[doc. web n. 10084420]

Provvedimento del 17 ottobre 2024

Registro dei provvedimenti
n. 616 del 17 ottobre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. del 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. del 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato al Garante ai sensi dell’articolo 77 del Regolamento, in data 19 novembre 2021, con il quale il Sig. XX ha lamentato un illecito trattamento dei propri dati personali utilizzati per finalità di recupero crediti da parte di P.E.S. S.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo e l’attività istruttoria.

In data 19 novembre 2021, il Sig. XX ha lamentato un illecito trattamento dei propri dati personali utilizzati per finalità di recupero crediti da parte di Serfin 97 S.r.l. e di P.E.S. S.r.l.

Più nello specifico, il reclamante ha riferito che Serfin 97 S.r.l. avrebbe utilizzato, quale recapito per contattare il debitore un indirizzo e-mail facente capo ad un proprio conoscente, nella specie il contatto di posta elettronica XX, al fine di sollecitare il pagamento di un debito, contratto originariamente con Eni gas e luce S.p.A. e, poi, ceduto, previa operazione di cartolarizzazione, a P.E.S. S.r.l. (v. All. 1 – “e-mail del 23 ottobre 2021” all’istanza di reclamo in oggetto).

Ha inoltre precisato che il predetto indirizzo e-mail non era mai stato dallo stesso comunicato al summenzionato fornitore di energia, né tanto meno a P.E.S. S.r.l. o a Serfin 97 S.r.l. (v. istanza di reclamo in epigrafe, pag. 1).

Al riguardo, è stata avviata un’istruttoria dalla scrivente Autorità mediante la trasmissione, ai sensi dell’art. 157 del Codice, di una richiesta di informazioni con cui Serfin 97 S.r.l. è stata invitata a fornire osservazioni in ordine ai fatti oggetto di reclamo (v. nota del 24 gennaio 2022).

Dal riscontro pervenuto (v. nota di Serfin 97 S.r.l. del 21 febbraio 2022), è emerso, tra l’altro, che la stessa avrebbe agito in qualità di responsabile ex art. 28 del Regolamento per conto di P.E.S. S.r.l. individuata quale titolare del trattamento dei dati del Sig. XX, giusta la predetta operazione di cartolarizzazione dei crediti acquisiti da Eni gas e luce S.p.A.

È stata pertanto trasmessa una richiesta di informazioni a P.E.S. S.r.l. (v. nota del Garante del 18 luglio 2022) al fine di acquisire alcuni chiarimenti in merito.

Accertato che la sopra menzionata comunicazione, pur essendo stata regolarmente notificata al titolare (v. attestazione di avvenuta consegna della relativa pec, datata 18 luglio 2022), rimaneva inevasa, l’Autorità, ai sensi dell’art. 166, comma 5 del Codice, ha notificato, per il tramite del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, la violazione dell’art. 157 del Codice (art. 166, comma 2 del Codice), richiedendo al contempo al predetto Nucleo di acquisire presso la Società le informazioni richieste con la nota del Garante del 18 luglio 2022.

Sono state altresì fornite ulteriori precisazioni da P.E.S. Sr.l. con riscontro dell’11 aprile 2023, a seguito di specifica richiesta del Garante trasmessa ai sensi dell’art. 157 del Codice il 14 marzo 2023.

2. Gli elementi acquisiti in sede istruttoria.

Nell’ambito dei riscontri sopra indicati e nel corso delle attività ispettive poste in essere dal Nucleo speciale tutela privacy e frodi tecnologiche (v. verbali del 26 e 27 ottobre 2022), il titolare ha rappresentato quanto riportato di seguito:

‒ P.E.S. S.r.l. è “una società a responsabilità limitata costituita in Italia ai sensi dell'articolo 3 della Legge n. 130 del 30 aprile 1999 (“Legge sulla Cartolarizzazione”), iscritta nell'elenco delle società veicolo tenuto da Banca d’Italia ai sensi dell'articolo 4 della delibera di Banca d’Italia del 7 giugno numero 35371.4 e avente ad oggetto esclusivo la realizzazione di una o più operazioni di cartolarizzazione dei crediti. A tale scopo, (…) -in ossequio agli artt. art. 2, comma 3 e comma 6-bis della Legge sulla Cartolarizzazione- ha riservato la riscossione dei crediti ceduti e i servizi di cassa e pagamento, nonché le verifiche di conformità delle operazioni alla legge e ai prospetti informativi, alla Centotrenta Servicing S.p.a., quale intermediario finanziario iscritto all’albo ex art. 106 TUB” (v. nota dell'11 aprile 2023, pagg. 1-2). Dalla “sua nascita, in data 1/8/2017, ha posto in essere tre operazioni di cartolarizzazione (…), ciascuna con patrimonio separato. Tutte (…) riconducibili ad operazioni di cessione di crediti commerciali” (v. verbale del 27 ottobre 2022, pag. 1);

‒ per quanto concerne la fattispecie oggetto di reclamo, “la Società in data 14 dicembre 2018, ha concluso un contratto di cessione di crediti pecuniari con Eni gas e luce S.p.A. (..) pubblicato in Gazzetta Ufficiale della Repubblica Italiana del 10/1/2019”. In tale contesto, P.E.S. S.r.l., per le attività di servicing (art. 2, comma 3 lett. c) e comma 6 della l. n. 130/99) “si è avvalsa di Centotrenta Servicing S.p.A., la quale ha nominato a sua volta come sub servicer, Serfin 97 S.r.l. per la riscossione dei recuperi crediti per suo conto” (v. verbale del 26 ottobre 2022, pag. 2);

‒ l’attività di “acquisizione dei crediti insoluti descritta nel contratto tra la cedente Eni Gas e Luce S.p.a. (…) e il cessionario Pes S.r.l., è stata gestita interamente dalla Centotrenta Servicing S.p.a., in quanto Pes, essendo una società veicolo per la cartolarizzazione dei crediti, non ha dipendenti, né possiede applicativi e database, motivi per i quali tutti i servizi, anche quelli amministrativi, sono stati affidati alla società Centotrenta Servicing S.p.A.” (v. verbale del 26 ottobre 2022, pag. 3);

‒ P.E.S. S.r.l. “si avvale [altresì] della società NPR Management S.r.l. di Roma, quale supervisor di tutte le attività di recupero crediti attuate dai sub servicers”. Entrambe le società sopra menzionate sono state nominate responsabili del trattamento con specifico atto sottoscritto ai sensi dell’art. 28 del Regolamento (v. verbale del 26 ottobre 2022, pagg. 2-3 e Allegati n. 1-4). NPR Management S.r.l., a sua volta, “in merito ai portafogli delle ultime due cartolarizzazioni della PES, tra le quali quella relativa al reclamante (…), ha in essere un contratto di Back-Office in outsourcing” con la società Alebro Tecnologies S.r.l., nominata da NPR Management S.r.l. responsabile del trattamento. In ordine alla predetta designazione, “Pes, finora, non è stata mai notiziata delle eventuali nomine di sub-responsabili da parte dei responsabili del trattamento autorizzati in tal senso” (v. verbale del 27 ottobre 2022, pagg. 1-2 e allegato 12);

‒ nell’ambito dell'operazione di cartolarizzazione avente ad oggetto i rapporti di debito del reclamante, P.E.S. S.r.l. -in quanto operante “in forza ad un contratto concluso di cessione di crediti pecuniari” - è “titolare [della] pluralità dei crediti pecuniari acquistati in blocco e pro-soluto dall[a] Cedente [Eni gas e luce S.p.A.]. Detta cessione di crediti ha comportato necessariamente la comunicazione a PES dei dati personali contenuti nei documenti e nelle evidenze informatiche afferenti ai debitori ceduti a cui i crediti si riferiscono, nonché dei dati personali afferenti ai rispettivi (eventuali) garanti, successori o aventi causa. (…) I dati raccolti e trattati dalla società per assolvere le finalità di recupero crediti, sono [consistiti in] dati personali identificativi e di contatto, informazioni patrimoniali e reddituali degli Interessati”. Con specifico riferimento al trattamento dei dati personali riferiti al Sig. XX, “la Società [ha] opera[to] come titolare del trattamento dei dati personali, [mentre] la Serfin S.r.l., in ordine al credito acquistato da ENI, [ha] opera[to] in qualità di responsabile del trattamento” (v. verbale del 26 ottobre 2022, pag. 1);

‒ le attività di monitoraggio e di garanzia della conformità delle operazioni di cartolarizzazione alla legge ed al prospetto informativo dei titoli (art. 2, comma 6-bis della legge sulla cartolarizzazione), “sono compiute [da P.E.S. S.r.l.] -per il tramite del Servicer Centotrenta Servicing S.p.A. (..)- in modo continuativo nel corso del rapporto contrattuale per mezzo di periodiche verifiche di adeguatezza. In dettaglio, le attività anzidette sono compiute tramite sia ispezioni in loco sia audit documentale” (v. nota dell’11 aprile 2023, pag. 3);

‒ con specifico riferimento all’attività di controllo e verifica dell’operato del sub-servicer, la medesima “viene eseguita periodicamente in funzione dei differenti presidi posti in essere e quindi, in particolare, con cadenza annuale con riferimento all’Audit documentale (“Due Diligence”) e con cadenza triennale con riguardo alle ispezioni in loco (“On site visit”)”. In tale contesto è stato effettuato dalla Società un audit mediante “on site visit”, presso la sede di Serfin 97 S.r.l., il 6 giugno 2019. Successivamente, “in considerazione dell’emergenza sanitaria determinatasi a causa della diffusione della pandemia Covid 19, nel periodo marzo 2020 - giugno 2022, a tutela e protezione della salute dei lavoratori, sono state temporaneamente sospese le attività di ispezione e verifica in loco ed in contraddittorio con il sub-servicer” (v. nota dell’11 aprile 2023, pagg. 3-4 e allegati nn. 3 e 4);

‒ nell’ambito del calendario programmato, in data 27/02/2023, “il Servicer Centotrenta Servicing S.p.a., per conto e nell'interesse di PES s.r.l., ha comunicato a Serfin 97 S.r.l. l’intenzione di fissare una on site visit di aggiornamento per il giorno 30/03 u.s. Serfin 97 S.r.l., si è resa disponibile a detto incontro che ha avuto ad oggetto, inter alia, una specifica attività di audit in materia di protezione dati personali. Alla [predetta] on site visit tenutasi (…) presso Serfin 97 S.r.l., ha partecipato, in presenza, la Divisione Monitoraggio Legale del servicer, Centotrenta Servicing S.p.a., ai fini delle verifiche di conformità a cui la predetta Società è tenuta nonché, in collegamento da remoto, l’Ufficio Privacy e l’Ufficio DPO del [predetto] servicer”; ciò “allo scopo di compiere, in contraddittorio con la Funzione Privacy & Compliance di Serfin 97 S.r.l., un mirato audit in materia di protezione dati personali” avente quale scopo principale “la periodica verifica di conformità alle istruzioni impartite dalla scrivente (…) e di adeguatezza delle misure tecniche e organizzative adottate” (v. nota dell'11 aprile 2023, pag. 4 e Allegati n. 5 e 6);

‒ “non è stato nominato un DPO” da parte di P.E.S. S.r.l., né è stato redatto “alcun registro dei trattamenti effettuati” (v. verbale del 26 ottobre 2022, pag. 2 e verbale del 27 ottobre 2022, pag. 2);

‒ la posizione debitoria afferente al reclamante è stata ceduta il 7 aprile 2022 alla società Credit Factor S.p.A., nell’ambito di una cessione di parte dei crediti insoluti acquistati da Eni Gas e Luce S.p.A. (v. verbale del 27 ottobre 2022, pag. 1 e all. 7). A seguito di accesso al gestionale di Centotrenta Servicing S.p.A., effettuato in nome e per conto di P.E.S. S.r.l., infatti, “la posizione del reclamante (..) è risultata chiusa per pratica ceduta” (v. verbale del 26 ottobre 2022, pag. 1);

‒ da ultimo, con riferimento alla violazione dell’art. 157 del Codice quale conseguenza della mancata risposta alla richiesta di informazioni trasmessa dal Garante il 18 luglio 2022, P.E.S. S.r.l., a seguito della ricezione della predetta comunicazione, l’ha tempestivamente inoltrata “all'Advisor NPR Management S.r.l. per lo svolgimento del caso non avendo più riscontro” (v. verbale del 27 ottobre 2022, pag. 2).

Nel corso degli accertamenti ispettivi sopra menzionati, è stato acquisito “un link SharePoint con il tracciato originario [dei dati del reclamante] acquistato da Eni Gas e Luce (Allegato B al contratto) in formato excel, nonché l'estratto del fascicolo dei crediti insoluti del reclamante e i suoi dati anagrafici”. Dalla predetta documentazione è risultata “l’esistenza di crediti insoluti per n. 3 fatture del reclamante, nonché l’assenza di qualsiasi indirizzo e-mail [del reclamante], tra i dati anagrafici” ivi presenti (v. verbale del 27 ottobre 2022, pag. 2 e All. n. 11).

Sul punto, in relazione alle istruzioni impartite da P.E.S. S.r.l. alle società responsabili e sub-responsabili del trattamento relativamente all’eventuale aggiornamento e/o acquisizione di ulteriori dati dei debitori utili ai fini della riscossione del credito, è stato altresì rappresentato da P.E.S. S.r.l. che la stessa “non ha (..) mai ricevuto [dai propri responsabili e sub-responsabili] comunicazioni di un aggiornamento o incremento dei dati personali dei debitori” (v. verbale del 27 ottobre 2022, pag. 3).

Infine, con riferimento alla richiesta di informazioni trasmessa dalla scrivente Autorità a Serfin 97 S.r.l., la predetta Società, con nota di riscontro del 21 febbraio 2022, ha rappresentato quanto segue:

‒ Serfin 97 S.r.l. “eroga servizi a tutela del credito per conto di diverse importanti realtà commerciali e finanziarie e, nell’ambito di tale attività, in data 18/12/2020, ha ricevuto mandato da parte di Pes S.r.l al fine di verificare le condizioni di una definizione stragiudiziale delle morosità maturate - tra gli altri - anche dal Sig. XX” (v. nota del 21 febbraio 2022, cit., pag. 1);

‒ la predetta Società, ricevuto il reclamo del Sig. XX, “ha attivato un'istruttoria interna al fine di verificare le modalità di gestione della pratica coinvolgendo il personale incaricato di assolvere il mandato ricevuto dalla Committente. Si è potuto accertare che - così come da prassi - sono state effettuate chiamate ai recapiti telefonici forniti dalla Committente nell’anagrafica al momento dell’affido nelle seguenti date: 16/09/2021; 07/10/2021; 23/10/2021; 27/10/2021. Solo successivamente è stata inviata una comunicazione a mezzo mail” (v. nota del 21 febbraio 2022, cit., pag. 1);

‒ il personale coinvolto nelle summenzionate verifiche “ha peraltro confermato di essersi attenuto alle prescrizioni della scrivente società in materia di gestione delle pratiche e di corretto trattamento di dati personali, senza ricordare esattamente la fonte dalla quale abbia attinto l’indirizzo mail XX, individuabile, con ogni probabilità, nella comunicazione da parte dell’interessato durante i contatti telefonici intervenuti, ovvero nell’acquisizione del dato attraverso la consultazione di fonti pubbliche” (v. nota del 21 febbraio 2022, cit., pag. 2);

‒ più in generale, in ordine alle modalità di reperimento dei dati di contatto del debitore, le procedure adottate dalla Società prevedono “l’utilizzo di dati esclusivamente reperibili attraverso le seguenti fonti: indicazione dei recapiti nel format contrattuale sottoscritto dall’interessato; comunicazione del dato da parte dell’interessato al creditore/committente in corso di svolgimento del rapporto contrattuale; comunicazione del dato durante i contatti intervenuti direttamente con l’interessato; acquisizione del dato attraverso la consultazione di fonti pubbliche; acquisizione del dato tramite società specializzate, munite di licenza ex art. 134 T.U.L.P.S." (v. nota del 21 febbraio 2022, cit., pag. 1);

‒ a seguito della richiesta del Sig. XX di non utilizzo dell’indirizzo e-mail contestato, la società il 1° dicembre 2021 “ha provveduto alla definitiva cancellazione di tale dato non solo dalla pratica del Sig. XX, ma anche dal proprio database” e “ha inoltre provveduto a riscontrare, entro i termini normativamente previsti, la comunicazione [del reclamante], informandolo delle evidenze emerse dall’attività istruttoria, nonché dell’immediata cancellazione del dato contestato” (v. nota del 21 febbraio 2022, cit., pag. 2 e All. 1).

3. La notifica delle violazioni e le memorie difensive.

Con comunicazione del 17 maggio 2023, l’Ufficio, sulla base della documentazione in atti e degli elementi acquisiti nel corso dell’istruttoria, ha provveduto a notificare a P.E.S. S.r.l. l’avvio del procedimento per l’adozione dei provvedimenti di cui agli artt. 58, par. 2, e 83, del Regolamento in relazione alla violazione dell’art. 5, par. 1, lett. a) e d) e par. 2, dell’art. 24 e degli artt. 30 e 37 del Regolamento; ciò in conformità a quanto previsto dall’art. 166, comma 5, del Codice.

Al riguardo, la Società, con nota del 15 giugno 2023, ha fatto pervenire i propri scritti difensivi, ulteriormente specificati in sede di audizione del 27 marzo 2024, con i quali ha rappresentato quanto segue:

a) in ordine ai rapporti tra P.E.S. S.r.l. e Serfin 97 S.r.l., la Società, in qualità di titolare del trattamento, ha impartito al proprio responsabile designato ai sensi dell’art. 28 del Regolamento istruzioni dettagliate nonché idonee “a determinare gli obiettivi di sicurezza da conseguire”; ciò anche in ragione “dell’elevato livello di competenze specialistiche che già sono proprie [della predetta Serfin 97 S.r.l.]”. Ne consegue, pertanto, che quest’ultima Società “ha inviato la comunicazione all’indirizzo e-mail errato per un proprio errore materiale che è stato commesso in violazione delle istruzioni impartite da PES, piuttosto che quale conseguenza di eventuali mancanze attribuibili [alla stessa]” (v. nota del 15, giugno 2023, pagg. 6-7);

b) in merito all’inadeguatezza dei controlli posti in essere dalla Società, quest’ultima ha implementato verifiche sia di carattere documentale sia ispettivo che, per quanto brevi e non dedicate specificatamente al tema della protezione dei dati personali, sono ad ogni modo sufficienti a verificare l’idoneità del responsabile a svolgere le proprie funzioni. In ogni caso, “anche qualora l’attività di monitoraggio posta in essere dalla Società fosse stata condotta in maniera ancora più approfondita nell’ottica esposta dall’Autorità, tale controllo non avrebbe potuto evitare l’errore materiale di cui alla vicenda” poiché “la violazione si è verificata a causa di un errore materiale che si sarebbe verificato indipendentemente dal livello di dettaglio dei controlli e che è unicamente addebitabile al responsabile” (v. nota del 15, giugno 2023, pagg. 7-8);

c) relativamente alla mancata designazione del responsabile della protezione dei dati, “deve essere preso in considerazione il peculiare rapporto tra PES, i suoi servicer e i suoi sub-servicer ai sensi della Legge sulle Cartolarizzazioni, che influenza tutte le attività di trattamento della Società ed è conseguenza delle peculiarità del regime previsto dalla Legge sulle Cartolarizzazioni. I trattamenti su larga scala di cui all’articolo 37 del Regolamento vengono eseguiti unicamente dai responsabili del trattamento della Società che infatti hanno provveduto alla nomina del RPD” (v. v. nota del 15, giugno 2023, pagg. 9-10);

d) con riferimento al registro dei trattamenti, la Società, non avendo dipendenti, ritiene di rientrare nella deroga prevista dall’art. 30, par. 5 del Regolamento. In aggiunta, segnala che, al momento dell’ispezione, era già stato redatto un registro dei trattamenti che, “per un mero disguido, non è stato fornito durante le attività ispettive”. Lo stesso, inoltre, nel corso del procedimento, è stato oggetto di ulteriore aggiornamento (v. nota del 15, giugno 2023, pag. 10 e Allegati nn. 4 e 8).

La Società, nell’ambito delle predette memorie difensive, ha altresì indicato, tra gli elementi a proprio favore per l’eventuale determinazione della sanzione amministrativa, la circostanza che la violazione abbia “impattato solo due [soggetti interessati]” e che il responsabile del trattamento abbia tempestivamente rimediato alla stessa, provvedendo a cancellare l’indirizzo e-mail erroneamente adoperato nel caso di specie (v. nota del 15, giugno 2023, pag. 13).

Da ultimo, P.E.S. S.r.l., al fine di migliorare costantemente la propria attività a beneficio degli interessati e mitigare ulteriormente il rischio che si ripetano errori della medesima natura, ha dichiarato di essere in procinto di adottare le seguenti misure correttive:

‒ integrare la procedura ispettiva nei confronti dei responsabili del trattamento per il tramite della predisposizione di un nuovo questionario che ponga maggior rilievo alle tematiche di protezione dei dati personali;

‒ potenziare l’attività di supporto svolta dal proprio servicer, Centotrenta Servicing S.p.A., al fine di consentire allo stesso di porre in essere, nei confronti dei sub-servicer, attività di verifica capillari e dettagliate, mediante la presenza di una specifica direzione (denominata “Funzione privacy”) dedicata alle sole questioni riguardanti il trattamento dei dati personali.

4. L’esito dell’istruttoria: prime osservazioni sul trattamento dei dati personali posto in essere da P.E.S. S.r.l.

In primis si rappresenta che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Tanto doverosamente premesso, occorre osservare preliminarmente che, ai fini della trattazione del reclamo in oggetto, è necessario tener conto del peculiare contesto sotteso alle attività di trattamento poste in essere nel caso di specie, in quanto inerenti ad un’operazione di cartolarizzazione dei crediti (art. 3 della legge del 30 aprile 1999, n. 130 – “Disposizioni sulla cartolarizzazione dei crediti”, di seguito “l. n. 130/99”).

La summenzionata normativa disciplina il complesso di operazioni con cui è effettuata la cessione a titolo oneroso di un gruppo di crediti detenuti da una Società (“originator” o cedente) ad un terzo soggetto (“special purpose vehicle” o cessionario), previo obbligo, in capo a quest’ultimo, di procurare il corrispettivo dovuto, per la predetta acquisizione, attraverso l’emissione di titoli. Più nello specifico, è previsto che lo special purpose vehicle abbia “per oggetto esclusivo la realizzazione di una o più operazioni di cartolarizzazione dei crediti” (art. 3, comma 1, della l. 130/99) e sia a tal fine tenuto ad individuare un soggetto qualificato (il servicer) incaricato “della riscossione dei crediti ceduti e dei servizi di cassa e di pagamento” (art. 2, comma 3, lett. c) della l. n. 130/99).

Con il contratto di servicing, invero, viene conferito al servicer un mandato con rappresentanza ai fini della gestione, amministrazione, incasso, recupero dei crediti per l’intero periodo in cui l’operazione di cartolarizzazione è in essere.

Tra i compiti attribuiti allo stesso rientrano: la cura dei rapporti con i debitori, comprese le attività di invio delle comunicazioni agli stessi e quelle di promozione o prosecuzione delle azioni volte ad esercitare i diritti dell’acquirente (c.d. funzione operativa; v. art. 2, comma 3, lett. c) della l. n. 130/99), nonché l’obbligo di controllare e verificare la correttezza delle operazioni e la loro conformità alla legge (c.d. funzione di garanzia; v. art. 2, comma 6-bis della l. 130/99).

Nell’ambito della funzione operativa, alcune delle attività del servicer (specialmente quelle inerenti alle operazioni di recupero crediti) possono essere delegate ad altri soggetti in qualità di “special servicer”; parimenti, in relazione alla funzione di garanzia, determinate attività (quale ad esempio quelle inerenti al monitoraggio dei compiti affidati agli special servicer) possono essere attribuite ad un terzo soggetto denominato “advisor”.

In ragione del sopra descritto quadro normativo, lo special purpose vehicle assume la titolarità delle attività di trattamento dei dati personali dei debitori ceduti in virtù del contratto di cessione dei crediti sottoscritto con la società cedente nell’ambito dell’operazione di cartolarizzazione, subentrando nei rapporti di credito con i debitori e dunque anche nella titolarità del trattamento inerente ai dati personali riferiti a questi ultimi (v. provv. del 18 gennaio 2007 – “Cessione in blocco e cartolarizzazione dei crediti”, doc web n. 1392461; più in generale, cfr. provv. del 25 ottobre 2007 – “Linee guida per trattamenti dati relativi al rapporto banca-clientela”, doc web n. 1457247).

Tutto ciò, sebbene lo special purpose vehicle nella prassi non disponga di una propria struttura organizzativa per la gestione delle attività sociale, in quanto giuridicamente tenuta, come illustrato in precedenza, ad affidare interamente gli atti di gestione della propria impresa a un diverso soggetto (il servicer).

Quest’ultimo -che, ai sensi della normativa di protezione dei dati, assume il ruolo di responsabile del trattamento ex art. 28 del Regolamento- deve rispondere, per specifica disposizione normativa (art. 2, comma 6, della l. n. 130/99), a peculiari caratteristiche ed essere dotato di competenze specialistiche che gli consentano di svolgere l’incarico conferitogli; allo stesso è espressamente conferito altresì l’onere di verificare che “le operazioni siano conformi alla legge ed al prospetto informativo” (art. 2, comma 6-bis, della l. n. 130/99).

Nel caso di specie, tenuto conto della ricostruzione sopra descritta, è emerso che le attività di trattamento del Sig. XX sono state poste in essere da P.E.S. S.r.l., nella veste di special purpose vehicle, in qualità di titolare del trattamento, e da Centotrenta Servicing S.p.A., con l’incarico di servicer, quale responsabile ex art. 28 del Regolamento.

P.E.S., inoltre, ha altresì incaricato, designandoli responsabili ai sensi dell’art. 28 del Regolamento:

- Serfin 97 S.r.l., quale special servicer, per le attività di trattamento dei dati dei debitori ceduti ai fini del recupero dei relativi crediti; e

- NPR Management S.r.l., come advisor, per le attività di monitoraggio dei compiti affidati allo special servicer (v. Allegati 3 e 4 del verbale del 26 ottobre 2022).

4.1. Gli obblighi del titolare in caso di affidamento all’esterno delle attività del trattamento.

Tanto chiarito in termini generali, per quanto concerne i profili inerenti al trattamento dei dati personali dei debitori interessati dalle operazioni di cartolarizzazione effettuate nel caso di specie, è necessario osservare che, dal complesso delle disposizioni sopra richiamate, emerge una configurazione soggettiva dei ruoli privacy che, nell’attribuire la titolarità del trattamento dei dati dei debitori ceduti allo special purpose vehicle (P.E.S. S.r.l.), riconosce al contempo la necessaria delega delle specifiche operazioni di trattamento ad un soggetto terzo (il servicer o, come effettuato nell’ipotesi in esame, lo special servicer).

In tale contesto, sebbene la decisione del titolare di delegare all’esterno le attività di trattamento costituisca una scelta obbligata dalla summenzionata normativa, devono essere applicate le disposizioni previste dal Regolamento per la designazione del responsabile del trattamento (art. 28).

Ne consegue pertanto che, ai sensi del summenzionato art. 28 del Regolamento, gravino sul titolare precisi e cogenti obblighi nei confronti del responsabile, tra cui quello di impartire idonee istruzioni in ordine al trattamento oggetto dell’atto di incarico, nonché quelli connessi alla puntuale verifica delle attività da questi concretamente effettuate.

Occorre infatti rammentare che il titolare, ai sensi del principio di accountability, è il soggetto su cui insiste la “responsabilità generale” del trattamento da quest’ultimo posto in essere, essendo tenuto a mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che lo stesso sia effettuato in conformità al Regolamento (cons. 81, art. 5, par. 2, che formalizza il c.d. principio di “responsabilizzazione”, 24 e 28 del Regolamento; cfr., tra i tanti, provv. del 10 febbraio 2022, n. 43, doc. web n. 9751498 e i precedenti provv. ivi richiamati; v. anche le Linee guida 07/2020, parte II, cap. 1).

Tale principio, in relazione alle attività di trattamento il cui incarico sia attribuito a soggetti terzi ai sensi dell’art. 28 del Regolamento, impone anche l’adozione di comportamenti proattivi e coerenti con la finalità di comprovare, in ogni fase, la liceità delle stesse.

Compete al titolare, pertanto, oltre all’obbligo di “impiegare unicamente responsabili del trattamento che presentino garanzie sufficienti” e di fornire idonee istruzioni agli stessi, anche quello, altrettanto cogente, di vigilare puntualmente sul relativo operato di questi ultimi “mediante attività di revisione e ispezioni” (art. 5, par. 2, art. 24 e art. 28, par. 3, lett. h) del Regolamento; cfr. Comitato europeo per la protezione dei dati, “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate il 7 luglio 2021, paragrafi 94 e 99).

Tale obbligo sussiste altresì ove il titolare si affidi, come nel caso di specie, ad un responsabile altamente specializzato nelle operazioni di trattamento oggetto del contratto di servizio, dovendosi estrinsecare nella previsione di audit periodici dell’operato dello stesso, nonché nella predisposizione di sistemi di alert atti a sollecitare la verifica del corretto e puntuale adempimento dei compiti affidatigli.

4.2. Il contenuto delle istruzioni da fornire al responsabile del trattamento in caso di affidamento allo stesso delle attività di recupero crediti.

In relazione alle istruzioni da impartire nel contesto delle attività di trattamento dei dati dei debitori ceduti per finalità di recupero crediti, il titolare è tenuto, tra l’altro, a prescrivere lo svolgimento di operazioni volte alla verifica dell’esattezza dei dati personali di fatto utilizzati per contattare il debitore.

Tale attività è innanzitutto finalizzata ad assicurare, in applicazione dei principi di cui all’art. 5, par. 1, lett. a) e d) del Regolamento, che le informazioni siano state lecitamente raccolte (principio di liceità e correttezza) e che siano effettivamente attribuibili all’interessato (principio di esattezza); ciò soprattutto nell’ottica di evitare che terzi estranei siano messi al corrente della situazione di insolvenza dell’interessato medesimo, pena la lesione della dignità di quest’ultimo (v. provv. del 30 novembre 2005 – “Liceità, correttezza e pertinenza nell'attività di recupero crediti”, doc. web n. 1213644).

Il titolare del trattamento, inoltre, è competente anche in ordine all’esercizio dei diritti dell’interessato e, in tale ottica, deve pertanto disporre delle informazioni di cui all’art. 15 del Regolamento al fine di poter fornire compiuto riscontro all’interessato, anche con riferimento alla “fonte” dei dati personali oggetto di effettivo trattamento (art. 15, comma 1, lett. g) del Regolamento).

Informazioni –in particolare quelle inerenti all’origine dei dati– che, nel contesto delle attività di recupero crediti, sono spesso, nella pratica, di esclusiva disponibilità del responsabile, in quanto soggetto specificamente incaricato (nel caso in esame, lo special servicer, ovvero Serfin 97 S.r.l.), ai sensi dell’art. 28 del Regolamento, di contattare il debitore (ad esempio, ove sia necessario utilizzare i poteri conferiti a taluni soggetti ai sensi dell’art. 134 del Testo unico delle leggi di pubblica sicurezza “TULPS”, R.D. 18 giugno 1931, n. 773).

Le istruzioni da impartire al responsabile, dunque, in ipotesi quale quella in esame, devono ricomprendere l’obbligo, in capo al responsabile deputato al recupero dei crediti, di tenere traccia delle informazioni inerenti ai debitori oggetto del contratto e, se del caso, di notiziarne il titolare, al fine di consentire a quest’ultimo di disporre di un quadro esatto e aggiornato delle informazioni effettivamente trattate e delle operazioni concretamente poste in essere a tal fine.

4.3. La violazione dell’art. 5 e dell’art. 24 del Regolamento.

Al riguardo, con riferimento al reclamo in oggetto, è stato di contro accertato che, all’atto del trattamento dei dati personali del Sig. XX per le finalità di recupero crediti, Serfin 97 S.r.l., in qualità di responsabile del trattamento, non ha tenuto traccia dell’origine dei dati personali trattati in nome e per conto di P.E.S. S.r.l., né ha inserito il dato inerente all’indirizzo e-mail XX nel “fascicolo dei crediti ceduti” detenuto dal titolare (v. verbale del 27 ottobre 2022, pag. 3, ove è stata espressamente accertata “l’assenza di qualsiasi indirizzo e-mail [del reclamante], tra i dati anagrafici” nella documentazione del titolare inerente alle pratiche di credito riferite al Sig. XX e all’anagrafica dello stesso).

Il tutto, sebbene P.E.S. S.r.l., all’atto dell’incarico sottoscritto ai sensi dell’art. 28 del Regolamento con Serfin 97 S.r.l., congiuntamente al contratto di sub-servicing stipulato tra le parti, abbia compiutamente fornito al predetto responsabile idonee istruzioni in ordine alle modalità di trattamento da porre in essere. Ciò prevedendo espressamente che la predetta Società:

- acquisisse “e aggiorna[ss]e tutti i dati e le informazioni utili per avere una conoscenza costante ed approfondita dello stato delle singole pratiche afferenti ai crediti” (v. All. 3 – “Contratto di sub-servicing”, par. 3.2, lett. vi), allegato al verbale del 26 ottobre 2022);

- mantenesse “evidenza, anche in forma elettronica, delle operazioni effettuate in relazione ai crediti” e le aggiornasse “in via continuativa, in modo tale che [fosse] possibile ricostruire in qualsiasi momento con certezza il complesso delle operazioni poste in essere” (v. All. 3 – “Contratto di sub-servicing”, par. 3.2, lett. j), allegato al verbale del 26 ottobre 2022);

- gestisse i “crediti con la migliore professionalità e diligenza richiesti dalla prassi di settore”, in particolare attenendosi “alle linee di condotta fissate dal Garante per la protezione dei dati personali con il Provvedimento 30 novembre 2005 relativo alla Liceità, correttezza e pertinenza nell’attività di recupero crediti” (v. All. 3 – Contratto di sub-servicing”, par. 3.4, lett. b) e par. 4.1, lett. b) allegato al verbale del 26 ottobre 2022);

- effettuasse “ogni necessaria comunicazione in relazione ai Crediti e all’avvenuta cessione dei medesimi, nonché all’esecuzione del contratto di servicing (..) anche ai sensi del Codice Privacy , e coopera[sse] (…) con l’Emittente e con il Servicer affinché [fossero] rispettare tutte le disposizioni (..) relative al trattamento dei dati e delle informazioni relative ai Crediti e ai debitori ceduti richieste dal Codice Privacy” (v. All. 3 – “Contratto di sub-servicing”, par. 3.2, lett. c), allegato al verbale del 26 ottobre 2022);

- fornisse “prontamente a NPR, che a sua volta provvederà ad inoltrare al Servicer e/o all’Emittente tutti i dati e le informazioni necessarie (…) in relazione ai crediti (…) al fine di adempiere agli obblighi di legge” (v. All. 3 – “Contratto di sub-servicing”, par. 3.2, lett. k), allegato al verbale del 26 ottobre 2022).

Diversamente da quanto pertanto puntualmente richiesto dal titolare, Serfin 97 S.r.l. non ha correttamente adempiuto a tali istruzioni, contravvenendo in particolare a quelle inerenti all’aggiornamento dei dati personali dei debitori ceduti.

Più nello specifico, invero, la Società non ha provveduto a tenere traccia dell’origine del dato consistente nell’e-mail XX, erroneamente attribuita al Sig. XX, impedendo di fatto al titolare di disporre di informazioni esatte e aggiornate in ordine al trattamento dei dati afferenti all’interessato.

Al contempo, il mancato rispetto delle istruzioni impartite da P.E.S. S.r.l. (nella specie, i succitati obblighi di aggiornamento dei dati riferiti ai crediti di cui alle sopracitate disposizioni del contratto di servicing), ha determinato l’impossibilità per il predetto titolare di fornire un riscontro tempestivo e completo all’istanza in materia di diritto d’accesso presentata dal Sig. XX ai sensi dell’art. 15 del Regolamento.

La summenzionata condotta del responsabile (Serfin 97 S.r.l.), effettuata in violazione dell’art. 28, par. 3, lettere a), e) e h) del Regolamento, ha comportato come conseguenza diretta, il mancato rispetto, da parte di P.E.S. S.r.l., dei principi di esattezza e trasparenza del Regolamento, in violazione dell’art. 5, par. 1, lettere a) e d) del Regolamento.

Dall’istruttoria è parimenti emerso che il titolare del trattamento ha omesso di verificare il corretto adempimento, da parte del responsabile del trattamento, alle istruzioni impartite da quest’ultima.

Sul punto, è, infatti, stato accertato, a carico di P.E.S. S.r.l., che, contrariamente a quanto sostenuto dalla stessa (v. supra, par. 3, lett. a) della presente decisione), gli obblighi di vigilanza sull’operato dei propri responsabili – obblighi spettanti a P.E.S. S.r.l. ai sensi degli artt. 5, par. 2, 24 e 28 del Regolamento– non sono stati adempiuti in conformità al Regolamento.

Nel caso di specie, invero, l’attività di audit –che, come previsto dalla normativa (art. 2, comma 6-bis, della l. 130/99), è stata affidata da P.E.S. S.r.l. a Centotrenta Servicing S.p.A.– è risultata lacunosa e inadeguata (cfr. anche l’art. 5.1.c) del Contratto di servicing, reperibile all’Allegato n.  4.1 dei verbali ispettivi, cit.).

La predetta Società ha difatti posto in essere un programma di verifiche periodiche riferite anche al rispetto della normativa di protezione dei dati personali, che ha riguardato, nello specifico:

- lo svolgimento, a cadenza annuale, di attività di “Audit documentale”, tramite cui è stata “richiesta conferma in merito alle misure tecniche e organizzative adottate” nell’osservanza degli adempimenti imposti al titolare dal Regolamento (quali ad esempio: DPIA, procedura per la gestione dei reclami e delle istanze di esercizio dei diritti, policy di sicurezza, ecc.); nonché

- la realizzazione di ispezioni in loco, con cadenza triennale, recanti alcune sezioni specificatamente dedicate alla protezione dei dati personali (v. nota dell’11 aprile 2023, pagg. 3-4 e Allegati 3-6).

Al riguardo, emerge tuttavia, che la documentazione fornita in merito dal titolare non è idonea a comprovare che l’attività di controllo sia stata specificatamente dedicata ai profili di osservanza del Regolamento (ed in particolare alla verifica del rispetto, da parte dello special servicer, delle istruzioni impartite dal titolare), né che la stessa sia stata effettuata in maniera efficace.

In primis, infatti, non sono state fornite evidenze degli audit documentali annuali effettuati nei confronti di Serfin 97 S.r.l. (v. nota dell’11 aprile 2023, pag. 3; v. nota del 15 giungo 2023, pagg. 7-9).

In secondo luogo, con riferimento alle ispezioni, non è stata fornita documentazione atta a descrivere specificamente la struttura del programma svolto in materia di protezione dei dati personali, né la metodologia impiegata a tal fine (cfr. gli allegati n. 3-6 nota dell’11 aprile 2023, costituiti esclusivamente dall’indice generico del programma di audit e dalla conferma del loro svolgimento).

Al contrario, da quanto trasmesso, emerge lo svolgimento di attività di verifica estremamente brevi (3 ore sia nella giornata del 6 giungo 2019, sia in quella del 30 marzo 2023), dedicate a diversi ambiti di intervento (quali: la struttura organizzativa del sub-servicer; la contabilità e l’amministrazione; i profili di compliance; ecc.), di cui la protezione dei dati costituiva solo uno dei numerosi elementi oggetto di valutazione (cfr., ad es. l’Allegato 6 alla nota dell’11 aprile 2023, ove la sezione “Normativa privacy” è il 13° punto di una sessione di audit la cui durata complessiva è fissata in un’ora). Si evidenzia, altresì, che la predetta documentazione non contiene report inerenti agli esiti delle verifiche effettuate, né alle misure correttive (e/o preventive) adottate per rimediare alle eventuali carenze e lacune individuate.

Più in generale, rispetto agli obblighi di necessario controllo dell’operato dei responsabili del trattamento, si osserva che la stessa P.E.S. S.r.l. ha dichiarato in sede di accertamenti ispettivi:

- di non essere stata “mai notiziata delle eventuali nomine di sub-responsabili da parte dei responsabili del trattamento autorizzati” ai sensi dell’art. 28 del Regolamento” (v. verbale del 27 ottobre 2022, pag. 2); ciò sebbene competa proprio al titolare, ai sensi del principio di accountability, l’obbligo di avere piena contezza dell’organizzazione del trattamento al fine di poter verificare la corretta esecuzione dello stesso dai vari attori a diverso titolo (responsabili, incaricati) operanti per suo conto; e

- in relazione alle istruzioni impartite allo special servicer circa l’aggiornamento dei dati dei debitori ceduti (v. All. 3 – “Contratto di sub-servicing”, par. 3.2, lettere c) e vi), di non avere “mai ricevuto [dallo stesso] comunicazioni di un aggiornamento o incremento dei dati personali dei debitori” (v. verbale del 27 ottobre 2022, pag. 3); la circostanza di non aver avuto notizia di tali aggiornamenti dal giugno 2019 (data di sottoscrizione del contratto di sub-servicing) avrebbe dovuto allertare il titolare relativamente all’effettivo rispetto, da parte di Serfin 97 S.r.l., delle istruzioni impartite, rendendo opportuno lo svolgimento di approfondimenti specificatamente dedicati alla verifica di tale adempimento.

Sul punto, occorre rilevare altresì che P.E.S. S.r.l. non ha sufficientemente monitorato le attività poste in essere dal proprio responsabile nemmeno in ordine allo specifico incarico, stavolta attribuito ad altro responsabile del trattamento (nella specie, NPR Management S.r.l.), di riscontrare nei termini la richiesta di informazioni trasmessa dal Garante il 18 luglio 2022 (v. verbale del 27 ottobre 2022, pag. 2); l’inerzia del titolare in ordine al dovere di verificare l’operato del proprio responsabile, ha comportato, tra l’altro, il mancato adempimento, attribuito alla stessa P.E.S. S.r.l., dell’obbligo di fornire riscontro all’Autorità (art. 157 del Codice).

Dalle considerazioni complessivamente sopra effettuate, emerge pertanto – diversamente da quanto sostenuto dalla Società (cfr. supra, par. 3, lett. b) della presente decisione) – la lacunosità dei sistemi di audit posti in essere da P.E.S. S.r.l., nonché la scarsa efficacia degli stessi in ordine alla possibilità di assicurare, in adempimento del principio di accountability, l’osservanza del Regolamento; tutto ciò in violazione, dell’art. 5, par. 2 e dell’art. 24 del Regolamento.

4.4 Ulteriori violazioni.

Per quanto concerne gli ulteriori adempimenti posti a carico del titolare dalla normativa di protezione dei dati personali, si rileva che P.E.S. S.r.l., pur essendovi tenuta, non ha redatto il registro delle attività di trattamento, in violazione dell’art. 30, par. 1 del Regolamento. Sul punto, non può infatti essere accolto quanto sostenuto dal titolare in ordine all’applicabilità, allo stesso, della deroga prevista dall’art. 30, par. 5 del Regolamento per le imprese con meno di 250 dipendenti (v. supra, par. 3, lett. d) della presente decisione).

Tale previsione riguarda invero trattamenti occasionali e che non presentino rischi specifici per i diritti e le libertà dell’interessato, circostanze che non ricorrono con riferimento a P.E.S. S.r.l.

La predetta Società ha, di contro, quale oggetto principale ed esclusivo della propria attività, la realizzazione di una o più operazioni di cartolarizzazione dei crediti e, quindi, il trattamento dei dati dei debitori ceduti a tal fine; trattamento che, per le delicate implicazioni dello stesso sulla reputazione degli interessati coinvolti, presenta di per sé un elevato livello di rischio per i diritti dei predetti debitori.

Parimenti non può essere accolto quanto sostenuto da P.E.S. S.r.l. in ordine all’esistenza di un registro dei trattamenti alla data di svolgimento dell’ispezione (v. supra, par. 3, lett. d) della presente decisione), considerato che la documentazione fornita a tal fine (v. nota del 15 giugno 2023, doc 4) è priva di elementi volti a comprovare la data di effettiva formazione del predetto documento.

Si rappresenta altresì che dall’istruttoria è emersa, a carico della predetta Società, l’assenza della designazione del responsabile della protezione dei dati (v. verbale del 26 ottobre 2022, pag. 2 e verbale del 27 ottobre 2022, pag. 2).

In ordine a quest’ultimo profilo (art. 37, par. 1, lett. c) del Regolamento) e alle ragioni sostenute a contrario dal titolare (v. supra, par. 3, lett. c) della presente decisione), si osserva che P.E.S. S.r.l.  effettua, per il tramite del servicer (e dello special servicer), attività di trattamento dei dati afferenti ai debitori ceduti che possono essere definite “su larga scala” in considerazione del rilevante numero di interessati oggetto dell’operazione di cartolarizzazione di cui al caso di specie (v. verbale del 26 ottobre 2022, All. 1- “Contratto di cessione pro-soluto dei crediti” ove il relativo Allegato B, concernente “l’Elenco dei crediti ceduti”, riporta la cifra di “286.767 conti cliente”).

I predetti trattamenti, inoltre, includono attività -quali l’analisi della situazione finanziaria dei debitori, il rinvenimento dei diversi recapiti acquisiti nel tempo dai predetti interessati, la verifica dello stato di insolvenza di quest’ultimi, ecc.- che comportano di fatto un monitoraggio regolare e sistematico degli stessi.

L’insieme degli elementi sopra descritti determina l’individuazione, a carico del predetto titolare, dell’obbligo di designazione del responsabile della protezione dei dati di cui al Regolamento (art. 37, par. 1, lett. c) del Regolamento). La mancata adozione di tale adempimento, pertanto, è avvenuta in violazione dell’art. 37 del Regolamento.

Da ultimo, si fa, infine, presente che P.E.S. S.r.l., non avendo fornito riscontro alla richiesta di informazioni trasmessa da Garante il 18 luglio 2022 (v. anche par. 2 della presente decisione), ha violato l’art. 157 del Codice.

5. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi e sanzionatori ex art. 58, par. 2, Regolamento.

Alla luce di quanto complessivamente rilevato, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino pertanto inidonee a disporre l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società risulta infatti illecito, nei termini su esposti, con riferimento alla violazione dell’art. 5, par. 1, lettere a) e d) e par. 2, dell’art. 24 e degli artt. 30 e 37 del Regolamento, nonché dell’art. 157 del Codice.

Per quanto concerne l’esercizio dei poteri correttivi di cui all’art. 58, par. 2, del Regolamento, si prende atto della circostanza che P.E.S. S.r.l., nel corso del procedimento, ha provveduto:

‒ ad integrare la propria procedura ispettiva nei confronti dei responsabili del trattamento;

‒ a potenziare l’attività di supporto svolta dal proprio servicer, Centotrenta Servicing S.p.A., al fine di consentire allo stesso di porre in essere, nei confronti dei sub-servicer, attività di verifica capillari e dettagliate;

‒ a redigere il registro delle attività di trattamento (cfr. in merito, supra, par. 3 della presente decisione).

In tale quadro, pertanto, considerato che sono state adottate specifiche misure per conformare il trattamento in esame alla disciplina vigente in materia di protezione dei dati personali, non ricorrono allo stato i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

OMISSIS

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 57, par. 1, lett. f) del Regolamento, rileva l’illiceità del trattamento effettuato da P.E.S. S.r.l., con sede in Milano, p. iva n. 09989740965 nei termini di cui in motivazione, per la violazione dell’5, par. 1, lettere a) e d) e par. 2, dell’art. 24 e degli artt. 30 e 37 del Regolamento, nonché dell’art. 157 del Codice;

OMISSIS

DISPONE

OMISSIS

‒ ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 17 ottobre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei