[doc. web n. 10164395]

Provvedimento del 10 luglio 2025

Registro dei provvedimenti
n. 392 del 10 luglio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale reggente ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Agostino Ghiglia;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con comunicazione prot. n. 128030 del 31 ottobre 2024 (notificata in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente richiamata, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Outly di Veneziani & Co s.r.l. (di seguito, anche, “Outly”, la “Società” o il “Titolare”), in persona del rappresentante legale pro-tempore, con sede legale in Lido di Venezia (VE), via R. Morandini, 9, 30126, C.F. 03909220273.

Il procedimento trae origine da una istruttoria avviata dall’Autorità, a seguito della ricezione di un reclamo del 14 settembre 2024 (prot. n. 108824 del 17 settembre 2024) con il quale si lamentava la ricezione, da maggio 2021, di sms promozionali da parte della Società nonostante la richiesta di accesso e di cancellazione dei dati personali, nonché di opposizione all’ulteriore trattamento, formulata dal reclamante e rimasta priva di riscontro.

1.2. La richiesta di informazioni formulata dall’Autorità

L’Ufficio, esaminate le circostanze riportate nel reclamo e la documentazione ivi allegata, in data 25 settembre 2024 formulava nei confronti della Società una richiesta di informazioni, ai sensi dell’art. 157 del Codice, riguardo a quanto rappresentato nel reclamo e, con riscontro pervenuto il 14 ottobre 2024 (ed acquisito con prot. n. 119737 del 15 ottobre 2025), la Società rappresentava che il reclamante era stato cliente del punto vendita Outly di Barberino e che lo stesso, in seguito ad un acquisto, in data 24 aprile 2016 aveva rilasciato il proprio numero di cellulare dopo aver sottoscritto l’informativa sul trattamento dei dati personali. Tale informativa indicava tra le finalità perseguite anche quella promozionale e la sua sottoscrizione da parte dell’interessato avrebbe, quindi, autorizzato la Società all’invio di sms pubblicitari.

La Società specificava inoltre che l’invio di comunicazioni commerciali a mezzo SMS era conseguenza del fatto che, “inavvertitamente”, la stessa aveva omesso di cancellare i dati del reclamante trascorso il termine di 24 mesi.

Con riferimento all’esercizio dei diritti, la Società informava che per un mero “disguido interno” non aveva tempestivamente monitorato l’indirizzo pec e la richiesta di cancellazione dei dati del reclamante era stata segnata come “letta”.

Infine, la Società assicurava di aver cancellato i dati personali del reclamante “immediatamente dopo la ricezione” della comunicazione dell’Autorità e forniva così informazioni sulle iniziative intraprese al fine di rendere i trattamenti conformi alla normativa, in particolare: offrendo corsi di formazione ai propri dipendenti, aggiornando l’informativa sul trattamento dei dati personali esplicitando le specifiche finalità, le basi giuridiche, i tempi di conservazione e i diritti riconosciuti agli interessati, nonché revisionando le procedure per la gestione dei diritti degli interessati.

Il 22 ottobre 2024, il reclamante replicava al riscontro della Società e, nel sottolineare che le comunicazioni indesiderate erano iniziate 5 anni dopo la raccolta del consenso, rilevava che le finalità di assistenza post vendita, elaborazione statistica, cessione dei dati a terze parti e fini commerciali, erano tutti accorpati in un unico consenso.

1.3. Contestazione delle violazioni

All’esito dell’istruttoria, l’Ufficio adottava il sopra richiamato atto di contestazione n. 128030 del 31 ottobre 2024 con il quale si rilevava, in primo luogo, che la Società si era avvalsa di un consenso unico per più finalità di trattamento (consultazione, assistenza post-vendita, comunicazioni personali, elaborazione puntuale e statistica, invio di informazioni su nuovi prodotti) nonché accorpato il consenso per tali trattamenti a quello negoziale, per l’esecuzione del contratto avente ad oggetto la fornitura di servizi in caso di “rottura, sostituzione o rinnovo” degli occhiali.

Contestualmente, si contestava l’assenza, nell’informativa resa a suo tempo al reclamante, di alcuna indicazione sui tempi di conservazione dei dati personali, nonché il mancato riscontro all’esercizio dei diritti a causa di un “disguido interno”.

Pertanto, pur ritenendo meritevoli di considerazione le iniziative recentemente intraprese dalla Società per conformare i trattamenti alla normativa in materia di protezione dei dati personali, si provvedeva alla contestazione della possibile violazione degli:

- artt. 5, par. 1 lett. a) ed e); 6, par. 1 lett. a); 7 e 13, par. 2, lett. a), del Regolamento, nonché dell’art. 130, comma 2, del Codice, con riferimento alla raccolta di un unico consenso per più finalità nonché alla poca trasparenza sui trattamenti effettuati;

- artt. 12, par. 3; 15; 17; e 21, par. 2, del Regolamento, con riferimento all’omesso riscontro all’esercizio dei diritti di accesso, cancellazione e opposizione al trattamento per finalità di marketing;

- artt. 5, par. 2; 24 e 25 del Regolamento, nella misura in cui l’invocazione di un errore umano, quale il disguido interno invocato dalla Società, come motivazione della condotta omissiva può essere indice, nel caso specifico, di una inadeguata formazione dei collaboratori, oltre che di insufficienti misure organizzative e di controllo da parte del Titolare del trattamento, sintomatico del mancato rispetto del principio di responsabilizzazione (c.d. “accountability”) e dei principi di protezione dei dati fin dalla progettazione e protezione per impostazione predefinita.

2. ESERCIZIO DEL DIRITTO DI DIFESA DA PARTE DEL TITOLARE

La Società, esercitando il proprio diritto di difesa, inviava all’Autorità la propria memoria difensiva in data 2 dicembre 2024 (prot. n. 141255 di pari data).

Nella memoria la Società rappresentava che l’utilizzo del numero di telefono del reclamante per le comunicazioni promozionali fosse conseguenza di «un’errata omissione della cancellazione dei dati di contatto del Cliente allo spirare del termine previsto» ma che, non appena compreso l’errore, aveva prontamente cancellato i dati di contatto.

Ribadiva quindi il constante impegno nel migliorare i processi esistenti e nel creare una struttura privacy maggiormente organizzata.

3. VALUTAZIONI DELL’AUTORITÀ

All’esito dell’attività istruttoria, valutate le argomentazioni addotte dalla Società, si ritiene che le stesse non risultino idonee ad escluderne la responsabilità. A ciò si aggiunge che la Società non ha preso posizione o offerto elementi valutativi per confutare le violazioni contestate che, pertanto, devono considerarsi provate.

Affinché il consenso dell’interessato possa rendere lecito il trattamento dei suoi personali per finalità di invio di comunicazioni commerciali, anche a distanza di tempo, è necessario che esso sia stato, in origine, validamente acquisito. Nello caso concreto, il consenso acquisito difettava del requisito della specificità, essendo la predetta finalità accorpata ad altre e, soprattutto, al consenso negoziale per la fornitura del servizio, di fatto privando l’interessato della possibilità di esprimere un’autonoma, libera e inequivocabile manifestazione di volontà con riferimento ad un trattamento di dati personali non necessario al servizio richiesto.

Inoltre, in mancanza di comunicazione, in sede di informativa, di alcuni degli elementi essenziali del trattamento di cui all’art. 13 del Regolamento, la Società non ha raggiunto, nei confronti dell’interessato, quel livello di trasparenza minimo tale da poter considerare “informato” il consenso prestato. Dalla documentazione in atti risulta che la Società aveva predeterminato il periodo di conservazione dei dati in 24 mesi senza però informare di tale termine l’interessato.

Dagli atti e dalle dichiarazioni rese della Società risulta quindi che, in virtù di un consenso non idoneo per fondare ulteriori attività di trattamento di dati personali, in particolare quelli relativi all’invio di comunicazioni commerciali, il Titolare abbia inviato sms di natura commerciale – peraltro a notevole distanza di tempo dalla raccolta del consenso – e senza tener conto dell’esercizio dei diritti del reclamante.

Deve inoltre essere considerata provata la non adeguata trasparenza sui trattamenti posti in essere, con particolare riferimento al periodo di conservazione dei dati, nonché l’adozione di insufficienti misure organizzative volte ad assicurare il rispetto del principio di responsabilizzazione (“accountability”) e dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita.

Deve quindi confermarsi la responsabilità della Società in ordine alle violazioni contestate nel paragrafo 1.3.

4. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata l’illiceità dei trattamenti presi in esame e la responsabilità di Outly di Veneziani & Co s.r.l. in ordine alle seguenti violazioni:

a) artt. 5, par. 1 lett. a) ed e); 6, par. 1 lett. a); 7 e 13, par. 2, lett. a), del Regolamento, nonché dell’art. 130, comma 2, del Codice, per aver fornito un’informazione incompleta sui trattamenti posti in essere e aver raccolto un unico consenso per più finalità, nonché per l’invio di comunicazioni promozionali senza aver acquisito un idoneo consenso dell’interessato;

b) artt. 12, par. 3; 15; 17 e 21, par. 2, del Regolamento, per non aver dato riscontro all’esercizio dei diritti di accesso, cancellazione e opposizione al trattamento per finalità di marketing esercitati dal reclamante;

c) artt. 5, par. 2; 24 e 25 del Regolamento, per la violazione del principio di responsabilizzazione e dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita.

Si deve comunque osservare che la Società, immediatamente dopo la ricezione della richiesta di informazioni, ha cancellato i dati del reclamante, collaborato con l’Ufficio e si è dimostrata proattiva nell’intervento di risoluzione delle problematiche contestate.

Accertata dunque l’illiceità delle condotte con riferimento ai trattamenti presi in esame, considerato che il Titolare ha già provveduto a porre in essere alcune misure correttive limitatamente al solo caso del reclamante, si rende necessario, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, imporre il divieto di trattamento per finalità promozionali dei dati degli altri interessati eventualmente ancora presenti nella banca dati del Titolare che siano stati raccolti con le modalità sopra descritte e per i quali, dunque, non sia possibile documentare la presenza di un consenso specifico, informato e ancora valido nell’ambito del termine di conservazione indicato dal Titolare.

Inoltre, con riguardo alle violazioni occorse, quale misura proporzionata e dissuasiva, si rende necessario adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti della Società della sanzione amministrativa pecuniaria prevista dagli artt. 58, par. 2, lett. i) e 83 del Regolamento.

In ragione di quanto disposto dall’art. 154-bis, comma 3 del Codice, si procede alla pubblicazione del presente provvedimento sul sito internet dell’Autorità (cfr. anche art. 37 del regolamento interno del Garante n. 1/2019).

Si rileva inoltre che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Si ricorda infine che, ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto del trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e) del Regolamento.

5. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, risultano violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati dalla Società, per cui occorre applicare l’art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave con conseguente applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione che deve «in ogni caso [essere] effettiva, proporzionata e dissuasiva» (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, ipotizzato, sulla base delle informazioni rinvenibili nell’ultimo bilancio (registrato al 31 dicembre 2023), il ricorrere della prima ipotesi prevista dal citato art. 83, par. 5 e quantificato quindi in 20 milioni di euro il massimo edittale applicabile, devono essere considerate la seguente circostanza aggravante:  la durata della violazione (art. 83, par. 2, lett. a) del Regolamento), nella misura in cui risulta accertato che la Società ha inviato sms di natura commerciale a notevole distanza di tempo dalla raccolta del consenso, omettendo di cancellare i dati allo scadere del periodo di conservazione fissato in 24 mesi dalla raccolta e senza tener conto dell’esercizio dei diritti del reclamante.

Quali elementi attenuanti, si ritiene di poter tener conto:

1. delle misure adottate dal titolare del trattamento per rendere i propri trattamenti conformi alle norme revisionando alcune procedure aziendali (art. 83, par. 2, lett. c) del Regolamento);

2. del carattere colposo della violazione (art. 83, par. 2, lett. b) del Regolamento);

3. del basso livello di danno che il trattamento ha comportato per l’interessato (art. 83, par. 2, lett. a) del Regolamento);

4. dell’assenza di precedenti procedimenti avviati a carico della Società (art. 83, par. 2, lett. e) del Regolamento);

5. del grado di cooperazione con l’Autorità di controllo (art. 83, par. 2, lett. f) del Regolamento);

6. della natura dei dati trattati, consistenti in dati comuni anagrafici e di contatto (art. 83, par. 2, lett. g) del Regolamento).

In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione.

Pertanto si ritiene che – in base al complesso degli elementi sopra indicati – debba applicarsi la sanzione amministrativa del pagamento di una somma di euro 15.000,00 (quindicimila,00) pari allo 0,08% della sanzione edittale massima di 20 milioni di euro.

Nel caso in argomento si ritiene che debba applicarsi, altresì, la sanzione accessoria della pubblicazione nel sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019.

In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare proporzionata in quanto le violazioni accertate, in particolare le modalità di raccolta del consenso e le carenze informative circa i tempi di conservazione dei dati personali, risultavano suscettibili di riguardare tutti gli interessati e i potenziali clienti della Società.

TUTTO CIO’ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f) del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione effettuato da Outly di Veneziani & Co s.r.l., in persona del rappresentante legale pro-tempore, con sede legale in Lido di Venezia (VE), via R. Morandini, 9, 30126, C.F. 03909220273;

di conseguenza, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, dispone il divieto di trattamento per finalità promozionali dei dati degli altri interessati eventualmente ancora presenti nella banca dati del Titolare e per i quali non sia possibile documentare la presenza di un consenso specifico, informato e ancora valido nell’ambito del termine di conservazione predeterminato;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, a Outly di Veneziani & Co s.r.l. in persona del suo legale rappresentante, di pagare la somma di euro 15.000,00 (quindicimila,00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 15.000,00 (quindicimila,00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

a) la pubblicazione del presente provvedimento, ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019, nonché, ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione della presente ordinanza ingiunzione sul sito web del Garante;

b) l’annotazione del presente provvedimento nel registro interno dell’Autorità – previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante – relativo alle violazioni e alle misure adottate in conformità all’art. 58, par. 2, del Regolamento stesso.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 10 luglio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE REGGENTE
Filippi