g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Powerplay S.r.l. - 27 gennaio 2021 [9561833]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9561833]

Ordinanza ingiunzione nei confronti di Powerplay S.r.l. - 27 gennaio 2021

Registro dei provvedimenti
n. 37 del 27 gennaio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il  Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

1. ATTIVITÀ ISTRUTTORIA SVOLTA

1.1 Premessa

Il sig. XX in data 20 marzo 2019 ha presentato un reclamo al Garante, ai sensi dell’art. 77 del Regolamento, nei confronti di Powerplay S.r.l. (di seguito “Powerplay” o “Società”) lamentando una violazione della vigente disciplina in materia di protezione dei dati personali con riguardo alla ricezione di numerose telefonate promozionali, riguardanti la fornitura di impianti ed accumulatori fotovoltaici, sulle proprie utenze telefoniche, sia fissa che mobile, nonostante la manifestata e reiterata volontà, nel corso dei contatti telefonici, di non ricevere ulteriori comunicazioni promozionali e anche dopo il formale interpello rivolto alla società al fine di conoscere l’origine dei suoi dati e di ottenerne la cancellazione.

L’interessato ha altresì rappresentato l’impossibilità di individuare, nel sito web di Powerplay, le necessarie informazioni sulla policy privacy della società ed in particolare i dati di contatto del responsabile per la protezione dei dati personali;

1.2 Richiesta di informazioni e riscontro fornito da Powerplay S.r.l.

Con nota dell’8 luglio 2019 Powerplay ha dato riscontro alla richiesta di informazioni formulata dall’Autorità il 24 giugno 2019 (nota prot. n. 21748/19), evidenziando che:

- la società, attiva nel settore “promozione delle vendite per conto terzi e gestione campagne promozionali, prestazione di servizi di call center (…), svolgimento di ricerche di mercato e prestazione di servizi amministrativi e di segreteria per conto terzi”, fa parte di un gruppo imprenditoriale, composto dalla capogruppo Tempus S.r.l. e dalla Solarplay S.r.l., che si occupa di energie rinnovabili;

- il gruppo ha provveduto ad adeguarsi al Regolamento adottando una politica comune in materia di privacy ed uno specifico programma di formazione del personale (completato l’11 aprile 2019) rispetto ai relativi adempimenti;

- i dati personali del reclamante, presenti all’interno dei database aziendali, erano stati acquisiti, nell’ambito di un’attività di marketing “porta a porta” volta alla promozione dei prodotti e dei servizi offerti dal gruppo, in particolare nel corso di un incontro, in data 25 maggio 2017, nel quale il reclamante compilava una richiesta di diagnosi energetica;

-  sebbene il rapporto contrattuale non si fosse perfezionato, l’interessato non manifestava in alcun modo la volontà di essere cancellato dalle banche dati della società;

- alla successiva richiesta del reclamante dell’8 marzo 2019 di ottenere la cancellazione dei propri dati dai database aziendali era fornito, in pari data, immediato riscontro, “anche attraverso la collocazione del suo numero nella c.d. blacklist”, con assicurazione che detto inserimento “impedisce tecnicamente che un numero telefonico possa essere ricontattato dai nostri operatori”;

- l’indicazione dei contatti di un “responsabile delegato alla privacy”, la cui mancanza era stata lamentata dal reclamante, sarebbe stata oggetto di intervento, in quanto al momento della richiesta dell’Autorità, il Gruppo imprenditoriale “era in procinto di nominare un Responsabile Protezione Dati”;

- al fine di evitare il verificarsi di episodi analoghi a quelli lamentati dal reclamante, si assicurava l’adozione “con la massima urgenza” degli interventi relativi alla “nomina immediata e pubblicazione dei dati di contatto del RPD all’interno dell’informativa sui siti internet del Gruppo imprenditoriale, nonché comunicazione al Garante per la protezione dei dati personali nelle modalità indicate sul Vostro sito”;

-  si dava inoltre assicurazione che per il futuro sarebbero state “intensificate le sessioni di formazione in materia di tutela dei dati personali e il controllo sull’operato del personale del Gruppo imprenditoriale e dei collaboratori esterni”.

1.3  Chiusura dell’istruttoria ed avvio del procedimento per l’adozione dei provvedimenti correttivi

Sulla base di quanto sopra rappresentato e in assenza di successive repliche da parte del reclamante, è dunque risultato che i dati di quest’ultimo sono stati da questi forniti liberamente per finalità di marketing e che la società ha dato tempestivo riscontro alle sue formali richieste

Nessun chiarimento è tuttavia emerso dai riscontri della Società con riguardo alla circostanza relativa alla lamentata ricezione, da parte del reclamante, di ulteriori contatti telefonici, in particolare il successivo 20 marzo 2019, come indicato nel reclamo e nella documentazione ad esso allegata, nonostante, sulla base di quanto espressamente dichiarato da Powerplay, il nominativo dell’interessato fosse stato inserito nella black list aziendale e fosse stato dato riscontro anche alla richiesta di cancellazione dei dati stessi.

Ulteriori lacune sono state riscontrate anche rispetto alla nomina di un unico responsabile per la protezione dei dati personali (RPD) per il Gruppo imprenditoriale di cui la società ha dichiarato di far parte; tale nomina, consentita ai sensi dell’art. 37, par. 2 del Regolamento, avrebbe dovuto aver efficacia già a partire dal 25 maggio 2018 con la piena operatività di quest’ultimo, analogamente alla necessaria comunicazione al Garante dei relativi dati di contatto, effettuata solo in data 15 luglio 2019, da parte della sola capogruppo Tempus S.r.l. e comunque Powerplay, in veste di autonomo titolare, avrebbe dovuto effettuare detta  comunicazione all’Autorità, come espressamente previsto dall’art. 37, par. 7 del Regolamento.

Inoltre, i dati di contatto del responsabile per la protezione dei dati non sono risultati presenti neanche nel sito web di Powerplay (all’indirizzo http://www.powerplay.cloud) e, dai controlli effettuati dall’Ufficio nel corso dell’istruttoria preliminare, è emerso come nello stesso risultavano totalmente assenti le informazioni di cui all’art. 13 del Regolamento, nonostante la possibilità, attraverso la compilazione di un apposito form on line ivi presente, di acquisire i dati personali degli utenti;

Pertanto con nota dell’Ufficio del 19 maggio 2020 (prot. n.18329/20), ai sensi dell’art. 166, comma 5, del Codice, è stato comunicato a Powerplay l’avvio del procedimento per l’eventuale adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento e notificate le presunte violazioni di legge, in ragione della mancanza, per i trattamenti effettuati dalla società, di un idoneo presupposto normativo, in violazione degli artt. 6 e 7 del Regolamento, nonché il mancato rispetto dei principi di liceità e correttezza del trattamento, in violazione dell’art. 5, par. 1, lett. a) e dei successivi artt. 17, par. 1 e 21, par. 3, con specifico riguardo all’esercizio, da parte dell’interessato, del diritto di cancellazione dei propri dati e di opposizione al trattamento per finalità di direct marketing.

Con detta nota, sono state altresì contestate  la violazione dell’art. 37, paragrafi 1 e 7, del Regolamento, con riguardo sia alla tardiva nomina del responsabile per la protezione dei dati personali del Gruppo imprenditoriale di cui fa parte Powerplay, sia l’assenza di una comunicazione, da parte di quest’ultima al Garante, dei relativi dati di contatto, nonché la violazione dell’art. 13 del Regolamento per la totale carenza nel sito web della società delle informazioni, compresi i dati di contatto del RPD, che il titolare del trattamento è tenuto a rilasciare agli interessati qualora ne acquisisca i dati.

2. OSSERVAZIONI DIFENSIVE E VALUTAZIONI DELL’AUTORITÀ

2.1 Memoria difensiva ed audizione di Powerplay S.r.l.

Con comunicazione del 18 giugno 2020 Powerplay, ha dato riscontro alla predetta comunicazione dell’Ufficio precisando, nell’ambito delle proprie memorie difensive, che “Tempus S.r.l. detiene il 100% delle quote sia di Powerplay S.r.l. che di Solarplay S.r.l.” ed in particolare che:

- i contatti indesiderati sull’utenza telefonica del reclamante successivamente all’inserimento del nominativo nella black list aziendale, sarebbero stati imputabili ad un “mero errore materiale“ di inserimento in detta lista del solo numero di utenza fissa dell’interessato e non anche di quello di telefonia mobile pure detenuto dalla società e che, pertanto quest’ultima avrebbe “agito colposamente e senza alcuna volontà di perpetrare una illegittima interferenza nella sfera personale dell’interessato”;

-  una volta verificato l’errore, la società ha “tempestivamente provveduto a cancellare definitivamente i dati di contatto del Sig. XX” dal quale, peraltro, non è pervenuta più alcuna doglianza;

- per fornire una risposta efficace all’esercizio dei diritti di opposizione e di cancellazione degli interessati, la società ha posto in essere misure tecnico-organizzative che sono state implementate anche a seguito dell’adozione, da parte del Gruppo imprenditoriale, “di una politica di gruppo in materia di privacy e dalla predisposizione di uno specifico programma di formazione rivolto al personale circa gli adempimenti previsti dal GDPR”;

- ai fini della comunicazione all’Autorità del nominativo e dei dati di contatto del responsabile per la protezione dei dati personali di gruppo e “del fatto che la nomina dovesse intendersi applicabile all’intero Gruppo imprenditoriale”, nell’apposito modulo di comunicazione, non è risultata presente alcuna voce che permettesse di specificare la struttura del Gruppo imprenditoriale;

- la landing page http://www.powerplay.cloud non è gestita direttamente da Powerplay bensì da un gestore esterno, tenuto alla relativa manutenzione ed all’inserimento dei contenuti e che a quest’ultimo la società avrebbe reiteratamente richiesto un intervento volto a “provvedere al caricamento di tutta la documentazione necessaria ai fini privacy, inclusa l’informativa relativa al trattamento dei dati personali”, così come avrebbe più volte sollecitato, senza ottenere riscontro, le credenziali per poter procedere in autonomia alla pubblicazione delle informazioni nella suddetta  landing page;

- peraltro lo stesso responsabile per la protezione dei dati personali, nel corso del suo primo intervento, già in data 25 luglio 2019, aveva espressamente rilevato che “il sito http://www.powerplay.cloud non reca il contatto del DPO nella policy che risulta assente e pertanto da inserire”;

Nella menzionata comunicazione Powerplay ha inoltre fornito gli elementi utili alle valutazioni di cui all’art. 83 par. 2 del Regolamento, evidenziando in particolare che:

-  la violazione è stata imputabile ad un errore non intenzionale di mancato inserimento del numero di telefonia mobile destinatario dei contatti promozionali indesiderati nella apposita black list e ha comportato “un pregiudizio di lieve entità nei confronti di un solo interessato e per un modico lasso di tempo”;

- “non sono state riscontrate precedenti violazioni della normativa privacy né irrogati precedenti provvedimenti sanzionatori” nei confronti della società e che quest’ultima non “ha tratto alcun beneficio diretto o indiretto” dalla condotta lamentata;

- è stata adottata “ogni misura necessaria per attenuare il danno subito dall’interessato, prestando piena collaborazione a codesta ’Autorità”;

- la mancata comunicazione del nominativo e dei dati di contatto del RPD di Gruppo ai sensi dell’art.37, par. 7 del Regolamento è stata imputabile ad “una situazione di incertezza relativa alle istruzioni fornite in merito alla compilazione del modulo di comunicazione dei dati di contatto del RPD (…) presente sul sito internet di codesta Autorità”;

- la violazione dell’art. 13 del Regolamento è avvenuta in assenza di colpa, avendo la società “sollecitato più volte il gestore della landing page affinché fosse pubblicata tutta la documentazione necessaria ai fini privacy”; 

Nel corso dell’audizione di cui all’art. 166, comma 6, del Codice, svoltasi in data 8 luglio 2020, la società ha sostanzialmente ribadito quanto già rappresentato nei propri scritti difensivi, assicurando che nei giorni successivi si sarebbe provveduto all’integrazione  delle informazioni relative alla presenza del RPD anche per le società Solarplay e Powerplay e, con riguardo all’informativa“ assente nel sito di quest’ultima,  di essersi attivata per richiedere il reset delle password per l’accesso ai contenuti del sito e di aver provveduto all’inserimento delle necessarie informazioni come previsto dal Regolamento, in data 6 luglio 2020.

2.2 Considerazioni in fatto e in diritto

Alla luce di quanto emerso, risultano confermati la fondatezza del reclamo presentato all’Autorità e l’illiceità dei trattamenti effettuati da Powerplay, in qualità di titolare del trattamento, stante la violazione delle disposizioni di cui agli artt. 6 e 7 del Regolamento, nonché dell’art. 5, par. 1 lett. a), e dei successivi artt. 17, par. 1 e 21, par. 3.

Si prende atto, tuttavia, di quanto rappresentato da Powerplay nelle proprie memorie difensive rese ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, ed in particolare che:

- il caso sottoposto all’esame dell’Autorità con riguardo alla ricezione di telefonate promozionali indesiderate anche a seguito dell’opposizione al trattamento da parte dell’interessato e nonostante la cancellazione dei relativi dati è stato giustificato dal mancato inserimento del relativo numero di utenza mobile nella black list aziendale a causa di un mero ed episodico errore materiale di registrazione;

-  la Società ha provveduto a rimuovere definitivamente gli effetti pregiudizievoli della propria condotta, sia procedendo alla definitiva cancellazione dei dati del reclamante dai propri database sia assicurando l’implementazione delle misure tecnico-organizzative necessarie per garantire in maniera efficace l’esercizio dei diritti degli interessati previsti dagli artt. 17 e 21 del Regolamento, anche attraverso la predisposizione di uno specifico programma di formazione rivolto al personale sugli adempimenti previsti dalla normativa, in materia di protezione dei dati personali. Si ritiene, pertanto, di non dover adottare specifici provvedimenti sul punto.

Si deve invece sottolineare, in particolare con riguardo all’accertata violazione dell’art. 13 del Regolamento:

- l’irrilevanza del richiamo a generiche difficoltà di contatto della Società con il gestore esterno della landing page per il necessario inserimento delle informazioni privacy;

-  l’assenza di elementi oggettivi volti a comprovare le menzionate difficoltà, come pure ogni altra iniziativa comunque intrapresa da Powerplay per conformarsi alle previsioni di cui alla sopra citata disposizione;

- la circostanza che l’originaria carenza di dette informazioni si è protratta sino all’intervento dell’Autorità in ragione del reclamo pervenuto.

Ad identica conclusione deve giungersi con riguardo alla violazione dell’art. 37, paragrafi 1 e 7 del Regolamento, rispetto sia alla nomina del RPD di Gruppo sia alla doverosa comunicazione dei relativi dati di contatto al Garante, risultando conclamata, sulla base della circostanza che detta nomina come pure detta comunicazione, sono state effettuate solo a seguito delle richieste dell’Autorità nel contesto del caso di specie e dalla sola capogruppo Tempus S.r.l. e che, a prescindere dalle modifiche medio tempore apportate alla modulistica predisposta dal Garante, Powerplay non poteva ritenersi, proprio in quanto autonomo titolare del trattamento, esonerata dall’obbligo di effettuare la dovuta comunicazione, dovendosi peraltro distinguere tale adempimento dalla misura di semplificazione legata alla possibilità di designazione di un unico RPD di Gruppo ai sensi del paragrafo 2 della menzionata norma.

3. CONCLUSIONI

Pertanto, in considerazione di quanto sopra richiamato e rispetto alle specifiche violazioni di cui agli artt. 5, par. 1, lett. a), 6 e 7 del Regolamento ed ai successivi artt. 17, par. 1 e 21, par. 3 dello stesso, considerata la limitata ricaduta delle condotte accertate sui trattamenti svolti dalla Società si ritiene:

- di poter prescindere dall’applicazione di sanzioni amministrazioni pecuniarie nei confronti di Powerplay S.r.l., ammonendo tuttavia quest’ultima ai sensi dell’art. 58, par. 2 lett. b) del Regolamento affinché attraverso la concreta adozione delle misure tecnico-organizzative già individuate e l’implementazione di ogni ulteriore e necessario accorgimento, rispetto a trattamenti di dati personali per finalità di marketing diretto, nonché alla  gestione dei diritti degli interessati, non si ripetano condotte analoghe a quelle effettuate in violazione delle menzionate norme;

- di dover ingiungere a Powerplay S.r.l , ai sensi dell’art. 58, par. 2 lett d), di comunicare quali specifiche misure tecnico-organizzative siano state adottate per garantire la conformità dei richiamati trattamenti alla normativa, con particolare riguardo alla corretta gestione dei diritti degli interessati ed in particolare del diritto di opposizione di cui all’art.21 e del diritto di cancellazione di cui all’art. 17 del Regolamento e di darne riscontro all’Autorità  entro il termine di 30 giorni dalla notifica del presente provvedimento, evidenziando che l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

- di dover imporre a Powerplay S.r.l , ai sensi dell’art. 58, par. 2 lett. f) del Regolamento il divieto di ogni trattamento nei confronti di tutti gli eventuali interessati i cui dati personali siano stati acquisiti tramite il form on-line presente nel sito web della società, con riguardo al periodo in cui nello stesso sono risultate assenti le necessarie  informazioni previste dall’art. 13 del Regolamento, nonché di comunicare in caso affermativo, ai sensi dell’art. 157 del Codice, il numero dei  soggetti interessati coinvolti nel trattamento dei dati, come pure le iniziative intraprese al fine di dare attuazione al divieto adottato, nel medesimo termine di 30 giorni dalla notifica del presente provvedimento e con le medesime avvertenze sopra evidenziate.

Con riferimento alle violazioni di cui agli artt. 13 e 37, par. 1 e par. 7 del Regolamento, si ritiene invece di dover adottare un’ordinanza ingiunzione nei termini di cui al successivo paragrafo.

4. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Per quanto sopra riferito, si ritiene di dover adottare un’ordinanza ingiunzione ai sensi degli art. 166, comma 7 del Codice e 18 della legge n. 689/1981 per l’applicazione nei confronti di Powerplay S.r.l.  della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 4, lett. a) e par. 5, lett. b) del Regolamento per le violazioni di cui ai menzionati art. 13 e 37, par. 1 e par. 7 del Regolamento.

Per la determinazione dell’ammontare di tale sanzione occorre tener conto degli elementi indicati nell’art. 83, par. 2 del Regolamento e, in particolare, quali fattori aggravanti:

1) la gravità e la durata della violazione (art.83, par. 2, lett. a) del Regolamento) con riferimento alla rilevata violazione di cui all’art. 13 del Regolamento, tenuto conto della permanente assenza delle informazioni di cui alla citata norma, ivi compresi i dati di contatto del RPD, nel sito web della società sino all’intervenuta contestazione dell’Autorità e, in particolare sino alla data del 6 luglio 2020, come dichiarato nel corso dell’audizione dell’8 luglio 2020;

2) il carattere significativamente negligente della condotta  (art. 83, par.2, lett. b) del Regolamento) tenuta dalla società rispetto ad un adempimento di primaria importanza, come quello di cui all’art. 13 del Regolamento, rispetto al quale la stessa non ha dato prova, avendo delegato la gestione della propria landing page ad un gestore esterno, non solo di non essersi attivata per verificare ogni possibile difficoltà tecnica, ma anche di non essersi attivata, nel tempo, al fine di sopperire, anche attraverso un opportuno e puntuale monitoraggio,  alla rilevate carenze;

3)  la gravità e la durata della violazione (art.83, par. 2, lett. a) del Regolamento) con riferimento alla rilevata violazione di cui all’art. 37, par. 1 e par. 7, tenuto conto dell’obbligo di nomina del responsabile per la protezione dei dati personali di Gruppo già dal 25 maggio 2018 con la piena operatività del Regolamento e del relativo adempimento solo a seguito dell’intervento dell’Autorità nel caso di specie, come pure per la comunicazione dovuta al Garante direttamente da Powerplay, in veste di titolare autonomo del trattamento, intervenuta solo in data il 10 luglio 2020;
quali fattori attenuanti:

4) l’adozione di misure volte a mitigare le conseguenze delle violazioni (art. 83, par. 2, lett. c) del Regolamento), in particolare attraverso l’inserimento dell’informativa privacy, comprensiva dei dati di contatto del RPD, ai sensi dell’art. 13 del Regolamento nel sito web della società;

5) la cooperazione con l’Autorità nel corso dell’istruttoria preliminare (art. 83, par. 2, lett. f) del Regolamento);

6) il carattere non doloso della violazione (art.83, par.2, lett. b) del Regolamento).

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e sufficiente dissuasività indicati nell’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Powerplay S.r.l. la sanzione amministrativa del pagamento di una somma di euro 20.000,00 (ventimila), pari allo 0,15% della sanzione massima edittale.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della condotta della Società, dei propri partner, nonché dell’elevato numero dei soggetti potenzialmente coinvolti nei trattamenti presi in esame;

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

In caso di inosservanza di quanto disposto dal Garante, può trovare applicazione la sanzione amministrativa di cui all’art. 83, par. 5, lett. e), del Regolamento:

TUTTO CIÒ PREMESSO, IL GARANTE

a) dichiara il reclamo fondato per le ragioni di cui in premessa e, per l’effetto, ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce Powerplay S.r.l., affinché attraverso la concreta adozione delle misure tecnico-organizzative già individuate e l’implementazione di ogni ulteriore e necessario accorgimento, rispetto a trattamenti di dati personali per finalità di marketing diretto, nonché alla  gestione dei diritti degli interessati, non si ripetano condotte analoghe a quelle effettuate in violazione delle norme di cui agli artt. 5, par. 1, lett. a), 6 e 7 del Regolamento, nonché degli artt. 17 par. 1 e 21, par. 3 del Regolamento;

b) ingiunge a Powerplay S.r.l., ai sensi dell’art. 58, par. 2 lett. d) di comunicare quali specifiche misure tecnico-organizzative siano state adottate per garantire la conformità dei richiamati trattamenti alla normativa, con particolare riguardo alla corretta gestione dei diritti degli interessati ed in particolare del diritto di opposizione di cui all’art. 21 e del diritto di cancellazione di cui all’art. 17  del Regolamento e di darne riscontro all’Autorità  entro il termine di 30 giorni dalla notifica del presente provvedimento, evidenziando che l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

c) impone a Powerplay S.r.l , ai sensi dell’art. 58, par. 2 lett. f) del Regolamento il divieto di ogni trattamento nei confronti di tutti gli eventuali interessati i cui dati personali siano stati acquisiti tramite il form on line presente nel sito web della società con riguardo al periodo in cui nello stesso sono risultate assenti le necessarie  informazioni previste dall’art. 13 del Regolamento, nonché di comunicare in caso affermativo, ai sensi dell’art. 157 del Codice, il numero dei  soggetti interessati coinvolti nel trattamento dei dati, come pure le iniziative intraprese al fine di dare attuazione al divieto adottato, nel medesimo termine di 30 giorni dalla notifica del presente provvedimento e con le medesime avvertenze sopra evidenziate;

ORDINA

A Powerplay S.r.l. in persona del legale rappresentante pro-tempore, con sede legale in Torri di Quartesolo (VI), via Bolzano 5, C.F. 04161040243 , di pagare la somma di euro 20.oo0,oo (ventimila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

Alla predetta Società, in caso di mancata definizione della controversia i sensi dell’art. 166, comma 8, del Codice di pagare la somma di euro 20.oo0,oo (ventimila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981.

DISPONE

L’applicazione della sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la sede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 27 gennaio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei