Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Azienda Teatro del Giglio - 28 maggio 2020 [9434609]

[doc. web n. 9434609]

Ordinanza ingiunzione nei confronti di Azienda Teatro del Giglio - 28 maggio 2020

Registro dei provvedimenti
n. 92 del 28 maggio 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vicepresidente, la dott.ssa Giovanna Bianchi Clerici e la prof.ssa Licia Califano, componenti, e il dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. Il reclamo.

Con due autonomi reclami, pervenuti rispettivamente il 29 aprile e il 6 maggio 2019, il signor XX e la signora XX, dipendenti dell’Azienda Teatro del Giglio ATG di Lucca – ente pubblico strumentale del Comune di Lucca, istituito per la gestione del teatro comunale del Giglio – (di seguito, Azienda), hanno lamentato l’avvenuta pubblicazione sul sito istituzionale dell’Azienda dell’“XX” (reperibile accedendo alla pagina web:https://www.teatrodelgiglio.it/...), contenente, accanto ai nominativi dei dipendenti dell’Azienda, elementi idonei a rivelare informazioni relative allo stato di salute degli interessati (es. il riferimento alle leggi n.104 del 1992 e n. 68 del 1999).

2. L’attività istruttoria.

La pubblicazione del menzionato documento è stata confermata dalle verifiche preliminari effettuate dall’Ufficio, rispettivamente in data 13 e 30 maggio 2019 (v. Relazione di servizio agli atti del fascicolo). In ogni caso, in data 24 giugno 2019 all’esito di ulteriori accertamenti effettuati dall’Ufficio il documento è risultato essere stato rimosso (v. Relazione di servizio agli atti del fascicolo).

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, ha notificato all’Azienda ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

Con la nota sopra menzionata, l’Ufficio ha rilevato che l’Azienda ha pubblicato sul sito web istituzionale il documento contenente dati personali riferiti agli interessati (dipendenti o congiunti degli stessi), consistenti in dati personali idonei a rivelare dati relativi alla salute degli stessi:

- in maniera non conforme ai principi di “liceità, correttezza e trasparenza” nonché di “minimizzazione” del trattamento, in violazione dell’art. 5, par. 1, lett. a) e c), del Regolamento;

- in violazione del divieto di diffusione dei dati sulla salute (art. 9, parr. 1, 2 e 4, del Regolamento e art. 2-septies, comma 8, del Codice).

Con nota del XX (prot. n. XX) l’Azienda ha fatto pervenire le proprie memorie difensive, rappresentando, tra l’altro, che:

- “l’organico dell’azienda […] è rappresentato da 22 unità […di cui solo] 6 dipendenti […] a supporto dell’intera area amministrativa […]” e dunque sussistono “difficoltà a garantire un presidio sufficientemente strutturato delle norme in materia di privacy”;

- “i meri riferimenti numerici indicativi di un provvedimento legislativo posto di seguito al nominativo degli interessati […] senza alcun riferimento né agli articoli delle leggi citate e tantomeno ai motivi personali cui tali leggi farebbero riferimento […priverebbero] la condotta contestata […] di effettiva lesività, non rivelando neanche implicitamente dati personali di salute degli interessati o di un loro parente”;

- “né l’indicazione dei soli estremi del provvedimento normativo si presta ad un agevole ed intuitivo procedimento di conoscenza – da parte degli utenti del sito- dei dati sensibili implicati […]”;

- “l’organigramma aggiornato al 18 ottobre 2019 veniva caricato sul sito istituzionale nella sezione “XX” in data XX”; a seguito della segnalazione di una dipendente, in data 5 febbraio 2019, “si è preso atto dell’esistenza sul sito del predetto documento”;

- “l’Azienda Teatro del Giglio, per mera distrazione, aveva allegato un documento interno anziché quello predisposto per la pubblicazione sul sito. Preso atto dell’inconveniente si è provveduto immediatamente alla rimozione […] in data 5 febbraio 2019 […] entro due ore dalla segnalazione” (cfr. all. nn. 2 e 3 alla nota cit.);

- a seguito di verifiche compiute dalla società Mediaus s.r.l. che si occupa della gestione del sito è emerso che “il documento pur non risultando visibile ai nuovi utenti che accedevano al sito poteva essere ancora accessibile da parte di coloro che avevano memorizzato tale URL in precedenza”; ciò in quanto un “dipendente, non avendo (al pari degli altri) una formazione tecnica in materia informatica, inconsapevolmente e in buona fede, ha creduto, rimuovendo il solo link alla pagina, di aver eliminato anche l’URL dell’organigramma errato”; per tale ragione, il file sarebbe tornato ad essere visibile nei giorni 20 e 21maggio 2019;

- “chi […] si fosse imbattuto solo in quei giorni di esposizione del file errato (dal 7/1 al 5/2 e20/21 maggio) e solo se avesse memorizzato lo specifico percorso per visualizzare il file errato, avrebbe potuto visionare nuovamente tale file”;

- “in tutto il periodo di permanenza del file […] alla sezione sono stati effettuati 36 accessi unici alla pagina (cioè da utenti diversi) per un totale di 91 accessi; con un tempo medio di permanenza di 1 minuto e 55 secondi […] solo 4 risultano [aver acceduto] direttamente alla pagina Organizzazione che, è bene ribadirlo, conteneva anche altri contenuti”;

- “agli atti aziendali di quel periodo non esiste alcuna documentazione […] pervenuta dai dipendenti che si sono ritenuti lesi nella tutela della loro privacy, di segnalazione o invito a rimuovere le informazioni erroneamente esposte”.

3. Esito dell’attività istruttoria.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, anche qualora operino nello svolgimento dei propri compiti di datori di lavoro, possono trattare i dati personali (art. 4, n. 1, del Regolamento) dei dipendenti, se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (ovvero gli specifici obblighi o compiti previsti dalla legge per finalità di gestione del rapporto di lavoro) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento).

La disciplina nazionale ha introdotto disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando, con maggiore precisione, requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2 del Regolamento) e, in tale ambito, ha previsto che le operazioni di trattamento che consistono nella “diffusione” di dati personali sono ammesse solo quando previste da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter, commi 1 e 3, del Codice).

Con riguardo alle categorie particolari di dati personali, inclusi quelli relativi alla salute (in merito ai quali è previsto un generale divieto di trattamento, ad eccezione dei casi indicati all’art. 9, par. 2 del Regolamento e, comunque un regime di maggiore garanzia rispetto alle altre tipologie di dati, in particolare, per effetto dell’art. 9, par. 4, nonché dell’art. 2-septies del Codice), il trattamento è consentito, oltre che per assolvere specifici obblighi “in materia di diritto del lavoro […] nella misura in cui sia autorizzato dal diritto […] in presenza di garanzie appropriate” (art. 9, par. 2, lett. b), del Regolamento), altresì, ove “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento).

Con riguardo alle categorie particolari di dati personali, il legislatore nazionale ha definito “rilevante” l’interesse pubblico per il trattamento “effettuato da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri” nelle materie indicate, seppur in modo non esaustivo, dall’art. 2-sexies del Codice, stabilendo che i relativi trattamenti “sono ammessi qualora siano previsti dal diritto dell'Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato”.

In ogni caso, i dati relativi alla salute, ossia quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15, considerando 35), in ragione della particolare delicatezza di tale categoria di dati, “non possono essere diffusi” (art. 2-septies, comma 8 e art. 166, comma 2, del Codice e art. 9, parr. 1, 2, 4, del Regolamento; v. già art. 22, comma 8, del Codice previgente). Tale disposizione, infatti, già contenuta nel quadro normativo previgente (art. 22, comma 8 del Codice, anteriore alle modifiche di cui al d.lg. n. 101/2018), trova ulteriore fondamento nel quadro normativo delineato dal Regolamento che ha consentito agli stati membri di mantenere o introdurre “ulteriori condizioni, comprese limitazioni” proprio con riguardo al trattamento dei dati relativi alla salute, analogamente a quelli genetici e biometrici (cfr. 9, par. 4 del Regolamento). Nell’adeguamento dell’ordinamento nazionale alle disposizioni del Regolamento, l’art. 2-septies del Codice (Misure di garanzia per il trattamento  dei  dati genetici, biometrici e relativi alla salute) - oltre a prevedere che è lecito il trattamento di tali categorie di dati al ricorrere di una delle condizioni enumerate dal Regolamento all’art. 9, paragrafo 2 “ed in conformità alle misure di garanzia disposte dal Garante”- ha confermato il generale divieto alla diffusione dei dati relativi alla salute (comma 8).

Il titolare del trattamento è tenuto, inoltre, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

3.1. La diffusione dei dati relativi alla salute.

Tanto premesso, si evidenzia che l’Azienda, nelle memorie difensive, ha confermato l’avvenuta pubblicazione, nella sezione “Amministrazione trasparente” del proprio sito web istituzionale, del documento denominato “Organigramma alla data del 18 ottobre 2018” e che nello stesso erano riportati, in corrispondenza di alcuni nominativi, gli estremi della legge 5 febbraio 1992 n. 104 (Legge-quadro per l’assistenza, l’integrazione sociale e i diritti delle persone handicappate) e della legge 12 marzo 1999, n. 68 (Norme per il diritto al lavoro dei disabili).

Contrariamente a quanto sostenuto dall’Azienda, proprio in ragione della definizione di dato personale contenuta nel Regolamento - “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” e che “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, n. 1, del Regolamento) - anche il mero riferimento ai due corpi normativi in questione che, notoriamente, disciplinano benefici e garanzie per l’assistenza, l’integrazione sociale e lavorativa di persone disabili o di loro familiari, consente di ricavare informazioni sullo stato di salute di una persona.

Per tali ragioni risulta confermato che l’Azienda, pubblicando il descritto documento, ha dato luogo a una “diffusione” (art. 2-ter, par. 4, lett. b), del Codice) di dati relativi alla salute riferiti ai propri dipendenti o a loro a familiari (v. sul punto, la definizione di dato relativo alla salute contenuta nell’art. 4, par. 1, n. 15, del Regolamento, ma già “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” del Garante, provv. n. 243 del 15 maggio 2014, doc. web n. 3134436, spec. parte prima, par. 2; parte seconda, par. 1; nonché provvedimenti ciati in nota n. 5).

Sebbene quindi il datore di lavoro possa lecitamente porre in essere il trattamento di dati relativi alla salute dei propri dipendenti (e di suoi congiunti), al fine di permettergli di godere dei benefici di legge, come nel caso delle agevolazioni previste per l’assistenza a familiari disabili, ai permessi retribuiti e ai congedi per gravi motivi familiari ( v., sul punto, par. 8.6 delle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico” del Garante, del 14 giugno 2007, doc. web n. 1417809), resta tuttavia salvo il divieto di diffondere i dati relativi alla salute degli interessati.

Tale divieto deve essere rispettato anche in occasione dell’assolvimento agli specifici obblighi di pubblicazione richiesti dall’ordinamento quali, per ciò che rileva nel caso di specie, quelli previsti dalla disciplina di settore in materia di trasparenza, di cui al d.lgs. 14 marzo 2013, n. 33, Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni, modificato dal d. lgs. 97/2016 (cfr. 2-septies, comma 8 del Codice e artt.4 comma 6 e 26, comma 4 d.lg. n.33/2013).

Per tali ragioni, come emerso dalle risultanze istruttorie, l’Azienda, pubblicando il documento in questione, ha effettuato - fino alla definitiva rimozione dello stesso accertata dall’Ufficio in data 24 giugno (cfr. Relazione di servizio citata) – una diffusione di dati relativi alla salute di dipendenti e/o loro familiari in violazione dei principi di base del trattamento contenuti negli art. 5, par. 1, lett. a) e c) e art. 9, parr. 1, 2 e 4 del Regolamento e in violazione del divieto di diffusione dei dati relativi alla salute di cui all’art. 2-septies, comma 8, del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si rappresenta, altresì, che la violazione dei dati personali oggetto dell’istruttoria da parte dell’Azienda è avvenuta nella piena vigenza delle disposizioni del Regolamento e del Codice, come modificato dal d.lg.n.101/2018, e che, dunque, al fine della determinazione del quadro normativo applicabile sotto il profilo temporale (art. 1, comma 2, della l. 24 novembre 1981, n. 689), queste costituiscono le disposizioni vigenti al momento della commessa violazione, che nel caso di specie si è protratta, seppur per periodi non continuativi, durante i primi mesi del 2019 (“dal 7/1 al 5/2 e 20/21 maggio 2019”).

Si confermano pertanto le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda Teatro del Giglio, in quanto la pubblicazione sul sito istituzionale dell’“Organigramma alla data del 18 ottobre 2018” è avvenuto in violazione dei principi di base del trattamento, contenuti negli art. 5, par. 1, lett. a) e c) e art. 9, parr. 1, 2 e 4 del Regolamento, e in violazione del divieto di diffusione dei dati relativi alla salute, di cui all’art. 2-septies, comma 8, del Codice.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5 del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento medesimo e art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che l’Azienda ha provveduto a rimuovere il documento dal sito web istituzionale, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stata considerata la particolare delicatezza dei dati personali illecitamente diffusi dall’Azienda, trattandosi di dati relativi alla salute (art. 4, par. 1, n. 15 del Regolamento) nonché il mancato rispetto delle indicazioni che, da tempo, il Garante, ha fornito a tutti i soggetti pubblici (v. ad esempio, Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati sopra citate) e in numerosi provvedimenti aventi a oggetto specifici casi (da ultimo, provv.15 gennaio 2020, n.3, doc. web n. 9261227; provv. 13 febbraio 2020, n. 35, doc. web n. 9285411).

Di contro è stato considerato che la diffusione è avvenuta a causa di un mero errore che ha determinato la pubblicazione di un documento ad uso interno, senza l’intenzione di danneggiare o discriminare alcuno e che l’arco temporale della diffusione è stato limitato, complessivamente e comunque in modo non continuativo, al periodo “dal 7/1 al 5/2 e 20/21 maggio 2019”. Si prende inoltre favorevolmente atto che l’Azienda, che è un ente di piccole dimensioni con un limitato numero di dipendenti e con scarse risorse di bilancio, si è comunque attivata per rimuovere il documento pubblicato e ha collaborato con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi. Non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria tenendo anche conto della fase di prima applicazione delle disposizioni sanzionatorie ai sensi dell’art. 22, comma 13, del d. lgs. 10/08/2018, n. 101, nella misura di euro 6.000 (seimila) per la violazione degli artt. 5, par. 1, lett. a) e c) nonché art. 9, parr. 1, 2 e 4, del Regolamento e art. 2-septies, comma 8, del Codice quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto della particolare delicatezza dei dati diffusi, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

rileva l’illiceità del trattamento effettuato dall’Azienda Teatro del Giglio, per violazione degli artt. 5, par. 1, lett. a) e c) nonché art. 9, parr. 1, 2 e 4, del Regolamento e art. 2-septies, comma 8, del Codice, nei termini di cui in motivazione;

ORDINA

all’Azienda Teatro del Giglio, in persona del legale rappresentante pro-tempore, con sede legale in Piazza del Giglio, 13-15, 55100 Lucca - P.I.01670770468, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento e 166, comma 2, del Codice, di pagare la somma di euro 6.000,00 (seimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla medesima Azienda di pagare la somma di euro 6.000,00 (seimila), in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 28 maggio 2020

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia