[doc. web n. 10025835]

Provvedimento del 24 aprile 2024

Registro dei provvedimenti
n. 237 del 24 aprile 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018 n. 101, recante disposizioni per l'adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Con reclamo del 27 agosto 2022, il signor XX ha lamentato la ricezione di una email promozionale da parte della società Rossi Carta S.r.l. Unipersonale (di seguito, Rossi Carta o la Società) e il mancato riscontro a una richiesta di esercizio dei diritti effettuata il 6 giugno 2022. L’8 novembre 2022 il reclamante ha aggiunto di aver ricevuto altre sette email indesiderate.

In replica alla richiesta di informazioni dell’Autorità, con pec del 5 dicembre 2022, la Società ha dichiarato di non aver risposto al reclamante perché la comunicazione era erroneamente confluita nella casella “spam” del sistema di posta elettronica. Inoltre, con riguardo all’invio del messaggio promozionale, è stato dichiarato che il titolare ha trattato “unicamente l’indirizzo e-mail xx. Tale indirizzo era stato inserito nel nostro database (...) come di pertinenza ai soggetti che avevano prestato il proprio consenso per il trattamento dei loro dati per finalità di marketing”. Contestualmente la Società ha dichiarato di aver provveduto a recepire la richiesta di opposizione e a cancellare i dati del reclamante.

Il 15 dicembre 2022 il signor XX ha lamentato di aver avuto un riscontro solo parziale alla sua richiesta, non essendo stati forniti chiarimenti in merito all’origine dei dati ma solo al loro erroneo inserimento nelle liste utilizzate per il marketing.

Il 26 dicembre 2022, lo stesso ha integrato le proprie osservazioni aggiungendo di aver ricevuto una nuova comunicazione da parte di Rossi Carta con la quale si richiedeva di confermare l’indirizzo email per un'asserita richiesta di iscrizione alla newsletter.

Sollecitata da una nuova richiesta di informazioni dell’Ufficio, la Rossi Carta ha risposto che l’email ricevuta dal signor XX era una semplice email “transizionale” inviata dal sistema a seguito di una richiesta di iscrizione alla newsletter, richiesta disconosciuta dal reclamante e dunque verosimilmente effettuata da un terzo utilizzando i dati del signor XX rinvenibili nel web; dal momento che la richiesta non è risultata confermata, nessuna iscrizione è stata perfezionata.

Nonostante ciò, il reclamante il 14 maggio 2023 ha dichiarato di aver ricevuto 39 email, tutte aventi identico contenuto ma frutto di separati invii. In dette email il reclamante veniva invitato a confermare il proprio numero di telefono riportato all’interno della email stessa.

Ancora una volta l’Ufficio ha provveduto ad inoltrare l’integrazione del reclamante alla Società richiedendo chiarimenti in merito a quanto rappresentato, tenuto conto che essa - stando a quanto dichiarato sul funzionamento del form di raccolta dati - non avrebbe dovuto disporre del numero di telefono del reclamante.

Con la nota pervenuta l’8 giugno 2023 la Società, confermando di non detenere dati del sig. XX, ha dichiarato di aver effettuato ulteriori e successivi controlli a seguito della nuova integrazione apprendendo solo in quella sede di aver subito degli accessi al proprio sito internet da parte di indirizzi IP non appartenenti a quelli assegnati a Rossi Carta e presumendo dunque che soggetti esterni non autorizzati possano aver in tal modo inviato le contestate email. Nel periodo in esame tuttavia non risulterebbero invii analoghi verso altri soggetti oltre al sig. XX. Inoltre, l'evento occorso avrebbe comportato gravi problemi di indicizzazione delle pagine del sito di e-commerce della Società (rossicarta.it) con conseguente perdita del posizionamento nei risultati di ricerca di Google.

Le dichiarazioni resa dalla Società, con particolare riguardo alle argomentazioni di carattere tecnico, sono state valutate anche dal Dipartimento tecnologie digitali e sicurezza informatica del Garante che, allo stato degli atti, ha evidenziato l’incapacità, da parte della società di intercettare autonomamente e tempestivamente gli attacchi ai propri sistemi e le conseguenti violazioni – attacchi di cui il titolare è venuto a conoscenza solo a seguito del reclamo e di diverse interlocuzioni con l’Autorità e solo alcuni mesi dopo l’evento.

2. LA CONTESTAZIONE DELLE VIOLAZIONI

L’Ufficio ha provveduto a contestare le violazioni rilevate con l’atto di avvio del procedimento del 5 ottobre 2023 prot. n. 136981/23, notificato via pec.

Dandosi qui per interamente richiamate le motivazioni espresse nel menzionato atto, a Rossi Carta è stata contestata la violazione degli artt. 5, par. 1, lett. f), 5, par. 2 e 24 del Regolamento per violazione dell’obbligo di garantire un’adeguata protezione dei dati personali da trattamenti e accessi non autorizzati, mediante misure tecniche opportune che assicurino l’integrità e la riservatezza dei dati personali e di essere in grado di comprovare tale adempimento.

Inoltre, si è ritenuta integrata anche la violazione dell’art. 33 del Regolamento, tenuto conto che l’evento descritto poteva configurare una violazione di dati personali che, comportando rischi per i diritti e le libertà delle persone fisiche, avrebbe reso necessaria la notifica al Garante ai sensi dell’art. 33 del Regolamento, e considerato che nessuna notifica di data breach risultava pervenuta all’Autorità, né risultava documentata l’effettuazione di valutazioni in merito al livello di rischio dell’evento tali da far escludere un obbligo di notifica.

Infine, con riguardo all’invio delle email promozionali indesiderate e al mancato riscontro all’esercizio dei diritti, tenuto conto che la Società non aveva mai fornito chiarimenti in merito all’origine dei dati del reclamante, si è ritenuta integrata la violazione degli artt. 12, par. 3 e 15 del Regolamento nonché degli artt. 6 e 7 del Regolamento e dell’art. 130 del Codice.

3. LA DIFESA DELLA ROSSI CARTA

Con pec del 3 novembre 2023 la Società ha fatto pervenire una memoria difensiva nella quale ha innanzitutto osservato che la ricezione della menzionata "email transizionale" da parte del reclamante sarebbe proprio la conferma del fatto che il suo indirizzo email era stato cancellato come dichiarato; tale email, infatti, viene inviata solo agli indirizzi di nuovo inserimento proprio per richiedere conferma della volontà di iscriversi alla newsletter.

Con riguardo alle 39 email contenenti il numero telefonico del reclamante, la Società ha ribadito che il form di iscrizione alla newsletter presente nel sito web raccoglie, come unico dato, l'indirizzo email e in nessun caso è prevista la possibilità di inserire anche un numero di telefono. Al riguardo ha ribadito che, nel medesimo periodo, il sito web della Società aveva registrato un'anomalia che aveva generato un loop del sistema indirizzando ogni pagina dei prodotti all’home page. Tale evento avrebbe comportato una graduale deindicizzazione del sito dai risultati di ricerca di Google. La Società ha inoltre aggiunto di non essere riuscita, nonostante l’intervento dei tecnici informatici, ad individuare l’autore della manomissione rilevando solo che essa è scaturita da uno script lanciato da un indirizzo IP esterno alla Società; tuttavia, tale anomalia non avrebbe "...prodotto alcuna sottrazione di dati personali, né ha provocato invio di email a soggetti diversi dal sig. XX". La Società ha infine allegato una relazione tecnica e i contratti sottoscritti con il fornitore del servizio di hosting e del servizio di email marketing, evidenziando le misure tecniche previste per garantire la sicurezza delle informazioni trattate evidenziando altresì che i fornitori menzionati sono stati ritenuti affidabili anche in ragione delle certificazioni ISO prodotte. In particolare, nella relazione tecnica si chiarisce che "è stato altresì possibile accertare che un modulo aggiuntivo (sul sito internet) al CMS Prestashop, modulo dedicato ai reindirizzamenti (Reindirizzamenti 301, 302, 303 di URL – SEO) ha creato un loop inviando ogni richiesta ad una pagina dedicata ad un prodotto. Questo loop ha provocato la sparizione graduale ma velocissima dalle serp di google, portando la visibilità aziendale presso il motore di ricerca in posizionamento molto arretrato. Si noti tuttavia che si era verificata nei sistemi informatici Rossi Carta una ulteriore anomalia legata al medesimo indirizzo IP di cui sopra. Infatti, il Centro di Assistenza dei servizi di mailing (...) aveva segnalato che nelle date del 2 e 3 febbraio dal medesimo indirizzo IP [...], che risulta basato nel Nord Est Italia, risultavano azioni sull’account e segnatamente in quei giorni risultavano essere stati spostati in black list tutti gli indirizzi mail presenti nella mailing list con conseguente blocco del servizio da parte del sistema ".

Con riguardo alla mancata notifica della violazione dei dati personali, prevista dall'art. 33 del Regolamento, la Società ha ritenuto di non dovervi provvedere in ragione del fatto che la descritta anomalia del sistema avrebbe avuto effetti solo sulla deindicizzazione del sito e non sui dati personali conservati dalla Società, dati fra i quali non è compreso alcun numero di telefono. Inoltre, nessun altro utente iscritto alla newsletter avrebbe lamentato la ricezione di email anomale.

Infine, con riguardo alla mancata informazione sull'origine dei dati, la Società ha aggiunto che "da quanto ricostruito successivamente l’inserimento sarebbe avvenuto a fronte della erronea digitazione di altro indirizzo email (...) non appartenente al reclamante. Sul punto, comunque, si rileva che in qualunque momento il sig. XX avrebbe potuto cancellare l’iscrizione per il ricevimento della newsletter in modo da non ricevere alcuna comunicazione".

Con l'integrazione documentale del 23 gennaio 2024 e con la successiva audizione del 24 gennaio 2024, la Società ha aggiunto che non avrebbe potuto accorgersi dell'invio anomalo di 39 email al reclamante poiché il sistema di allerta delle anomalie si attiva solo se vengono effettuati più di 50 invii.

4. VALUTAZIONI DI ORDINE GIURIDICO

La peculiarità della vicenda descritta e le successive integrazioni documentali, prodotte dalla Società anche in fase difensiva, hanno reso necessaria l'effettuazione di ulteriori valutazioni tecniche da parte del competente Dipartimento tecnologie digitali e sicurezza informatica i cui esiti sono stati acquisiti agli atti del procedimento con nota del 12 febbraio 2024. In tale sede è stato osservato che, malgrado l’evento occorso e le analisi anche di natura tecnica effettuate dalla società in seguito al reclamo e all’interlocuzione con l’Autorità, il sito web rossicarta.it appare utilizzare ancora il CMS Prestashop nella versione 1.7.6⁽¹⁾. Tale versione è assolutamente obsoleta e soggetta a numerose vulnerabilità anche di gravità elevata (cfr. https://www.cvedetails.com/versionsearch.php?page=1&vendor=Prestashop&product=&version=1.7.6). A titolo di esempio, si può notare come alla sola versione 1.7.6.9 di Prestashop siano associate ben 23 vulnerabilità, 17 delle quali di gravità elevata con Common Vulnerability Scoring System - CVSS score maggiore di 8 su 10 (cfr. https://www.cvedetails.com/vulnerability-list/vendor_id-8950/product_id15797/version_id-1357198/Prestashop-Prestashop-1.7.6.9.html). Fra le vulnerabilità riportate appare particolarmente rilevante la CVE-2022-31181, con un CVSS score di 9.8 su 10 e nota da diversi mesi al momento della asserita “anomalia” al sito web della società⁽²⁾, sfruttando la quale, attraverso un attacco di tipo SQL-injection, sarebbe stato possibile iniettare e far eseguire uno script con codice malevolo sulla piattaforma. Lo score così elevato della vulnerabilità indicata è dovuto al rischio ritenuto alto in termini di perdita della riservatezza, integrità e disponibilità dei dati coinvolti, alla facilità dell’attacco e alla possibilità di perpetrare l’attacco senza necessità di disporre di privilegi utente.

Da tali ulteriori verifiche si è pertanto avuto conferma che la Società faceva uso di un sistema obsoleto per la gestione dei dati raccolti tramite il sito web, sito che viene utilizzato per attività di e-commerce e, dunque, potenzialmente atto a ricevere dati numerosi ed eterogenei (dati anagrafici, di contatto, di pagamento); tale sistema, affetto da vulnerabilità note dall'inizio del 2022 era ancora in uso all'epoca dei fatti e persino dopo le interlocuzioni con il Garante, pur essendo disponibili da luglio 2022 gli aggiornamenti rilasciati dal produttore.

Tutto ciò evidenzia profili di violazione dell’obbligo di garantire un’adeguata protezione dei dati personali da trattamenti e accessi non autorizzati, mediante misure tecniche opportune che assicurino l’integrità e la riservatezza dei dati personali e di essere in grado di comprovare tale adempimento.

Per tali ragioni si ritiene integrata la violazione degli artt. art. 5, par. 1, lett. f), 5, par. 2 e 24 del Regolamento. Tenuto conto che, all'epoca delle verifiche tecniche condotte dal Garante, la piattaforma per la gestione del sito web non risultava ancora aggiornata, si rende necessario, ai sensi dell'art. 58, par. 2, lett. d), ingiungere a Rossi Carta di adottare, con riguardo al sistema di gestione dei contenuti del sito web rossicarta.it, misure tecniche che, allo stato dell'arte, siano considerate adeguate ai rischi esistenti nel trattamento dei dati personali. Inoltre, in considerazione dell’illiceità e della gravità della condotta, si ritiene ricorrano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 58, par. 2, lett. i) del Regolamento.

Con riguardo all'omessa notifica di violazione dei dati personali, oggetto di contestazione nel menzionato atto di avvio del procedimento, si osserva quanto segue. Sulla base delle dichiarazioni rese, Rossi Carta avrebbe rilevato un accesso non autorizzato ai propri sistemi che avrebbe comportato la deindicizzazione del sito web e lo spostamento in black list di tutti gli indirizzi email presenti nella mailing list della Società (cfr. relazione tecnica allegata alla memoria difensiva del 3 novembre 2023). Pertanto, a detta della Rossi Carta, tali anomalie non avrebbero comportato una violazione dei dati raccolti da Rossi Carta stessa, pur essendo avvenute in concomitanza con il ricevimento - solo da parte del reclamante - delle 39 e-mail con richiesta di conferma del numero di telefono. Con riguardo ai dati del reclamante, la Società ha dichiarato di aver trattato - per errore - il solo indirizzo email che sarebbe stato cancellato dopo la prima richiesta di informazioni del Garante (vd. dichiarazione del 5 dicembre 2022). Pertanto i successivi invii anomali, dalla genesi tuttora ignota, non avrebbero comportato l'accesso a dati del reclamante conservati dalla Società.

Dalle verifiche tecniche effettuate dal Garante è emerso, come detto, che la Società utilizzava un sistema di gestione dei contenuti (CMS) del sito web obsoleto e potenzialmente atto a consentire l'accesso a numerosi dati personali; le vulnerabilità presenti avrebbero altresì potuto consentire di utilizzare la stessa piattaforma di Rossi Carta per lo svolgimento di attività illecite come, ad esempio, l'invio di email di phishing. Una simile eventualità potrebbe presentare un elevato rischio per i diritti e le libertà delle persone fisiche, rendendo necessaria la notifica al Garante ai sensi dell'art. 33, par. 1 del Regolamento. Tuttavia, la Società non ha avuto contezza di tale rischio e si è limitata a registrare unicamente la deindicizzazione del sito e lo spostamento degli indirizzi in black list. Del resto, la documentazione disponibile attesta unicamente che la Società ha subito degli attacchi esterni e che, nel medesimo periodo, utilizzava misure tecniche inadeguate e potenzialmente idonee a realizzare eventi del tipo di quello occorso.

Inoltre, come detto, la Società ha preso atto di quanto accaduto solo a seguito delle interlocuzioni con il Garante effettuando altre verifiche tecniche dopo la ricezione dell'atto di avvio del procedimento, quando ormai la notifica di un'eventuale violazione dei dati sarebbe stata superflua.

Ne consegue che anche la mancata notifica al Garante - nonché la stessa capacità di valutare se essa fosse dovuta - è stata originata dalla mancanza di misure adeguate a garantire la sicurezza del trattamento; essendo tale ultima fattispecie già oggetto delle misure correttive e sanzionatorie sopra descritte, si può considerare in essa assorbito anche il profilo della mancata notifica, potendo dunque soprassedere da ulteriori interventi.

Infine, con riguardo all’invio delle email promozionali indesiderate e al mancato riscontro all’esercizio dei diritti, si osserva che la Società non ha fornito chiarimenti in merito all’origine dei dati del reclamante limitandosi ad affermare, in un primo momento, che essi erano stati erroneamente inseriti nella lista di contatto senza però indicarne la fonte; solo in fase difensiva la Società ha ipotizzato che l'erroneo inserimento dell'indirizzo email del reclamante fosse dovuto a un'errata digitazione di tale indirizzo. In ogni caso, il reclamante non ha ricevuto riscontro alla sua richiesta di esercizio dei diritti (asseritamente finita nella cartella spam della posta elettronica) e non ha avuto risposta in sede istruttoria (dopo la richiesta di informazioni da parte del Garante) poiché la Società ha fornito le proprie giustificazioni solo dopo l'avvio del procedimento. Per tali ragioni la richiesta di accesso ai dati non può considerarsi soddisfatta; parimenti, non essendo stato acquisito alcun consenso per l’invio dei messaggi promozionali ed essendo tale invio proseguito anche dopo l'opposizione, tale trattamento risulta effettuato in assenza di idonea base giuridica.

Anche tale condotta può considerarsi ascrivibile ad una generale incapacità della Società di garantire un adeguato controllo delle operazioni che comportano un trattamento dei dati (formazione delle liste, gestione delle richieste di esercizio dei diritti), tale da non poter considerare scusabili gli errori dalla stessa addotti come giustificazione dell'invio di messaggi promozionali e del mancato riscontro al reclamante.

Pertanto si ritiene integrata la violazione degli artt. 12, par. 3 e 15 del Regolamento nonché degli artt. 6 e 7 del Regolamento e dell’art. 130 del Codice e si rende necessario infliggere una sanzione amministrativa pecuniaria, ai sensi dell'art. 58, par.2, lett. i, del Regolamento.

5. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, risultano violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati da Rossi Carta, per cui occorre applicare l'art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave con conseguenziale applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, ipotizzato, sulla base delle informazioni rinvenibili nell'ultimo bilancio (registrato al 31 dicembre 2022), il ricorrere della prima ipotesi prevista dal citato art. 83, par. 5 e quantificato quindi in 20 milioni di euro il massimo edittale applicabile, devono essere considerate le seguenti circostanze aggravanti:

1. la gravità e la durata delle violazioni rilevate. In particolare, con riguardo all'invio dei messaggi promozionali indesiderati e al mancato riscontro alla richiesta di esercizio dei diritti, tenuto conto delle giustificazioni addotte e del fatto che si è trattato di un caso isolato, si può considerare un basso livello di gravità della violazione. Con riguardo invece all'utilizzo, per oltre un anno, di sistemi non adeguatamente aggiornati si rileva un pregiudizio per i dati degli utenti del sito web rossicarta.it che può essere potenzialmente molto rilevante pur non avendo contezza di attacchi realmente realizzati sfruttando tale vulnerabilità; anche lo stesso invio di email al reclamante - che parrebbe essere l'unico interessato coinvolto - è derivato da un attacco esterno di origine allo stato ignota. Per tale profilo dunque si può valutare come medio il livello di gravità (art. 83, par. 2, lett. a), del Regolamento);

2. la mancata adozione, da parte del titolare del trattamento, di misure adeguate per attenuare il danno agli interessati dal momento che la Società, nonostante i tentativi effettuati, non è riuscita a comprendere le motivazione degli eventi lamentati dal reclamante, né si è accorta delle vulnerabilità che affliggevano la propria piattaforma di gestione dei contenuti del sito web (art. 83, par. 2, lett. c), del Regolamento);

3. il grado di responsabilità del titolare del trattamento, dato che la Società ha adottato una piattaforma tecnologica obsoleta e quindi del tutto inadeguata ad evitare gravi rischi per i dati personali da essa raccolti tenuto conto, altresì, del fatto che le vulnerabilità erano note da tempo e che era disponibile da mesi un aggiornamento (art. 83, par. 2, lett. d), del Regolamento).

Quali elementi attenuanti, si ritiene di poter tener conto:

1. del numero di soggetti interessati dalle violazioni poiché, pur essendo questa potenzialmente in grado di arrecare notevoli danni ai dati di tutti gli utenti presenti nel sito web, in concreto (e sulla base di quanto è stato accertato) ha comportato solo l'invio di email al reclamante (art. 83, par. 2, lett. a) del Regolamento);

2. dell’assenza di dolo riguardo all'invio di email promozionali senza consenso e al mancato aggiornamento dei sistemi, che paiono ascrivibili a negligenza della Società; questa infatti avrebbe agito nella convinzione di aver adottato misure adeguate allo stato dell'arte senza tuttavia avere contezza del livello di obsolescenza dei sistemi utilizzati e dei potenziali rischi conseguenti al loro mancato aggiornamento (art. 83, par. 2, lett. b) del Regolamento);

3. dell’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento);

4. del grado di cooperazione nell’interazione con l’Autorità di controllo (art. 83, par. 2, lett. f), del Regolamento);

5. del fatto che la Società, che ha i requisiti dimensionali della piccola impresa, ha subito perdite economiche in conseguenza dell'attacco subito che - come rappresentato nella nota dell'8 giugno 2023 - si sono aggiunte ai danni conseguenti all'alluvione avvenuta in Emilia Romagna, dove essa ha sede (art. 83, par. 2, lett. k) del Regolamento).

In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione.

Pertanto si ritiene che - in base al complesso degli elementi sopra indicati - debba applicarsi a Rossi Carta la sanzione amministrativa del pagamento di una somma di euro 30.000,00 (trentamila/00) pari allo 0,15% della sanzione edittale massima di 20 milioni di euro. La sanzione edittale massima è individuata con riferimento al disposto dell’art. 83, par. 5, del Regolamento, tenuto conto che il 4% del fatturato di Rossi Carta, sulla base dei dati riportati nell'ultimo bilancio, risulta inferiore ai 20 milioni di euro.

Si rileva che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Si ritiene altresì – in considerazione della rilevanza delle violazioni - che, ai sensi dell’art. 166, comma 7, del Codice, e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione dell'ordinanza ingiunzione nel sito web del Garante, a titolo di sanzione accessoria.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione effettuato dalla Rossi Carta S.r.l., con sede in via P. D'Altri 76 Cesena (FC), P.IVA n. 00111730404; di conseguenza:

a) ai sensi dell'art. 58, par. 2, lett. d), ingiunge a Rossi Carta di adottare, con riguardo al sistema di gestione dei contenuti del sito web rossicarta.it, misure tecniche che, allo stato dell'arte, siano considerate adeguate ai rischi esistenti nel trattamento dei dati personali;

b) ai sensi dell’art. 157 del Codice, ingiunge a Rossi Carta di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alla misura imposta; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento.

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, alla Rossi Carta S.r.l., in persona del suo legale rappresentante, di pagare la somma di euro 30.000,00 (trentamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 30.000,00 (trentamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

a) ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante;

b) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, dispone l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 24 aprile 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei

________

NOTE

1) Si veda in proposito quanto emerge dall’analisi del sito rossicarta.it attraverso i seguenti servizi gratuiti per la verifica del CMS https://whatcms.org/ e https://sitechecker.pro/what-is-cms

2) La vulnerabilità CVE-2022-31181 risulta nota da inizio 2022; la release 1.7.8.7 del CMS Prestashop è stata rilasciata a luglio 2022.