Provvedimento del 24 aprile 2024 [10019389]
Provvedimento del 24 aprile 2024 [10019389]
Condividi[doc. web n. 10019389]
Provvedimento del 24 aprile 2024
Registro dei provvedimenti
n. 243 del 24 aprile 2024
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore l'avv. Guido Scorza;
PREMESSO
1. Introduzione.
Con nota del XX (prot. n. XX), l’Ispettorato Territoriale del Lavoro di Nuoro ha trasmesso al Garante una segnalazione, in base alla quale, a seguito di accertamenti avviati a carico della sede di Nuoro del patronato I.N.P.A.S. (di seguito, il “Patronato”) e diretti a verificare l’attività svolta e la regolarità della posizione previdenziale e assicurativa dei dipendenti, è stato accertato che “il sig. XX […], assunto a tempo parziale in qualità di impiegato dal XX, ha prestato la propria attività a favore del patronato dal XX al XX privo di alcuna copertura previdenziale e assicurativa e senza ricevere alcuna retribuzione. Dalla verifica è, infatti, emerso che l’Inpas ha comunicato al Centro Servizi per l’Impiego competente la cessazione del rapporto di lavoro tramite Unilav – prot. n. XX […] senza, tuttavia, intimare il licenziamento al lavoratore il quale ha continuato a prestare la propria attività, acquisendo mandati di patrocinio, istruendo le pratiche e tenendo i rapporti con l’utenza e gli enti erogatori come in vigenza di rapporto di lavoro”.
Per i profili di competenza in materia di protezione dei dati personali, dall’accertamento è emerso, in particolare, che “il lavoratore di cui si tratta, in seguito al licenziamento, non ha subito alcun impedimento nel rinnovo delle password necessarie per l’accesso alle piattaforme degli Enti erogatori delle prestazioni (Inps, Inail, ecc.), né per l’accesso alla piattaforma dello stesso Patronato”, avendo “trattato, senza averne alcun titolo, nel periodo dal XX al XX, i dati personali e sensibili dell’utenza che a lui si è rivolta quale operatore del Patronato Inpas”.
2. L’attività istruttoria.
Tenuto conto della natura qualificata e circostanziata della predetta segnalazione e sulla base della documentazione già in atti, l’Ufficio, con nota del XX (prot. n. XX), ha notificato al Patronato, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento, nonché 2-ter e 2-sexies del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139), per aver consentito a un soggetto non autorizzato di accedere ai dati personali dell’utenza, trattati dal Patronato per lo svolgimento delle proprie attività e l’erogazione dei propri servizi.
Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).
Con nota del XX (prot. n. XX), il Patronato ha presentato una memoria difensiva, dichiarando, in particolare, che:
“tutte le anzidette violazioni contestate si basano su un presupposto errato, cioè la identificazione del [Sig. (...)] quale “terzo” estraneo al Patronato e non già (all’epoca della ispezione) quale dipendente del Patronato stesso. La qualità di “terzo” è stata desunta da una semplice comunicazione al Centro Servizio per l’Impiego (Unilav) circa l’avvenuta cessazione del rapporto di lavoro”;
“in realtà, al di là di tale erronea comunicazione, non è stato intimato al [Sig. (...)] alcun licenziamento; infatti, vi fu soltanto una discussione orale con il dipendente durante la quale si ventilò anche la possibilità della adozione di un licenziamento senza, tuttavia, alcun esito in tal senso, tant'è che nessun licenziamento in forma scritta è stato mai adottato essendo ben noto a tutti, d'altra parte, che la forma verbale del licenziamento è totalmente inidonea ad ogni effetto a far cessare il rapporto di lavoro”;
“la comunicazione (Unilav) intervenuta in via telematica, è stata un evidente frutto di un fraintendimento tra l’Ufficio direttivo e l’Ufficio esecutivo”;
“la dimostrazione che in tale periodo perdurasse pienamente il rapporto di lavoro è comprovata proprio dai fogli di presenza regolarmente inviati dal [Sig. (...)] ed accettati dal Patronato”;
“pertanto trattandosi di un dipendente, [il Sig. (...)] agiva sotto il controllo diretto del Patronato (Titolare del trattamento dei dati) facendo pienamente parte della sua struttura organizzativa”;
“lo stesso [Sig. (...)], nel ricorso giurisdizionale proposto successivamente alla data dell’ispezione, ha affermato di avere sempre lavorato regolarmente anche dopo il XX, esternando la propria attività lavorativa con tutti i fogli di presenza, (successivamente depositati in giudizio) dimostrando in tal modo che il Patronato aveva continuato a servirsi regolarmente della sua prestazione lavorativa, ben nota all’INPAS, con il disbrigo di tutte le pratiche evase dal medesimo, pratiche recanti, il numero di protocollo rilasciato dal portale telematico in uso allo stesso Patronato”.
In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data XX (v. verbale prot. n. XX del XX), il Patronato ha dichiarato, in particolare, che:
“la vicenda è frutto di un equivoco, poiché, sebbene per un mero errore umano fosse stato inviato il modello UNILAV, il [Sig. (...)], all’epoca dell’ispezione, era un lavoratore a tutti gli effetti. D’altra parte, il lavoratore non era stato mai informato del licenziamento ed ha continuato a firmare il foglio presenza, svolgendo regolarmente tutte le proprie mansioni. Il lavoratore non era stato pagato solo a causa di ritardi nei flussi di cassa del Patronato”;
“nessun procedimento è stato ad oggi avviato dall’Ispettorato territoriale del lavoro nei confronti del Patronato con riguardo ai fatti riportati nel verbale redatto dallo stesso”.
Dando seguito a una riserva formulata in sede di audizione, il Patronato, con nota del XX, per il tramite del proprio avvocato difensore, ha formulato osservazioni e depositato in atti ulteriore documentazione, dichiarando, in particolare, che:
nel verbale redatto dall’Ispettorato del Lavoro “si fa presente che il lavoratore non era, in effetti, stato destinatario di alcun licenziamento (testualmente il verbale recita: “senza intimare il licenziamento al lavoratore di cui si tratta”);
“pur in assenza di impugnazione del verbale (impugnazione che era stata differita a seguito della pandemia con la conseguente confusione che si è determinata al riguardo dei termini), la definitività del verbale non incide minimamente sul valore probatorio che risulta non equiparabile a quello di una prova legale”;
“l’autorizzazione al trattamento dei dati rilasciato al [Sig. (...)] nel XX non è stata mai revocata. Ne consegue che all’epoca dell’ispezione il [Sig. (...)] non poteva certo essere considerato terzo estraneo”.
3. Esito dell’attività istruttoria.
Nel quadro giuridico europeo in materia di protezione dei dati, il trattamento di dati personali è lecito solo a condizione che lo stesso si fondi su una delle basi giuridiche previste dal Regolamento (cfr. artt. 5, par. 1, lett. a), 6, 9 e 10 del Regolamento) e sia assicurato il rispetto dei principi in materia di protezione dei dati, fra i quali quelli di “liceità, correttezza e trasparenza” e di “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).
In tale quadro, il Patronato, in quanto ente di diritto privato, riconosciuto con d.m. 9 giugno 2003, che svolge un servizio di pubblica utilità, può trattare dati personali, per lo svolgimento delle proprie attività e l’erogazione dei propri servizi in favore degli utenti, in particolare se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento”, per “l'esecuzione di un contratto di cui l'interessato è parte o [per l’] esecuzione di misure precontrattuali adottate su richiesta dello stesso” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. b), c) ed e) del Regolamento; v. anche art. 2-ter del Codice; con riguardo al trattamento di categorie particolari di dati, cfr. artt. 9 del Regolamento e 2-sexies del Codice). Ciò anche alla luce della normativa di settore applicabile, che enuclea le attività di consulenza, di assistenza e di tutela degli istituti di patronato, stabilendo, altresì, che gli stessi, in nome e per conto dei propri assistiti e su mandato degli stessi, possono presentare domanda e svolgere tutti gli atti necessari per il conseguimento delle predette prestazioni (v. art. 8 della l. 30 marzo 2001, n. 152).
Ciò premesso, si evidenzia che, nell’ambito dell’organizzazione del titolare del trattamento, i dati personali possono essere trattati solo da persone fisiche che, in ragione del ruolo ricoperto e delle funzioni svolte, sono stati autorizzati e istruiti in ordine al trattamento dei dati (cfr. artt. 4, n. 10), 28, par. 3, lett. b), 29 e 32, par. 4, del Regolamento e art. 2-quaterdecies del Codice; v. già, in vigenza del quadro normativo in materia di protezione dei dati personali antecedente al Regolamento, par. 3.1 delle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico”, del 14 giugno 2007, doc. web n. 1417809, ove si chiarisce che “è necessario […] che ogni lavoratore sia preposto […], in qualità di "incaricato", alle operazioni di trattamento e sia debitamente istruito in ordine all´accesso e all´utilizzo delle informazioni personali di cui può venire a conoscenza nello svolgimento della propria prestazione lavorativa”; v., in senso analogo, parr. 51, 81 e 82 delle “Linee guida sul trattamento di dati personali dei lavoratori privati” del 23 novembre 2006, doc. web n. 1364939).
In particolare, l’art. 29 del Regolamento stabilisce che chiunque agisca sotto l’autorità del titolare del trattamento, che abbia accesso a dati personali, non può trattare tali dati se non è istruito in tal senso dal titolare, salvo che lo richieda il diritto dell'Unione o degli Stati membri. Pertanto, il titolare può adibire al trattamento di dati personali soltanto persone fisiche che, nell’ambito della propria organizzazione, operino “sotto la sua autorità” e che siano state “istruit[e] in tal senso”.
Al riguardo, il Comitato europeo per la protezione dei dati - nelle “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR” del 7 luglio 2021 - ha chiarito che il titolare del trattamento, “che decide di trattare direttamente i dati utilizzando le proprie risorse interne, ad esempio attraverso il proprio personale”, anziché ricorrere a un responsabile del trattamento, impiega “dipendenti e le altre persone che agiscono sotto [la sua] autorità diretta […], come il personale assunto temporaneamente”, e che tali soggetti “conformemente all’articolo 29, […] sono […] vincolati dalle istruzioni del […] titolare”, specificando che “per “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” si intende quelle “appartenenti alla struttura giuridica del titolare o del responsabile del trattamento (un dipendente o una persona che occupi una posizione molto simile a quella di dipendente, ad esempio il personale fornito da un’agenzia di lavoro interinale), ma solo nella misura in cui siano autorizzate a trattare dati personali” (v., con riguardo all’ordinamento italiano, il “Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101” del 5 giugno 2019, doc. web n. 9124510, all. 1, par. 1.2, ove si fa riferimento alle categorie di lavoratori che a vario titolo fanno parte dell’organizzazione del titolare del trattamento).
Il Comitato ha, altresì, precisato che “non rientra in suddetta categoria un lavoratore dipendente o un’altra figura professionale che acceda a dati ai quali non è autorizzato ad accedere e per finalità diverse da quelle del datore di lavoro.”. Pertanto, “un tale dipendente dovrebbe invece essere considerato terzo rispetto al trattamento effettuato dal datore di lavoro”. Ciò in quanto, “per “terzo” si intende pertanto un soggetto che, nella specifica situazione in esame, non è né un interessato né un titolare del trattamento, un responsabile del trattamento o un dipendente” (v. le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR” del 7 luglio 2021, parr. 78, 88 e 89). Tale orientamento è stato recentemente confermato anche dalla Corte di giustizia dell’Unione europea, affermando che “dall’articolo 4, punto 10, del [Regolamento] risulta che hanno la qualità di «terzi», in particolare, le persone diverse da quelle che, poste sotto l’autorità diretta del titolare del trattamento o del responsabile del trattamento, sono autorizzate a trattare i dati personali” e che “tale definizione comprende persone che non sono dipendenti del titolare del trattamento e non sono sotto il controllo di quest’ultimo” (sent. C-340/21, Natsionalna agentsia za prihodite, 14 dicembre 2023, punto 66).
Ciò premesso, si osserva che, come accertato dall’Ispettorato Territoriale del Lavoro di Nuoro, il Patronato, sebbene avesse comunicato la cessazione del rapporto di lavoro in essere con il Sig. […], ha continuato ad impiegarlo, dal XX al XX, nello svolgimento di attività che comportavano anche il trattamento di dati personali, pure appartenenti a categorie particolari, contenuti, ad esempio, nei mandati di patrocinio e nelle pratiche dell’utenza, non avendo, peraltro, “subito alcun impedimento nel rinnovo delle password necessarie per l’accesso alle piattaforme degli Enti erogatori delle prestazioni (Inps, Inail, ecc.)” (v. nota dell’Ispettorato del Lavoro, in atti).
Impregiudicate le valutazioni in ordine alla rilevanza dei fatti in questione, come accertati dall’Ispettorato del Lavoro territorialmente competente, ai fini della normativa di settore di contrasto al lavoro irregolare, le circostanze sopra descritte si pongono, altresì, in contrasto con la disciplina in materia di protezione dei dati. Il titolare del trattamento ha, infatti, consentito che dati personali, anche relativi a categorie particolari, venissero raccolti e trattati per proprio conto dal Sig. […], che, stante la cessazione del rapporto di lavoro, non faceva più parte della struttura organizzativa del titolare, non agiva più sotto l’autorità dello stesso e, pertanto, non aveva titolo per trattare i dati personali in qualità di autorizzato al trattamento ai sensi dell’art. 29 del Regolamento.
Sebbene il Patronato abbia dichiarato che la notifica della cessazione del rapporto di lavoro al Centro Servizi per l’Impiego competente sarebbe avvenuta per un mero errore, avendo il Sig. […] continuato a svolgere la propria attività, attestata dai fogli di presenza, e non essendogli stato mai intimato il licenziamento, deve rilevarsi che, invece, l’Ispettorato Territoriale del Lavoro di Nuoro ha precisato nella nota inviata al Garante che il “lavoratore ha impugnato in via stragiudiziale il licenziamento”. Né il verbale dell’Ispettorato e la connessa contestazione di violazione amministrativa sono stati impugnati dal Patronato, come peraltro confermato dallo stesso (v. nota del XX).
Alla luce delle considerazioni che precedono, deve concludersi che il Sig. […], nel periodo tra il XX e il XX, non poteva considerarsi quale un autorizzato al trattamento dei dati personali dell’utenza, che il Patronato effettua per lo svolgimento delle proprie attività e l’erogazione dei propri servizi. Conseguentemente, la messa a disposizione in suo favore di dati personali degli utenti, inclusi dati personali appartenenti a categorie particolari, si configura quale una “comunicazione” di dati personali a terzi in assenza di idoneo presupposto di liceità (art. 2-ter, comma 4, lett. a), del Codice; v. anche la definizione di “terzo” di cui all’art. 4, n. 10, del Regolamento), in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento, nonché degli artt. 2-ter e 2-sexies del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Patronato, per aver comunicato dati personali, anche relativi a categorie particolari, a un soggetto terzo, in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento, nonché degli artt. 2-ter e 2-sexies del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).
Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta, trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, tutte le violazioni sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.
In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).
Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.
A tal fine, occorre considerare che la violazione si è protratta per un esteso arco temporale, ovvero dal XX al XX (cfr. art. 83, par. 2, lett. a), del Regolamento) e ha riguardato anche dati personali appartenenti a categorie particolari riferiti all’utenza (cfr. art. 83, par. 2, lett. g), del Regolamento). Inoltre, tenuto conto di quanto accertato dall’Ispettorato Territoriale del Lavoro di Nuovo, rileva il carattere doloso della violazione attesa la volontà del titolare del trattamento di impiegare personale non in regola (cfr. art. 83, par. 2, lett. b), del Regolamento).
Di contro, deve considerarsi, in senso favorevole al titolare, che il Sig. […], avendo già in passato regolarmente prestato la propria attività lavorativa presso il Patronato, poteva ragionevolmente già essere a conoscenza di alcuni dei dati personali oggetto di trattamento (cfr. art. 83, par. 2, lett. a), del Regolamento).
Si ritiene, pertanto, che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).
Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze attenuanti:
il Patronato ha offerto un buon livello di cooperazione con l’Autorità nel corso dell’istruttoria (art. 83, par. 2, lett. f), del Regolamento);
non risultano precedenti violazioni pertinenti commesse dal Patronato (art. 83, par. 2, lett. e), del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 3.000 (tremila) per la violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento, nonché degli artt. 2-ter e 2-sexies del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139), quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
Tenuto conto che i trattamenti connessi ai servizi del Patronato possono riguardare dati personali di numerosi soggetti, anche relativi a categorie particolari e a situazioni comunque delicate che attengono alla sfera personale dei lavoratori e dei propri familiari, si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dal Patronato per violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento, nonché degli artt. 2-ter e 2-sexies del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139), nei termini di cui in motivazione;
ORDINA
a I.N.P.A.S. (Istituto Nazionale di Previdenza e di Assistenza Sociale), in persona del legale rappresentante pro-tempore, con sede legale in Via Angelo Bargoni, 8/D - 00153 Roma, C.F. 97283320584, di pagare la somma di euro 3.000 (tremila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;
INGIUNGE
al predetto Patronato, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 3.000 (tremila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;
DISPONE
- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice (v. art. 16 del Regolamento del Garante n. 1/2019);
- l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento (v. art. 17 del Regolamento del Garante n. 1/2019).
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 24 aprile 2024
IL PRESIDENTE
Stanzione
IL RELATORE
Scorza
IL SEGRETARIO GENERALE
Mattei
