VEDI NEWSLETTER DEL 10 ottobre 2023

[doc. web n. 9936215]

Provvedimento del 14 settembre 2023

Registro dei provvedimenti
n. 405 del 14 settembre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Agostino Ghiglia;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con atto del 30 maggio 2023, n. 85654/23 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente richiamato e riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di GFB One s.r.l., (di seguito “GFB” o “la Società”), in persona del legale rappresentante pro-tempore, con sede legale in Pomigliano d’Arco (NA), via Passariello n. 103, c.f. 09432761212.

Il procedimento trae origine da una istruttoria avviata dall’Autorità a seguito della ricezione di una segnalazione da parte del sig. XX nei confronti della compagnia telefonica Vodafone Italia S.p.A.: il segnalante lamentava l’illecita attivazione a suo nome di due SIM card da parte della rete di vendita della compagnia telefonica, attivazione che era stata notificata al predetto con l’invio di due mail e di un messaggio SMS. Il sig. XX, dopo aver provveduto a contattare la compagnia telefonica per bloccare le nuove utenze, aveva svolto autonomamente alcuni accertamenti dai quali risultava che le numerazioni erano state entrambe attivate da un negozio Vodafone sito in Marano di Napoli (NA), in via Vincenzo Merola 51 e che per i relativi addebiti era stato indicato un inesistente conto corrente riconducibile, in base al codice IBAN, ad una filiale del Monte dei Paschi di Siena sita in Treviglio, poco distante dal luogo di residenza del segnalante.

Il segnalante rappresentava anche di aver denunciato l’accaduto presso il Commissariato P.S. di Treviglio. Egli, all’atto della denuncia aveva prodotto i moduli di identificazione e attivazione per SIM ricaricabili forniti, a seguito di sua richiesta, da Vodafone e relativi alle contestate attivazioni, dai quali si evinceva che le medesime erano state effettuate, presso il sopra indicato esercizio commerciale di Marano di Napoli, dalla società GFB One s.r.l.

La Compagnia telefonica, dopo un’ulteriore richiesta da parte del sig. XX, confermando di aver disattivato le utenze, inviava copia del documento d’identità utilizzato per l’attivazione che, benché scarsamente leggibile, risultava essere effettivamente la copia della carta d’identità in possesso dell’interessato, il quale nella denuncia aveva in ogni caso rappresentato di non essersi mai recato a Napoli, di non aver mai attivato le predette schede telefoniche e di non aver mai perduto la disponibilità del proprio documento.

1.2. Le richieste di informazioni formulate dall’Autorità

L’Ufficio procedeva ad avviare l’istruttoria, nonostante l’interessato non avesse ritenuto di avvalersi dello strumento del reclamo ai sensi dell’art. 77 del Regolamento, poiché gli elementi portati all’attenzione dell’Autorità apparivano meritevoli di approfondimento, e provvedeva a inviare a Vodafone una richiesta di informazioni ai sensi dell’art. 157 del Codice.

Nel riscontro Vodafone confermava di aver fornito corrette informazioni all’interessato rispetto alla vicenda fin dalla data 25 luglio 2022, e di aver successivamente inviato al medesimo le copie dei documenti di riconoscimento associati alla pratica di attivazione delle due SIM. Vodafone rappresentava di aver anche avviato l’iter sanzionatorio nei confronti del dealer GFB, che aveva attivato le SIM disconosciute, e evidenziava come, in base alle verifiche svolte, la copia del documento utilizzata dall'ignoto attivatore delle SIM riproducesse la medesima carta d'identità del segnalante ma doveva escludersi che tale copia fosse stata acquisita da un file in possesso di Vodafone e relativo ad una pratica del 2021.

Anche alla luce delle controdeduzioni dell’interessato (che evidenziava la contraddittorietà delle informazioni fornite da Vodafone in merito alla cancellazione dei dati personali dell'interessato e all’origine dei documenti associati all'attivazione delle due SIM card), l’Ufficio inviava una nuova richiesta di informazioni a Vodafone in ordine alle modalità di acquisizione dei dati e delle immagini dei documenti di riconoscimento dei clienti, nonché sulle modalità di verifica del numero massimo di SIM attivabili per ciascun cliente, sulle procedure di controllo dell'operato dei dealer e sulle eventuali attività di controllo svolte nei confronti della società GFB.

Una richiesta di informazioni ai sensi dell’art. 157 del Codice veniva inviata anche a GFB, al fine di acquisire elementi utili per una completa valutazione del caso, con particolare riferimento, tra l’altro alle procedure operative seguite dal dealer per l'attivazione delle SIM e l'identificazione dei clienti, alle informazioni relative all'attivazione delle SIM contestate dal sig. XX e alle modalità di acquisizione della copia del documento di identità di quest’ultimo (poiché, come già osservato, dagli atti risultava che il documento era rimasto sempre nella disponibilità del segnalante che mai si era recato in Campania, evidenziando quindi che per l’attivazione delle due SIM era stata esibita solamente una copia e, per giunta, da persona diversa dall’interessato).

Vodafone forniva riscontro nei termini, rappresentando che la compagnia telefonica mette a disposizione dei propri dealer moduli di aggiornamento on-line sulle procedure per l’attivazione delle SIM, con particolare attenzione alle misure per dare attuazione alle prescrizioni della cd. “Legge Pisanu” (legge 31 luglio 2005, n.155, di conversione del decreto-legge 27 luglio 2005, n. 144) in merito all'identificazione del cliente per l'attivazione o la sostituzione di una SIM, misure che prevedono la presentazione di un valido documento d'identità. Vodafone altresì evidenziava di aver oscurato i dati dell’interessato presenti nei suoi sistemi fin dal 30 novembre 2022.

Infine Vodafone, nel rappresentare di aver adottato un doppio livello di monitoraggio per le attività dei punti vendita, valutando la correttezza dell'operato attraverso indicatori di performance e analisi puntuale dei singoli casi, confermava di aver inviato una formale diffida con addebito di una penale di 1000 euro alla società GFB, responsabile dell'attivazione delle due SIM a nome del sig. XX, poiché il dealer non avrebbe seguito scrupolosamente le procedure di identificazione del cliente imposte dalla Compagnia.

Quanto a GFB, la Società non forniva alcun riscontro alla richiesta di informazioni inviata dall’Autorità, nonostante nella stessa fossero chiaramente evidenziate le conseguenze, anche di natura sanzionatoria, alle quali sarebbe potuta incorrere in caso di mancata risposta.

1.3. Contestazione delle violazioni

L’Ufficio, all’esito dell’istruttoria, ha adottato il sopra richiamato atto di contestazione n. 85654/23 nei confronti di GFB.

Nell’atto, in primo luogo, si è esaminata la posizione della compagnia telefonica Vodafone Italia S.p.A., evidenziando che le condotte poste in essere dalla medesima nel caso in argomento e allo stato degli atti non sono apparse illecite o comunque in contrasto con i principi in materia di protezione dei dati personali, posto che, non appena venuta a conoscenza delle attivazioni illecite, la compagnia telefonica ha bloccato le SIM, al fine di impedire utilizzi da parte di soggetti non identificati. La stessa ha poi definitivamente disattivato le predette SIM e ha avviato le procedure volte ad accertare e sanzionare l’operato del dealer che aveva materialmente operato le attivazioni. Inoltre è emerso che Vodafone ha compiutamente garantito l’esercizio dei diritti che il Regolamento (UE) 2016/679 (di seguito “Regolamento”) attribuisce agli interessati poiché, su istanza del sig. XX, ha trasmesso a quest’ultimo dapprima i moduli utilizzati per l’attivazione delle SIM, poi le copie del documento d’identità allegato ai moduli e infine, sempre su richiesta dell’interessato e compatibilmente con le procedure aziendali, ha disposto l’oscuramento dei suoi dati anche al fine di impedirne eventuali ulteriori utilizzi illeciti.

Più in generale deve osservarsi che la vicenda portata all’attenzione dell’Autorità non ha fatto emergere anomalie “di sistema” o comunque elementi che consentano di ascrivere, nei confronti della compagnia telefonica, forme di culpa in vigilando con riferimento all’operato dei dealer. Le condotte di Vodafone, pertanto, sia nella fase precedente all’attivazione delle SIM da parte di GFB, sia nella successiva, non appaiono riconducibili a ipotesi di responsabilità.

Quanto invece a GFB, nell’atto di contestazione si è rappresentato come la Società abbia attivato le schede SIM poi disconosciute dal segnalante senza essersi correttamente accertata dell’identità del richiedente, acquisendo una semplice copia cartacea del documento d’identità e omettendo di effettuare ulteriori verifiche sulla reale identità dell’interessato.

Si è altresì osservato che GFB non ha fornito alcun riscontro alle richieste di informazioni dell’Autorità, aggravando i tempi dell’istruttoria e impedendo all’interessato, sig. XX, di acquisire importanti elementi in ordine all’illecito utilizzo del proprio documento d’identità e delle proprie informazioni personali.

L’Ufficio, pertanto, ha contestato a GFB le seguenti ipotesi di violazione:

a) art. 5, par. 1, lett. a), e 6 del Regolamento, per aver trattato i dati personali dell’interessato in violazione del principio di liceità e in assenza di un’idonea base giuridica;

b) art. 13 del Regolamento, per aver omesso di fornire all’interessato le necessarie informazioni ivi previste;

c) art. 157 del Codice, per aver omesso di fornire all’Autorità le informazioni e i documenti richiesti con nota del 30 dicembre 2022, notificata al domicilio digitale della Società.

2. MEMORIA DIFENSIVA DI GFB E VALUTAZIONI DELL’AUTORITÀ

Con nota del 30 giugno 2023 la Società GFB ha prodotto una memoria difensiva ai sensi dell’art. 166, comma 6, del Codice e dell’art. 13 del Regolamento interno del Garante n. 1/2019, trasmessa tuttavia tardivamente poiché il termine di 30 giorni indicato nelle richiamate disposizioni decorreva il 29 giugno 2023.

Per completezza di trattazione si dà atto delle argomentazioni esposte dalla Società, che si riportano integralmente: “in primis si fa rilevare che la comunicazione che codesta spettabile Autorità riferisce di aver trasmesso tramite pec in data 30-12-2022 non risulta pervenuta alla scrivente: all’uopo, si prega di verificare l’avvenuta corretta ricezione e di notiziarne questa società. Nel merito con riferimento alla vicenda in oggetto si significa che sin dalla prima richiesta effettuata dalla Vodafone sulla scorta della denuncia del sig. XX questa società ha provveduto prontamente ad avviare un procedimento volto a fare emergere le circostanze relative all’accaduto, rendendone edotta di volta in volta la Vodafone. In sostanza […], si è verificata all’interno di uno dei nostri PDV una non corretta procedura volta all’identificazione del cliente. Sta di fatto che il PDV in oggetto ha appurato che effettivamente nel caso di specie è stato identificato il cliente a mezzo di fotocopia e non di originale del documento di identità. All’esito di tale verifica, come prontamente riferito alla Vodafone, questa società ha provveduto a sanzionare il PDV che non ha ottemperato al protocollo chiaramente indicato dalla scrivente e, sino ad oggi, seguito da tutti gli altri PDV di riferimento. All’esito dell’accaduto, ad ogni buon conto, si è provveduto a redarguire tutti i PDV sull’importanza di ottemperare a quanto previsto non solo dalla normativa di riferimento ma anche dal mandato siglato con la spettabile Vodafone S.P.A.”

Le argomentazioni addotte, seppur tardivamente, da GFB, non sono idonee ad escludere la responsabilità della Società in ordine alle violazioni contestate.

Dagli atti, dalle dichiarazioni del sig. XX e da quelle di Vodafone trova piena conferma la circostanza che GFB, che opera in qualità di agente di vendita della compagnia telefonica, ha attivato due schede telefoniche intestandole al segnalante, che le ha poi disconosciute, senza attenersi alle procedure del titolare del trattamento per la corretta identificazione del cliente.

Infatti, per comprovare l’identificazione del cliente, GFB ha allegato ai moduli di richiesta di attivazione delle SIM una copia del documento d’identità nella disponibilità del sig. XX, il quale però ha dichiarato anche in sede di denuncia alla Polizia Giudiziaria di non averne mai perso la disponibilità. Peraltro, il sig. XX, residente in provincia di Bergamo, ha anche dichiarato di non essersi mai recato in Campania nei luoghi dove GFB esercita la sua attività commerciale. Inoltre, GFB One ha riportato nei moduli di cui sopra indicazioni errate del codice IBAN (formalmente corretto, ma in realtà inesistente) dell’Istituto di credito presso il quale effettuare gli addebiti delle SIM.

Da tali circostanze trova conferma quanto rappresentato nell’atto di avvio del procedimento in ordine alla circostanza che GFB ha attivato le schede SIM poi contestate senza essersi correttamente accertato dell’identità del richiedente, acquisendo una semplice copia cartacea del documento d’identità e omettendo di effettuare ulteriori verifiche sulla reale identità del richiedente.

In merito all’individuazione del ruolo di GFB occorre richiamare, dapprima il provvedimento generale in materia di servizi telefonici non richiesti, adottato dall’Autorità il 16 febbraio 2006 e pubblicato nella G.U. n. 54 del 6 marzo 2006 (in www.gpdp.it, doc. web n. 1242592), nella parte in cui evidenzia che “agenti e rivenditori rivestono la qualità di titolari autonomi del trattamento dei dati utilizzati ai fini dell´attivazione dei servizi quando, in base alle modalità della propria attività, esercitano un potere decisionale reale e del tutto autonomo sulle modalità e sulle finalità del trattamento effettuato nel proprio ambito”, e poi, fra gli altri, il provvedimento adottato nei confronti di un dealer di Vodafone operante nella provincia di Brescia (provv. n. 293 del 13 maggio 2015, in www.gpdp.it, doc. web n. 4210697), laddove si rappresenta che “con riferimento alle operazioni volte all´attivazione di schede telefoniche in assenza dell´intestatario e senza l´acquisizione di un suo valido documento, la società ha svolto trattamenti di dati personali esercitando un potere decisionale del tutto autonomo e svincolato dalle disposizioni che la legavano al gestore telefonico e al Master dealer, assumendo la veste giuridica di titolare del trattamento, così come delineato dal richiamato provvedimento del Garante del 16 febbraio 2006”. Tale ultimo provvedimento è stato sottoposto al vaglio della Prima sezione civile della Corte di Cassazione che, con Ordinanza n. 21234 del 23 luglio 2021, ha ribadito “che può far valere la qualità di “responsabile del trattamento” solo il soggetto che sia stato preposto al trattamento dal “titolare” e che si sia attenuto alle istruzioni da questi impartitegli in esplicazione del suo potere decisionale; ne consegue che ove ciò non avvenga, il “responsabile” potrà essere riconosciuto come “titolare” in concreto del trattamento, in ragione dell’autonomia decisionale e gestionale manifestata anche disattendendo le disposizioni del “titolare””.

Confermata, pertanto, la titolarità del trattamento in argomento in capo a GFB, alla condotta della Società come emersa dall’istruttoria consegue la violazione delle disposizioni del Regolamento in materia di informativa, poiché la Società ha proceduto a trattare i dati personali del sig. XX senza aver fornito al medesimo le necessarie informazioni ai sensi dell’art. 13, nonché la violazione delle disposizioni in tema di idoneità della base giuridica del trattamento, poiché l’utilizzo dei dati identificativi e dei documenti personali dell’interessato è stato effettuato senza che quest’ultimo ne fosse consapevole e avesse manifestato la volontà di perfezionare un contratto per l’attivazione di schede SIM.

A nulla rileva quanto affermato, peraltro tardivamente, dalla Società in ordine alla circostanza che la violazione sarebbe stata materialmente posta in essere da un addetto che si sarebbe autonomamente discostato dalle disposizioni di GFB. La Società infatti, oltre a non aver rivelato le specifiche circostanze di fatto che hanno determinato l’indebita attivazione, non ha neanche descritto le misure e gli accorgimenti ordinariamente posti in essere per garantire che i propri addetti svolgano correttamente le attività di identificazione dei clienti sotto la diretta autorità della Società medesima, al di là delle generiche e non documentate affermazioni in ordine alle sanzioni e ai rimproveri che avrebbero raggiunto il personale dell’esercizio commerciale.

La Società, infine, ha omesso di fornire riscontro alla richiesta di informazioni e di esibizione di documenti formulata dal Garante, determinando un appesantimento degli adempimenti istruttori e un rallentamento dell’azione amministrativa. Tale circostanza emerge per tabulas, posto che l’Ufficio ha inviato la richiesta di informazioni specificando che un mancato riscontro avrebbe potuto determinare l’applicazione di sanzioni amministrative.

Anche in questo caso le tardive argomentazioni difensive che tendono ad escludere la ricezione della richiesta di informazioni inviata dall’Autorità appaiono contraddette dalle ricevute di accettazione e consegna della missiva presenti in atti e, al riguardo, si deve ribadire che la richiesta è stata  inviata all’indirizzo di posta elettronica certificata di GFB così come risultante dal sistema informativo delle Camere di Commercio e che il d.l. 76/2020 (c.d. “decreto semplificazioni”), convertito con modificazioni dalla L. 120/2020, ha qualificato, all’art. 37, l’indirizzo di posta elettronica certificata delle aziende quale “domicilio digitale” valido ai fini delle comunicazioni elettroniche aventi valore legale.

Deve quindi confermarsi la responsabilità di GFB in ordine alle violazioni contestate ai capi a), b) e c).

3. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di GFB in ordine alle seguenti violazioni:

a) art. 5, par. 1, lett. a), e 6 del Regolamento, per aver trattato i dati personali dell’interessato in violazione del principio di liceità e in assenza di un’idonea base giuridica;

b) art. 13 del Regolamento, per aver omesso di fornire all’interessato le necessarie informazioni ivi previste;

c) art. 157 del Codice, per aver omesso di fornire all’Autorità le informazioni e i documenti richiesti con nota del 30 dicembre 2022, notificata al domicilio digitale della Società

Accertata altresì l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario:

- imporre a GFB, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento dei dati del segnalante;

- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Vodafone della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.

4. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di GFB della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a € 20.000.000,00);

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento;

Nel caso in esame, assumono rilevanza:

1) la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), tenuto conto dell’oggetto e delle finalità dei dati trattati, nonché delle condotte riconducibili al fenomeno complessivo delle attivazioni illecite di carte telefoniche, potenzialmente idoneo a creare ulteriori e ben più allarmanti indotti di illiceità e a costituire un ostacolo alle attività di prevenzione e repressione di reati anche di natura associativa;   

2) quale fattore aggravante, il carattere doloso della violazione (art. 83, par. 2, lett. b) del Regolamento), come emerso dalla ricostruzione dei fatti e delle condotte poste in essere che fanno escludere la natura meramente colposa della violazione, atteso che il dealer ha certamente disatteso le disposizioni della compagnia telefonica in ordine alla necessità di identificazione del richiedente le SIM, ha provveduto ad acquisire una copia non di un documento originale ma di una semplice fotocopia e non ha effettuato verifiche ulteriori sul complesso dei dati conferiti dall’ignoto richiedente;

3) quale fattore aggravante, la mancanza di iniziative, da parte di GFB, volte ad attenuare il danno subito dall’interessato (art. 83, par. 2, lett. c) del Regolamento);

4) quale fattore aggravante, la mancata collaborazione con l’Autorità (art. 83, par. 2, lett. f) del Regolamento);

5) quale fattore attenuante da tenere in considerazione per parametrare la sanzione (art. 83, par. 2, lett. k) del Regolamento), i dati relativi alla capacità economica della Società, come ricavati dall’ultimo bilancio di esercizio disponibile (2022).

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative e funzionali della Società, si ritiene debba applicarsi a GFB la sanzione amministrativa del pagamento di una somma di euro 90.000, pari allo 0,45 % della sanzione massima edittale.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della natura dei trattamenti e delle condotte della Società, nonché degli elementi di rischio per i diritti e le libertà degli interessati.

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) impone a GFB, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento dei dati del segnalante;

b) ingiunge a GFB, ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alla misura imposta; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento.

ORDINA

a GFB One s.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Pomigliano d’Arco (NA), via Passariello n. 103, c.f. 09432761212, di pagare la somma di euro 90.000,00 (novantamila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 90.000,00 (novantamila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

L’applicazione della sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019, e l’annotazione del medesimo nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la sede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 14 settembre 2023

IL VICEPRESIDENTE
Cerrina Feroni

IL RELATORE
Scorza

IL VICE SEGRETARIO GENERALE
Filippi