g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Intesa Sanpaolo Vita S.p.a. - 7 luglio 2022 [9809201]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9809201]

Ordinanza ingiunzione nei confronti di Intesa Sanpaolo Vita S.p.a. - 7 luglio 2022

Registro dei provvedimenti
n. 244 del 7 luglio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il Prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato dal Sig. XX in data 30/03/2021 ai sensi dell’art. 77 del Regolamento, con cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte di Intesa Sanpaolo Vita S.p.a.;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. Il reclamo e l’attività istruttoria.

Con il reclamo presentato a questa Autorità in data 30/3/2021, il Sig. XX, rappresentato e difeso dall’avv. Armando XX, ha lamentato che Intesa Sanpaolo Vita S.p.a. (di seguito, “ISP Vita” o “la Compagnia”) ha posto in essere un’illecita comunicazione di dati personali che lo riguardano, relativi a un polizza vita sottoscritta con la predetta Compagnia, a soggetti terzi non autorizzati; in particolare, lo stesso ha rappresentato che in riscontro alla specifica istanza di accesso avanzata ai sensi dell’art. 15 del Regolamento, ISP Vita, confermando quanto già comunicato con missiva del 19 gennaio 2021, ha affermato che “nell'errata pratica di liquidazione, sono stati comunicati a soggetti estranei alla polizza esclusivamente i seguenti dati personali del suo assistito: nome, cognome, numero di polizza e importo liquidato. La comunicazione di questi dati, in assenza di ulteriori dati identificativi, quali ad esempio codice fiscale, indirizzo, data di nascita etc., non permette di identificare univocamente il suo assistito, signor XX, e pertanto riteniamo che non vi sia stata alcuna violazione di dati personali”.

A seguito dell’invito formulato da questo Ufficio a fornire osservazioni in ordine ai fatti oggetto del reclamo, con la nota del 7/9/2021, ISP Vita ha ribadito che si è trattato di un “errore operativo connesso ad una liquidazione di polizza” (errore cui si è prontamente posto rimedio) e che l’avvenuta comunicazione dei dati personali dell’interessato a soggetti terzi, in quanto circoscritta ai dati riferiti al “nome, cognome, numero di polizza e importo liquidato […] in assenza di ulteriori elementi identificativi, quali ad esempio il codice fiscale, indirizzo, data di nascita, etc.” che consentano di risalire “all’effettiva identità del reclamante, è stata assimilata ad una assenza di violazione”; ciò considerato che “rispetto al nome e al cognome sono state rinvenute numerose omonimie” e che “il numero di polizza risulta essere una codifica numerica interna al Titolare, la quale non permette ai soggetti che hanno ricevuto la comunicazione di risalire all’intestatario della polizza stessa”.

Con successive comunicazioni del 19/10/2021 e 5/4/2021 la Compagnia, in riscontro alle note con cui l’Ufficio chiedeva ulteriori elementi di precisazione – anche allegando utile documentazione a supporto - ha dichiarato che:

a) l’errore operativo è consistito nell’errata digitazione dell’ultima cifra del numero di polizza da parte dell’operatore addetto alla liquidazione della pratica. In particolare, in data 3 marzo 2020, l’operatore, ricevuta “dall’intermediario una denuncia di sinistro a valere della polizza n. […]78” provvedeva ad “istruire il processo di liquidazione nei confronti dei corretti beneficiari, ricercando in anagrafe il numero di polizza corrispondente all’assicurato deceduto. In tale occasione, nel processo di liquidazione della polizza, l’operatore della Compagnia, anziché inserire il numero di polizza riferito al sig. […… 78), inseriva il diverso numero di polizza […]79 (differente per l’ultima cifra ma coincidente come prodotto), il cui contraente è il reclamante, Sig. XX”; ha fatto seguito “l’invio automatizzato di una “comunicazione di avvenuto pagamento per sinistro” ai soggetti beneficiari, nella quale compaiono nome e cognome dell’assicurato, numero di polizza e importo liquidato”;

b) in data 2 dicembre 2020, a seguito delle rimostranze del reclamante che, tramite un gestore della filiale di Intesa Sanpaolo (collocatrice della polizza) “lamentava l’errata liquidazione della propria polizza, la Compagnia veniva a conoscenza dell’errore e si attivava immediatamente per il ripristino della posizione, avvenuto frattanto in data 4 dicembre 2020 […]. In parallelo, in data 9 dicembre l’ufficio Gestione clienti avviava i controlli relativi alla effettiva pratica da liquidare (polizza n. […]78) […]”. In quella sede, emerso che, nell’ambito della prima liquidazione errata, erano state spedite le comunicazioni contenenti i dati personali del reclamante, “l’Ufficio Gestione Clienti ha prontamente avviato il processo previsto per la “segnalazione e notifica dei data breach”, aprendo in data 10 dicembre specifico ticket per tracciare e analizzare l’evento” (di cui è stata allegata copia). “In tale circostanza è stato tempestivamente coinvolto il DPO ai fini della valutazione di una potenziale violazione per le informazioni comunicate a terzi”. Nell’ambito di tale processo di valutazione, la Compagnia ha ritenuto che “l’evento non costituiva una violazione di rilievo dal punto di vista delle norme in materia di protezione dei dati personali (in particolare, art. 33 del Regolamento UE 679/2016) tenendo in considerazione la ragionevole improbabilità per i destinatari della comunicazione di identificare, direttamente o indirettamente, in modo univoco l’interessato, sia il fatto che fosse comunque altamente improbabile che quanto accaduto rappresentasse un rischio (consistente ad es. nel furto di identità, o altro) per i diritti e le libertà del sig. XX, escludendo dunque l’insorgenza di obblighi di notifica a codesta Autorità. A tal riguardo si è inoltre considerato che:

• unitamente al nome e cognome (XX, non sono stati forniti ulteriori elementi (ad es.: indirizzo, professione, ecc.) tali da consentire di distinguere l’interessato rispetto alla massa di omonimi esistenti;

• i destinatari risultano geograficamente enormemente distanti dall’interessato, con ciò limitando anche le possibilità di conoscenza de visu;

• le comunicazioni errate sono state inviate ad un basso numero di soggetti (2) chiaramente identificati, che sono stati opportunamente informati per il tramite dell’intermediario circa l’erroneità dell’invio e la necessità di eliminare le comunicazioni ricevute”.

Infine, ad avviso della Compagnia, “pur volendo considerare l’evento quale violazione di dati personali ai sensi del GDPR, lo stesso non presentava elementi di gravità tali da comportare l’insorgenza di un obbligo di segnalazione all’Autorità Garante per la Protezione dei Dati Personali e/o agli interessati (anche se a ben vedere il sig. XX era stato reso edotto della questione) […]. La ricostruzione sopra operata pare inoltre trovare conforto nelle recenti “Guidelines 01/2021 on Examples regarding Personal Data Breach Notification, adopted on 14 December 2021” dell’EDPB, ed in particolare negli esempi nn. 13 e 15 delle Linee Guida per i quali lo stesso EDPB, a fronte di comunicazioni di dati personali a soggetti terzi non autorizzati ma comunque identificati, derivanti da errori umani isolati e non sistematici, suggerisce una valutazione di “rischio basso” per i diritti e le libertà degli interessati, per la quale non si rende necessaria la notifica all’autorità di controllo”;

c) “all’epoca dei fatti, congiuntamente alle “Misure tecniche e organizzative adottate per gli strumenti informatici” utilizzati ai fini della liquidazione della pratica [documento prodotto in allegato], la Compagnia si è dotata di presidi organizzativi, ovvero controlli di linea e di secondo livello, così come descritti nella normativa interna che regola il processo liquidativo (“Gestione delle liquidazioni”)” di cui ha, altresì, allegato copia; “tali misure,  hanno fatto sì che il caso in esame rientri, a fronte di circa 73.000 liquidazioni annue, in una casistica di incidenza pari allo 0,001%”, laddove l’operatore “ha tralasciato di verificare i dati anagrafici riepilogati nella schermata liquidativa” (ovvero di verificare “la coerenza tra nome dell’assicurato, numero di polizza e beneficiari”).

Congiuntamente alle misure anzi citate, “la Compagnia ha avviato nel corso del primo trimestre 2021 una ulteriore progettualità volta a rivisitare il processo liquidativo e a rafforzare ulteriormente i presidi di controllo per la corretta gestione delle polizze. In particolare si prevede di automatizzare parte della compilazione dei passaggi liquidativi con acquisizione di dati e documenti a supporto, direttamente dall’intermediario stesso, ove presenti. Tale progettualità, che vede coinvolta anche la controllante Intesa Sanpaolo, si concluderà entro il primo semestre 2022”. 

L’Ufficio, pertanto, sulla base della documentazione in atti e degli elementi acquisiti nel corso dell’istruttoria, con comunicazione del 5/5/2022 ha provveduto a notificare a ISP Vita l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice, in relazione alla violazione dei principi generali di “liceità, correttezza e trasparenza” e di “integrità e riservatezza”, di cui all’art. 5, par. 1, lett. a) e f) del Regolamento.

In data 31 maggio 2022 ISP Vita ha fatto pervenire i propri scritti difensivi ai sensi dell’art. 18 della legge n. 689/1981, con i quali, nel ribadire integralmente quanto già evidenziato nelle comunicazioni precedenti “in ordine alla genesi ed al concreto svolgimento dell’evento oggetto di attenzione, nonché a quanto posto in essere dalla Compagnia nei rapporti con l’interessato ed al fine di porre rimedio agli effetti dell’evento medesimo”, ha ulteriormente evidenziato che:

a) "l’evento si è verificato a seguito di un errore fortuito commesso da un dipendente autorizzato al trattamento dei dati personali ed adeguatamente formato in ordine allo stesso, il cui operato si è discostato colposamente dai protocolli interni regolanti il processo definito dalla Compagnia, come riportati nei documenti allegati ai riscontri precedentemente forniti. In particolare, si fa qui riferimento alla specifica guida operativa che disciplina anche le misure organizzative volte a presidiare il processo di liquidazione dei sinistri” (cfr. all. 3 al riscontro del 19 ottobre 2021). “Inoltre, sotto il profilo della formazione, tutto il personale è sottoposto ad un percorso formativo obbligatorio specialistico (cfr. Allegato n. 1, “sintesi corsi di formazione obbligatoria”), sulla base dell’attività svolta, che prevede il superamento di diversi moduli formativi online, a cui segue un test di verifica delle competenze acquisite. Sono infine previsti affiancamenti, training on the job e supporto, anche in modalità da remoto, tra i dipendenti ed i diretti coordinatori e/o responsabili. Inoltre, il Titolare procede alla formalizzazione dell’incarico al trattamento dei dati personali, ivi compresi quelli particolari, a tutti i dipendenti. Infatti, in fase di assunzione di ciascun dipendente, viene fornito un kit documentale che comprende, fra le altre cose, nomina a incaricato al trattamento dei dati (soggetto autorizzato ex art. 29 del GDPR), nonché copia del “Codice interno di comportamento di Gruppo”, che richiama anche le principali disposizioni in materia di privacy (cfr. allegati n. 2 “Nomina a incaricato al trattamento dei dati” e allegato n. 3 “estratto Codice interno di comportamento di Gruppo”). Tale documentazione è consultabile in ogni momento dal dipendente all’interno di un’apposita sezione della intranet aziendale”; 

b) l’evento in questione “ha avuto luogo nell’ambito del processo liquidativo di polizze vita rispetto alle quali i beneficiari della prestazione assicurativa, come previsto dalla normativa di riferimento, possono essere designati anche in forma generica come “eredi testamentari o in mancanza eredi legittimi dell'assicurato”, senza indicazione dei relativi nominativi. In questi casi (in cui ricade l’evento che ci occupa e le polizze coinvolte – quella riferita al sig. XX e quella che doveva essere effettivamente liquidata) l’individuazione specifica dei beneficiari medesimi avviene in fase di sinistro (i.e. morte del soggetto assicurato), a seguito della comunicazione che la Compagnia riceve in relazione all’identità degli eredi del de cuius. Tale peculiarità delle polizze de quibus non consente la definizione di un processo interamente automatizzato sulla base del quale, a partire da un determinato numero di polizza, è automaticamente ricollegabile la liquidazione a favore dei beneficiari della stessa.

Per queste ragioni, in tutti i casi in cui i beneficiari sono genericamente individuati come “eredi testamentari o in mancanza eredi legittimi dell'assicurato”, l’associazione alla polizza dei soggetti beneficiari stessi, avviene necessariamente attraverso un processo organizzativo che prevede l’intervento dell’operatore a seguito dell’apertura del sinistro. Ed è proprio in questa fase di liquidazione della polizza che, come accennato, l’addetto, scostandosi dalle prassi aziendali e dalle istruzioni ricevute, ha inserito una ultima cifra sbagliata e successivamente non ha controllato in modo preciso il riepilogo della pratica oggetto di liquidazione. Ciò ha comportato, per quanto di interesse in questa sede, l’invio automatico di una comunicazione di conferma dell’avvenuta liquidazione con alcuni dati dell’interessato (nome, cognome, numero polizza ed ammontare dell’importo oggetto di liquidazione) ai due beneficiari di un’altra polizza analoga (che avevano denunciato il sinistro). Nello specifico, come già detto, si è trattato di un caso isolato ed occasionale (primo caso verificatosi su oltre 73.000 liquidazioni all’anno)”;

c) la Compagnia, “una volta resa edotta del disguido verificatosi a seguito della segnalazione dell’interessato, ha provveduto al pronto ripristino della posizione assicurativa dell’interessato medesimo (2 giorni dopo la sua segnalazione) e ad informare quest’ultimo dell’avvenuta erronea comunicazione di alcuni suoi dati personali ai suddetti beneficiari. Inoltre, l’intermediario (la filiale di Intesa Sanpaolo S.p.A. che ne aveva curato l’attività distributiva), ha provveduto a contattare gli stessi beneficiari, con invito a non tenere in considerazione ed eliminare le comunicazioni ricevute per errore. Inoltre, come già evidenziato nei precedenti riscontri, si è proceduto, rispetto al quadro di procedure e misure già in essere (di cui ai documenti in atti), all’avvio di specifiche attività per l’adozione di ulteriori misure di sicurezza di carattere tecnico-organizzativo aggiuntive rispetto a quelle previste al tempo dell’evento, con particolare riguardo all’incremento delle attività formative in favore del personale”. In particolare, “è stato previsto, ove compatibile con i prodotti assicurativi gestiti, di automatizzare parte della compilazione dei passaggi liquidativi con acquisizione di dati e documentazione a supporto direttamente dall’intermediario. Questa innovazione si traduce, di fatto, in un processo assoggettato a “doublecheck”, in cui l’istruttoria preliminare condotta manualmente dall’intermediario viene automatizzata, lasciando la fase conclusiva di verifica e liquidazione in capo a un soggetto terzo, incaricato dalla Compagnia”.

d) per i motivi anzi descritti “si ritiene che, nel caso di specie, la configurazione di una potenziale inosservanza dei principi di liceità/correttezza o integrità/riservatezza a carico della Compagnia, quale titolare del trattamento, possa essere ricondotta a una c.d. “violazione minore” ai sensi del Considerando 148 del GDPR. Ciò in considerazione del fatto che si tratta di un episodio circoscritto e del tutto occasionale dovuto ad un errore umano difficilmente preventivabile (occorso, tra l’altro, nel particolare e stressante periodo emergenziale dovuto all’epidemia da Covid-19 che ha influito sulla situazione organizzativa e lavorativa dei dipendenti), e che non ha comportato alcuna conseguenza di carattere economico nei confronti dell’interessato (essendo stata la sua posizione prontamente e pienamente ripristinata), né in termini di eventuali pericoli di furto di identità o altro danno finanziario o sociale significativo.  Il tutto anche alla luce di quanto dimostrato per tabulas in ordine al rispetto da parte della Compagnia dei principi su richiamati, trattandosi di un caso isolato rispetto al pur elevato volume delle liquidazioni gestite. Rilevano inoltre le misure organizzative, tecniche e di sicurezza già adottate dalla Compagnia e quelle ulteriori recentemente introdotte anche a seguito dell’episodio accaduto, al fine di ridurre ancora di più il rischio (purtroppo ineliminabile) del verificarsi di errori umani fortuiti come quello di cui al caso di specie”;

e) infine “nella denegata ipotesi in cui l’Autorità intendesse comunque procedere all’adozione di un provvedimento sanzionatorio nei confronti della Compagnia, nel caso di specie, in considerazione delle particolari caratteristiche intrinseche dell’evento, nonché del fatto che si tratta di un caso isolato, non significativo e piuttosto risalente nel tempo, si ritiene che non ricorrano i presupposti per l’applicazione della sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione sul sito internet dell’Autorità prevista dall’art. 166, comma 7, del Codice privacy”.

2. L’esito dell’istruttoria.

All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese dalla parte nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, è emerso che la Compagnia, in occasione della liquidazione di una polizza assicurativa diversa da quella riferita al reclamante, ha comunicato a due soggetti terzi (beneficiari della polizza oggetto di liquidazione) dati personali riferiti all’interessato, intestatario di altra polizza; ciò è avvenuto in ragione di un errore materiale posto in essere dall’operatore addetto alla liquidazione della pratica, di cui la Compagnia ha avuto contezza a distanza di mesi dall’accaduto e solo a seguito della segnalazione effettuata dall’interessato (la cui polizza era stata liquidata in assenza di presupposti).

Il trattamento dei dati personali posto in essere dalla Società risulta pertanto illecito poiché - tenuto conto delle modalità e delle circostanze in cui l’evento si è realizzato – è stato effettuato in maniera non conforme ai principi di “liceità, correttezza e trasparenza” e di “integrità e riservatezza”, in violazione dell’art. 5, par. 1, lett. a) e f) del Regolamento.

3. Conclusioni: illiceità dei trattamenti effettuati.

Alla luce delle valutazioni che precedono, si rileva che le dichiarazioni rese dal titolare del trattamento nelle memorie difensive, seppure meritevoli di considerazione e della cui veridicità si può essere chiamati a rispondere ai sensi del citato art. 168 del Codice, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentirne l’archiviazione, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019, concernente le procedure interne all’Autorità aventi rilevanza esterna.
Per i suesposti motivi, pertanto, si dichiara fondato il reclamo presentato ai sensi dell’art. 77 del Regolamento e, nell’esercizio dei poteri correttivi attribuiti all’Autorità ai sensi dell’art. 58, par. 2, del Regolamento, si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, del Regolamento.

4. Ordinanza di ingiunzione.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali riferito al reclamante, di cui è stata accertata l’illiceità, nei termini sopra esposti.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:

a) con riguardo alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione, che ha riguardato i princìpi generali di liceità nel trattamento dei dati personali nonché la circostanza che il titolare ha avuto contezza della violazione solo a seguito della segnalazione dell’interessato;

b) la natura colposa dell’evento, dovuto all’errore di un dipendente che ha operato discostandosi dalle istruzioni impartite dal titolare del trattamento in ordine ai controlli di completezza e di coerenza che devono essere effettuati prima di procedere alla liquidazione delle polizze;

c) la Compagnia ha immediatamente provveduto, non appena avuta contezza dell’evento, a ripristinare la posizione assicurativa dell’interessato e a contattare i soggetti terzi invitandoli ad eliminare le comunicazioni ricevute;  

d) già prima dell’evento, la Compagnia aveva adottato una regolamentazione interna concernente specifici controlli sui processi di liquidazione delle polizze. Occorre inoltre prendere positivamente atto che, successivamente allo stesso, la Compagnia ha provveduto a implementare ulteriormente le misure di carattere tecnico-organizzativo e a incrementare l’attività formativa del personale, diminuendo sensibilmente la possibilità del ripetersi di episodi simili; 

e) ha attivamente cooperato con l’Autorità nel corso del procedimento;

f) non risultano precedenti violazioni commesse da Intesa Sanpaolo Vita S.p.a. o precedenti provvedimenti di cui all’art. 58 del Regolamento;

g) i dati personali interessati dalla violazione sono dati comuni.

In considerazione dei richiamati principi di effettività, proporzionalità e dissuasività (art. 83, par. 1, del Regolamento) ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione, sono state prese in considerazione le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti e riferiti al bilancio d’esercizio per l’anno 2021.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 20.000 (ventimila) per la violazione degli artt. 5, par. 1, lett. a) e f) del Regolamento.

In tale quadro, anche in considerazione della tipologia di violazione accertata, che ha riguardato i principi di protezione dei dati personali, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del trattamento effettuato, nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a) e f) del Regolamento;

ORDINA

a Intesa Sanpaolo Vita S.p.a., con sede in Torino, Corso Inghilterra 3, P.I. 01111200505, ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, di pagare la somma di euro 20.000 (ventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

alla medesima Intesa Sanpaolo Vita S.p.a. di pagare la somma di euro 20.000 (ventimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 7 luglio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei