sede di memoria difensiva, FT Solutions ha evidenziato che tali funzioni rientrerebbero «a pieno titolo nelle funzionalità di “intermediazione” offerte dalla piattaforma www.cercanumeripro.it, in quanto, semplicemente, se le liste intermediate da FT Solutions srl non fossero effettivamente “utilizzabili” per le finalità richieste dal Cliente (…) la FT Solutions srl sarebbe passibile di eccezione di inadempimento rispetto all’oggetto del proprio contratto» in quanto «l’assenza di tali funzionalità renderebbe l’oggetto del contratto di FT Solutions srl privo di nesso causale rispetto ai servizi effettivamente offerti».

Una tale ricostruzione non può però essere condivisa in quanto, ai fini dell’individuazione della titolarità concretamente esercitata nel trattamento dei dati per fini promozionali, occorre esaminare anche gli «elementi extracontrattuali, come il grado di controllo reale esercitato da una parte, l’immagine data agli interessati e il legittimo affidamento di questi ultimi sulla base di questa visibilità» (si v. parere n. 1/2010 WP 169 adottato il 16 febbraio 2010 dal Gruppo di lavoro Art. 29, sostituito dal Comitato europeo per la protezione dei dati EDPB – ai sensi del Regolamento; si v. anche provv. 14 novembre 2024, n. 699, doc. web n. 10107986, consultabile sul sito www.gpdp.it).

A ben vedere le evidenze fattuali sopra riportate integrano proprio quegli elementi extracontrattuali appena citati che permettono di confermare - se ce ne fosse ancora bisogno - la qualifica di titolare del trattamento di FT Solutions.

Infatti, FT Solutions ha stabilito modalità operative non formalizzate dalle agenzie/clienti committenti, eccedendo anche su tale piano rispetto al preteso ruolo di responsabile del trattamento che la Società ha inteso attribuirsi.

Si aggiunga che, una volta acquisite le anagrafiche dal partner Mishlux, la Società effettuava sulle stesse un’attività di “deduplica” consistente nella verifica delle utenze telefoniche nel RPO il cui esito veniva registrato in un record inviato, poi, all’agenzia/cliente. Tale operazione, come detto, è stata realizzata (ancora una volta) autonomamente dalla Società, senza alcuna istruzione in tal senso rinvenibile nei contratti con i clienti, né nel documento “Termini e Condizioni” presente nel sito internet www.cercanumeripro.it, né tantomeno nell’accordo con Realmaps.

Deve poi essere smentita anche l’affermazione secondo cui la Società non riutilizzerebbe «i dati acquisiti per finalità proprie». FT Solutions ha posto in essere operazioni di trattamento (quali la conservazione, l’elaborazione e la trasmissione ai clienti dei dati personali) in maniera del tutto indipendente rispetto alle procedure di gestione della banca dati della società MishLux e sottratte al raggio di intervento della stessa; prova ne è che le operazioni sulle anagrafiche effettuate da FT Solutions (tra cui la verifica nel RPO) o dai clienti (inserimento in black-list delle utenze non più attive) non comportavano modifiche o aggiornamenti dei dati detenuti da MishLux (v. verbale del 6 novembre 2024, pag. 5).

Da quanto sopra esposto consegue chiaramente che la Società abbia agito in qualità di titolare, ai sensi dell’art. 4 del Regolamento, avendo in concreto determinato lo scopo per cui è stato posto in essere il trattamento e il canale web utilizzato a tal fine (cfr. precedenti conformi dell’Autorità, a titolo esemplificativo, provv. n. 412 del 25 novembre 2021, doc. web n. 9736961; provv. n. 413 del 25 novembre 2021, doc. web n. 9737185; provv. n. 424 del 2 dicembre 2021, doc. web n. 9731682; tutti in www.gpdp.it). Alla medesima Società sono dunque direttamente riconducibili tanto gli adempimenti posti dalla normativa in materia di protezione dei dati personali, quanto la responsabilità per le violazioni rilevate.

3.2. SUL CONSENSO AL TRATTAMENTO DEI DATI PER FINALITÀ COMMERCIALI

Atteso il ruolo soggettivo di autonomo titolare del trattamento rivestito da FT Solutions nei trattamenti di dati personali in esame, occorre valutare l’effettiva configurazione della violazione degli artt. 5, par. 2, 6, par. 1, lett. a), 7, 13 e 14 del Regolamento contestata alla Società.

Al riguardo, con il richiamato atto di contestazione, l’Autorità ha osservato che il passaggio dei dati, operato da Mishlux a FT Solutions e da quest’ultima ai clienti per l’effettuazione di campagne promozionali, aveva determinato di fatto l’integrazione di una fattispecie di cessione di dati tra autonomi titolari del trattamento in assenza però dei necessari presupposti giuridici. Sotto diverso profilo poi, l’Autorità ha evidenziato che la Società aveva omesso di effettuare le necessarie verifiche sui requisiti di liceità delle anagrafiche acquisite dal List provider, nell’erroneo presupposto per cui, affidandosi alle garanzie contrattuali offerte da Mishlux, non sarebbe stato necessario un controllo sulle liste acquisite e sulla liceità dei contatti ceduti in quanto asseritamente “consensati”.

Sul punto la difesa articolata dalla Società non ha però preso posizione né fornito alcun chiarimento, omettendo così di confutare la contestazione trasmessa dall’Autorità.

Ciò chiarito, in primo luogo si evidenzia che, dall’esame degli atti e della documentazione acquisita nel corso dell’odierno procedimento, è emersa chiaramente l’integrazione di una doppia cessione di dati tra autonomi titolari del trattamento – a seguito del passaggio dei dati prima da Mishlux alla Società e poi da quest’ultima alle agenzie/clienti – operata, come anticipato, senza il rispetto degli obblighi prescritti dal Regolamento ai fini dell’effettuazione di campagne promozionali.

Infatti, la Società non ha comprovato di aver effettuato le necessarie e preliminari verifiche sui requisiti di liceità delle liste di anagrafiche acquisite dal List Provider in violazione degli obblighi di accountability posti a suo carico. In particolare, nel caso di specie, il Titolare del trattamento ha omesso di dimostrare: i) l’effettivo rilascio agli interessati dell’informativa ex artt. 13 - 14 del Regolamento da parte dell’originario titolare che avrebbe acquisito i dati (Mishlux); ii) l’effettivo rilascio dell’informativa resa ai sensi degli artt. 13 - 14 del Regolamento dalla Società; iii) l’eventuale consenso rilasciato dagli interessati ai fini della comunicazione a terzi (fra cui anche la Società) per finalità di marketing; iv) l’eventuale controllo svolto in merito al rispetto dei requisiti di libertà e specificità del consenso di cui all’art. 4, punto 11 del Regolamento.

Di contro, è emerso che soltanto su richiesta delle agenzie/clienti, la Società provvedeva a verificare «la correttezza dei consensi acquisiti da Mishlux» chiedendo alla stessa le relative evidenze (v. verbale del 6 novembre 2024, pag. 5).

Peraltro, nel caso in esame, la Società avrebbe dovuto richiedere e acquisire altresì un nuovo e specifico consenso ai fini della comunicazione successiva dei dati alle agenzie/clienti. Come noto, il combinato disposto degli artt. 6 e 7 del Regolamento esclude la legittimità della comunicazione di dati fra autonomi titolari del trattamento sulla base del mero consenso prestato al soggetto che ha originariamente raccolto i dati. Sul punto, l’Autorità ha più volte avuto modo di chiarire che «non può, infatti, ritenersi che una manifestazione di volontà inizialmente espressa in modo consapevole rispetto a determinati trattamenti possa dispiegare effetti a catena, attraverso successivi passaggi dei dati personali da un titolare all’altro in maniera del tutto imponderabile per l’interessato» (cfr. provv. 13 maggio 2021, n. 192, doc. web n. 9670025; si richiamano in tal senso anche provv. 15 dicembre 2022, n. 431, doc. web n. 9856345, provv. 25 marzo 2021, n. 112, doc. web n. 9570997, provv. 12 novembre 2020, n. 224, doc. web n. 9485681 e prov. 11 dicembre 2019, n. 232, doc. web n. 9244365, tutti consultabili su www.gpdp.it).

Inoltre, sempre in relazione alla comunicazione di dati a terzi per finalità di marketing, il Garante, nelle “Linee guida in materia di attività promozionale e contrasto allo spam” (provv. 4 luglio 2013, n. 330, doc. web. n. 2542348), ha rilevato che «la comunicazione o cessione a terzi di dati personali per finalità di marketing non può fondarsi sull’acquisizione di un unico e generico consenso da parte degli interessati per siffatta finalità. Pertanto, chi, quale titolare del trattamento, intenda raccogliere i dati personali degli interessati anche per comunicarli (o cederli) a terzi per le loro finalità promozionali deve previamente rilasciare ai medesimi un’idonea informativa […]. Inoltre, occorre che il titolare acquisisca un consenso specifico per la comunicazione (e/o cessione) a terzi dei dati personali per fini promozionali, nonché distinto da quello richiesto dal medesimo titolare per svolgere esso stesso attività promozionale» (v. anche provv. 19 dicembre 2024, n. 823, doc. web. n. 10110018, consultabile su www.gpdp.it).

Sotto tale profilo, la FT Solutions si è invece limitata a richiamare sul punto le garanzie contrattuali assunte da Mishlux nell’ambito dell’accordo tra le stesse sottoscritto, senza di fatto però esercitare concretamente il potere di controllo ad essa riconosciuto in quanto autonomo titolare del trattamento, né sulle liste acquisite dal List provider, né tanto meno sulla liceità dei contatti ceduti ai propri clienti/agenzie.

Infine, anche nel rispetto del principio di accountability, la Società avrebbe dovuto verificare, perlomeno a mezzo di un campione congruo, la liceità degli adempimenti dei citati obblighi in materia (v.: Linee guida in materia di attività promozionale e contrasto allo spam – provv. 4 luglio 2013, n. 330, doc. web n. 2542348; v. provv. 22 maggio 2018, n. 363, doc. web n. 8995274; v. cit. provv. 13 maggio 2021, n. 192, doc. web n. 9670025, tutti in www.gpdp.it). Soltanto su richiesta delle agenzie/clienti la Società ha dichiarato di svolgere tali verifiche ma, come sopra accennato, tale attività è insufficiente a dimostrare il corretto adempimento degli obblighi regolamentari prescritti in capo al titolare.

A ciò si aggiunga che, per completezza di analisi, la documentazione sui consensi prodotta dalla Società in riscontro alle richieste delle agenzie/clienti, non risulta idonea a certificare la volontà degli interessati al trattamento dei dati per scopi commerciali. Ciò in quanto il file excel - nel quale sarebbero stati registrati i dettagli degli asseriti consensi rilasciati dagli interessati (comprensivo di “TimeStamp”, indirizzi IP e URL del sito internet di registrazione) - è risultato modificabile e, in quanto tale, inidoneo a comprovare, in modo inequivocabile, la volontà espressa dai medesimi in relazione al trattamento dei loro dati personali. Tale documentazione non attiene a record direttamente estratti dai sistemi informatici aziendali ma consiste in una mera trasposizione in formato excel dei dati ivi contenuti; di conseguenza tale documentazione non può essere valutata sul piano probatorio in quanto priva delle caratteristiche di oggettività, integrità e immodificabilità.

Inoltre, in relazione alle 92 anagrafiche verificate da FT Solutions, non sono state prodotte neppure le formule di richiesta del consenso e l’informativa resa agli interessati al momento della raccolta dei loro dati personali presso il sito internet https://it.luxstore24.com, di cui Mishlux è titolare. Tale lacuna non può essere superata dalle evidenze fornite da Mishlux in merito all’anagrafica “XX”, nel riscontro ad un’agenzia/cliente (All. 9 al verbale del 6 novembre 2024, pag. 5). In tale riscontro, infatti, è stato riprodotto il form on-line di raccolta dei dati personali, riconducibile al citato sito internet https://it.luxstore24.com,  unitamente alle formule di acquisizione degli asseriti consensi, senza l’indicazione di una specifica data. Ciò non consente, quindi, di verificare se il citato sito e i consensi richiesti fossero analoghi a quelli visualizzati dall’interessato al momento della raccolta on-line dei suoi dati personali.

Pertanto, anche per l’assenza di idonea documentazione comprovante l’acquisizione del consenso per fini commerciali, il trattamento dei dati non è risultato supportato dalla necessaria base giuridica.

Deve conseguentemente ritenersi confermata la contestata violazione degli artt. 5, par. 2, 6, par. 1, lett. a), 7, 13 e 14 del Regolamento.

3.3. SUL PRINCIPIO DI ESATTEZZA E DI AGGIORNAMENTO DEI DATI

L’Autorità ha contestato poi il trattamento da parte della Società di dati inesatti e non aggiornati in violazione dell’art. 5, par. 1, lett. d) del Regolamento. Anche rispetto a tale profilo la difesa della Società non ha formulato però alcun chiarimento.

In merito, si rileva che la possibilità per le agenzie/clienti di rilevare, tra le utenze ricevute dal Titolare, numerazioni “inesistenti” o “non ricontattabili” tramite una procedura di segnalazione in apposita black list ha fatto emergere la presenza di dati inesatti ovvero non adeguatamente aggiornati e trattati dalla Società.

In ragione di ciò, si ritiene configurata anche la violazione dell’art. 5, par. 1, lett. d) del Regolamento.

3.4. SULL’ESERCIZIO DEI DIRITTI

Con il richiamato atto di contestazione, l’Ufficio ha rilevato una non adeguata gestione delle istanze di esercizio dei diritti formulate dagli interessati dapprima alle agenzie/clienti e poi, su indicazione di queste ultime, direttamente a FT Solutions. In particolare, dalla ricostruzione fattuale operata sulla base delle risultanze documentali dell’odierna istruttoria, è emerso che la Società si sia limitata invero a inoltrare le suddette istanze di esercizio al List provider affinché fosse quest’ultimo a provvedere al riscontro, sull’erroneo presupposto per cui, come detto, la stessa Società non avesse la qualifica di titolare del trattamento.

Pertanto, tale errata qualificazione del ruolo soggettivo ricoperto operata dalla Società ha determinato una non corretta gestione delle istanze di esercizio dei diritti formulate dagli interessati. Infatti, sarebbe spettato a FT Solutions, in qualità di autonomo titolare del trattamento, dare riscontro alle istanze degli interessati secondo il dettato regolamentare mentre, dalla documentazione in atti, non sono stati rinvenuti riscontri diretti di FT Solutions alle richieste di informazioni ricevute dagli interessati (v. All. 9 al verbale del 6 novembre 2024).

Anche in relazione a tale profilo la Società non ha puntualmente contestato le possibili violazioni notificate, né ha fornito alcun elemento chiarificatore; pertanto, alla luce delle considerazioni formulate nei paragrafi che precedono, si ritiene integrata la violazione degli artt. 5, par. 2, 12, parr. 1 e 2, 21, par. 2, 24 e 25 del Regolamento.

3.5. SUL TRATTAMENTO DEI DATI PERSONALI EFFETTUATO TRAMITE I SITI INTERNET

Con riferimento ai trattamenti di dati personali effettuati mediante il sito internet www.cercanumeripro.it di titolarità della FT Solutions, l’Autorità ritiene accertata la violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. a), 7 e 13 del Regolamento; infatti, in fase istruttoria l’Ufficio ha rilevato la non corretta impostazione dei form online gestiti dalla Società, attesa l’assenza di specificità dei consensi richiesti agli utenti per le diverse finalità di trattamento (i.e. direct email marketing, attività promozionali e condivisione contatti con partner commerciali).

Sul punto, non avendo la difesa della Società articolato alcuna osservazione, si ritiene opportuno richiamare gli esiti degli accertamenti condotti nel corso dell’istruttoria ai fini di rendere chiaro l’inquadramento della vicenda in esame.

Il sito internet della FT Solutions, rinvenibile al link https://cercanumeripro.it/index.php, si propone di fornire ai propri utenti liste di dati personali, previo acquisto di un pacchetto di “crediti”. Accedendo alla sezione “Registrati” nell’home page del citato sito internet, è presente un form online per il conferimento da parte degli utenti di alcuni dati personali (segnatamente: nome, cognome, codice fiscale ed e-mail). La procedura di registrazione testé descritta si conclude quindi con la richiesta all’utente di rilasciare un «esplicito consenso per tutte quelle finalità per cui il consenso dell’utente rappresenta il criterio di liceità»; tra tali finalità, l’informativa privacy in calce al form online ricomprende: «Direct Email Marketing», «Attività promozionali» e la «Condivisione contatti con partner commerciali».

In aggiunta, si rileva che nel corso dell’accertamento ispettivo la Società ha rappresentato di utilizzare, previo consenso, i dati personali degli utenti registrati sul sito internet www.cercanumeripro.it «per attività di marketing», precisando sul punto che il consenso al marketing «non è obbligatorio, è acquisito in fase di presa visione dell’informativa, unitamente a quello per le attività di condivisione dei contatti con partner commerciali» nonché che lo stesso «è considerato valido per tutta la durata della conservazione dell’account» aperto presso il sito internet (v. verbale del 6 novembre 2024, pagg. 4 e 5).

Le medesime considerazioni esposte nell’atto di contestazione venivano estese anche all’altro sito web www.ownersitalia.it gestito dalla Società, in quanto la medesima Società ha dichiarato di trattare, previo consenso, anche i dati personali degli utenti ivi registrati per il perseguimento delle descritte finalità promozionali (v. verbale del 6 novembre 2024, pag. 5).

Alla luce della documentazione acquisita e agli esiti richiamati, l’Autorità ritiene sussista una chiara promiscuità tra i due citati siti internet i quali, infatti, sono risultati strettamente collegati l’uno all’altro. A riprova, si rileva che nell’home page di www.cercanumeripro.it è presente un link che rinvia a www.ownersitalia.it. Peraltro, anche tale ultimo sito internet presenta un form online di raccolta dei dati personali (in particolare: nome, cognome, e-mail, numero di telefono e campo-testo dedicato al contenuto di un messaggio/commento) per finalità di ricontatto dell’utente oppure per ottenere un preventivo. Il buon esito della procedura di registrazione su tale seconda piattaforma risulta subordinato alla presa visione dell’informativa privacy rinvenibile al link https://www.ownersitalia.it/privacy-policy, analoga peraltro a quella presente nel sito internet www.cercanumeripro.it. Anche le finalità perseguite dal Titolare, indicate nella informativa in commento, sono esattamente le medesime già menzionate nell’informativa resa in calce alla piattaforma “CercanumeriPro” (i.e. «Direct Email Marketing», «Attività promozionali» e la «Condivisione contatti con partner commerciali»).

Preme rilevare che il Garante ha più volte declinato il principio di trasparenza, quale agevole comprensibilità del messaggio informativo con specifico riguardo alle modalità e finalità del trattamento corrispondenti, non soltanto ai consensi richiesti ma, ancor prima, agli scopi effettivamente perseguiti. Sussiste l’esigenza di corrispondenza fra informativa ex art. 13 del Regolamento ed effettività dei trattamenti posti in essere, al fine di dare piena attuazione anche all’art. 12 del Regolamento, vale a dire proprio al principio di trasparenza, che si pone come fondamentale e innovativo criterio di legittimità dei trattamenti stessi (sul punto, si v. provv. 14 novembre 2024, n. 699, doc. web. n. 10107986; provv. 15 gennaio 2020, n. 7, doc. web n. 9256486, entrambi consultabili in www.gpdp.it).

Di contro, nell’impostazione dei descritti form on line, non sono richiesti consensi specifici per le diverse finalità di trattamento, come previsto dall’art. 4, punto 11, del Regolamento. Infatti, nella presa visione dell’informativa privacy si realizza, contemporaneamente, un automatico conferimento del consenso da parte degli utenti sia per finalità di marketing, che anche per la condivisione dei dati con i partner commerciali di FT Solutions. Inoltre, tali partner non risultano identificati neanche mediante le categorie merceologiche di riferimento.

Deve poi evidenziarsi che l’esistenza di un account aperto presso le piattaforme in esame non implica necessariamente che l’utente abbia espresso la propria volontà di ricevere comunicazioni promozionali - che, si rammenta, in quanto tali sono soggette al consenso specifico e informato dell’utente - né si può ritenere automaticamente persistente alcun consenso in pendenza di un account attivo, visto che l’interessato può sempre revocare la manifestazione di volontà eventualmente conferita.

In definitiva, nel caso di specie non sussiste alcun consenso espresso in modo libero e specifico da parte degli interessati, attesa la formulazione non specifica del form tale da accorpare le distinte finalità contrattuali e promozionali. Tale consenso, non specifico né libero, non può costituire un’idonea base giuridica per i citati trattamenti, ai sensi degli artt. 6 e 7 del Regolamento.

Al riguardo, occorre ribadire, in questa sede, che la capacità di autodeterminazione degli utenti non è rispettata quando non si assicuri loro l’effettiva e consapevole libertà di scelta riguardo ai trattamenti dei propri dati personali e tale vizio di legittimità rileva ai fini dell’applicabilità delle violazioni della normativa in materia di protezione dei dati (in particolare quella relativa al consenso), a prescindere dall’effettuazione o meno delle attività di trattamento prospettate (v. provv. 12 giugno 2019, n. 130, doc. web n. 9120218 e provv. 27 ottobre 2016, n. 439, doc. web n. 5687770, entrambi consultabili in www.gpdp.it).

Infine, si deve osservare che, a seguito dell’operazione di cessione del ramo di azienda, l'informativa privacy rinvenibile nel sito internet www.cercanumeripro.it, fino al momento dell'accertamento ispettivo compiuto, recava ancora l'indicazione del precedente titolare - Tempo dell'Oro - e non del cessionario FT Solutions (v. verbale del 6 novembre 2024, pag. 2). Il testo con la corretta indicazione del titolare del trattamento è stato modificato dalla Società soltanto in data 5 novembre 2024 (v. cit. verbale del 6 novembre 2024, pag. 2).

Alla luce di quanto sopra, in ragione dell’opacità dei trattamenti in esame e considerata altresì l’inidoneità del consenso richiesto all’esito della compilazione dei form online, si ritiene configurata la violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. a), 7 e 13 del Regolamento.

3.6. SULL’IMPLEMENTAZIONE DI MISURE DI PROTEZIONE DEI DATI PERSONALI NON ADEGUATE

L’Autorità, infine, ritiene accertate anche le violazioni degli artt. 5, par. 1, lett. b) e f), 25 e 32 del Regolamento, in quanto FT Solutions non ha progettato adeguatamente la propria piattaforma, non avendo predisposto misure tecniche e organizzative idonee a garantire un adeguato livello di tutele per gli interessati.

Tuttavia, anche rispetto a tale profilo, la difesa della Società non ha preso posizione.

L’esame degli atti e della documentazione acquisiti nonché gli esiti dell’accertamento in sede ispettiva ha infatti permesso di rilevare l’omessa implementazione da parte del Titolare di idonee e adeguate misure tecniche e organizzative per garantire la sicurezza dei dati trattati dai rischi di accessi illeciti o accidentali. Come noto, in attuazione del principio di protezione dei dati personali by design e by default, i titolari dei trattamenti sono tenuti a progettare i propri sistemi di gestione e le procedure adottate in modo tale da assicurare la conformità dei trattamenti effettuati ai principi di integrità e riservatezza, nonché l’adempimento degli obblighi di riservatezza previsti dal Regolamento. Inoltre, a tenore del considerando n. 74 «è opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tenere conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche».

Di contro, nel caso di specie, la Società non ha comprovato di aver adottato misure idonee e atte a limitare gli accessi ai dati conservati nei propri sistemi, non assicurando pertanto che i suddetti accessi fossero pertinenti e limitati rispetto alle specifiche finalità perseguite. Anzi, in sede ispettiva (v. verbale del 6 novembre 2024) è emerso che gli amministratori di sistema della FT Solutions potevano accedere all’area riservata dei 975 clienti registrati, al momento dell’ispezione, sulla piattaforma attraverso l’instaurazione di una sessione di lavoro parallela e concorrente rispetto a quella eventualmente instaurata dagli operatori del cliente stesso, con i medesimi privilegi di accesso e visibilità attributi al cliente. Tale accesso permetteva ai tecnici della società di visualizzare e operare su quanto presente nella predetta area riservata, e, in particolare, di accedere anche alle liste di numeri ricercati dal cliente e conservate sulla piattaforma per 3 mesi, senza che il cliente avesse contezza dell’accesso in corso («…Per quanto riguarda la possibilità, evidenziata nel corso degli accessi con l’utenza di XX, di impersonificare un cliente, per accedere al suo profilo e alla sua area riservata/cruscotto, la parte (XX) ha rappresentato che tale facoltà è prevista per tutti gli amministratori di sistema; l’accesso non prevede l’uso della password del cliente, ma l’avvio di una sessione concorrente da parte dell’amministratore. Tale accesso non viene notificato all’utente» cfr. verbale del 6 novembre 2024).

Fra i dati accessibili da parte degli amministratori di sistema della società mediante la funzione di “impersonificazione” erano presenti sia dati personali riferiti ai clienti della Società, sia i dati personali e di contatto dei soggetti i cui nominativi erano inseriti nelle liste ricercate e memorizzate nell’area personale dei clienti stessi. Ciò senza che il Titolare sia stato in grado di indicare la specifica finalità di tali accessi così ampi, se non con l’indicazione di una generica finalità di verifica degli errori, finalità che, però, ben potrebbe essere perseguita prescindendo dalla visibilità dei dati personali conservati nell’area riservata di ciascun cliente.

Per i motivi suindicati, si ritiene che la Società non abbia assicurato un’adeguata protezione dei dati personali degli interessati anche attraverso misure di segregazione idonee a consentire un accesso limitato ai dati sulla base di specifiche finalità individuate, configurando, come anticipato, la violazione degli artt. 5, par. 1, lett. b) e f), 25 e 32 del Regolamento.

4. CONCLUSIONI

Alla luce di quanto sopra esposto, deve quindi confermarsi la responsabilità di FT Solutions in ordine alle violazioni contestate dall’Autorità con il sopra richiamato atto di contestazione n. 42133/25.
Pertanto, si ritiene accertata la responsabilità di FT Solutions in ordine alle seguenti violazioni:

a. artt. 5, par. 1, lett. a) e 24 del Regolamento per avere effettuato trattamenti di dati personali con finalità promozionali senza la previa corretta individuazione del ruolo soggettivo ricoperto e di conseguenza in violazione dei doveri che derivano dallo stesso ruolo ricoperto;

b. artt. 5, par. 1, lett. d) e par. 2, 6, par. 1, lett. a), 7, 13 e 14 del Regolamento per aver effettuato trattamenti di dati inesatti e non aggiornati;

c. artt. 5, par. 2, 12, parr. 1 e 2, 21, par. 2, 24 e 25 per l’omesso riscontro alle istanze di esercizio dei diritti presentate dagli interessati;

d. artt. 5, par. 1, lett. a), 6, par. 1, lett. a), 7 e 13 del Regolamento per l’omessa trasparenza sui trattamenti effettuati per il tramite del sito internet www.cercanumeripro.it nonché per l’errata individuazione della base giuridica dei trattamenti realizzati con la compilazione dei form on-line;

e. artt. 5, par. 1, lett. b) e f), 25 e 32 del Regolamento per la predisposizione di misure non idonee a garantire un accesso limitato ai dati, anche attraverso l’adozione di procedure di segregazione.

Accertata altresì l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario:

a) imporre a FT Solutions, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento,

i. il divieto di ogni ulteriore trattamento dei dati degli interessati acquisiti da Mishlux in assenza di un consenso libero, specifico e informato, anche mediante la cancellazione di tali dati personali dai propri database aziendali nonché;

ii. il divieto di trattamento dei dati personali raccolti direttamente anche mediante i siti internet della Società senza che sia stato acquisito il necessario preventivo consenso informato, libero e specifico degli interessati in relazione a ciascuna delle attività effettuate dalla Società, e ciò anche mediante la cancellazione di tali dati personali dai propri database aziendali;

b) ingiungere a FT Solutions, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento:

i. qualora intenda in futuro continuare ad acquisire liste di anagrafiche fornite da soggetti terzi, di adottare procedure idonee a verificare costantemente, anche mediante adeguati controlli a campione, che i dati personali siano trattati nel pieno rispetto delle disposizioni in materia (acquisizione preventiva di un consenso libero, specifico, inequivocabile, documentato, oltre che informato, degli interessati), di fornire l’informativa ex art. 14 del Regolamento, nonché di adottare idonee misure tecniche e organizzative tali da permettere alla Società di assolvere al proprio obbligo di accountability;

ii. qualora intenda in futuro continuare a commercializzare liste di anagrafiche a favore di terzi, di acquisire uno specifico consenso per ciascuna delle finalità individuate;

iii. di adottare misure tecniche e organizzative adeguate a facilitare l’esercizio dei diritti previsti dalla normativa in materia di protezione dei dati personali e di soddisfare, senza ingiustificato ritardo, le relative istanze;

iv. di modificare i form di raccolta del consenso presenti nei siti internet della Società, integrandoli al fine di raccogliere consensi specifici per ciascuna finalità ivi individuata, avendo cura di indicare nell’informativa “gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali”;

v. di integrare la propria documentazione utilizzata indicando il corretto ruolo soggettivo di Titolare autonomo del trattamento rivestito dalla Società e ciò in relazione ai trattamenti dei dati riconducibili a quelli analizzati nel presente provvedimento;

vi. di implementare misure tecniche e organizzative adeguate atte a limitare gli accessi ai dati conservati nei propri sistemi, assicurando che i suddetti accessi siano pertinenti e limitati rispetto alle specifiche finalità perseguite;

c) ingiungere a FT Solutions, ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte alle lett. a) e b), con l’esclusione della lett. b), punto vi), e nel termine di sessanta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte alla lett.  b) punto vi); l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

d) adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di FT Solutions della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento

5. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di FT Solutions della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a € 20.000.000,00 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore).

Per la determinazione del massimo edittale della sanzione pecuniaria, occorre pertanto fare riferimento al fatturato di FT Solutions, come ricavato dalla dichiarazione sul volume d’affari (IVA) relativa al periodo d’imposta 2024; verificato che il 4% del fatturato della Società è inferiore a € 20.000.000,00, l’Autorità determina, nel caso di specie, il massimo edittale nella somma indicata di € 20.000.000,00.

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.

Nel caso in esame assumono rilevanza:

1) quale fattore aggravante, la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), tenuto conto, da un lato, dell’elevato numero di dati trattati (oltre 2 milioni), e dall’altro, dell’oggetto e delle finalità degli stessi trattamenti, riconducibili al fenomeno complessivo del telemarketing selvaggio, in ordine al quale l’Autorità ha adottato, in particolare negli ultimi cinque anni, numerosi provvedimenti che hanno compiutamente preso in esame i molteplici elementi di criticità fornendo ai titolari numerose indicazioni per adeguare i trattamenti alla normativa vigente e per attenuare l’impatto delle chiamate di disturbo nei confronti degli interessati;

2) quale fattore aggravante, la condotta colposa del titolare (art. 83, par. 2, lett. b) del Regolamento), tenuto conto non solo di quanto appena riportato al precedente n. 1), ma anche della circostanza che il soggetto cedente il ramo d’azienda aveva correttamente individuato il ruolo della società;

3) quale fattore attenuante, la circostanza che FT Solutions non risulta essere stata destinataria di precedenti provvedimenti correttivi e sanzionatori (art. 83, par. 2, lett. e) del Regolamento);

4) quale fattore attenuante, la categoria di dati personali interessata dalle violazioni (id est dati comuni di contatto) (art. 83, par. 2, lett. g) del Regolamento);

5) quale fattore attenuante, le limitate capacità economiche della Società, tenuto conto dei dati risultanti dalla dichiarazione sul volume d’affari (IVA) relativa al periodo d’imposta 2024 resa dalla Società (art. 83, par. 2, lett. k) del Regolamento).

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative e funzionali della Società, si ritiene debba applicarsi a FT Solutions la sanzione amministrativa del pagamento di una somma di euro 5.000,00, pari allo 0,025% della sanzione massima edittale.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della natura dei trattamenti e delle condotte della Società, nonché degli elementi di rischio per i diritti e le libertà degli interessati.

In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare ragionevole e proporzionata in relazione alla gravità e al particolare disvalore delle condotte oggetto di censura, soprattutto avuto riguardo alla pervasività dei mezzi utilizzati e ai destinatari della stessa, nonché alla gravità delle condotte contestate, in quanto afferenti ai principi fondamentali - e costantemente ribaditi - della normativa in materia di protezione dei dati personali.

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. a) e h), del Regolamento, dichiara illeciti i trattamenti descritti, nei termini di cui in motivazione, effettuati da FT Solutions S.r.l., in persona del legale rappresentante pro tempore, con sede legale in Cascina (PI), Via Tosco Romagnola n. 2117, C.F. 02512040508 e, di conseguenza:

a) impone a FT Solutions, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento,

i. il divieto di ogni ulteriore trattamento dei dati degli interessati acquisiti da Mishlux in assenza di un consenso libero, specifico e informato, anche mediante la cancellazione di tali dati personali dai propri database aziendali; nonché

ii. il divieto di trattamento dei dati personali raccolti direttamente anche mediante i siti internet della Società senza che sia stato acquisito il necessario preventivo consenso informato, libero e specifico degli interessati in relazione a ciascuna delle attività effettuate dalla Società, e ciò anche mediante la cancellazione di tali dati personali dai propri database aziendali;

b) ingiunge a FT Solutions, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento:

i. qualora intenda in futuro continuare ad acquisire liste di anagrafiche fornite da soggetti terzi, di adottare procedure idonee a verificare costantemente, anche mediante adeguati controlli a campione, che i dati personali siano trattati nel pieno rispetto delle disposizioni in materia (acquisizione preventiva di un consenso libero, specifico, inequivocabile, documentato, oltre che informato, degli interessati), di fornire l’informativa ex art. 14 del Regolamento, nonché di adottare idonee misure tecniche e organizzative tali da permettere alla Società di assolvere al proprio obbligo di accountability;

ii. qualora intenda in futuro continuare a commercializzare liste di anagrafiche a favore di terzi, di acquisire uno specifico consenso per ciascuna delle finalità individuate;

iii. di adottare misure tecniche e organizzative adeguate a facilitare l’esercizio dei diritti previsti dalla normativa in materia di protezione dei dati personali e di soddisfare, senza ingiustificato ritardo, le relative istanze;

iv. di modificare i form di raccolta del consenso presenti nei siti internet della Società, integrandoli al fine di raccogliere consensi specifici per ciascuna finalità ivi individuata, avendo cura di indicare nell’informativa “gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali”;

v. di integrare la propria documentazione utilizzata indicando il corretto ruolo soggettivo di Titolare autonomo del trattamento rivestito dalla Società e ciò in relazione ai trattamenti dei dati riconducibili a quelli analizzati nel presente provvedimento;

vi. di implementare misure tecniche e organizzative adeguate atte a limitare gli accessi ai dati conservati nei propri sistemi, assicurando che i suddetti accessi siano pertinenti e limitati rispetto alle specifiche finalità perseguite;

c) ingiunge a FT Solutions, ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte alle lett. a) e b), ad esclusione della lett. b), punto vi), e nel termine di sessanta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte alla lett. b), punto vi); l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

d) adotta un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di FT Solutions della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Ft Solutions S.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Cascina (PI), via Tosco Romagnola 2117, C.F. 02512040508, di pagare la somma di euro 5.000,00 (cinquemila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in merito alle circostanza esposte in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 5.000,00 (cinquemila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

L’applicazione della sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019, e l’annotazione del medesimo nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la sede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso. 

Roma, 9 ottobre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Fanizza