g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento del 10 aprile 2025 [10161579]

Provvedimento del 10 aprile 2025 [10161579]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10161579]

Provvedimento del 10 aprile 2025

Registro dei provvedimenti
n. 230 del 10 aprile 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTA la notifica di violazione dei dati personali ai sensi dell’art. 33 del Regolamento presentata in data 28/06/2024 da parte di Yolo Group S.p.a.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale reggente ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. La violazione dei dati personali ex art. 33 del Regolamento UE 2016/679 e l’avvio dell’attività istruttoria.

In data 28/06/2024, il Garante ha ricevuto da Yolo Group S.p.a. (di seguito anche solo “la Società”) una notifica di violazione dei dati personali ai sensi dell’art. 33 del Regolamento (UE) 2016/679 (di seguito “Regolamento”) concernente dati anagrafici e di contatto di un elevato numero di interessati.
Alla luce di ciò, l’Ufficio ha rivolto una prima richiesta di informazioni ai sensi dell’art. 157 del d.lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito anche solo “il Codice”) a codesta Società il 18/07/2024 (nota prot. n. 88989).

La Società ha riscontrato tale richiesta, con nota del 26/07/2024, rappresentando, tra le altre cose, che:

- “La piattaforma Yolo è un sistema proprietario avanzato composto da diversi componenti tecnologici integrati per garantire efficienza e scalabilità. Front-end: Il front-end è sviluppato utilizzando Angular nella versione 18, una delle più recenti, che offre una vasta gamma di funzionalità avanzate per la creazione di interfacce utente dinamiche e reattive. L'uso di Angular assicura un'ottima esperienza utente, grazie alla sua architettura modulare e alle potenti funzionalità di data binding. Microservizi: La piattaforma adotta un'architettura a microservizi basata su Java con il framework Quarkus nella versione 17. Quarkus è noto per le sue prestazioni ottimizzate e la sua capacità di avviamento rapido, rendendolo ideale per ambienti cloud-native. Questa scelta tecnologica permette di sviluppare, distribuire e gestire servizi indipendenti che possono essere scalati e aggiornati in modo autonomo. Servizi Core: I servizi core della piattaforma sono implementati in Ruby, utilizzando la versione 2.5. Ruby è apprezzato per la sua semplicità e leggibilità del codice, facilitando la manutenzione e l'espansione delle funzionalità core. La scelta di Ruby garantisce anche una rapida prototipazione e una solida base per lo sviluppo di servizi essenziali”;

-  “La violazione è avvenuta tramite una API che espone solo alcune informazioni, (elenco campi comunicati in precedenza), il database presente nella piattaforma Yolo è un Postgress Saas RDS su piattaforma AWS, la versione è 12.17”;

- “Fermo restando che i dati oggetto della violazione specifica sono esclusivamente Dati Personali Comuni, in ogni caso la piattaforma Yolo garantisce la protezione dei dati sensibili attraverso diverse tecniche avanzate. I dati sono crittografati sia in transito (HTTPS con SSL/TLS) sia a riposo. L'autenticazione multi-fattore (MFA) e i controlli di accesso basati sui ruoli gestiscono l'autenticazione e l'autorizzazione. Le attività vengono monitorate e registrate in tempo reale AUDIT, con log delle operazioni per tracciare eventuali attività sospette. La sicurezza è rinforzata con firewall, e regolari analisi delle vulnerabilità. Gli aggiornamenti e le patch di sicurezza sono applicati tempestivamente, in quanto tutta la piattaforma è CLOUD su AWS e pertanto eseguiamo tutti gli aggiornamenti, mentre il personale e gli utenti ricevono formazione continua sulle best practice di sicurezza. Infine, vengono implementate strategie di backup e ripristino per assicurare il recupero dei dati in caso di incidenti”;

- “La vulnerabilità è di tipo (IDOR) su un'API, una vulnerabilità che ha consentito di accedere ad alcuni dati anagrafici degli utenti”;

- “I dati trattati nella fattispecie sono Dati Personali Comuni facilmente reperibili sul web”;

- “Considerato tutto quanto sopra e quindi non ravvedendo gravi rischi per gli Interessati dal momento che i Dati della fattispecie sono Dati Personali Comuni e facilmente reperibili sul web, non abbiamo ritenuto necessario mandare una comunicazione agli stessi. Qualora riteniate opportuno trasmettere una comunicazione in merito all’accaduto, vi forniamo qui di seguito una bozza del comunicato che inoltreremmo:

Buongiorno, la contattiamo da YOLO Group S.P.A per informarla di un incidente di sicurezza che ha coinvolto la nostra organizzazione. Abbiamo rilevato un accesso non autorizzato da parte di un soggetto esterno che potrebbe aver scaricato i dati anagrafici e di contatto relativi alla sua utenza usata per accedere al nostro sito web/App (inserire estensione sito e link all’app). Se dovesse essere contattato via email/sms o telefono da soggetti che ritiene sospetti, la invitiamo a non cliccare su link sconosciuti, a non condividere informazioni personali o finanziarie né tantomeno a rilasciare consensi previa eventuale verifica della fonte per la quale siete stati contattati. Vi preghiamo di ignorare e cancellare immediatamente qualsiasi email/sms sospetti proveniente dal nostro dominio che contengano richieste di questo tipo o che vi inviti a cliccare su link o scaricare allegati. La nostra organizzazione ha immediatamente provveduto ad adottare ogni misura di sicurezza necessaria a gestire l’evento e ad evitare che lo stesso possa accadere nuovamente. Ci scusiamo per qualsiasi disagio che questo possa aver causato e Vi ringraziamo per la Vostra comprensione e collaborazione e Vi lasciamo il seguente contatto in caso di necessità di ulteriori chiarimenti o informazioni necessarie – dpo@yolo-group.com”.

In data 6/08/2024, l’Ufficio ha rivolto alla Società una seconda richiesta di informazioni, ai sensi dell’art. 157 del Codice, al fine di acquisire ulteriori elementi in merito alla violazione dei dati personali.

Con nota del 9/08/2024, la Società ha fornito riscontro alla predetta richiesta, rappresentando che:

- “informiamo innanzitutto di aver reso noto via email a tutti gli interessati l’incidente occorso con comunicazione inviatavi in bozza con la nostra precedente nota”;

- “L’attaccante ha creato un’utenza sul sistema per ottenere un token di sicurezza valido attraverso la funzionalità di registrazione presente sul sito web, a questo punto l’attaccante ha ricevuto un token valido per l’accesso al sistema, ed ha potuto usarlo per chiamare alcune API”;

- “Nel caso specifico, la vulnerabilità è stata riscontrata nell'API denominata /api/legacy/users/new_update affetta da una vulnerabilità di tipo IDOR. Questa API permette di effettuare operazioni su account utente, utilizzando un identificatore univoco (user_id) che viene passato come parametro nella richiesta. Tuttavia, il sistema non verificava in modo adeguato se l'utente che invia la richiesta ha i permessi necessari per accedere alle informazioni associate a quell'identificatore”;

- “Il numero esatto degli interessati coinvolti è di 38.973. Di ciascuno di essi sono presenti indirizzo, e-mail e numero di telefono”.

2. L’avvio del procedimento.

Per quanto sopra, l’Ufficio, anche a seguito di un’approfondita analisi sotto il profilo tecnologico, ha provveduto a notificare alla Società, con nota del 02/12/2024, l’atto di avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice in relazione alla violazione degli artt. 12, par. 3, e 15 del Regolamento.

La Società, in data 16/12/2024, ha inviato i propri scritti difensivi, ai sensi dell’art. 18 della legge n. 689/1981, con cui argomentava che:

- “l’evento notificato in data 28/06/2024, relativo alla violazione rilevata da Yolo in data 26/06/2024, ha riguardato una vulnerabilità di tipo IDOR (Insecure Direct Object Reference) presente in una singola API della piattaforma. È importante sottolineare che tale API era stata progettata per un utilizzo esclusivamente server-to-server, con accesso ristretto e che non doveva essere esposta pubblicamente. L’API era accessibile esclusivamente agli utenti autenticati e progettata per un utilizzo server-to-server, con le logiche di filtraggio e controllo delle autorizzazioni implementate lato server. Tuttavia, a causa di una configurazione non corretta, è stato possibile per un attore esterno che si è autenticato, eseguire richieste non autorizzate sfruttando tale vulnerabilità”;

- “come rilevato sopra, si è trattato di un errore di configurazione che ha creato la vulnerabilità che ha consentito l'autenticazione dell'esterno”;

- “dopo l’identificazione della vulnerabilità, abbiamo intrapreso le ulteriori seguenti azioni: 1. Risoluzione della vulnerabilità: o L’API interessata è stata corretta entro 48 ore, con l’introduzione di controlli avanzati sulle autorizzazioni e una revisione della sua configurazione. 2. Verifica completa delle API: o Sono state sottoposte a controllo tutte le API esistenti per garantire che non vi fossero altre configurazioni non allineate agli standard di sicurezza. 3. Revisione del processo di gestione delle API: o Le API progettate per un utilizzo server-to-server sono ora segregate in ambienti dedicati e non accessibili dall’esterno. 4. Rafforzamento del processo di deployment: o Abbiamo integrato SonarQube nel nostro processo di deployment, aumentando le soglie di copertura per i requisiti di sicurezza. È ora obbligatorio identificare e mitigare tutte le vulnerabilità prima del rilascio in produzione”;

- “Misure di sicurezza già implementate precedentemente al Breach: 1. Crittografia dei dati personali: o I dati sono protetti sia in transito (tramite HTTPS con certificati SSL/TLS) sia a riposo .2. Autenticazione avanzata: o Gli accessi al sistema sono regolati da un sistema di autenticazione multifattore (MFA). o Le chiamate API utilizzano un sistema di token scoped, che limita in modo rigoroso le operazioni eseguibili da ciascun token generato che identificano l’utente e la sessione. 3. Controlli di accesso basati sui ruoli (RBAC): o Gli utenti possono accedere esclusivamente ai dati e alle funzionalità autorizzate. 4. Monitoraggio e auditing: o La piattaforma dispone di audit log centralizzati per tracciare ogni operazione e identificare tempestivamente eventuali attività sospette. o Log ed allert del firewall centralizzati e con reportistica dettagliata, che viene analizzata ed archiviata, ad ogni report viene aggiornata la matrice del rischio e vengono definite le azioni da mettere in campo. 5. Test e analisi delle vulnerabilità: o Vengono eseguiti penetration test con cadenza annuale per identificare e correggere eventuali vulnerabilità. o È effettuato un test di vulnerability assessment, da società esterna ne certificata per verificare eventuali altre vulnerabilità oltre alla risoluzione della vulnerabilità riscontrata. 6. Altre misure tecniche/organizzative: o Formazione periodica o Adozione di un MOP e di specifiche procedure periodicamente aggiornate (esempio - Procedura gestione diritti degli interessati e Procedura Data Breach)”;

- “Yolo ha sempre prontamente risposto alle richieste del Garante sia scritte che a mezzo telefono”;

- “La violazione ha riguardato solo ed esclusivamente dati personali comuni identificativi verosimilmente di facile reperibilità in rete”;

- “l’Autorità è venuta a conoscenza della violazione per effetto della notifica effettuata dal titolare ai sensi e nei termini dell’art. 33 del Regolamento”;

- “Il Garante ad oggi non ha richiesto nessun elemento correttivo”;

- “Il Titolare ha prontamente comunicato la violazione a tutti gli Interessati e ha gestito in tempi brevissimi tutte le richieste di chiarimento e tutti gli esercizi dei diritti espressi dagli interessati stessi, in particolare:• Collaborazione con il Garante: La notifica dell’incidente è stata effettuata entro i termini previsti, con la massima trasparenza.• Tempestività degli interventi: La vulnerabilità è stata risolta rapidamente, e sono state introdotte ulteriori misure preventive per evitare il ripetersi dell’incidente.• Conformità globale: Tutte le altre API della piattaforma erano già pienamente conformi ai requisiti di sicurezza.• Impegno proattivo: Yolo ha rafforzato ulteriormente le difese adottando nuove e più efficaci misure correttive.• Gravità ridotta: L’evento ha coinvolto esclusivamente dati personali comuni identificativi verosimilmente di facile reperibilità in rete”.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento, nonché della documentazione acquisita, risulta che la Società, in qualità di titolare del trattamento, ha effettuato alcune operazioni di trattamento che risultano non conformi alla disciplina in materia di protezione dei dati personali.

In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Nel merito, è emerso che la violazione ha riguardato un alto numero di interessati (stando a quanto rappresentato dalla Società, la cifra esatta ammonta a 38.973 soggetti), dei quali sono rimasti esposti dati e informazioni personali (in particolare, indirizzo, e-mail e numero di telefono).

Secondo quanto accertato con la valutazione tecnica redatta dall’Ufficio in data 7/03/2024, la mancata gestione dei controlli relativi alle autorizzazioni di utilizzo delle API, da parte di Yolo Group S.p.a., ha pregiudicato la capacità della Società di assicurare, su base permanente, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento.

Infatti, dall’istruttoria è emerso che, al momento in cui si è verificata la violazione dei dati personali, l’autore dell’attacco informatico, utilizzando la funzionalità di registrazione presente sul sito web della Società ha, in un primo momento, creato un’utenza valida per l’accesso al sistema e successivamente sfruttato una vulnerabilità informatica di tipo IDOR (Insecure Direct Object Reference) di un’interfaccia di programmazione delle applicazioni (API – Application programming interface) della Società, configurata in modo non corretto, riuscendo così, attraverso la modifica di alcuni parametri non verificati dal sistema, ad ottenere i dati di altri utenti.A riguardo, si rammenta che l’art. 5, par. f) del Regolamento sancisce il principio di integrità e riservatezza, alla stregua del quale i dati personali devono essere “trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.

Inoltre, si osserva che l’art. 32 del Regolamento prevede, al par.1, che “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.

Tra esse, alla lett. b) dell’art. 32, par. 1 del Regolamento, viene enunciata espressamente “la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”.

In virtù di ciò, è necessario implementare le migliori pratiche per garantire la sicurezza dei trattamenti effettuati mediante un’applicazione informatica. Ciò comprende una corretta progettazione e realizzazione delle API, attraverso un approccio multilivello che includa il rilevamento e la gestione delle vulnerabilità mediante l’esecuzione di periodiche attività di vulnerability assessment. 
In tale contesto, i controlli relativi alle autorizzazioni di utilizzo delle API costituiscono una delle principali misure di sicurezza in grado di garantire che solo gli utenti appositamente autorizzati possano richiamare tali API e accedere ai dati ivi trattati.

Con riferimento al caso di specie, dall’attività istruttoria condotta dall’Ufficio è emerso che, benché l’API sfruttata per compiere l’attacco fosse accessibile esclusivamente agli utenti registrati, è bastato creare un’utenza fittizia sul sistema per poter sfruttare la vulnerabilità. Per limitare la possibilità di compiere attacchi di questo genere, sarebbe stato possibile un controllo di secondo livello sulle utenze create in piattaforma, riducendo la possibile creazione di profili malevoli.

Inoltre, con particolare riferimento alla vulnerabilità sfruttata attraverso l’API denominata “/api/legacy/users/new_update”, si osserva che i controlli relativi alle autorizzazioni della stessa costituivano una delle principali misure di sicurezza in grado di garantire che solo gli utenti appositamente autorizzati potessero richiamare tali API e accedere ai dati ivi trattati. Sarebbe stato possibile utilizzare degli strumenti di test di sicurezza automatizzati per testare le API ed evitare il verificarsi della violazione dei dati personali mediante l’esecuzione di periodiche attività di vulnerability assessment.

Alla luce di ciò, è risultato che i controlli relativi alle autorizzazioni di utilizzo delle API non sono stati gestiti in maniera corretta da parte di Yolo Group S.p.a., cagionando così un pregiudizio concreto alla riservatezza, all’integrità, alla disponibilità e alla resilienza dei sistemi e dei servizi di trattamento, configurandosi perciò una lesione del principio di integrità e riservatezza sancito all’art. 5 del Regolamento, nonché di quanto previsto dall’art. 32 del Regolamento, circa il dovere di predisporre misure di sicurezza idonee a garantire un livello di protezione adeguato al rischio.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ai sensi dell’art. 58, par. 2, del Regolamento.

Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento posto in essere dalla Società risulta pertanto illecito, nei termini su esposti, in relazione agli artt. 5, par. 1 e 32 del Regolamento.

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2, del Regolamento si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 4 e par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. legge 24 novembre 1981 n. 689).

La violazione, accertata nei termini di cui in motivazione, non può essere considerata "minore", tenuto conto della natura, della gravità e della durata della violazione stessa, del grado di responsabilità e della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (cons. 148 del Regolamento).

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

- in relazione alla natura, gravità e durata della violazione, è stato ritenuto rilevante che l’evento ha riguardato una vulnerabilità di tipo IDOR (Insecure Direct Object Reference) presente in una singola API della piattaforma, che era stata progettata per un utilizzo esclusivamente server-to-server, con accesso ristretto e che non doveva essere esposta pubblicamente, essendo accessibile esclusivamente agli utenti autenticati, con le logiche di filtraggio e controllo delle autorizzazioni implementate lato server;

- la Società ha dichiarato negli scritti difensivi che dopo l’identificazione della vulnerabilità, “sono state sottoposte a controllo tutte le API esistenti per garantire che non vi fossero altre configurazioni non allineate agli standard di sicurezza […] Abbiamo integrato SonarQube nel nostro processo di deployment, aumentando le soglie di copertura per i requisiti di sicurezza. È ora obbligatorio identificare e mitigare tutte le vulnerabilità prima del rilascio in produzione”. A riguardo, si ritiene che queste garantiscano il raggiungimento dei requisiti di sicurezza necessari per evitare il ripetersi di attacchi che sfruttano vulnerabilità di tipo IDOR (Insecure Direct Object Reference) sulle interfacce API.

- rispetto all’elemento soggettivo, si è tenuto conto del carattere colposo della violazione;

- non risultano precedenti violazioni della disciplina in materia di protezione dei dati personali da parte di Yolo Group S.p.a;

- si è tenuto conto della condotta tenuta dalla Società che si è adeguata prontamente alle indicazioni ricevute nel corso del procedimento e ha lealmente cooperato con l’Autorità.

Si ritiene inoltre che assumano rilevanza, nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore così come rilevate dal bilancio dell’anno 2023.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Yolo Group S.p.a, la sanzione amministrativa del pagamento di una somma pari ad euro 30.000,00 (trentamila).

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante.

Ciò, in considerazione dell’alto numero di interessati coinvolti nella violazione, la quale sarebbe stata invece evitabile se la Società avesse gestito correttamente i controlli relativi alle autorizzazioni di utilizzo delle API.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Yolo Group S.p.a., con sede legale in Milano, Via della Moscova, 12, P.I. 10043040962, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par. 1 e 32 del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, a Yolo Group S.p.a., di pagare la somma di euro 30.000,00 (trentamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di euro 30.000,00 (trentamila) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità; ciò tenuto conto di quanto disposto dall’art. 166, comma 7, del Codice;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 10 aprile 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE REGGENTE 
Filippi

Scheda

Doc-Web
10161579
Data
10/04/25

Argomenti

Data breach

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (10)