[doc. web n. 9817535]

Ordinanza ingiunzione nei confronti di Colosseo S.r.l. - 6 ottobre 2022

Registro dei provvedimenti
n. 297 del 5 agosto 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;   

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Istruttoria preliminare

Con il reclamo del 10 agosto 2021, presentato a questa Autorità ai sensi dell’art. 77 del Regolamento, il signor XX ha lamentato la ricezione, in data 24 giugno 2021, di una comunicazione indesiderata proveniente dall’indirizzo di posta elettronica percorsiwebair@gmail.com ed avente ad oggetto “la vendita di biglietti per uno spettacolo” promosso dal Teatro Colosseo di Torino riconducibile alla società Colosseo S.r.l. (di seguito «Società»; «Teatro Colosseo»). Il reclamante ha dichiarato di non aver mai conferito il consenso alla ricezione della citata comunicazione promozionale ed ha lamentato il mancato riscontro alla richiesta di esercizio dei diritti, di cui agli artt. 15, 17 e 21 del Regolamento, inoltrata via e-mail il 28 giugno 2021 all’indirizzo indicato nell’informativa privacy della Società, rinvenibile nel relativo sito internet.

In risposta alla richiesta di informazioni, formulata dall’Ufficio il 1° settembre 2021 ai sensi dell’art. 157 del Codice, la Società, con comunicazione del 23 settembre 2021, ha dichiarato la propria estraneità in relazione alla condotta lamentata nel reclamo, precisando che “la newsletter a cui fa riferimento il Sig. XX” non sarebbe partita “dai [loro] indirizzi mail, riconoscibili con il dominio @teatrocolosseo.it.” e che “Il Sig. XX non è presente nei [loro] database”.

1.2. La contestazione

Alla luce di quanto emerso dall’istruttoria preliminare, sulla base della documentazione complessivamente acquisita, il 12 novembre 2021 è stata notificata a Teatro Colosseo la comunicazione di avvio del procedimento ai sensi dell’art. 166, comma 5, del Codice, con la quale l’Ufficio ha contestato alla Società le seguenti violazioni:

- artt. 5, par. 2, e 24 del Regolamento per la mancanza di adeguate misure tecniche e organizzative, con particolare riguardo all’incapacità di controllare efficacemente la filiera dei partner che effettuano attività promozionale nell’interesse di Teatro Colosseo;

- artt. 12, par. 3, 15, 17 e 21 del Regolamento per non aver fornito riscontro alla richiesta del reclamante in ordine al trattamento dei suoi dati personali inviata via e-mail il 28 giugno 2021;

- art. 6, par. 1, lett. a) del Regolamento e art. 130 del Codice per aver inviato la comunicazione indesiderata in assenza del necessario preventivo consenso informato dell’interessato in relazione all’attività di promozionale e in difetto di un’altra idonea base giuridica. 

1.3. La difesa di Colosseo S.r.l.

Con le memorie difensive, inoltrate il 12 dicembre 2021, la Società ha chiesto a questa Autorità l’archiviazione del procedimento avviato nei suoi confronti “o comunque […] l’estromissione della sua posizione” da quanto contestato con la comunicazione del 12 novembre 2021. Ciò in quanto, nel precisare di non aver mai avuto la materiale disponibilità dei dati personali del reclamante, ha dichiarato che la e-mail indesiderata, da cui è scaturito il reclamo del signor XX, sarebbe stata inviata dalla società XX (di seguito «XX») di cui la medesima si è avvalsa, nel periodo di riferimento, per il compimento dell’attività di promozione di una mostra organizzata presso il Teatro Colosseo. Tale incarico sarebbe stato conferito in forma orale alla XX a fronte di un compenso. Confidando nelle garanzie offerte dalla XX nel settore della promozione di spettacoli ed eventi culturali per conto anche di soggetti terzi (come da visura camerale), e avendo ottenuto preventivamente rassicurazioni “circa lo svolgimento in via professionale e abituale di tale attività […] in piena aderenza ai dettami del GDPR”, la Società ha ritenuto che non vi fosse la necessità di esercitare un potere di controllo e di impartire istruzioni in merito al trattamento dei dati personali che andasse oltre le interlocuzioni verbali funzionali all’accordo. Teatro Colosseo ha, infatti, “legittimamente e in buona fede” ritenuto che la società commissionaria, “nel promuovere la mostra […] l’avrebbe fatto nei confronti di soggetti che avessero previamente rilasciato il consenso […] per l’invio di comunicazioni promozionali”. XX avrebbe “agito in totale autonomia sia per quanto riguarda la modalità di promozione sia per quanto riguarda i soggetti destinatari delle stesse attività di promozione”, attingendo ad una propria lista di contatti a cui Teatro Colosseo non ha mai avuto accesso. La Società, quindi, ha ribadito di non aver in concreto “determinato (o co-determinato) qualsivoglia finalità del trattamento dei dati, che sono sempre rimasti di esclusiva titolarità di XX e comunque non noti a Teatro Colosseo”. Ne consegue che, ad avviso della Società, “XX [avrebbe] agito nel caso di specie come autonomo titolare e non anche come responsabile del trattamento di dati di Teatro Colosseo. Né […] è rinvenibile una situazione di co-titolarità”.

Il reclamante, inoltre, essendo un consulente informatico forense, sarebbe stato perfettamente in grado, “viste le sue specifiche competenze, di rendersi conto che la e-mail ricevuta dall’indirizzo percorsiwebair@gmail.com non fosse in realtà riconducibile ad un invio eseguito da Teatro Colosseo […] che utilizza un dominio specifico di sua proprietà”; ciò in quanto dal medesimo indirizzo il signor XX avrebbe ricevuto anche una comunicazione relativa alla promozione di un evento culturale organizzato da un diverso ente, il Teatro Sistina.

Infine, la Società ha rappresentato la possibile applicazione di alcune circostanze attenuanti in caso di irrogazione della sanzione amministrativa pecuniaria, sottolineando, in particolare, l’unicità della doglianza, non avendo ricevuto “altri riscontri negativi” ed essendo stata coinvolta per la prima volta “in quarant’anni di attività [in] questo tipo di problematiche”.

Nel corso dell’audizione, tenutasi il 13 gennaio 2022, la Società, nel richiamare i contenuti della memoria presentata il 12 dicembre 2021, ha prodotto ulteriore documentazione dalla quale si evince che la XX si sarebbe avvalsa, per l’attività promozionale in questione, di un ulteriore soggetto, denominato XX riconducibile a tale XX, il quale avrebbe confermato di aver cancellato i dati del signor XX.

2. VALUTAZIONI DI ORDINE GIURIDICO

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle affermazioni della Società, di cui il dichiarante risponde ai sensi dell’art. 168 del Codice, si formulano le seguenti valutazioni di ordine giuridico.

In assenza di una documentazione contrattuale, occorre preliminarmente richiamare la definizione di “titolare” di cui all’art. 4 del Regolamento, ovvero la persona fisica o giuridica che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento.

Nel caso di specie, Teatro Colosseo ha in concreto determinato lo scopo per cui è stato posto in essere il trattamento (la veicolazione di messaggi promozionali) ed ha commissionato a XX la campagna pubblicitaria delle proprie iniziative culturali. La comunicazione ricevuta dal signor XX, infatti, sebbene proveniente da un indirizzo di posta elettronica disconosciuto dalla Società, recava nel contenuto la promozione di un evento culturale posto in essere dal Teatro Colosseo di Torino del quale, peraltro, nel medesimo messaggio, erano indicati sia il sito internet che i recapiti telefonici. La comunicazione commerciale allegata al reclamo, pertanto, inequivocabilmente associava la ricezione del messaggio promozionale ad un’iniziativa propria della Società. Una tale configurazione del messaggio deve ritenersi idonea ad ingenerare nei destinatari la convinzione di essere stati contattati direttamente dalla Società a cui fa capo il citato Teatro Colosseo di Torino e, per tali ragioni, lo stesso reclamante si è rivolto in prima battuta a Colosseo S.r.l., ai recapiti rinvenibili nella relativa informativa privacy, sulla base di tale legittimo affidamento.

Si deve richiamare, a tal proposito, quanto chiarito dal Garante con il provvedimento generale del 15 giugno 2011 (in www.garanteprivacy.it, doc. web n. 1821257) con specifico riguardo al fatto che “[…] i contatti a carattere promozionale sono effettuati in nome, comunque per conto e nell’interesse, della società preponente; con l’effetto che negli interessati si ingenera un legittimo affidamento, dal momento che essi percepiscono di essere destinatari di iniziative pubblicitarie condotte direttamente dalla società per conto della quale viene formulata la proposta di vendita di prodotti o servizi”. In tali termini, il proponente, essendo il soggetto che determina la finalità promozionale del trattamento ed i mezzi per la sua effettuazione, oltre ad essere il soggetto nel cui interesse il trattamento è effettuato, si configura quale titolare del trattamento. Invece, il soggetto che, per conto di questi, concretamente svolge il servizio, può essere, a seconda del concreto atteggiarsi dei ruoli fra le parti, un contitolare o un responsabile del trattamento, come chiarito dal Garante nelle Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013 (doc. web n. 2542348), nel provvedimento del 26 ottobre 2017 (doc. web n. 7320903), e, più di recente, con specifico riguardo ai rapporti fra committente e call center di società terze incaricate delle campagne promozionali, anche nel provvedimento n. 7 del 15 gennaio 2020 (doc. web n. 9256486).

Pertanto, pur rivendicando la propria estraneità rispetto alla raccolta dei dati del reclamante, risulta che la comunicazione ricevuta dal signor XX sia stata effettuata in nome e nell’interesse della Società che, per tali ragioni, va ritenuta titolare avendo, in concreto, determinato le decisioni in ordine alle finalità e modalità del trattamento, pur non preoccupandosi di verificarne l’attuazione da parte del partner incaricato dell’attività promozionale (cfr. art. 4 del Regolamento) (v., oltre ai cit. provv. 26 ottobre 2017 e provv. 15 gennaio 2020, anche: provv. 25 novembre 2021, doc. web n. 9736961; provv. 25 novembre 2021, doc. web n. 9737185; provv. 2 dicembre 2021, doc. web n. 9731682; provv. 2 dicembre 2021, doc. web n. 9731664; provv. 16 dicembre 2021, doc. web. n. 9742704).

Quanto sin qui descritto consente di delineare un quadro di non adeguato controllo da parte della Società nei trattamenti finalizzati alla realizzazione della campagna promozionale: Teatro Colosseo, anziché redigere un atto giuridicamente vincolante, si è limitato ad alcune interlocuzioni verbali e non risulta che abbia richiesto al partner commerciale la documentazione comprovante la sussistenza dei requisiti di liceità del trattamento, quali l’origine dei dati, l’informativa resa e i consensi acquisiti dagli interessati destinatari della campagna promozionale, né che abbia verificato ciò in altro modo.

L’Autorità ha più volte evidenziato che i nuovi principi dettati dal Regolamento inquadrano le competenze del titolare in un’ottica di responsabilizzazione (accountability) ed impongono a tutti gli attori del trattamento dei dati personali comportamenti proattivi e coerenti con la finalità di comprovare, in ogni fase, la liceità dei trattamenti medesimi (v. anzitutto l’art. 5, par. 2, del Regolamento, oltre che l’art. 24 preposto alla puntuale disciplina del detto principio).

Inoltre, la condotta posta in essere dalla Società si discosta da quanto indicato dal Garante in più occasioni, ad esempio già nelle menzionate Linee Guida in materia di attività promozionale, nelle quali si è ravvisata “la necessità che i soggetti promotori pongano in essere misure e procedure idonee a conoscere se l´agente, al quale è stato affidato il trattamento dati mediante modalità automatizzate a fini di marketing, eventualmente a sua volta si rivolga, per lo svolgimento del medesimo trattamento, a subagenti o altri terzi, nonché a verificare e garantire l´osservanza del Codice da parte di questi ultimi» (punto 3 delle citate Linee Guida; v. anche Gruppo di lavoro articolo 29 per la protezione dei dati, WP 169, Parere 7/2020 sul concetto di "responsabile del trattamento" adottato il 7 luglio 2021; v., oltre ai cit. provv. 26 ottobre 2017 e provv. 15 gennaio 2020, anche provv. 9 luglio 2020, doc. web n. 9435753).

Nel caso concreto, invece, Teatro Colosseo è venuto a conoscenza del coinvolgimento nella campagna di un soggetto terzo di cui si sarebbe avvalsa la XX (tale XX) soltanto dopo l’atto di contestazione, confermando di non aver curato adeguatamente le fasi operative del trattamento (destinate ad apportare benefici in termini di incremento delle vendite).

Ciò posto, nella fattispecie, il trattamento di dati personali, svolto con l’utilizzo di liste anagrafiche provenienti da soggetti terzi per finalità di marketing, è risultato essere privo dei requisiti di liceità, correttezza e trasparenza individuati dall’art. 5 del Regolamento. Pertanto, si ritiene integrata la violazione degli artt. 5, par. 2, e 24 del Regolamento.

Inoltre, la condotta descritta ha dato luogo all’invio di messaggi promozionali senza consenso, ai sensi degli artt. 6, par. 1, lett. a) del Regolamento e 130, commi 1 e 2, del Codice, dal momento che la Società non ha prodotto riscontri probatori atti a documentarne l’acquisizione.

Relativamente, poi, al mancato riscontro all’istanza formulata dal reclamante il 28 giugno 2021, si rappresenta che la Società ha evaso le richieste avanzate solo dopo essere stata in tal senso sollecitata dall’Autorità (con richiesta di informazioni del 1° settembre 2021, ai sensi dell’art. 157 del Codice). Tale circostanza, tuttavia, è stata attribuita, nell’ambito della memoria difensiva, a vicende personali che hanno interessato, nel periodo di riferimento per la violazione, l’Amministratore delegato della Società di cui è stata data piena giustificazione innanzi all’Autorità.

Alla luce di quanto sopra, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, si rende necessario imporre a Teatro Colosseo il divieto di trattamento dei dati personali raccolti senza che sia stato acquisito il citato necessario preventivo consenso informato dell’interessato in relazione all’attività di marketing.

Risulta inoltre necessario dover ingiungere a Teatro Colosseo, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, qualora intenda in futuro avvalersi di terzi per attività promozionali, di adottare idonee procedure volte a verificare costantemente che i dati personali siano trattati nel pieno rispetto delle disposizioni in materia e, in particolare, di acquisire previamente un consenso libero, specifico, inequivocabile e documentato degli interessati per l’invio di comunicazioni commerciali.

Si ingiunge, inoltre, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adottare idonee procedure volte a garantire un pieno ed effettivo riscontro all’esercizio dei diritti degli interessati. Risulta necessario, peraltro, ingiungere alla Società di rilasciare agli interessati un’idonea informativa preventiva rispetto al trattamento dei loro dati.

Infine, con riguardo ai trattamenti già realizzati e con finalità dissuasiva, si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83, par.  5, del Regolamento.

Tuttavia, nella valutazione complessiva dei fatti, si deve tener conto che la condotta sporadica (risulta agli atti una sola comunicazione promozionale lamentata) e oggetto di un’unica doglianza, è stata subito interrotta ed ha riguardato la promozione di un solo evento culturale (“Street Art in Blu”). L’eccezionalità di tale campagna promozionale, rispetto alle ordinarie modalità pubblicitarie dell’attività teatrale (sito internet, cartellonistica stradale, inseriti sui quotidiani, locandine), consente di ridimensionare sensibilmente la posizione di Teatro Colosseo, pur non potendo tale circostanza superare le contestazioni sopra evidenziate. Peraltro è possibile ipotizzare che la Società, il cui oggetto sociale si colloca al di fuori del consueto circuito promozionale che investe gli operatori di marketing, non abbia avuto la percezione che l’incarico a terzi avesse comportato un trattamento dei dati personali soggetto agli adempimenti previsti dalla normativa in materia. Difatti, come la stessa ha chiarito nel corso dell’audizione, l’attività promozionale del teatro è stata sempre affidata ai suindicati strumenti e solo in questo caso la Società aveva deciso di avvalersi di un altro canale per sopperire alle limitazioni imposte alle attività economiche dalla normativa relativa all’emergenza pandemica.

Si rileva che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

3. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, stanti le violazioni richiamate, si rende applicabile la sanzione prevista dall’art. 83, par. 5, del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del  Regolamento), individuando, a tal fine, una serie di elementi elencati al par. 2 dell’art. 83 in parola, da valutare all’atto di quantificarne il relativo importo.

Quali circostanze aggravanti, nel caso di specie, si ritiene di dover tener conto:

1. della dimensione soggettiva della condotta, da ritenersi gravemente colposa, con particolare riferimento al carente riscontro fornito tanto all’interessato quanto all’Autorità (lett. b).

Quali elementi attenuanti, devono invece essere considerati:

1. lo scarso numero di interessati coinvolti (soltanto il reclamante) nonché della natura comune dei dati trattati (lettere a, g);

2. l’assenza di precedenti procedimenti avviati a carico della Società (lett. e);

3. la mancanza di ulteriori segnalazioni o reclami (lett. h);

4. la particolare congiuntura socio-economica che ha interessato il Paese in relazione all’emergenza pandemica (lett. k);

5. il bilancio della Società (lett. k).

In base al complesso degli elementi sopra indicati, in applicazione dei principi di effettività, proporzionalità e dissuasività indicati nell’art. 83, par. 1, del Regolamento, tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Teatro Colosseo – anche tenendo in considerazione altri casi analoghi (v. provv.ti citati, nonché provv. n. 126 del 7 aprile 2022, doc. web n.  9771529, e provv. n. 153 del 28 aprile 2022, doc. web n. 9779025) - la sanzione amministrativa del pagamento di una somma di euro 1.000 (mille/00), pari allo 0,005% del massimo edittale di 20 milioni di euro.

Nel caso in argomento si ritiene debba applicarsi, altresì, la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della materia oggetto di istruttoria, vale a dire il fenomeno del marketing indesiderato, rispetto al quale questa Autorità ha adottato numerosi provvedimenti sia a carattere generale sia diretti a determinati titolari del trattamento e su cui è elevata l’attenzione dell’utenza.

Si ricorda che ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto del trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e) del Regolamento.

Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f) del Regolamento, dichiara illecito il trattamento effettuato da Colosseo S.r.l., con sede legale in Torino, via Madama Cristina 71, P.IVA 04092480013, descritto nei termini di cui in motivazione e, pertanto, dichiara fondato il reclamo;

a) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, vieta ogni ulteriore trattamento per finalità promozionali dei dati personali raccolti senza che sia stato acquisito il necessario preventivo consenso informato degli interessati;

b) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, qualora intenda in futuro svolgere attività promozionali, direttamente o tramite terzi, ingiunge alla Società di adottare idonee procedure volte a verificare costantemente che i dati personali siano trattati nel pieno rispetto delle disposizioni in materia e, in particolare, di acquisire previamente un consenso informato, libero, specifico, inequivocabile e documentato degli interessati per l’invio di comunicazioni commerciali, ai sensi degli artt. 6 e 7 del Regolamento e 130 del Codice;

c) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge alla Società di adottare idonee procedure volte a garantire un pieno ed effettivo riscontro all’esercizio dei diritti nonché di rilasciare agli interessati un’idonea informativa preventiva, ex artt. 12, 13 e 14 del Regolamento, rispetto al trattamento dei loro dati;

Il Garante, ai sensi dell’art. 58, par. 1, del Regolamento, invita altresì il titolare del trattamento a comunicare, entro 30 giorni dalla data di ricezione del presente provvedimento, quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato. Si ricorda che il mancato riscontro alla richiesta ai sensi dell’art. 58 è punito con la sanzione amministrativa di cui all'art. 83, par. 5, lett. e) del Regolamento;

ORDINA

a Colosseo S.r.l. di pagare la somma di euro 1.000,00 (mille/00), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 1.000,00 (mille/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

DISPONE

quale sanzione accessoria, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16 del Regolamento del Garante n. 1/2019, la pubblicazione sul sito del Garante del presente provvedimento e, ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 5 agosto 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei