g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Progetto Udire S.r.l. - 16 dicembre 2021 [9742704]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9742704]

Ordinanza ingiunzione nei confronti di Progetto Udire S.r.l. - 16 dicembre 2021

Registro dei provvedimenti
n. 444 del 16 dicembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale ha preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;    

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Con reclamo del 25 ottobre 2019, avanzato a questa Autorità ai sensi dell’art. 77 del Regolamento, il signor XX ha lamentato la ricezione di una comunicazione a mezzo posta cartacea avente ad oggetto la promozione di apparecchi acustici. Le informazioni commerciali riportate nel messaggio facevano riferimento alla Società Progetto Udire S.r.l.. Il signor XX, non ricordando di aver mai conferito un consenso, ha inviato una pec alla Società per richiedere “l'indicazione puntuale dell'origine del consenso … raccolto, l'indicazione delle operazioni svolte con i dati trattati nonché gli estremi identificativi del titolare e del responsabile”. A tale richiesta non sarebbe pervenuto alcun riscontro e, per tali ragioni, l’interessato si è rivolto al Garante.

La richiesta di informazioni inviata dall’Ufficio l’11 maggio 2020 alla Società è rimasta priva di riscontro ed è stato pertanto necessario reiterarla ai sensi dell’art. 157 del Codice. Permanendo il silenzio, il 12 novembre 2020 è stata notificata, a mezzo Guardia di Finanza, una comunicazione di avvio del procedimento per contestare il mancato riscontro alla richiesta formulata dal Garante.

Concluso un successivo ed incidentale procedimento di accesso agli atti, la Società ha dunque fatto pervenire, il 24 dicembre 2020, una memoria difensiva nella quale ha dichiarato che il trattamento è stato posto in essere dalla GN Hearing Srl, nominata responsabile del trattamento. Questa, “all’insaputa” di Progetto Udire, avrebbe incaricato una società terza, la Udibox S.r.l., di reperire la lista dei soggetti cui inviare le comunicazioni promozionali. La Udibox ha fatto pervenire al Garante una dichiarazione spontanea nella quale, confermando tale impostazione, ha rappresentato di aver utilizzato per errore una lista non aggiornata ma di aver comunque provveduto a cancellare i dati del reclamante. Ritenendo, per ciò solo, la propria condotta esente da responsabilità, Progetto Udire ha dichiarato di aver “sottostimato l’importanza di dare riscontro alle missive pervenutegli”.

La Società inoltre, con l’intento di dimostrare la propria attenzione al rispetto delle norme, ha allegato documentazione comprovante le misure adottate dopo l’entrata in vigore del Regolamento (registro dei trattamenti, elenco dei responsabili del trattamento, elenco delle misure di sicurezza, tipologie di informative presentate agli interessati, valutazione d’impatto). La stessa ha inoltre allegato il contratto sottoscritto con GN Hearing e la lettera di nomina a responsabile del trattamento.

Valutati tali elementi, con la nota del 16 aprile 2021 è stato notificato a Progetto Udire l’avvio del procedimento ai sensi dell’art. 166, comma 5 del Codice. In tale sede sono state contestate le seguenti violazioni nel merito:

a) la violazione degli artt. 5, par. 2, 24 e 28 del Regolamento, tenuto conto del fatto che i ruoli delle parti nel trattamento sono risultati indeterminati, stante il quadro di scarso controllo da parte della Società nei trattamenti finalizzati alla realizzazione della campagna promozionale con conseguente incapacità di ottemperare all’obbligo di comprovare il rispetto delle norme (accountability del titolare);

b) la violazione dell’art. 6, par. 1, lett. a) del Regolamento e dell’art. 130 del Codice poiché la condotta ha dato luogo ad un trattamento di dati personali senza consenso;

c) la violazione degli artt. 12, 14 e 15 del Regolamento poiché la comunicazione promozionale ricevuta dal signor XX non conteneva alcuna informativa in merito al trattamento dei dati personali e poiché non era stato fornito riscontro alla richiesta di esercizio dei diritti.

La Società, nell’esercizio del diritto di difesa, ha presentato le proprie osservazioni con pec del 28 maggio 2021 assicurando innanzitutto di aver apportato diversi interventi correttivi alle proprie procedure ed alla documentazione volta a regolare i rapporti contrattuali tra le parti coinvolte nel trattamento. In particolare, di aver sottoscritto con GN Hearing un nuovo accordo sul trattamento dei dati personali ammettendo l’appalto delle attività ad un sub-responsabile previa autorizzazione scritta del titolare (autorizzazione che pure è stata prodotta in allegato alla memoria difensiva). La Società ha inoltre precisato che la scelta di avvalersi della collaborazione di GN Hearing e di Udibox è stata dettata dalla pregressa esperienza da queste maturata nel trattamento di dati personali, anche relativi allo stato di salute, correlati alla promozione di prodotti per le malattie dell’apparato uditivo.

Con riguardo allo specifico caso che ha visto coinvolto il signor XX, pur consapevole del ritardo, la Società ha dichiarato di aver provveduto ad inviare all’interessato tutte le informazioni utili a soddisfare la richiesta di esercizio dei diritti a suo tempo presentata.

Inoltre, in merito alla mancanza, nella comunicazione promozionale inviata, delle informazioni previste dall’art. 14 del Regolamento, La Società ha chiarito di aver “chiesto a terzi di svolgere una comunicazione pubblicitaria neutra, priva di riferimenti specifici all’interessato, contenente esclusivamente indicazioni circa i servizi resi e potenziali prodotti venduti da Progetto Udire”.

Infine, con riguardo ai mancati riscontri alle richieste del Garante, la Società si è giustificata evidenziando le difficoltà operative occorse nel 2020 a causa della pandemia.

2. LE VIOLAZIONI RISCONTRATE

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle affermazioni della Società di cui il dichiarante risponde ai sensi dell’art. 168 Codice, si formulano le seguenti valutazioni in relazione ai profili riguardanti la disciplina in materia di protezione dei dati personali.

2.1 Ruoli delle parti nel trattamento e accountability del titolare

Con riguardo alla campagna promozionale oggetto di reclamo, la Società ha dichiarato di averla affidata alla GN Hearing ed ha allegato, quale documentazione comprovante, un’offerta del 21 gennaio 2019, sottoscritta per accettazione, e un documento denominato “Atto di nomina del responsabile del trattamento” datato 19 luglio 2019.

Dall’esame del primo documento, il contratto, si evince che GN Hearing avrebbe dovuto fornire, tra gli altri, un servizio di copywriting e di mailing, confezionando la veste grafica del messaggio e occupandosi dell’inoltro per via postale. Non viene invece indicato chi, tra committente (titolare del trattamento) e affidatario (responsabile), avrebbe dovuto reperire la lista dei soggetti destinatari.

Anche dall’esame dell’atto di nomina, non risultando presenti le istruzioni che il titolare avrebbe dovuto fornire al responsabile ai sensi dell’art. 28, par. 3 del Regolamento, non è stato possibile evincere chi avesse la responsabilità di selezionare i destinatari dei messaggi promozionali, né comprendere i criteri adottati per effettuare tale selezione.

Anche la nuova documentazione contrattuale, esibita al Garante con la seconda memoria difensiva pare non sufficientemente adeguata, all’atto pratico, a regolare i rapporti fra le parti. Si osserva infatti che l’accordo sottoscritto il 27 maggio 2021 fra Progetto Udire e GN Hearing rappresenta, per lo più, una ricognizione di quanto già previsto in via generale dalle norme ma non contiene specifiche istruzioni al responsabile da seguire per realizzare, in concreto, il trattamento desiderato. Anche in questo caso, non c’è alcuna indicazione in merito al reperimento delle liste di contatto, alla verifica della liceità dei consensi e alle modalità con cui queste liste dovranno essere utilizzate, né vi sono indicazioni in merito alla gestione di eventuali richieste di esercizio dei diritti da parte degli interessati.

Con riguardo alla nomina del sub-responsabile, eventualità ora prevista dal nuovo accordo fra titolare e responsabile, si osserva che l’autorizzazione scritta ad avvalersi di Udibox, datata 13 maggio 2021, risulta precedente allo stesso accordo fra le parti, che come detto è del successivo 27 maggio.

Tale confusa gestione dei rapporti tra le parti si affianca ad una insufficiente dimostrazione del rispetto delle norme da parte del titolare.

Si ricorda, infatti, che è onere del titolare del trattamento dimostrare di aver fatto ricorso a un responsabile che presenta garanzie sufficienti.

Allo stesso modo, rientra tra le responsabilità del titolare quella di assicurarsi che il trattamento avvenga nel rispetto delle norme, attraverso un’idonea attività di vigilanza. Nella prospettazione della difesa, invece, non risulta che il titolare abbia effettuato verifiche sull’operato del responsabile ma, anzi, la Società avrebbe appreso - solo dopo l’avvio dell’istruttoria da parte del Garante – che il proprio responsabile aveva affidato parte del trattamento a un terzo “ad insaputa di Progetto Udire”. Tale evento, peraltro, sembrerebbe rimasto privo di conseguenze.

Pur dando atto che, nella seconda memoria difensiva, Progetto Udire ha chiarito di aver scelto i propri partner in virtù della specifica esperienza in materia di prodotti audiologici e senza voler entrare nel merito delle scelte imprenditoriali, si deve comunque osservare che nulla è stato chiarito in merito alle verifiche sull’operato del responsabile, né con riguardo al trattamento esaminato a partire dal reclamo, né con riguardo ai futuri trattamenti a questo affidati.

Quanto sin qui descritto consente di delineare un quadro di scarso controllo da parte della Società nei trattamenti finalizzati alla realizzazione della campagna promozionale con conseguente incapacità di ottemperare all’obbligo di comprovare il rispetto delle norme (accountability del titolare). Tale aspetto appare di certo il più meritevole di attenzione dal momento che le carenze nell’organizzazione del titolare si sono rivelate il presupposto di tutte le altre illiceità (di seguito descritte) che, seppur autonomamente censurabili, si sarebbero potute evitare o contenere con l’adozione di misure organizzative adeguate.

Pertanto, si ritiene integrata la violazione degli artt. 5, par. 2, 24 e 28 del Regolamento e si rende necessario ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiungere a Progetto Udire di predisporre idonee procedure per verificare che i trattamenti realizzati tramite i responsabili siano conformi alle norme, integrando le istruzioni già predisposte ai sensi dell’art. 28 del Regolamento.

Inoltre, con riguardo ai trattamenti già realizzati, stante anche il perdurare delle violazioni, si ritiene applicabile una sanzione amministrativa pecuniaria, ai sensi dell’art. 58, par.2, lett. i) del Regolamento.

2.2 Assenza di idonea base giuridica per il trattamento

La condotta descritta, originando dall’utilizzo di una lista non aggiornata (di cui non è stata specificata la provenienza) e in assenza di giustificazioni in merito alla base giuridica, ha dato luogo all’invio di una comunicazione promozionale senza consenso, integrando la violazione dell’art. 6, par. 1, lett. a), del Regolamento e dell’art. 130 del Codice.

Per completezza di istruttoria, in mancanza di indicazioni da parte del reclamante e del titolare, l’Ufficio, ha verificato la presenza dell’indirizzo del signor XX nel Registro delle opposizioni postale(1).  Se è pur vero che, come accertato dall’Ufficio, il reclamante non risulta aver mai iscritto il proprio indirizzo in tale Registro per opporsi al marketing cartaceo, deve comunque rilevarsi che la Società non ha mai chiarito l’origine dei dati (elenchi pubblici o altra fonte), limitandosi a ritenere di non avere alcuna responsabilità nel trattamento. A tal proposito, si deve aver riguardo anche alla comunicazione inviata da Udibox il 23 dicembre 2020 che ha dichiarato di aver operato “utilizzando per mero errore materiale una banca dati non più aggiornata” e di aver provveduto a correggere l’errore “riprendendo ad utilizzare esclusivamente banche dati con nominativi di soggetti che hanno prestato il proprio consenso”. Dal tenore di tali dichiarazioni e dato che la Società non ha mai documentato di aver fatto preliminari verifiche nel Registro delle opposizioni, è lecito escludere che la fonte dei dati, nel caso di specie, sia stata l’elenco pubblico (che avrebbe invece consentito l’invio del messaggio promozionale anche senza il consenso del signor XX) e, pertanto, la Società avrebbe dovuto documentare l’ottenimento di un idoneo consenso.

Per tali ragioni, ai sensi dell’art. 58, par. 2, lett. f), si rende necessario vietare a Progetto Udire l’invio di comunicazioni promozionali a soggetti per i quali non sia in grado di dimostrare l’acquisizione di un idoneo consenso.

Inoltre, tenuto conto del perdurante silenzio in merito all’origine dei dati e della poca attenzione con cui tale aspetto è stato valutato dal titolare, si ritengono sussistenti i presupposti per l’applicazione di una sanzione amministrativa pecuniaria, ai sensi dell’art. 58, par.2, lett. i) del Regolamento. 

2.3 Trasparenza e informazioni agli interessati

La comunicazione promozionale ricevuta dal reclamante ed esibita al Garante non conteneva alcuna delle informazioni previste dall’art. 14 del Regolamento. In mancanza di altri riferimenti, il reclamante si è rivolto direttamente alla Società nel cui interesse era stata effettuata la promozione, per esercitare i propri diritti come descritto al punto 1. Tale richiesta tuttavia è rimasta priva di riscontro e la Società non si è mai giustificata in merito.

La mancanza di un’idonea informativa, peraltro, non può ritenersi giustificata, come argomentato dalla difesa del titolare, dalla necessità di inviare una “comunicazione neutra” agli interessati. È difatti evidente che il requisito dell’impersonalità del messaggio, volto semmai a preservarne la confidenzialità, non ha alcun riferimento logico con l’obbligo di rendere le informazioni in merito al trattamento dei dati personali.

La Società, solo dopo l’avvio del procedimento, ha fornito riscontro al reclamante con pec del 27 maggio 2021 inoltrandogli la copia dell’informativa privacy.

Inoltre, si deve rilevare che la richiesta del reclamante di avere “l'indicazione puntuale dell'origine del consenso … raccolto” è rimasta insoddisfatta dal momento che la Società non è stata in grado di documentare il consenso e non ha fornito alcun chiarimento in merito alla fonte, utilizzata erroneamente da Udibox, da cui sarebbero stati estratti i dati del signor XX.

Per tali ragioni si ritiene integrata la violazione degli artt. 12, 14 e 15 del Regolamento.

Considerato quanto sopra, si ritiene necessario - ai sensi dell’art. 58, par. 2, lett. d) del Regolamento – ingiungere a Progetto Udire di fornire al reclamante indicazioni in merito all’origine dei propri dati e, più in generale, di adottare idonee procedure volte a dare tempestivo riscontro alle richieste degli interessati, anche eventualmente per il tramite del responsabile del trattamento.

Si ritiene altresì applicabile una sanzione amministrativa pecuniaria, ai sensi dell’art. 58, par.2, lett. i) del Regolamento. 

2.4 Mancato riscontro alle richieste di informazioni del Garante

Come già decritto in premessa, la Società non ha fornito riscontro alla prima richiesta di informazioni inviata dal Garante l’11 maggio 2020, né a quella successivamente inoltrata, ai sensi dell’art. 157 del Codice, l’8 luglio 2020.

Tale condotta omissiva ha reso necessario l’impiego della Guardia di Finanza per la notifica, avvenuta il 12 novembre 2020, con conseguente aggravamento del procedimento e con l’impossibilità di effettuare accertamenti in sede istruttoria, essendo stato demandato ogni riscontro alla fase difensiva successiva all’avvio del procedimento.

La Società si è difesa in merito osservando, in un primo momento, di aver sottostimato l’importanza di fornire riscontro alle richieste e successivamente rappresentando le difficoltà connesse alla gestione dell’attività lavorativa durante l’emergenza pandemica.

Si ritiene, pertanto, sussistente la violazione dell’art. 157 del Codice.

Pur dovendo considerare che la Società ha omesso di fornire riscontro in ben due casi, nonostante la corretta ricezione delle richieste via pec si deve tuttavia aver riguardo al contesto eccezionale in cui la vicenda si è inserita, dando atto delle difficoltà incontrate nel pieno sviluppo della pandemia. Per tali ragioni, si ritiene di poter soprassedere dall’applicazione di una sanzione amministrativa pecuniaria ma si rende necessario, ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, rivolgere a Progetto Udire un ammonimento in merito al fatto che la mancanza di tempestivi riscontri alle richieste dell’Autorità ha comportato la realizzazione di una condotta illecita.

3. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, stanti le violazioni richiamate, si rende applicabile la sanzione prevista dall’art. 83, par. 5 del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del  Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, nel caso di specie, devono essere considerate le seguenti circostanze aggravanti:

1. la natura dei dati trattati poiché, pur tenendo conto che nel caso di specie sono stati utilizzati solo dati comuni, la più generale attività descritta può potenzialmente comportare anche il trattamento di categorie particolari di dati (dati relativi alla salute) a fronte di misure ritenute non adeguate a garantire il controllo sull’attività del responsabile;

2. la presumibile numerosità dei soggetti coinvolti dal momento che, l’invio di comunicazioni commerciali utilizzando una lista non aggiornata, pur essendo stato lamentato solo dal signor XX, verosimilmente non è stato limitato solo a quest’ultimo considerato che una campagna promozionale generalmente coinvolge un gran numero di destinatari, sulla base di quanto si può ragionevolmente attendere in base all’ordinaria conoscenza del settore;

3. il grado di responsabilità del titolare del trattamento che, senza mai giustificarsi, non ha fornito riscontro all’esercizio dei diritti del signor XX (costringendolo a rivolgersi al Garante) e che non ha posto in essere alcun tipo di controllo sull’attività del responsabile non essendo, così, in grado di rendere conto del suo operato;

4. le misure adottate dal titolare del trattamento che, pur avendo modificato la documentazione contrattuale, non ha dimostrato di aver posto in essere interventi sufficienti;

Quali elementi attenuanti, si ritiene di dover tener conto:

1. del livello di pregiudizio per gli interessati che, con riguardo alla ricezione di messaggi indesiderati deve considerarsi non elevato, in ragione della minore invasività della posta cartacea rispetto ad altri mezzi di comunicazione;

2. dei risultati economici registrati a bilancio nell’anno 2020;

3. dell’assenza di precedenti procedimenti avviati a carico della Società.

In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, e in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società.

Pertanto si ritiene che, in base all’insieme degli elementi sopra indicati, avuto riguardo alle decisioni adottate in precedenti casi analoghi debitamente bilanciate con i risultati economici della Società, debba applicarsi a Progetto Udire la sanzione amministrativa del pagamento di una somma pari a euro 30.000,00 (trentamila/00), pari allo 0,15% del massimo edittale di 20 milioni di euro e, in ragione degli elementi aggravanti rilevati, la sanzione accessoria della pubblicazione per intero del presente provvedimento nel sito web del Garante come previsto dall’art. 166, comma 7 del Codice e dall’art. 16 del regolamento del Garante n. 1/2019.

Si ricorda che ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto del trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione da parte di Progetto Udire S.r.l., con sede in Varese, Via Cavour 27, P.IVA n. 03128020124, e conseguentemente:

a) ai sensi dell’art. 58, par. 2, lett. lett. d), ingiunge alla Società di predisporre idonee procedure per verificare che i trattamenti realizzati tramite i responsabili siano conformi alle norme, integrando le istruzioni già predisposte ai sensi dell’art. 28 del Regolamento;

b) ai sensi dell’art. 58, par. 2, lett. f), vieta il trattamento per finalità promozionali dei dati personali di soggetti di cui non sia in grado di comprovare l’acquisizione di un idoneo consenso;

c) ai sensi dell’art. 58, par. 2, lett. lett. d), ingiunge alla Società di fornire al reclamante indicazioni in merito all’origine dei propri dati e, più in generale, di adottare idonee procedure volte a dare tempestivo riscontro alle richieste degli interessati;

d) ai sensi dell’art. 58, par. 2, lett. b), rivolge un ammonimento alla Società in merito al fatto che la mancanza di tempestivi riscontri alle richieste dell’Autorità ha comportato la realizzazione di una condotta illecita;

ORDINA

a Progetto Udire S.r.l., con sede in Varese, Via Cavour 27, P.IVA n. 03128020124, di pagare la somma di euro 30.000,00 (trentamila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 30.000,00 (trentamila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

a) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate;

b) ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento nel sito web del Garante.

Il Garante, ai sensi dell’art. 58, par. 1, del Regolamento (UE) 2016/679, invita altresì il titolare del trattamento, a comunicare entro 30 giorni dalla data di ricezione del presente provvedimento, quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato. Si ricorda che il mancato riscontro alla richiesta ai sensi dell’art. 58 è punito con la sanzione amministrativa di cui all'art. 83, par. 5, lett. e), del Regolamento (UE) 2016/679.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 16 dicembre 2021                  

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL VICE SEGRETARIO GENERALE
Filippi

 


(1) Cui è stata data attuazione con d.P.R. 8 novembre 2018, n. 149 che ha apportato modifiche al d.P.R. 7 settembre 2010, n. 178.