[doc. web n. 10252188]

Provvedimento del 17 aprile 2026

Registro dei provvedimenti
n. 285 del del 17 aprile 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018 n. 101, recante disposizioni per l'adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Con nota del 23 febbraio 2025, acquisita agli atti in data 24 febbraio 2025 (prot. n. 23906), il sig. XX ha presentato un reclamo a questa Autorità rappresentando di avere ricevuto svariate e-mail di carattere commerciale dalla Aesir s.r.l. (di seguito, Aesir o la “Società”) a diversi indirizzi di posta elettronica tutti a lui riconducibili, ipotizzando un “rastrellamento” di dati personali dal web. 

Il reclamante, in data 21 gennaio 2025, aveva rivolto un’istanza di accesso ai dati alla predetta Società che non aveva fornito riscontro. Nell’istanza l’interessato chiedeva altresì di essere contattato da un avvocato diffidando la Società dal limitarsi a porgere le proprie scuse e cancellare i dati ad esso riferiti (artt. 12 e 15 del Regolamento UE 2016/679, di seguito Regolamento). 

In riscontro alla richiesta di informazioni dell’Ufficio del 10 giugno 2025 (prot. n. 82947), la Società, con dichiarazioni della cui veridicità risponde penalmente ai sensi dell’art. 168 del Codice, ha, in primo luogo, rappresentato di essere “un’azienda specializzata nella consulenza ERP e IT, nonché nella fornitura di soluzioni software e hardware personalizzate, […] e di utilizzare “strumenti professionali e pienamente conformi al GDPR per l’attività di business, tra i quali LinkedIn Sales Navigator, […], ovvero lo strumento ufficiale LinkedIn per la generazione di contatti business-to-business, un CRM che utilizza legittimamente e sulla base del consenso fornito dagli utenti al database di Linkedin per creare nuove conoscenze e contatti. Il predetto software è progettato e commercializzato esplicitamente con finalità di contatto tra professionisti e aziende su base informativa o collaborativa” (nota del 27 giugno 2025, acquisita agli atti in data 30 giugno 2025, prot. n.91991).

La Società ha dichiarato di aver individuato, tramite il predetto servizio Linkedin, il sig. XX come potenzialmente interessato alle proprie soluzioni di HR e legali e di avergli pertanto inviato delle email finalizzate unicamente alla formulazione di proposte di collaborazione professionale senza alcun intento promozionale. 

In relazione al reperimento degli indirizzi e-mail del reclamante, la Società ha dichiarato di averli rinvenuti tramite funzionalità di LinkedIn a partire dai collegamenti diretti o da altri contatti dello stesso reclamante ritendo acquisito il consenso dell’interessato per effetto dell’iscrizione alla stessa piattaforma Linkedin. 

Al riguardo, la Società ha chiarito che sulla piattaforma si rinviene che “Se un collegamento diretto collega il proprio account LinkedIn ad applicazioni e servizi approvati, come Outlook, per impostazione predefinita può visualizzare l’indirizzo e-mail anche in tali servizi. A questo punto, l’indirizzo e-mail principale sarà visibile anche ai tuoi contatti email e viceversa”.

Il sig. XX, inoltre, avrebbe ricevuto numerose e-mail solo in ragione del fatto che su Linkedin i suoi recapiti risultavano associati a organizzazioni diverse, circostanza che aveva indotto la Società a ritenere che si trattasse di entità distinte.  

La Società ha comunque dichiarato di avere rimosso l’indirizzo e-mail del sig. XX XX non appena ricevuta la richiesta dell’interessato del 21 gennaio 2025 interrompendo l’invio di comunicazioni su tale indirizzo; Aesir ha precisato altresì di aver provveduto in tal senso solo per l’indirizzo email XX su poiché l’interessato ha menzionato solo quello nella sua richiesta di esercizio dei diritti del 21 gennaio 2025, non potendo comprendere, in quella fase, che anche gli altri indirizzi email utilizzati erano riconducibili allo stesso interessato.

Con riferimento alle basi giuridiche del trattamento, la Società ha invocato il legittimo interesse, del titolare (art. 6, par. 1, lett. f) del Regolamento), “ma anche la policy di LinkedIn, attraverso l’invio di comunicazioni aventi a oggetto la pura e semplice presentazione dell’attività aziendale”. 

Con pec del 30 giugno 2025, acquisita agli atti in data 1° luglio 2025, (prot. n. 92607), il sig. XX ha fatto pervenire la propria nota di replica, nella quale, contestando in termini generali la ricostruzione giuridica della Società, ha negato la presenza dei propri indirizzi di posta elettronica su LinkedIn, ipotizzando quindi che essi siano stati inferiti dalla Società. 

2. LA CONTESTAZIONE DELLE VIOLAZIONI

Con atto del 2 dicembre 2025, prot. n. 168265, l’Ufficio ha comunicato l’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori, ai sensi dell’art.166, comma 5, del Codice, in quanto dalla documentazione in atti e dalle preliminari valutazioni svolte si è ritenuto che la Società Aesir S.r.l. avesse inviato all’interessato, sui sopra richiamati differenti indirizzi di posta elettronica, comunicazioni di carattere commerciale in assenza di idoneo consenso mancando altresì di fornire riscontro all’istanza di accesso ai dati avanzata dall’interessato ai sensi dell’art. 15 del Regolamento. 

In particolare, si è ritenuto che l’invio delle predette comunicazioni non potesse essere configurato come una mera interlocuzione professionale ma andasse invece inquadrato nella fattispecie descritta dal combinato disposto dei commi 1 e 2 dell’art. 130 del Codice, in base al quale le comunicazioni inviate tramite posta elettronica sono consentite solo con il consenso del contraente o utente se effettuate “per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale”.

Infatti, l’esame del contenuto delle e-mail ricevute dal reclamante non manifestava l’intento di proporre una collaborazione professionale, quanto piuttosto quello di presentare un servizio di gestione finanziaria, con la finalità ultima di promuoverne l’acquisto. Nelle comunicazioni inviate si leggeva infatti “… credo che ci siano interessanti opportunità per migliorare la gestione della tesoreria e il controllo finanziario con strumenti avanzati come Agicap. Sappiamo che molti amministratori utilizzano Excel o tool tradizionali per gestire il cash flow, ma questi strumenti presentano limiti significativi. Agicap è progettato per superare queste sfide e offre vantaggi concreti” …. “Allego una brochure che illustra nel dettaglio i benefici di Agicap e come potrebbe supportare la vostra attività decisionale e strategica. Sarei lieto di fissare una breve chiamata su teams, senza impegno, con il nostro Ceo …, per discutere come Agicap potrebbe essere integrato nella vostra realtà”. 

Diversamente una proposta di collaborazione professionale avrebbe richiesto che le parti avessero entrambe, anche solo potenzialmente, un interesse comune e paritetico. Nel caso di specie, invece, si rinveniva unicamente l’interesse di Aesir a presentare un proprio servizio, allegando del materiale pubblicitario, per promuoverne la vendita.

Infine, si è contestato il mancato riscontro all’esercizio del diritto di accesso dal momento che la Società non aveva fornito alcuna risposta alla richiesta di XX del 21 gennaio 2025, limitandosi, in base a quanto dichiarato, a cancellare l’indirizzo dalla mailing list. Ciò avrebbe integrato la violazione dell’art. 12 del Regolamento in base al quale “Il titolare del trattamento fornisce all'interessato le informazioni relative all'azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa”.

3. LA DIFESA DELLA SOCIETÀ

La Società, ai sensi dell’art. 166, comma 6, del Codice e dell’art. 13 del regolamento interno del Garante n. 1/2019, ha presentato le proprie memorie difensive con nota del 29 dicembre 2025 acquisita agli atti in data 5 gennaio 2026 (prot. n. 0474).

In tale contesto, con riferimento all’invio delle comunicazioni all’interessato (la cui natura commerciale non è stata più contestata dalla Aesir), la tesi difensiva della Società è stata volta, in primo luogo, a confutare l’ipotesi di un generico “rastrellamento” dei dati del reclamante su internet in assenza del relativo consenso.

Aesir, infatti, ha sostenuto di avere operato lecitamente nel perimetro del servizio a pagamento (€ 99 al mese) offerto da LinkedIn, da un lato, attingendo a domini resi pubblici dall’interessato e, dall’altro, ricavandone il nome e il cognome attraverso il servizio Sales Navigator, volto proprio alla “generazione di contatti business-to-business e di lead generation”. Tali dati non sarebbero quindi stati “rastrellati” sul web ma desunti per inferenza conformemente al servizio acquistato.

A tale riguardo, la Società ha sostenuto che “La strutturazione di dati inferenziali da LinkedIn Sales Navigator, pertanto, legittima il trattamento che si fonda su un presupposto contrattuale o, in ogni caso, sul consenso dell’interessato raccolto in sede di adesione ai termini e condizioni e alla privacy policy di LinkedIn. Sales Navigator permette, infatti, al titolare di acquisire dati diretti e inferenziali per impostare campagne di marketing e remarketing; come emerge dall’informativa di LinkedIn, il Navigator [nel caso di specie la Aesir srl] assume, infatti, la qualifica di Partner di LinkedIn che hanno acquistato il servizio ed ha diritto di trattare i dati degli utenti LinkedIn”.

In tale contesto, secondo la Società, gli utenti di LinkedIn non commerciali, come il sig. XX, per fruire della piattaforma, acconsentono al trattamento dei propri dati personali sia da parte della stessa che dei relativi Partner, integrando uno schema contrattuale proprio dell’art. 135 octies del Codice di Consumo. 

In tale contesto, a detta della Società, non sarebbe stato necessario acquisire uno specifico consenso dell’interessato alla ricezione delle predette comunicazioni commerciali, contando sul fatto che tale trattamento poteva ragionevolmente essere atteso e conosciuto dall’interessato poiché  descritto nell’informativa resa da LinkedIn ai propri utenti non commerciali disponibile pagina https://it.linkedin.com/legal/privacy-policy# (cfr. punto 2.4).

La Società ha poi indicato il link della pagina della piattaforma LinkedIn dove vengono forniti agli utenti chiarimenti sulle informazioni cd “dedotte”  https://www.linkedin.com/help/linkedin/answer/a1337820/.

Per tutto quanto sopra, la Società ha concluso mostrando di ritenere che l’interessato fosse ben informato di poter essere destinatario di “campagne commerciali”.

La Società ha sostenuto altresì che la liceità dei trattamenti di dati personali del sig. XX è confermata dal tenore del contratto sottoscritto per l’acquisto del servizio Sales navigator, di LinkedIn. 

Nello specifico è stato chiarito che “L’essenza del contratto di sales navigator acquistato da Aesir sono proprio i seguenti servizi:

1. Reach prospect per raggiungere i prospect (come l’Avvocato XX) anche se non direttamente connessi con e-mail e domini associati al profilo LinkedIn dell’interessato,

2. Nonché Lead/Contact Creation, con la possibilità specifica di utilizzare soluzioni di “Integrazione di CRM avanzate” che permettono l’integrazione e la combinazione di dati quali Snov.io.

Nel caso specifico, Aesir ha effettuato un’attività di lead/contact creation operando l’integrazione, prevista dai termini contrattuali fra il CRM snov.io ed i dati integrati nell’account LinkedIn dell’interessato”.

La Società ha specifico, infatti, di avere “sottoscritto anche un contratto con il provider Snov.io per la gestione delle mailing list” e di avere a tal fine designato tale provider quale responsabile del trattamento ai sensi dell’art. 28 del Regolamento.

In conclusione, con riferimento alle condizioni di liceità del trattamento, la Società ha quindi invocato quella della necessità di esecuzione di un contratto di cui all’art. 6, par. 1 lett. b) del Regolamento in forza dei rapporti sinallagmatici in essere tra LinkedIn e il sig. XX e tra Linkedin e la Società stessa nell’ambito dell’acquisto del Sales Navigator. In particolare, nella ricostruzione di Aesir “LinkedIn monetizza attraverso la vendita di servizi data driven, che comprendono la creazione anche di dati inferenziali, ai SalesNavigator i quali impostano le proprie campagne di marketing su questi dati pagando LinkedIn per il servizio. Al contempo, gli utenti non inserzionisti, quali l’avv. XX, godono del servizio che offre possibilità di carriera, networking e sviluppo professionale, a fronte della cessione dei propri dati personali che vengono trattati secondo la privacy policy di Linkedin”.

In subordine, la Società ha ritenuto che i dati di contatto del sig. XX dalla stessa trattati debbano considerarsi comunque già “consensati, essendo la privacy policy espressamente approvata dall’interessato in sede di sottoscrizione del contratto con LinkedIn. LinkedIn, infatti, richiede specificatamente agli utenti non inserzionisti l’espressa accettazione della privacy policy come emerge chiaramente dal sito della piattaforma”.

Con riferimento, infine, al mancato riscontro alla richiesta dell’interessato di accesso ai propri dati, la Società ha ritento trattarsi di una “violazione di natura minore” in considerazione del fatto che l’interessato era già informato di tali trattamenti nel contratto di adesione alla piattaforma, che la violazione si è protratta per un lasso di tempo contenuto, che i danni eventualmente subiti dall’interessato sarebbero comunque privi di riflessi economici e che il trattamento ha avuto ad oggetto solo dati comuni.

4. VALUTAZIONI DI ORDINE GIURIDICO

In base ai profili fattuali sopra evidenziati e alle affermazioni rese in sede di riscontro, di cui, come detto, i dichiaranti rispondono ai sensi dell’art. 168 Codice, si ritiene di confermare le violazioni rilevate nell’atto di contestazione.

4.1. SULLA CONDIZIONE DI LICEITÀ DEI TRATTAMENTI 

4.1.A IL CONTRATTO

In via preliminare, in ordine alle condizioni di liceità del trattamento, l’Ufficio rileva una palese incongruenza tra il riscontro fornito con la nota del 27 giugno 2025 e quanto riportato nelle memorie difensive presentate con nota del 29 dicembre 2025.

Infatti, nel primo caso, la Società ha ritenuto di poter fondare sul proprio legittimo interesse, ai sensi dell’art. 6, par. 1, lett. f) del Regolamento, il trattamento dei dati personali del reclamante per l’invio di comunicazioni di carattere commerciale. Successivamente la base giuridica di tali trattamenti è stata individuata nel contratto o in subordine nella natura “gia consensata dei dati trattati” ai sensi dell’art. 6, par. 1, lett. a) e b) del Regolamento. 

Il Garante ritiene di doversi attenere principalmente a quanto da ultimo indicato dalla Società nelle proprie memorie difensive.

Con riferimento alla prospettata ipotesi di fondare i trattamenti svolti sull’art. 6, par. 1, lett. b) del Regolamento, in base al quale i dati possono essere trattati se necessari “all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso”, si intende, in primo luogo, ribadire il corretto inquadramento giuridico della fattispecie in esame e successivamente, per completezza, soffermarsi sui rapporti contrattuali rilevanti nel caso di specie (cfr.  Linee guida 2/2019 sul trattamento di dati personali ai sensi dell’articolo 6, paragrafo 1, lettera b), del Regolamento generale sulla protezione dei dati nel contesto della fornitura di servizi online agli interessati, adottate dal Comitato europeo per la protezione dei dati l’8 ottobre 2019). 

Come già sopra evidenziato, le comunicazioni inviate dalla Società agli indirizzi di posta elettronica del reclamante hanno natura promozionale [è, per altro, la stessa Società ha definirle nelle sue memorie “comunicazioni commerciali”], fattispecie questa che – in ragione del mezzo utilizzato (la posta elettronica, quale rete di comunicazione elettronica ai sensi dell’art. 121, comma 1, lett.c) - soggiace alla speciale disciplina originata dalla direttiva 2002/58/CE e recepita nell’ordinamento italiano nel Titolo X del Codice, di carattere speciale rispetto a quella del Regolamento, che resta applicabile solo per i profili non specificamente disciplinati dalla direttiva stessa. In particolare, si richiama quanto disposto dall’art. 130 del Codice in base al quale l’invio di comunicazioni con modalità automatizzate è consentito solo con il consenso del contraente o utente, potendosi ammettere una deroga unicamente nel caso in cui l’indirizzo e-mail – e solo l’indirizzo e-mail - sia stato rilasciato dall’interessato nel contesto di una vendita di beni o servizi analoghi.

In altri termini, l’invio per posta elettronica di comunicazioni di carattere commerciale trova la sua disciplina nella richiamata normativa di carattere speciale e non nel Regolamento, con l’effetto che esso non può essere fondato sul contratto o su legittimo interesse del titolare, ma unicamente sul consenso dell’interessato.

Ferma la natura assorbente di tale osservazione, per completezza, appare opportuno formulare ulteriori osservazioni rispetto alla prospettata ipotesi di considerare nel caso in esame il contratto quale idonea condizione di liceità del trattamento (ai sensi dell’art. 6, par. 1 lett. b) del Regolamento).

I rapporti contrattuali rilevanti nel caso in esame coinvolgono, da una parte, la società Aesir S.r.l. e la piattaforma Linkedin - per la fruizione da parte della prima del servizio denominato Sales Navigator offerto dalla seconda - e dall’altra, il sig. XX e la piattaforma Linkedin - per la fruizione, da parte del primo, dei servizi rivolti agli utenti propri della piattaforma stessa.

In entrambi i casi verrebbe a mancare una precondizione essenziale affinché il presupposto di liceità invocato dal titolare possa trovare applicazione, ossia che l’interessato (il sig. XX) e il titolare del trattamento (Aesir) siano parte del medesimo contratto. Ciò renderebbe quindi impossibile passare all’esame dell’effettiva necessità del trattamento per l’esecuzione del contratto (Linee guida 2/2019 cit.; provv. del Garante del 14 novembre 2024, doc. web 10108848)

È appena il caso quindi di sottolineare che la circostanza che tale contratto possa essere ricondotto, come sostenuto dal titolare, al novero di quelli di fornitura di contenuto digitale, ai sensi dell’art.  135-novies del Codice del Consumo non basta a confutare la predetta ricostruzione normativa; si osserva, infatti, che tale articolo, ai commi 5 e 6, fa espressamente salva la disciplina in materia di protezione dei dati personali.

4.1.B SUL SALES NAVIGATOR E SUL CONSENSO DELL’INTERESSATO

Prima di soffermarsi sulla prospettata ipotesi in base alla quale i dati dell’interessato possano, seppur solo in  subordine, considerarsi già “consensati”, in quanto raccolti dalla Società attraverso lo strumento Sales Navigator di LinkedIn, appare opportuno fornire alcune indicazioni su tale servizio per come presentato sul sito internet della piattaforma, fermi restando ulteriori eventuali approfondimenti,  qualora ne ricorrano i presupposti, nel rispetto dei previsti meccanismi di cooperazione (artt. 56 e 60 e ss. del Regolamento).   

Alla pagina internet di LinkedIn https://business.linkedin.com/sales-solutions/compare-plans/advanced-search-filters , LinkedIn Sales Navigator è presentato come uno strumento di vendita B2B basato sull'intelligenza artificiale, con funzionalità che aiutano a trovare acquirenti, creare pipeline e concludere le trattative più velocemente.

Si evidenzia che con decisione del 5 settembre 2023, la Commissione europea ha designato Microsoft quale gatekeeper ai sensi dell’art. 3, par. 1, punto b) del Regolamento (Ue) 2022/1925 del Parlamento europeo e del Consiglio del 14 settembre 2022 relativo a mercati equi e contendibili nel settore digitale e che modifica le direttive (UE) 2019/1937 e (UE) 2020/1828 (Regolamento sui mercati digitali-DMA), in particolare per “Microsoft’s online social networking service LinkedIn” che include specifiche funzionalità quali appunto LinkedIn Sales Navigator.

Sales Navigator è un servizio Premium a pagamento di LinkedIn (del quale esistono anche le versioni Advanced e Advanced plus) che dispone di una sofisticata funzione di filtri di ricerca che consentono di indirizzare le ricerche su LinkedIn in base a numerosi attributi e parametri specifici. 

Il servizio offre poi la possibilità di inviare ai lead e agli account individuati delle InMail ossia “messaggi privati che […] permettono di contattare chiunque su LinkedIn senza bisogno di presentazione o informazioni di contatto. Per garantire la qualità e la personalizzazione dei messaggi, l’invio di messaggi in blocco non è disponibile e i messaggi InMail devono essere inviati singolarmente a ciascun destinatario “ (t.a).

Con riferimento ai servizi Premium offerti agli abbonati, l’informativa privacy predisposta per gli utenti della piattaforma indica che “Vendiamo Servizi Premium che offrono ai nostri clienti e abbonati funzionalità e strumenti di ricerca personalizzati (inclusi messaggistica e avvisi di attività) nell’ambito delle nostre soluzioni di ricerca talenti, marketing e vendita. Questi abbonati possono esportare informazioni limitate dal Suo profilo, quali il nome, il sommario, l’azienda attuale, la qualifica attuale e la località generale (ad es. Dublino), ad esempio per gestire lead o talenti, a meno che non rifiuti tale opzione. Non forniamo informazioni di contatto ai clienti nell’ambito di tali Servizi Premium senza il Suo consenso)”(cfr. puto 2.2 https://it.linkedin.com/legal/privacy-policy/?lipi=urn%3Ali%3Apage%3Ad_flagship3_feed%3Bn79nddpiT4G%2BuhvZ2TeQ0w%3D%3D ). 

Per tutto quando sopra, si osserva, da un lato, che gli utenti non commerciali di LinkedIn sono informati del fatto che i loro dati possono essere trattati dai cd Partner di LinkedIn attraverso i servizi premium offerti dalla medesima piattaforma, ferma restando la possibilità di opporsi, ma è comunque chiarito che Linkedin non fornirà informazioni di contatto agli utenti premium e dunque non si può ritenere che la ricezione di comunicazioni promozionali via email sia un trattamento che un iscritto a Linkedin può ragionevolmente attendersi; tale operazione di trattamento resta infatti assoggettata alla specifica disciplina di cui all’art. 130 del Codice.  

Al riguardo, giova ribadire che l’iscrizione ad un social network comporta l’adesione ai termini di servizio dallo stesso stabiliti e sulla base di tali condizioni contrattuali si basano le aspettative degli interessati relativamente all’utilizzo che di tale strumento verrà fatto da parte anche degli altri utenti. Pertanto le comunicazioni effettuate e ricevute all’interno di tali piattaforme sono finalizzate unicamente a quanto stabilito nelle condizioni di utilizzo del servizio stesso. Linkedin, in particolare, è una piattaforma che ha come finalità quella di mettere in contatto individui che condividono gli stessi interessi professionali per favorire lo scambio di conoscenze o le opportunità lavorative. Non è invece previsto che gli utenti (a vario titolo) di Linkedin possano utilizzare la piattaforma per inviare messaggi ad altri utenti con lo scopo di vendere prodotti o servizi (cfr. provv. n. 316 del 16 settembre 2021, doc. web n. 9705632).

Si osserva, inoltre, con riguardo all’utilizzo dei dati pubblicati on line o sui social network, che il Garante ha più volte ricordato che essi non sono liberamente utilizzabili per finalità promozionali per il solo fatto di essere resi pubblici, poiché deve essere sempre rispettata la finalità di utilizzo in base alla quale i dati sono stati originariamente raccolti in accordo con le legittime aspettative degli interessati (cfr. provv.ti del 16 settembre 2021, doc. web n. 9705632, 17 maggio 2023, doc web n. 9899880; provvedimento 18 luglio 2023 doc web n. 9939507; 11 gennaio 2023 doc web n.9861941, 4 luglio 2024, doc. web n. 10070284; 18 dicembre 2025 doc web 10209888). È quindi coerente ritenere che vieppiù travalichi le legittime aspettative degli interessati la raccolta di alcuni loro dati pubblici e la successiva operazione di enrichment degli stessi al fine di dedurne i dati di contatto per il perseguimento di finalità promozionali.

Ciò premesso, con riguardo alla prospettata possibilità di considerare i dati del segnalante “già consensati”, si rileva come sia ontologicamente incompatibile con i requisiti del consenso la possibilità che questo possa darsi per presunto, per giunta per il mero fatto che l’interessato abbia letto un’informativa sul trattamento dei dati resa da un altro titolare in riferimento a diverse tipologie di trattamenti (artt. 6, par. 1 lett. a), 7 e Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679 adottate dal EDPB il 4 maggio 2020).

Si osserva, infatti, che il consenso richiede una dichiarazione o azione positiva da parte dell’interessato, dovendosi infatti estrinsecare in un’esplicita manifestazione di volontà rivolta al titolare del trattamento che deve essere successivamente in grado di comprovare di averlo acquisito.

Tra i requisiti di liceità del consenso di cui all'art. 7 del Regolamento, si prefigura, infatti, come distinto e autonomo elemento, l'obbligo per il titolare di dimostrare che l'interessato abbia prestato il proprio consenso, per il corretto adempimento del quale si richiede l’implementazione di specifiche misure tecniche e organizzative che in nessun caso possono risolversi in una mera presunzione (provv.  n. 330 del 4 giugno 2025, doc. web n. 10143278).

Si osserva, infine, come la circostanza che l’invio di comunicazioni di carattere commerciale da parte della Società sia stato rivolto a diversi indirizzi di posta elettronica del reclamante, non avendo il sistema riconosciuto l’appartenenza degli stessi al medesimo soggetto a causa della prospettata eterogenia dei sui profili sulla piattaforma, non muta il quadro delle condizioni di liceità applicabili al trattamento, fornendo piuttosto un’indicazione orientativa della portata del trattamento e la comprova dell’ordinarietà di tale modus operandi .

Per tutto quanto sopra, risulta quindi accertato che la Società Aesir s.r.l. ha inviato all'avv. XX comunicazioni di carattere commerciale via e-mail senza un’idonea base giuridica – nel caso di specie, il consenso dell'interessato – in violazione dell’art. 6, par. 1, lett. a) del Regolamento e dell’art. 130, commi 1 e 2, del Codice, secondo quanto contestato dall’Ufficio con l’atto del 2 dicembre 2025 che non risulta superato dalle memorie difensive presentate dalla Società.

4.2 SUL MANCATO RISCONTRO ALLA RICHIESTA DI ESERCIZIO DEI DIRITTI

Con riguardo al mancato riscontro all’istanza di accesso avanzata dall’interessato, ai sensi dell’art. 15 del Regolamento, pur prendendosi atto della dichiarata rimozione dei dati di contatto del reclamante, deve evidenziarsi come il diritto di accesso sia concepito - ed è stato in concreto esercitato dal reclamante -   come strumento volto a consentire all’interessato di esercitare un “controllo” attivo sui dati personali che lo riguardano, assicurando allo stesso piena consapevolezza delle informazioni oggetto di trattamento e delle effettive modalità di quest’ultimo. Lo scopo del diritto di accesso, invero, è primariamente quello di rendere noti “quali” dati e “come” siano stati trattati dal titolare al fine di fornire all’interessato gli strumenti per “conoscere e verificare la liceità e l’esattezza del trattamento” allo stesso riferito (v. cons. 63 del Regolamento; EDPB, “Guidelines 01/2022 on data subject rights - Right of access”, adottate il 28 marzo 2023, paragrafi 10-13; provv. del Garante del 17 luglio 2024, doc. web n. 10053211). 

Il mancato riscontro (al pari di un riscontro incompleto o generico) ad un’istanza di accesso ai dati ai sensi dell’art. 15 del Regolamento lede il diritto degli interessati di poter esercitare il richiamato controllo; circostanza questa che non può in alcun modo considerarsi compensata o sanata dalla cancellazione dei dati dalla mailing list da parte del titolare del trattamento. Si osserva, infatti, che non esiste alcun rapporto gerarchico tra i diritti di protezione dei dati riconosciuti dal Regolamento e che essi non possono considerarsi tra loro intercambiabili a piacimento del titolare (cfr. provv. del Garante del 12 febbraio 2026, in www.garanteprivacy.it, doc web n. 10225019). 

Si osserva altresì che, proprio al fine di prevenire la cancellazione non richiesta dei propri dati e poter esercitare il previsto controllo, l’interessato ha ritenuto opportuno specificare l’oggetto della sua richiesta provando a mettere in guardia la Società da una cancellazione non richiesta. 

Non vi è spazio, inoltre, per tener conto delle osservazioni del titolare relative alla circostanza che l’interessato avrebbe già “ottenuto apposita informativa al trattamento dei propri dati personali in sede di adesione a LinkedIn e di accettazione dalla privacy policy della piattaforma online”, trattandosi di un diverso adempimento, posto in essere da un altro titolare per trattamenti propri volti al perseguimento di differenti finalità. 

Da ultimo, merita precisarsi che gli ulteriori elementi delle memorie difensive relative alla contestazione della violazione del diritto di accesso dell’interessato attengono unicamente all’impatto della violazione sui diritti e le libertà fondamentali dell’interessato ma non forniscono alcuna giustificazione della condotta omissiva in sé.

Sulla base di tali ultime considerazioni risulta quindi accertato che la Società Aesir s.r.l., omettendo di fornire riscontro all’istanza di accesso ai dati del sig. XX nei tempi indicati dal Regolamento, ha violato gli artt. 12 e 15 del Regolamento secondo quanto contestato dall’Ufficio con l’atto del 2 dicembre 2025 che non risulta superato dalle memorie difensive presentate dalla società.

5. CONCLUSIONI.

5.1 Sull’invio di comunicazioni promozionali senza consenso

Per tutto quanto sopra esposto si ritiene accertata la responsabilità di Aesir s.r.l. in ordine alla violazione degli artt. 6, par. 1, lett. a) nonché dell’art. 130, commi 1 e 2, del Codice, per avere inviato all'avv. XX comunicazioni di carattere commerciale via e-mail senza un’idonea base giuridica e, in particolare, senza il consenso specifico e informato dell’interessato.

Al fine di adottare una misura correttiva che sia proporzionata e dissuasiva si deve avere riguardo alle diverse circostanze del caso tenendo conto che l’art. 83, par. 2 del Regolamento, impone all’Autorità di valutare una serie di elementi al momento di decidere “se” infliggere una sanzione amministrativa pecuniaria e di fissarne l'ammontare.

Se dunque un intervento dell’Autorità si rende necessario, in chiave correttiva, per chiarire al titolare i limiti e le conseguenze del trattamento posto in essere al fine di interrompere una condotta scorretta nonché per prevenire ulteriori utilizzi dei dati non conformi alle norme, si deve comunque tenere in considerazione il più ampio contesto in cui la condotta si è verificata. Si considerano, dunque, quali elementi attenuanti:

a) la natura e la gravità del trattamento, consistito nel tentativo di un contatto commerciale (replicato sui diversi account di posta del reclamante) senza un danno conseguente per l’interessato, oltre il mero fastidio, e lamentato solo dal reclamante, non essendo pervenute all’Autorità altre analoghe doglianze nei confronti di Aesir (art. 83, par. 2, lett. a) del Regolamento);

b) il carattere colposo della violazione dovuto tuttavia, più che a negligenza, ad un’interpretazione scorretta delle norme e delle modalità di utilizzo del servizio offerto da Linkedin, stante anche la promozione che la stessa Linkedin fa del proprio servizio, e tenuto conto del fatto che il titolare è una microimpresa di recente istituzione e verosimilmente senza sufficiente esperienza (art. 83, par. 2, lett. b) del Regolamento);

c) il fatto che il titolare abbia tenuto conto dell’opposizione manifestata dall’interessato interrompendo immediatamente l’invio di comunicazioni indesiderate, attenuando così il rischio derivante dalla condotta (art. 83, par. 2, lett. c) del Regolamento);

d) l’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e) del Regolamento);

e) il fatto che la condotta ha riguardato unicamente dati comuni dell’interessato (nome e indirizzo email) (art. 83, par. 2, lett. g) del Regolamento);

f) i dati di bilancio e la natura di micro impresa del titolare che impongono di valutare con attenzione le misure correttive da applicare (art. 83, par. 2, lett. k) del Regolamento).

Per tali ragioni, sebbene si ravvisino le violazioni sopra richiamate, le circostanze descritte inducono a ritiene di poter soprassedere dall'applicazione di una sanzione amministrativa pecuniaria, non ravvisandosi i requisiti di necessità, proporzionalità e dissuasività di tale misura(1). Si ritiene, infatti che, relativamente all’invio di email promozionali senza consenso, occorra ammonire il titolare del trattamento, ai sensi dell'art. 58, par. 2, lett. b), del Regolamento, dal momento che la condotta è stata posta in essere in violazione delle citate norme. Resta inteso che eventuali altri canali di comunicazione - diversi dalle reti di comunicazione elettronica accessibili al pubblico di cui all’art. 121, comma 1, lett. c) del Codice - esulano dal perimetro dell’art. 130 del Codice e possono dunque essere utilizzati per finalità promozionali nel rispetto dei principi di liceità e correttezza, nonché dei presupposti giuridici per il trattamento, disciplinati dal Regolamento.

5.2 Sul mancato riscontro alla richiesta di accesso ai dati

Come descritto in premessa, l’interessato ha formulato nei confronti del titolare una precisa richiesta, inoltrata via pec, volta innanzitutto a conoscere l’origine dei dati. A tale richiesta il titolare non ha fornito riscontro, costringendo l’interessato a presentare reclamo al Garante. Solo in sede di istruttoria, infatti, il reclamante ha potuto ottenere le informazioni richieste apprendendo che i suoi dati erano stati estratti utilizzando le funzionalità messe a disposizione dal servizio Sales Navigator di Linkedin.

Al riguardo il titolare non ha fornito sufficienti giustificazioni, neanche a fronte delle censure mosse dall’Autorità, ritenendo che le informazioni rese all’interessato dalla piattaforma Linkedin fossero già esaustive e considerando sufficiente il fatto di aver cancellato immediatamente dalla mailing list l’indirizzo del reclamante. Tale ultima misura - da considerarsi opportuna per evitare il protarsi di una condotta rispetto alla quale l’interessato ha espresso una doglianza - non è di certo alternativa al puntuale riscontro che l’art. 15 del Regolamento impone al titolare del trattamento.

Pertanto, la condotta omissiva risulta connotata da grave negligenza comportando per l’interessato una lesione del diritto a conoscere l’origine dei dati e la natura del trattamento.
Si prende atto, tuttavia, che la Società ha dichiarato di aver già adottato misure correttive “approvando un preventivo per sanare eventuali gap di conformità alla normativa prevedendo la creazione di un team privacy e la presenza di una SOP dedicata alle richieste degli interessati con un’attività di formazione delle risorse”.

Si conferma dunque la violazione degli artt. 12 e 15 del Regolamento e, tenuto conto delle misure già adottate, non si rinvengono i presupposti per ulteriori interventi da parte dell'Autorità. Tuttavia, con riguardo alle violazioni occorse si rende necessario adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Aesir della sanzione amministrativa pecuniaria prevista dall’art. 58, par. 2, lett. i) e 83 del Regolamento.

In ragione di quanto disposto dall’art. 154-bis, comma 3 del Codice, si procede alla pubblicazione del presente provvedimento sul sito internet dell’Autorità (cfr. anche art. 37 del regolamento interno del Garante n. 1/2019).

Si rileva inoltre che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

6. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, risultano violate varie disposizioni del Regolamento, segnatamente gli artt. 12 e 15, in relazione a trattamenti collegati effettuati da Aesir, per cui occorre applicare l’art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave con conseguente applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, ipotizzato, sulla base delle informazioni rinvenibili nell'ultimo bilancio (registrato al 31 dicembre 2024), il ricorrere della prima ipotesi prevista dal citato art. 83, par. 5 e quantificato quindi in 20 milioni di euro il massimo edittale applicabile, devono essere considerate le seguenti circostanze aggravanti:

a) la gravità della violazione poiché il mancato riscontro alle richieste dell’interessato non gli ha consentito di conoscere l’origine dei dati, le finalità e le modalità del trattamento, rendendo necessaria la proposizione del reclamo al Garante (art. 83, par. 2, lett. a), del Regolamento);

b) la negligenza con cui la Società ha gestito la richiesta di esercizio dei diritti, intervenendo solo dopo l'avvio dell'istruttoria da parte del Garante (art. 83, par. 2, lett. b), del Regolamento).

Quali elementi attenuanti, si ritiene di poter tener conto:

a) delle misure adottate dal titolare del trattamento per rendere i propri trattamenti conformi alle norme revisionando le procedure aziendali per assicurare un tempestivo esame delle richieste degli interessati (art. 83, par. 2, lett. c) del Regolamento);

b) dell’assenza di precedenti procedimenti avviati a carico della Società (art. 83, par. 2, lett. e) del Regolamento);

c) del grado di cooperazione con l'Autorità di controllo (art. 83, par. 2, lett. f) del Regolamento);

d) della natura dei dati trattati, consistenti in dati comuni anagrafici e di contatto (art. 83, par. 2, lett. g) del Regolamento);

e) del carattere isolato della condotta (art. 83, par. 2, lett. k) del Regolamento);

f) della natura di micro-impresa del titolare e dei risultati di bilancio (art. 83, par. 2, lett. k) del Regolamento).

In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione.

Pertanto si ritiene che - in base al complesso degli elementi sopra indicati - debba applicarsi a Aesir la sanzione amministrativa del pagamento di una somma di euro 1.000,00 (mille/00) pari allo 0,005% della sanzione edittale massima di 20 milioni di euro.

Nel caso in argomento si ritiene che debba applicarsi, altresì, la sanzione accessoria della pubblicazione nel sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019.

In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare proporzionata in relazione al particolare disvalore delle condotte oggetto di censura, tenuto conto degli elementi di rischio per i diritti e le libertà degli interessati di cui il diritto di accesso ai dati costituisce uno dei principali presidi.

TUTTO CIO’ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da parte di Aesir s.r.l., con sede legale in Nova Milanese (MB), via Saragat 2, cap 20834, P.IVA 12605970966; di conseguenza, ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, rivolge un ammonimento alla Aesir S.r.l. perché l’invio di comunicazioni promozionali via email, effettuato senza il consenso degli interessati, ha costituito una violazione delle norme poste a tutela dei dati personali come indicato in motivazione.

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Aesir s.r.l in persona del legale rappresentante, di pagare la somma di euro 1.000,00 (mille/00) a titolo di sanzione amministrativa pecuniaria per la violazioni degli artt. 12 e 15 del Regolamento, nei termini indicati in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 1.000,00 (mille/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

DISPONE

a) la pubblicazione del presente provvedimento, ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019;

b) l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante della presente ordinanza di ingiunzione, come previsto dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019;

c) l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso. 

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 17 aprile 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Montuori

______

(1) Rispetto alle valutazioni in ordine alla necessità di adottare o meno la misura della sanzione pecuniaria, cfr. CGUE 26 settembre 2024, C-768/21.