Provvedimento del 10 luglio 2025 [10154110]
Provvedimento del 10 luglio 2025 [10154110]
CondividiVEDI ANCHE Newsletter del 1 agosto 2025
[doc. web n. 10154110]
Provvedimento del 10 luglio 2025
Registro dei provvedimenti
n. 389 del 10 luglio 2025
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, segretario generale reggente;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTO il reclamo presentato dalla Sig.ra XX in data 24 ottobre 2024 ai sensi dell’art. 77 del Regolamento, con cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte di Poste Vita S.p.a.;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE l’avv. Guido Scorza;
PREMESSO
1 Il reclamo nei confronti della società e l’attività istruttoria.
Con reclamo presentato a questa Autorità il 24 ottobre 2024, la Sig.ra XX ha lamentato che, presso Poste Vita S.p.a. (di seguito “Poste Vita” o “la compagnia”), è stata effettuata una illecita comunicazione di dati personali che la riguardano - riferiti a tre polizze vita di cui la stessa è titolare - ad un soggetto terzo non autorizzato che li ha poi utilizzati nell’ambito di un procedimento giudiziario; in particolare, la reclamante ha rappresentato che la citata compagnia, a fronte di specifiche richieste di informazioni recanti le sue generalità e firma autografa, ha trasmesso a un “indirizzo di posta elettronica tedesco […]” da lei “mai creato o utilizzato”, dettagliate informazioni e copiosa documentazione.
A seguito dell’invito formulato dall’Ufficio il 24/1/2025 a fornire osservazioni in ordine a quanto rappresentato dalla reclamante, Poste Vita S.p.a., con nota del 13/2/2025, ha ricostruito gli estremi della vicenda occorsa rappresentando, in particolare, che:
a) “con comunicazione del 27 novembre 2021, recante firma autografa dell’interessata, trasmessa a mezzo email dalla casella XX, venivano richieste alla Società informazioni in merito a dei versamenti aggiuntivi effettuati su rapporti in essere con Poste Vita tramite addebito sul suo libretto di risparmio postale n. [...] cointestato” con altro soggetto. L’operatore incaricato, dopo avere analizzato la richiesta, “procedeva al riscontro della stessa, ritenendola proveniente da soggetto legittimato ad accedere alle informazioni inerenti alle Polizze, tenuto conto che la menzionata richiesta recava la firma autografa dell’Interessata e indicava con precisione le date e gli importi dei versamenti aggiuntivi effettuati con riguardo alle Polizze, oltre agli estremi identificativi del libretto postale su cui i versamenti medesimi erano stati addebitati. A tale prima richiesta ne succedevano di ulteriori, datate 29 dicembre 2021, 5 gennaio 2022, 21 febbraio 2022 e 10 luglio 2023, sempre volte a ottenere informazioni inerenti alle Polizze e sempre recanti firma autografa dell’Interessata e contenenti elementi identificativi precisi atti a indurre a ritenere che le stesse provenissero da soggetto legittimato a conoscere le informazioni. Pertanto, la Società riscontrava tali richieste” fino a quando, con nota del 22 settembre 2024 l’interessata ha fatto pervenire un formale disconoscimento delle richieste anzidette; in questo modo la società ha appreso “che le richieste informative sopra menzionate provenivano da un soggetto non autorizzato, il quale le avrebbe inviate alla Società sostituendosi alla persona dell’Interessata. Per l’effetto, la Società avviava le opportune attività istruttorie, dando altresì indicazione ai propri operatori di non riscontrare più richieste provenienti dall’indirizzo di posta elettronica disconosciuto e procedendo a notificare a Codesta Spettabile Autorità, ai sensi dell’art. 33 del Regolamento (UE) 2016/679 una violazione di dati personali (Vs. rif. DB007859-1 – protocollo.I.0006738.20/01/2025)”;
b) la comunicazione dei dati relativi all’interessata a un soggetto terzo ha quindi avuto “origine dalle condotte illecite e artificiose del terzo, il quale ha inviato le richieste di accesso sostituendosi all’Interessata. In particolare, il fatto che tali richieste contenessero la firma autografa dell’Interessata, nonché la menzione di una serie di elementi univoci (date e importi dei versamenti aggiuntivi inerenti alle Polizze e precisa identificazione del relativo conto di addebito), hanno indotto gli addetti della Società a ritenere che esse provenissero dall’Interessata stessa”;
c) “Relativamente alle procedure di sicurezza e verifica” è emerso che “l’interessata non risulta essersi registrata nell'Area Riservata assicurativa presente sul sito della Compagnia” e che “non sono presenti agli atti della Compagnia indicazioni di indirizzi e-mail alternativi forniti dall’Interessata”; le informazioni richieste sono state quindi fornite perché è stato fatto “affidamento sulla genuinità delle richieste ricevute, alla luce delle informazioni specifiche su operazioni realizzate dall’Interessata e che solo la stessa, in qualità di contraente, avrebbe potuto conoscere, supportate peraltro da documentazione firmata”;
d) ciò premesso, “si specifica come le procedure aziendali della Società prevedano che richieste informative inerenti ai rapporti contrattuali possano essere evase solo in presenza delle seguenti condizioni:
- provenienza da recapiti certificati, cioè coincidenti con quelli registrati nell’Area Riservata accessibile online dai clienti;
- in alternativa, tramite l’acquisizione da parte della Società di un documento d’identità dell’istante allegato alla richiesta.
Nel caso di specie, la prima richiesta della sedicente Sig.ra XX è pervenuta proprio nella fase di implementazione delle procedure aziendali sopra menzionate”;
e) “A ogni buon conto, a seguito della segnalazione dell’Interessata, ricevuta dalla Società in data 22 settembre 2024, sono state adottate le seguenti misure correttive:
- è stata sospesa ogni comunicazione all'indirizzo e-mail disconosciuto;
- sono state trasmesse all’Interessata tutte le comunicazioni a sua firma pervenute in Società tramite e-mail dall’indirizzo XX (cfr. comunicazioni allegate del 26/09/2024 e del 08/10/2024)”.
Inoltre, è stata rinnovata alla sig.ra XX l'indicazione della procedura per registrarsi all'Area Riservata Assicurativa, dove potrà indicare un indirizzo di posta elettronica certificato per le comunicazioni future […].
Al riguardo, preme precisare che non corrisponde al vero quanto riportato nel Reclamo nella parte in cui la Sig.ra XX asserisce che l’unico indirizzo utilizzato per le comunicazioni ufficiali sia XX, in quanto, come anticipato, non risulta agli atti della Compagnia né risulta che l’Interessata abbia fornito documentazione comprovante che la stessa abbia indicato alla Società di voler ricevere comunicazioni all’indirizzo in questione”.
2. La notifica delle violazioni e la memoria difensiva.
Con comunicazione del 10/4/2025, l’Ufficio ha notificato alla Società l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice per la violazione degli artt. 5 par. 1, lett. a) e f)) e 33, par. 1 del Regolamento.
Con nota del 6/5/2025, Poste Vita S.p.a. ha fatto pervenire i propri scritti difensivi ai sensi dell’art. 18 della legge n. 689/1981 con i quali, nel ribadire di avere “sempre agito in buona fede e secondo diligenza nel ritenere legittime le richieste ricevute a nome dell’Interessata” e di essere “purtroppo, stata oggetto dell’azione fraudolenta di un terzo, (…), che ha intenzionalmente e abilmente condotto in errore l’operatore, al fine di carpire informazioni utili ad altro scopo, ponendo in essere un vero e proprio raggiro”, ha ulteriormente evidenziato quanto di seguito riportato. In particolare:
a) “A tutela dei propri clienti, come più volte indicato informalmente da IVASS, la Compagnia provvede a dare seguito alle richieste formulate […], da qualunque canale pervengano, anche a mezzo raccomandata, posta ordinaria e posta elettronica, qualora sia possibile ricondurre tali comunicazioni con ragionevole certezza al titolare o beneficiario della polizza. Nel caso di specie, l’operatore ha fatto affidamento sulla genuinità delle richieste ricevute dall’indirizzo XX considerando” - oltre alla presenza di elementi univoci e dettagliati e alla sottoscrizione autografa - “che l’interessata non aveva comunicato alla Compagnia alcun indirizzo di posta elettronica a cui desiderasse ricevere le comunicazioni (né in Area Riservata né in altro modo). Ad ogni buon conto”, come già rappresentato nel riscontro del 13/2/2025, “le procedure aziendali della Società sono in continuo aggiornamento” e “attualmente tutte le richieste informative inerenti ai rapporti contrattuali possano essere evase solo in presenza di alcune condizioni” specifiche, come sopra delineate (vedi par. 1, lett. d));
b) “Non appena ricevuta la comunicazione da parte dell'Interessata, in data 22 settembre 2024, la Compagnia, sebbene non ancora certa della frode, ha agito con immediatezza”, sospendendo l’invio di ogni comunicazione all'indirizzo e-mail disconosciuto e avviando “le opportune attività istruttorie interne”; in particolare, pervenuto il reclamo (il 16 dicembre 2024) con il il quale “la Sig.ra XX, per il tramite del suo legale di fiducia avv. XXX”, forniva ulteriori dettagli circa l’accaduto rappresentando “di essere stata citata in giudizio - unitamente ai propri figli nella loro qualità di beneficiari delle polizze vita - dinanzi al Tribunale di XXX da un proprio nipote, tale XXX, e che, solo una volta avuto accesso al fascicolo processuale, si era avveduta del deposito negli atti di causa da parte dell’attore di una serie di informazioni e documenti relativi ai prodotti in questione, inviati dalla Compagnia sull’indirizzo email, appunto, dalla stessa disconosciuto”, la Funzione reclami ha segnalato l’evento alla Funzione Privacy della Società, nonché alla Funzione legale, ai fini delle valutazioni di competenza di ciascuno”. Quindi, “all’esito degli approfondimenti necessari, il “GDPR Team di Valutazione”, incaricato ai sensi della normativa interna di valutare gli eventi che possono dare luogo a data breach e le cui valutazioni sono sottoposte al parere del DPO del Gruppo Poste Italiane, in data 20 gennaio 2025 ha notificato al Garante il data breach connesso alla vicenda in discussione entro le 72 ore dalla conoscenza dell’evento, avvenuta il 17 gennaio 2025”. Successivamente, “il 7 febbraio 2025 la Compagnia ha depositato una denuncia querela contro ignoti all'Autorità Giudiziaria a tutela degli interessi della Compagnia e dell’Interessata per i fatti accaduti. Il procedimento penale risulta, allo stato, in fase di indagini preliminari”.
c) preme rilevare che “prima di tale data [17 gennaio 2025], anche considerato che la sig.ra XX non aveva comunicato alla Compagnia un indirizzo di posta elettronica quale suo recapito, la Società non aveva elementi sufficienti per ritenere che le comunicazioni ricevute provenissero da un soggetto diverso dall’Interessata, considerati i numerosi e precisi dettagli forniti nelle richieste e la presenza della firma autografa. La Società ha infatti cominciato a dubitare della paternità delle comunicazioni ricevute a nome dell’Interessata solo al ricevimento della comunicazione del 22 settembre 2024, peraltro proveniente da un ulteriore e differente indirizzo (“XX”), parimenti sconosciuto alla Società, in cui la stessa Interessata indicava di avere al tempo il mero sospetto di avere subito un furto d’identità”;
d) inoltre, “il termine di 72 ore dalla violazione per la notifica della violazione non [è] un termine indicato dall’art. 33 del GDPR come perentorio, in quanto è la stessa norma che precisa che la comunicazione debba avvenire “ove possibile entro 72 ore dal momento in cui [il titolare] ne è venuto a conoscenza. Invero, la norma riflette un principio di realtà, in quanto, nelle organizzazioni di maggiore complessità, come sicuramente è la Compagnia, la presa di coscienza di un evento di data breach passa attraverso verifiche e controlli complessi, che coinvolgono molteplici strutture e richiedono il rispetto di specifici processi, soprattutto a tutela della propria clientela. Pertanto, anche ove l’Autorità ritenesse presente un ritardo nella notifica, sotto tale profilo non risulterebbero ascrivibili inadempienze in capo alla Compagnia”;
e) deve infine essere considerato che la violazione di dati personali occorsa “non ha riguardato dati particolari di cui all’art. 9 del GDPR” e che i relativi accertamenti hanno richiesto più tempo, considerato che i dati sono stati “estorti” alla Compagnia da un soggetto che ha posto in essere artifici e raggiri al fine di carpire le informazioni, ponendo in essere una condotta penalmente rilevante […]”.
3. L’esito dell’istruttoria.
All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento (della cui veridicità l’autore risponde ai sensi e per gli effetti di cui all’art. 168 del Codice), nonché della documentazione acquisita, risulta che la Società, in qualità di titolare del trattamento, ha posto in essere un trattamento di dati personali riferiti alla reclamante non conforme alla disciplina in materia di protezione dei dati personali.
In particolare è emerso che Poste Vita S.p.a. ha comunicato, a un soggetto terzo non autorizzato, dati personali riferiti alle polizze vita intestate alla reclamante; ciò è avvenuto in ragione di un errore posto in essere da operatori della compagnia che, nell’esaminare le richieste di informazioni riguardanti le citate polizze e pervenute tra il 2021 e il 2023 tramite una casella e-mail recante il nome e il cognome dell’interessata, hanno fornito informazioni e documentazione alla casella e-mail medesima ritenendo che gli elementi di cui disponevano fossero adeguati e sufficienti a garantire che le richieste provenissero dalla reclamante, intestataria delle polizze.
Solo a distanza di tempo dall’accaduto, in data 22 settembre 2024, a seguito del disconoscimento, da parte dell’interessata, dell’indirizzo e-mail in questione, la Società ha avviato opportuni approfondimenti provvedendo, al tempo stesso, all’immediata sospensione di ogni ulteriore comunicazione alla casella in questione.
Le motivazioni individuate dalla Società come causa della propria condotta, tra cui, in particolare, il fatto che le richieste riscontrate presentassero elementi di autenticità tali da far ritenere che le stesse provenissero dall’interessata (sottoscrizione autografa e informazioni specifiche e di dettaglio sull’interessata medesima e sulle operazioni dalla stessa realizzate) non possono ritenersi sufficienti ad escludere che il trattamento dei dati personali posto in essere dalla compagnia sia stato realizzato in violazione dei principi di cui all’art. 5, par. 1, lett. a) e f) del Regolamento.
Considerato infatti che, nel caso di specie, l’interessata non aveva fornito – né in sede di sottoscrizione del contratto, né successivamente - alcun indirizzo di posta elettronica per la ricezione di eventuali comunicazioni di interesse, la Società, prima di inviare tramite e-mail documentazione e informazioni riferite all’interessata, avrebbe dovuto porre in atto ogni misura idonea a verificare l’effettiva rispondenza dell’indirizzo di posta elettronica in questione all’identità della cliente.
Al riguardo, deve prendersi atto che la Società, nel corso del procedimento, ha affermato di avere nel frattempo “aggiornato le procedure aziendali, anche al fine dell’ottimizzazione dei presidi a tutela della clientela”, prevedendo che “tutte le richieste informative inerenti ai rapporti contrattuali possano essere evase solo in presenza di condizioni” che consentano l’accertamento dell’identità del richiedente.
In merito al ritardo con il quale è stata effettuata, il 20/1/2025, la notifica di violazione di dati personali all’Autorità ai sensi dell’art. 33, par. 1 del Regolamento, le argomentazioni della Società – secondo cui la stessa avrebbe avuto effettiva e certa conoscenza della violazione solo in data 17/1/2025 (data della riunione del “GDPR Team di Valutazione”), mentre alla data del 22/9/2024 non sussisteva alcuna “ragionevole certezza” che la stessa si fosse realizzata - non possono ritenersi sufficienti a superare il rilievo formulato.
Ciò in quanto, a fronte del disconoscimento della casella e-mail da parte dell’interessata, la Società aveva la “ragionevole” evidenza che i dati riferiti alla stessa fossero stati inviati da un proprio operatore a un soggetto estraneo, con conseguente obbligo di provvedere, senza ingiustificato ritardo e, ove possibile, entro 72 ore, alla notifica di cui all’art. 33, par. 1 del Regolamento (notifica che invece è stata effettuata quasi quattro mesi dopo e senza alcuna indicazione circa i motivi del ritardo).
Al riguardo, si richiamano le “Linee guida 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del RGPD”, adottate dal Comitato europeo per la protezione dei dati il 28 Marzo 2023 (che hanno sostituito le precedenti “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679” adottate dal Gruppo di Lavoro Articolo 29 per la Protezione dei Dati, da ultimo il 6 febbraio 2018 e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018), ove è precisato che “L'EDPB ritiene che il titolare del trattamento debba considerarsi "a conoscenza" nel momento in cui è ragionevolmente certo che si è verificato un incidente di sicurezza che ha portato alla compromissione dei dati personali”.
In ogni caso “Il momento esatto in cui il titolare del trattamento può considerarsi "a conoscenza" di una particolare violazione dipenderà dalle circostanze della violazione. In alcuni casi sarà relativamente evidente fin dall'inizio che c'è stata una violazione, mentre in altri potrebbe occorrere del tempo per stabilire se i dati personali sono stati compromessi. Tuttavia, l'accento dovrebbe essere posto sulla tempestività dell'azione per indagare su un incidente per stabilire se i dati personali sono stati effettivamente violati e, in caso affermativo, prendere misure correttive ed effettuare la notifica, se necessario” (cfr. p. 31 e 33 Linee guida citate).
4. Conclusioni: dichiarazioni di illiceità del trattamento. Provvedimenti correttivi ai sensi dell’art. 58, par. 2 del Regolamento.
Alla luce di quanto complessivamente rilevato, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentano di superare appieno i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino pertanto inidonee a disporre l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Il trattamento dei dati personali dell’interessata effettuato da Poste Vita S.p.a. risulta infatti illecito, nei termini su esposti, in quanto posto in essere in violazione degli artt. 5, par. 1, lett. a), ed e) e 33, par. 1 del Regolamento
Per tale ragione il reclamo deve ritenersi fondato e l’Autorità, nell’esercizio dei poteri correttivi di cui all’art. 58, par. 2, del Regolamento, dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).
Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere da Poste Vita S.p.a., di cui è stata accertata l’illiceità, nei termini sopra esposti.
Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.
Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sottoriportate:
- la rilevante natura della violazione, che ha riguardato principi generali del trattamento dei dati personali (liceità e correttezza, integrità e riservatezza) e la circostanza che il titolare ha avuto contezza della violazione, solo a seguito della segnalazione dell’interessata;
- la natura colposa dell’evento dovuto all’errore degli operatori che, nell’esaminare le richieste di informazioni pervenute da una casella e-mail, hanno omesso di verificare l’identità dello scrivente;
- la circostanza che la Società ha immediatamente provveduto, non appena avuta contezza dell’accaduto ha avviato gli approfondimenti necessari a ricostruire la vicenda, con conseguente denuncia querela contro ignoti alle autorità competenti;
- quanto dichiarato, nel corso del procedimento, in ordine all’aver “aggiornato le procedure aziendali, anche al fine dell’ottimizzazione dei presidi a tutela della clientela”, prevedendo che “tutte le richieste informative inerenti ai rapporti contrattuali possano essere evase solo in presenza di condizioni” che consentano di accertare l’identità del richiedente;
- la circostanza che la Società ha attivamente collaborato con l’Autorità nel corso del procedimento;
- l’assenza di precedenti specifici a carico della Società.
Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla compagnia con riferimento al bilancio ordinario d’esercizio per l’anno 2023.
Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Poste Vita S.p.a. la sanzione amministrativa del pagamento di una somma pari ad euro 80.000,00 (ottantamila).
In tale quadro si ritiene che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito Internet del Garante.
Ciò in considerazione della tipologia delle violazioni accertate che hanno comportato la comunicazione, a un soggetto terzo non autorizzato, di dati personali riferiti alle polizze vita intestate alla reclamante.
TUTTO CIÒ PREMESSO, IL GARANTE
rileva l’illiceità del trattamento effettuato da Poste Vita S.p.a., in persona del legale rappresentante pro tempore, con sede legale in Viale Europa, 190- 00144- Roma P.I. 05927271006 per la violazione degli artt. 5, par. 1, lett. a) e f) e 33, par. del Regolamento;
ORDINA
ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, alla medesima compagnia di pagare la somma di euro 80.000,00 (ottantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;
INGIUNGE
quindi alla medesima compagnia di pagare la predetta somma di euro 80.000,00 (ottantamila) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981.
Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);
DISPONE
- ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito Internet del Garante;
- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del garante n. 1/2019, la pubblicazione del presente provvedimento sul sito Internet del Garante;
- ai sensi dell’art. 17 del Regolamento n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.
Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 10 luglio 2025
IL PRESIDENTE
Stanzione
IL RELATORE
Scorza
IL SEGRETARIO GENERALE REGGENTE
Filippi
