Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Azienda Ospedaliera San Pio di Benevento - 14 gennaio 2021 [9543138]

[doc. web n. 9543138]

Ordinanza ingiunzione nei confronti di Azienda Ospedaliera San Pio di Benevento - 14 gennaio 2021

Registro dei provvedimenti
n. 22 del 14 gennaio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto un reclamo da parte dei Sigg. XX e XX in ordine al trattamento dei propri dati personali pubblicati sulla Intranet dell’Azienda Ospedaliera San Pio di Benevento.

Nello specifico, è stata contestata la pubblicazione sul portale aziendale di «tutte le domande presentate dai dipendenti del comparto […] e le relative selezioni per la progressione economica [esponendo] tutti i verbali della commissione e tutte le schede di valutazione elaborate sulle stesse domande siglate dai dipendenti» – con titoli di anzianità ed esperienze professionali nonché relativo punteggio – riferiti a circa 750 soggetti che avevano presentato domanda.

2. Normativa applicabile.

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

In tale quadro, il trattamento dei dati personali effettuato da soggetti pubblici (come l’Azienda ospedaliera) è lecito solo se necessario «per adempiere un obbligo legale al quale è soggetto il titolare del trattamento» oppure «per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» (art. 6, par. 1, lett. c ed e, del RGPD).

È inoltre previsto che «Gli Stati membri possono mantenere […] disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]» (art. 6, par. 2, del RGPD).

In tale contesto, si ricorda che la normativa in materia di protezione dei dati personali prevede che i soggetti pubblici possono “comunicare” dati personali a soggetti diversi dall’interessato solo se tale operazione è prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, commi 1-4, del Codice) ), nel rispetto – in ogni caso – dei principi in materia di protezione dei dati, fra i quali quello di «limitazione della finalità» e «minimizzazione», in base ai quali i dati personali devono essere – rispettivamente – «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. b e c, del RGPD).

Inoltre, il titolare del trattamento è tenuto a mettere in atto, fin dalla progettazione, «misure tecniche e organizzative adeguate […] volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati», garantendo che siano trattati per «impostazione predefinita» solo «i dati personali necessari per ogni specifica finalità del trattamento» (art. 25, parr. 1 e 2, RGPD).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Con la nota della Direzione generale prot. n. XX del XX, l’Azienda ospedaliera ha fornito riscontro alla richiesta d’informazioni dell’Ufficio (nota prot. n. XX del XX), inviando le osservazioni contenute nella nota prot. n. XX del XX a firma del XX con allegata diversa documentazione.

A seguito dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX dell’XX ha accertato che l’Azienda Ospedaliera San Pio di Benevento – rendendo disponibile nella propria rete Intranet aziendale, a tutti i dipendenti dell’Area Comparto in possesso di account e password, dati e informazioni personali contenuti nella graduatoria finale relativa all’attribuzione delle progressioni economiche orizzontali-Area Comparto riferiti a circa 750 propri dipendenti e nelle relative schede di valutazione – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate all’Azienda ospedaliera le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando il predetto ente a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentito da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive e audizione.

Con la nota prot. n. XX del XX l’Azienda Ospedaliera San Pio di Benevento ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, è stato evidenziato, fra l’altro che:

-  «L’Azienda aveva sottoscritto in data XX, con le Organizzazioni Sindacali un accordo […], richiamato anche nel verbale di riunione sindacale del XX, per concludere la selezione avviata nell’anno XX relativa all’attribuzione della fascia economica superiore anno XX così da iniziare la selezione della fascia economica superiore anno XX»;

- «Per poter rispettare l’accordo di cui sopra e concludere la procedura nel più breve tempo possibile: considerando il gran numero di richieste d’accesso agli atti ai sensi della l. n. 241/90 e di accesso civico ai sensi del d. lgs. 33/2016, pervenute dopo la pubblicazione della graduatoria finale ed al fine di evitare ricorsi giurisdizionali, l’Azienda, nel bilanciare gli interessi coinvolti, da una parte il rispetto degli obblighi di trasparenza e pubblicità e dall’altro il rispetto degli obblighi relativi alla privacy, ha ritenuto primario quello della trasparenza pubblicando sul proprio sito intranet (circuito consultabile solo ed esclusivamente dal dipendente) le schede di tutti gli idonei in graduatoria, riportanti le valutazioni effettuate dalla Commissione nominata ad hoc per un periodo, tra l’altro, breve (20 giorni). Ciò ha consentito, di far riesaminare alla Commissione giudicatrice i punteggi precedentemente riportati su moltissime schede, chiarendo dubbi interpretativi del bando, e nel contempo di evitare ricorsi giurisdizionali che avrebbero potuto determinare la sospensione della procedura»;

- «Il percorso seguito da questa Direzione si è concluso difatti, con un risultato positivo e nel pieno rispetto degli accordi sottoscritti con le OO.SS., in quanto con deliberazione n. XX del XX è stata decretata agli aventi diritto l’erogazione, con la mensilità di dicembre XX della fascia economica superiore anno XX, e con deliberazione del XX è stata avviata la selezione per l’attribuzione della fascia economica superiore anno XX che si è conclusa, con l’erogazione della stessa, con la mensilità di luglio 2020»;

-  «Infine si porta all’attenzione di codesto Garante che […] alcuna segnalazione e/o ricorso è pervenuto, a quest’Azienda da parte del legittimo titolare del dato personale».

In data XX si è, inoltre, svolta presso il Garante l’audizione richiesta dall’Azienda Ospedaliera San Pio di Benevento ai sensi dell’art. 166, comma 6, del Codice in occasione della quale è stato rappresentato, ad integrazione di quanto già riportato nella documentazione inviata, che:

- «il procedimento sottostante all’avvenuta pubblicazione dei dati sulla Intranet aziendale è connesso all’adempimento di accordi sindacali sottoscritti con la Direzione aziendale a seguito d’incontro con il Prefetto (i cui verbali sono già agli atti del procedimento dinnanzi al Garante). Le procedure si sono concluse in maniera positiva, con l’erogazione della fascia economica superiore per i dipendenti aziendali per l’anno XX e successivamente anche per coloro che hanno partecipato per l’anno XX»;

- «nessuno dei partecipanti alla selezione si è rivolto all’amministrazione per contestare la legittimità dell’inserimento dei dati nella Intranet»;

- «la Polizia postale già destinataria di segnalazione sulla medesima fattispecie da parte di sole due organizzazioni sindacali (fra l’altro firmatarie dell’accordo citato) ha archiviato il caso»;

- «non era possibile all’inizio stabilire il numero preciso degli aventi diritto alla fascia superiore, perché legato alla consistenza dei fondi. Pertanto, il numero di coloro che hanno potuto avere la fascia superiore in godimento è stato stabilito successivamente, ossia nel momento in cui sulla base del numero dei partecipanti, categorie e fascia economica in godimento precedente al XX si è potuto fare il calcolo».

5. Esito dell’istruttoria relativa al reclamo presentato

Oggetto dello specifico caso sottoposto all’attenzione del Garante è l’avvenuta pubblicazione, nella rete Intranet dell’Azienda Ospedaliera San Pio di Benevento, accessibile a tutti i dipendenti tramite username e password, di dati e informazioni personali contenuti nella graduatoria finale relativa all’attribuzione delle progressioni economiche orizzontali-Area Comparto riferiti a circa 750 dipendenti, nonché nelle relative schede di valutazione, le quali contenevano, oltre i dati identificativi, anche le informazioni relative all’anzianità di servizio, con relativa qualifica, e alle esperienze professionali (titoli di studio, attività di docenza, corsi seguiti) con indicazione dei singoli punteggi.

L’Azienda ospedaliera, sia nel riscontro alla richiesta d’informazione dell’Ufficio che nelle memorie difensive, ha confermato l’avvenuta pubblicazione online della predetta documentazione contenente i dati personali descritti, rappresentando in ogni caso che i dati personali oggetto del reclamo «restavano in pubblicazione, su detto sito interno [ossia la Intranet aziendale], per la durata di circa 20 giorni (XX-inizi XX» (cfr. nota prot. n. XX del XX trasmessa tramite nota della Direzione generale prot. n. XX del XX).

La pubblicazione di dati in una rete Intranet ad accesso selettivo – comportando la conoscenza «dei dati personali a uno o più soggetti determinati diversi dall’interessato […] in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione» (art. 2-ter, comma 4, lett. a, del Codice) – comporta una «comunicazione» di dati personali a soggetti terzi, ammessa nei soli casi in cui sia prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, commi 1-4, del Codice).

Al riguardo, negli scritti difensivi dell’Azienda ospedaliera non è stato indicato alcun presupposto normativo che potesse legittimare la predetta comunicazione di dati personali, ai sensi del citato art. 2-ter, commi 1-4, del Codice. A tal fine, infatti, la normativa statale di settore in materia di trasparenza (d. lgs. n. 33 del 14/3/2013) non prevede alcuna forma di pubblicità obbligatoria della graduatoria finale relativa all’attribuzione delle progressioni economiche orizzontali o delle schede di valutazione dei dipendenti.

Quanto alle modalità per rispettare i principi di “limitazione della finalità”, di “minimizzazione” dei dati e di proporzionalità, è necessario ricordare che – in base ai nuovi modelli di privacy by design e by default introdotti dal RGPD – il titolare del trattamento è tenuto a mettere in atto, fin dalla progettazione, «misure tecniche e organizzative adeguate […] volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati», garantendo che siano trattati per «impostazione predefinita» solo «i dati personali necessari per ogni specifica finalità del trattamento» (art. 25, parr. 1 e 2, RGPD).

Al riguardo, l’Azienda ospedaliera ha affermato che la pubblicazione nella Intranet di tutti i dati personali sopra descritti era necessaria «Per poter rispettare l’accordo [sindacale] e concludere la procedura nel più breve tempo possibile: considerando il gran numero di richieste d’accesso agli atti ai sensi della l. n. 241/90 e di accesso civico ai sensi del d. lgs. 33/2016, pervenute dopo la pubblicazione della graduatoria finale ed al fine di evitare ricorsi giurisdizionali […]». Tale esigenza è stata ribadita anche in sede di audizione laddove è stato evidenziato che «il procedimento sottostante all’avvenuta pubblicazione dei dati sulla Intranet aziendale è connesso all’adempimento di accordi sindacali sottoscritti con la Direzione aziendale a seguito d’incontro con il Prefetto (i cui verbali sono già agli atti del procedimento dinnanzi al Garante)».

Invero, per la finalità dichiarata, ossia il riscontro a richieste di accesso, la pubblicazione nella Intranet dei dati e delle informazioni riguardanti tutti i dipendenti, non appare conforme al requisito della protezione dei dati fin dalla progettazione (art. 25, par. 1, del RGPD), considerando – fra l’altro – che, in tal modo, vengono meno tutte le garanzie previste pei soggetti controinteressati per la tutela della riservatezza e dei propri dati personali, compresa la possibilità di presentare un’eventuale opposizione, dalle specifiche discipline di settore (cfr. art. 5, comma 5, del d. lgs. n. 33/2013; art. 22, comma 1, lett. c, della l. n. 241 del 7/8/1990; art. 3, del d.P.R. n. 184 del 12/4/2006).

Per tutto quanto sopra descritto, le circostanze evidenziate negli scritti difensivi considerate nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 11 del Regolamento del Garante n. 1/2019.

In tale quadro, si confermano quindi i rilievi notificati dall’Ufficio con la nota prot. n. XX dell’XX e si rileva la non conformità del trattamento di dati personali oggetto del reclamo alla disciplina rilevante in materia di protezione dei dati personali, in quanto l’Azienda ospedaliera:

- ha effettuato un’operazione di «comunicazione» di dati personali a soggetti diversi dall’interessato, in assenza della previsione di una specifica «norma di legge o, nei casi previsti dalla legge, di regolamento», in violazione dell’art. 2-ter, commi 1-4, del Codice e dell’art. 6, par. 1, lett. c) ed e); par. 2 e par. 3, lett. b), del RGPD;

- ha effettuato un trattamento di dati personali non «limitati a quanto necessario rispetto alle finalità per le quali sono trattati» e non rispettando, quindi, il principio di «minimizzazione dei dati», in violazione dell’art. 5, par. 1, lett. c), del RGPD.

- non ha adottato «misure tecniche e organizzative» adeguate «ad attuare in modo efficace i principi di protezione dei dati» fin dalla progettazione e per garantire che siano trattati per «impostazione predefinita» solo «i dati personali necessari per ogni specifica finalità del trattamento», in violazione dell’art. 25, parr. 1 e 2, del RGPD.

Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha provveduto a rimuovere dalla rete Intranet aziendale i dati personali oggetto del reclamo prima descritti, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 RGPD)

L’Azienda Ospedaliera San Pio di Benevento risulta aver violato gli artt. 5, par. 1, lett. c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 25, parr. 1 e 2, del RGPD; nonché l’art. 2-ter, commi 1-4 del Codice.

Per la violazione delle predette disposizioni – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è prevista l’applicazione delle sanzioni amministrative di cui all’art. 83, parr. 4 e 5, del RGPD.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

In ordine alla condotta in esame, pertanto, la violazione delle disposizioni citate è soggetta alla sanzione amministrativa pecuniaria più grave prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso di specie.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali ha avuto a oggetto la mera comunicazione di dati personali a soggetti determinati, autorizzati ad accedere alla rete Intranet aziendale tramite proprie credenziali. I dati personali trattati, riferiti a circa 750 dipendenti, non appartengono a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD) e la pubblicazione nella Intranet si è protratta per un tempo limitato pari a circa 20 giorni. La condotta tenuta, basata su un’errata valutazione circa la relativa conformità alla normativa in materia di protezione dei dati personali, è di natura colposa. L’Azienda ospedaliera ha collaborato con l’Autorità nel corso dell’istruttoria del presente procedimento e non risultano eventuali precedenti violazioni del RGPD pertinenti commesse dalla citata Azienda. Va inoltre considerato, come ulteriore elemento attenuante, il contesto in cui è avvenuto il trattamento e la necessità di adempiere, in tempi brevi, «agli accordi sindacali sottoscritti con la Direzione aziendale a seguito d’incontro con il Prefetto» ai fini dell’avvio delle procedure interne per l’attribuzione delle fasce di progressioni economiche a tutto il personale interessato, arretrate negli anni. In tale situazione, infatti, l’amministrazione – anche considerando che «non era possibile all’inizio stabilire il numero preciso degli aventi diritto alla fascia superiore, perché legato alla consistenza dei fondi» – si è trovata di fronte un «gran numero di richieste d’accesso agli atti ai sensi della l. n. 241/90 e di accesso civico ai sensi del d. lgs. 33/2016, pervenute dopo la pubblicazione della graduatoria finale», per cui ha ritenuto di dover rendere oltremodo trasparente il procedimento. Inoltre, secondo quanto dichiarato dall’ente, nessuno dei partecipanti alla selezione si è previamente «rivolto all’amministrazione per contestare la legittimità dell’inserimento dei dati nella Intranet».

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 10.000,00 (diecimila) per la violazione degli artt. 5, par. 1, lett. c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 25, parr. 1 e 2, del RGPD; nonché l’art. 2-ter, commi 1-4 del Codice, quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, relative alla pubblicazione nella rete Intranet aziendale di dati personali dei dipendenti in assenza di un’idonea base normativa, si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dall’Azienda Ospedaliera San Pio di Benevento nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD

ORDINA

all’Azienda Ospedaliera San Pio di Benevento, in persona del legale rappresentante pro-tempore, con sede legale con sede legale in Via Dell’Angelo 1 - 82100 Benevento (BN) – C.F. 01009760628 di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;

INGIUNGE

alla medesima Azienda ospedaliera di pagare la somma di euro 10.000,00 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

- l’annotazione nel registro interno dell’Autorità ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 14 gennaio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei