g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Artemisia s.p.a. - 13 maggio 2021 [9687954]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9687954]

Ordinanza ingiunzione nei confronti di Artemisia s.p.a. - 13 maggio 2021

Registro dei provvedimenti
n. 193 del 13 maggio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo

Nel XX è stato formulato un reclamo nei confronti della società Artemisia s.p.a. (di seguito “Società”) avente ad oggetto le modalità di acquisizione del consenso degli interessati per l’invio della refertazione online. In particolare, è stato evidenziato, con idonea documentazione, che al reclamante era stato richiesto un unico consenso al trattamento dei dati personali, sia per l’attivazione della procedura di refertazione online, sia per essere inserito nella “Newsletter ALTAMEDICA” volta a fornire informazioni sui servizi erogati dalla struttura.

2. L’attività istruttoria

L’Autorità ha formulato una richiesta di informazioni, con nota del XX (prot. n. XX), volta a conoscere, in particolare, le specifiche e distinte finalità perseguite attraverso il trattamento dei dati sulla salute degli interessati, le relative basi giuridiche, e ogni elemento utile in ordine al rispetto dell’obbligo di acquisire consensi autonomi per il perseguimento di finalità distinte. Nella stessa occasione è stato evidenziato che, al momento dell’accertamento, non risultava pervenuta all’Autorità la comunicazione, da parte della Società, dei dati di contatto del Responsabile della Protezione dei Dati personali (di seguito, “RPD”), prevista dall’art. 37, par. 7 del Regolamento.

Con nota del XX, la Società ha fornito riscontro, dichiarando che:

- In relazione alle distinte finalità perseguite attraverso il trattamento dei dati sulla salute degli interessati, “gli stessi verranno trattati, così come indicato sulla informativa privacy, per le seguenti finalità: analisi cliniche e di laboratorio, diagnostica ultrasonica, diagnosi prenatale, visite specialistiche, biologia molecolare, citogenetica, chirurgia ambulatoriale, diagnosi e terapia della sterilità di coppia, cardiologia e tutte le branche inerenti il poliambulatorio polispecialistico”;

- in relazione “all’obbligo di acquisire consensi autonomi per il perseguimento di finalità distinte (nel caso che qui ci occupa attività di refertazione on – line e invio di newsletter o altro materiale promozionale), si segnala che si è trattato di un mero errore informatico di impaginazione. Più in particolare, sono state erroneamente cancellate le caselle di autorizzo/non autorizzo che erano state predisposte al fine di raccogliere il consenso per il solo materiale promozionale”;

- “ad ogni buon conto, si è provveduto a formalizzare un consenso per l’autorizzazione della refertazione on-line, ed un diverso ed esplicito consenso per l’autorizzazione a ricevere la newsletter; resta ovviamente in piedi l’esplicito consenso, già in precedenza in essere, per l’autorizzazione a trattare i propri dati personali per la parte relativa alle prestazioni sanitarie”;

- si è “provveduto a comunicare alla S.V., tramite l’apposita procedura all’uopo predisposta, i dati di contatto del RPD, dott. Gian Luca Bucciarelli”.

Alla citata nota è stata allegato un nuovo modello di “Informativa resa ai sensi degli artt. 13-14 del GDPR” nella quale, nella parte relativa al “Ritiro Referti On-line-invio risultati via mail e consultazione tramite sito Internet” risultava espunto il riferimento relativo all’autorizzazione all’inserimento dei dati degli interessati nella Newsletter Altamedica per ricevere informazioni sui servizi erogati dalla struttura.

Con riferimento a quanto emerso, dall’esame della documentazione esaminata, tenuto conto che la descritta condotta non è risultata conforme alla disciplina rilevante in materia di protezione dei dati personali, l’Ufficio, con atto del XX, prot. n. XX, ha notificato alla Società, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981)

In particolare l’Ufficio, nel predetto atto, ha ritenuto che la Società:

- non abbia fornito agli interessati, nell’ambito dell’informativa predisposta, alcuni degli elementi richiesti dall’art. 13 del Regolamento (i dati di contatto del Responsabile della Protezione dei Dati, la base giuridica del trattamento, il periodo di conservazione dei dati personali); ciò, in violazione del citato art. 13 del Regolamento;

- abbia effettuato un trattamento dei dati sulla salute, per invio di “newsletter contenenti informazioni sui servizi erogati dalla struttura”, in assenza dei presupposti giuridici previsti dall’art. 9 del Regolamento, considerato che il consenso acquisito per il trattamento dei dati nell’ambito dell’attività di refertazione online, non costituisce un presupposto legittimante il trattamento per finalità di invio di newsletter. Ciò, in quanto il consenso non sarebbe prestato in relazione alla specifica finalità “promozionale” e, comunque, non sarebbe “liberamente prestato”, considerato in particolare il pregiudizio che l’interessato avrebbe subito in caso di rifiuto (l’impossibilità di accedere alla refertazione online); ciò, in violazione quindi dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento;

- non abbia pubblicato, essendovi tenuta, i dati di contatto del Responsabile della Protezione dei Dati e non li abbia comunicati al Garante; ciò in violazione dell’art. 37 del Regolamento.

Con nota del XX, la Società ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, è stato rappresentato che:

a) “con riguardo alla base giuridica del trattamento, quest’ultimo è lecito in virtù dell’art. 6 comma a) del Regolamento. Ed infatti, l’interessato (nel nostro caso il paziente) esprime il consenso al trattamento dei propri dati personali per una o più specifiche finalità che vengono pedissequamente elencate nel nostro modello privacy e che si riportano di seguito: analisi cliniche e di laboratorio, diagnostica ultrasonica, diagnosi prenatale, visite specialistiche, biologia molecolare, citogenetica, chirurgia ambulatoriale, diagnosi e terapia della sterilità di coppia, cardiologia e tutte le branche inerenti il poliambulatorio polispecialistico”;

b) “per quanto riguarda il periodo di conservazione dei dati, questi vengono trattati per il periodo di tempo strettamente necessario per l’esecuzione della prestazione richiesta e vengono conservati per 10 anni, questo al fine di ricoprire il periodo di prescrizione legale. Ed infatti eventuali richieste di risarcimento possono essere avanzate entro 10 anni dall’accadimento dell’evento rispetto al quale il paziente possa avanzare pretese”;

c) “con riferimento al trattamento dei dati per invio di newsletter contenti informazioni sui servizi erogati dalla struttura, in assenza dei presupposti giuridici previsti dall’art. 9 del Regolamento, si ribadisce che tale correzione era già stata effettuata a seguito della precedente missiva ricevuta. Ed infatti, nel modello privacy già consegnato alla S.V., non vi è più alcuna menzione in ordine all’invio di eventuale newsletter”.

Con la stessa nota ha inoltre comunicato alcuni dati di contatto del Responsabile della Protezione dei Dati: (dr. Gian Luca Bucciarelli – indirizzo e-mail: studioprof.bucciarelli@gmail.com).

In data XX si è tenuta l’audizione, richiesta dal titolare del trattamento, nel corso della quale, in relazione alle violazioni notificate, è stato ribadito quanto già dichiarato e, comunque, precisato che:

- “sono stati immediatamente forniti gli elementi richiesti e sono state poste le dovute correzioni; si chiede di prendere in considerazione la tempestività con la quale ha agito, correggendo quanto contestato”;

- “con riguardo all’informativa, sono stati inseriti i dati del DPO con i relativi dati di contatto”;

- “in relazione all’invio di newsletter, appare evidente che l’acquisizione di un unico consenso per la refertazione online e per l’invio di newsletter sia dovuto ad un mero di errore di impaginazione formale, che si è provveduto subito ad eliminare, togliendo del tutto la parte relativa alla newsletter dall’informativa”.

3. Esito dell’attività istruttoria

Premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), all’esito delle dichiarazioni rese all’Autorità nel corso del procedimento nonché dell’esame della documentazione acquisita, risulta che la Società ha effettuato un trattamento di dati personali in violazione:

- dell’art. 13 del Regolamento, in quanto, al momento in cui è stato proposto il reclamo alla base del presente provvedimento, le informazioni rese non recavano una serie di elementi previsti dal medesimo Regolamento ed essenziali al raggiungimento dell’obiettivo di trasparenza sotteso all’adempimento, tra i quali: i dati di contatto del titolare del trattamento e del Responsabile della Protezione dei Dati, il periodo di conservazione degli stessi e la base giuridica dei trattamenti;

- dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento per aver effettuato un trattamento di dati sulla salute per invio di “newsletter contenenti informazioni sui servizi erogati dalla struttura”, sulla base di un consenso non specifico come espressamente richiesto dall’art. 9, par. 2, lett. a) del Regolamento, in quanto acquisito congiuntamente a quello per il trattamento dei dati nell’ambito dell’attività di refertazione online. Inoltre, il predetto consenso non può ritenersi “liberamente prestato”, considerato che l’interessato, ove avesse ritenuto legittimamente di rifiutarlo, avrebbe subito inevitabilmente un pregiudizio, consistente nell’impossibilità di accedere alla refertazione online (cfr. Considerando n. 32, 42 e 43 e punto 3. Provv. n. 36 del 19 novembre 2009, recante “Linee guida in tema di referti on-line”, in www.gpdp.it, doc. web n. 1679033, ritenuto compatibile con il suddetto Regolamento e con le disposizioni del decreto n. 101/2018; cfr. art. 22, comma 4, del citato d.lgs. n. 101/201);

- dell’art. 37, par. 1 e 7 del Regolamento, in relazione agli adempimenti concernenti il RPD, che certamente interessano la Società, considerato che la sua attività principale consiste nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9 del Regolamento (cfr. art. 37, par. 1, lett. c) e punto 3 del provv. n. 55 del 7 marzo 2019, doc. web n. 9091942, relativo ai chiarimenti forniti dal Garante sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario). Infatti, la stessa Società, costituendo uno dei più grandi centri di diagnosi prenatale d’Italia, offre servizi di diagnosi a migliaia di pazienti, in particolare, gestanti (per un totale di circa 100.000 accettazioni annue) e dispone di un innovativo laboratorio di genetica per lo studio completo del DNA e degli errori genetici nei diversi aspetti della diagnosi prenatale, pediatria, farmacogenomica, nutrigenomica, oncologia (cfr. sito web www.altamedica.it).

Indipendentemente dalla data di designazione del RPD, da una verifica interna è stato accertato che la prevista comunicazione dei dati di contatto del RPD all’Autorità non era ancora stata effettuata al momento della proposizione del reclamo. Al riguardo, inoltre, pur avendo la Società dichiarato, con nota del XX, di aver “provveduto a comunicare alla S.V., tramite l’apposita procedura all’uopo predisposta, i dati di contatto del RPD, dott. Gian Luca Bucciarelli”, dalle ricerche esperite all’Ufficio del protocollo del Garante (verbale in atti), non è risultata, ad oggi, alcuna comunicazione all’Autorità – ai sensi dell’art. 37, par. 7, del Regolamento – dei dati di contatto del RPD. In particolare, risulta in atti che, in data XX è stato compilato il form online, senza tuttavia che sia stato completato il processo, per erronea indicazione dell’indirizzo cui ricevere le istruzioni per la conclusione della procedura.

Peraltro, da una ricerca effettuata dall’Autorità, alla data dell’adozione del presente provvedimento, sul sito web della Società risultano pubblicate due informative, nell’ambito dell’attività di “Ritiro Referti ALTAMEDICA” e “Privacy e Cookie Policy” nelle quali non sono indicati i dati di contatto del RPD. Inoltre, nel modello di “Informativa resa ai sensi degli artt. 13-14 del GDPR”, in http://www.altamedica.it/ALTAMEDICA_Modulo_Privacy_GDPR.pdf, può ancora rinvenirsi la dicitura unica recante “Autorizzo, inoltre, a lasciare a disposizione ON LINE il referto, oltre i 45 giorni previsti dalle Linee Guida in tema di referti on-line – 19 novembre 2009 (G.U. n. 288 dell'11 dicembre 2009) e autorizzo ad inserirmi nella newsletter ALTAMEDICA per ricevere informazioni sui servizi erogati dalla struttura”.

4.  Conclusioni

Gli elementi riportati dal titolare nelle memorie difensive e nell’audizione risultano insufficienti a superare le contestazioni sollevate dall’Ufficio con l’atto di avvio del procedimento e, quindi, a consentire l’archiviazione del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Infatti le sintetiche deduzioni del titolare hanno invocato disposizioni non conferenti ai trattamenti in esame e, in altri casi, si sono limitate a fornire alcuni elementi dei quali si contestava la mancata indicazione nelle informazioni rese ai sensi degli artt. 13 e 14 del Regolamento (ad esempio, con riferimento alla durata di conservazione dei dati) senza tuttavia fornire ragioni giustificative circa la predetta omissione. Le informazioni di cui agli artt. 13 e 14 del Regolamento devono infatti essere fornite preventivamente all’avvio del trattamento stesso all’interessato e non all’Autorità in caso di (eventuale) controllo.

Inoltre, in relazione al trattamento dei dati per finalità di invio di newsletter, è stato riferito di aver effettuato la correzione del modello “Informativa resa ai sensi degli artt. 13-14 del GDPR”, espungendo il riferimento relativo all’autorizzazione all’inserimento dei dati degli interessati nella Newsletter Altamedica per ricevere informazioni sui servizi erogati dalla struttura. Tale circostanza è stata documentata, allegando un nuovo modello alla citata nota della Società del XX; da una verifica effettuata dall’Ufficio, risulta invece ancora pubblicato sul sito della Società il modello antecedente alla predetta modifica (v. http://www.altamedica.it/ALTAMEDICA_Modulo_Privacy_GDPR.pdf). Nel merito della condotta, la società ha giustificato l’acquisizione di un unico consenso facendo riferimento a “un mero errore informatico di impaginazione”, derivante da una erronea cancellazione delle “caselle di autorizzo/non autorizzo che erano state predisposte al fine di raccogliere il consenso per il solo materiale promozionale”.

Tale affermazione non è stata dimostrata e risulta poco credibile considerato che, nel modello, le formule di autorizzazione, sono legate da una congiunzione e sono ricomprese nella stessa frase, circostanze queste che avvalorano la convinzione che la violazione sia stata invece intenzionale.
Pertanto, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla Società, in violazione degli artt. 5, 9, 13 e 37 del Regolamento, nei termini di cui in motivazione.

In tale quadro si ritiene necessario, in ragione della mancata attuazione degli adempimenti richiesti dal Regolamento, ingiungere, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, alla Artemisia s.p.a. di provvedere:

- all’integrazione delle informazioni rese ai sensi dell’art. 13 del Regolamento con gli elementi mancanti relativi ai dati di contatto del titolare del trattamento e del Responsabile della Protezione dei Dati, al periodo di conservazione degli stessi e alla base giuridica dei trattamenti;

- alla modifica del modello di “Informativa resa ai sensi degli artt. 13-14 del GDPR”, rinvenibile in http://www.altamedica.it/ALTAMEDICA_Modulo_Privacy_GDPR.pdf, espungendo il riferimento relativo all’autorizzazione all’inserimento dei dati degli interessati nella Newsletter Altamedica per ricevere informazioni sui servizi erogati dalla struttura;

- alla comunicazione a questa Autorità (seguendo in proposito l’apposita procedura disponibile sul sito del Garante all’indirizzo https://servizi.gpdp.it/comunicazionerpd/s/) dei dati di contatto del Responsabile della Protezione dei Dati designato dalla Società, nonché di disporre la corrispondente pubblicazione sul sito web istituzionale, ai sensi dell’art. 37, par. 7, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, 9, 13 e 37 del Regolamento, determinata dal trattamento di dati personali, oggetto del presente provvedimento, effettuato dalla Società, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4, lett. a) e par. 5, lett. a) del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali, in particolare, pur non risultando precedenti violazioni, si rileva che:

- il trattamento dei dati effettuato per finalità di invio di Newsletter dalla Società ha ad oggetto dati sulla salute di un numero elevato di pazienti, potenzialmente tutti quelli che hanno aderito al servizio di refertazione online (art.  83, par. 2, lett. a), e) e g) del Regolamento);

- le violazioni hanno, almeno con riferimento al consenso, carattere intenzionale e si sono protratte per un lungo lasso di tempo (con riferimento, almeno alla comunicazione dei dati di contatto del RPD all’Autorità, e alle informazioni rese ai sensi dell’art. 13 del Regolamento, le violazioni risalgono almeno al 25 maggio 2018, data di applicazione del Regolamento) (art. 83, par. 2, lett. a) e b) del Regolamento);

- la scarsa cooperazione dimostrata dalla Società si evidenzia nel fatto che non ha ancora posto rimedio alle violazioni, tanto che non è stato ancora modificato il predetto modello di “Informativa resa ai sensi degli artt. 13-14 del GDPR”, sul sito web della Società e non risulta ancora effettuata la comunicazione a questa Autorità (seguendo in proposito l’apposita procedura disponibile sul sito del Garante all’indirizzo https://servizi.gpdp.it/comunicazionerpd/s/) dei dati di contatto del RPD (art. 83, par. 2, lett. f) del Regolamento).

In ragione dei suddetti elementi, considerati nel loro complesso, unitamente alla valutazione delle condizioni economiche della Società, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 100.000 (centomila) per la violazione degli artt. 5, 9, 13, 37 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, in relazione alla categoria particolare di dati personali trattati e al numero potenziale di interessati.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato Artemisia s.p.a per la violazione degli artt. 5, 9, 13, 37 del Regolamento nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, alla Artemisia s.p.a., con sede legale in Roma, Viale Liegi, n. 41, P.IVA 00929551000 di pagare la somma di euro 100.000,00 (centomila), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, alla Artemisia s.p.a., in persona del legale rappresentante pro-tempore, di provvedere:

- all’integrazione delle informazioni rese ai sensi dell’art. 13 del Regolamento con gli elementi mancanti relativi ai dati di contatto del titolare del trattamento e del Responsabile della Protezione dei Dati, al periodo di conservazione degli stessi e alla base giuridica dei trattamenti;

- alla modifica del modello di “Informativa resa ai sensi degli artt. 13-14 del GDPR”, rinvenibile in http://www.altamedica.it/ALTAMEDICA_Modulo_Privacy_GDPR.pdf, espungendo il riferimento relativo all’autorizzazione all’inserimento dei dati degli interessati nella Newsletter Altamedica per ricevere informazioni sui servizi erogati dalla struttura;

- alla comunicazione a questa Autorità (seguendo in proposito l’apposita procedura disponibile sul sito del Garante all’indirizzo https://servizi.gpdp.it/comunicazionerpd/s/) dei dati di contatto del Responsabile della Protezione dei Dati designato dalla Società, nonché di disporre la corrispondente pubblicazione sul sito web istituzionale, ai sensi dell’art. 37, par. 7, del Regolamento;

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;

- l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 157 del Codice, richiede inoltre ad Artemsia S.p.A. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto al precedente punto n. 1 del presente provvedimento entro trenta giorni dalla notifica dello stesso;

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 13 maggio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei