Ordinanza ingiunzione nei confronti di N.J.L. & Time di Bernasconi Nadia -...
Ordinanza ingiunzione nei confronti di N.J.L. & Time di Bernasconi Nadia - 11 gennaio 2018 [8146774]
Condividi[doc. web n. 8146774]
Ordinanza ingiunzione nei confronti di N.J.L. & Time di Bernasconi Nadia - 11 gennaio 2018
Registro dei provvedimenti
n. 6 dell´11 gennaio 2018
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;
RILEVATO che, a fronte di una segnalazione pervenuta all´Autorità in data 17 giugno 2015, con cui veniva lamentata la ricezione di e-mail di carattere promozionale aventi ad oggetto corsi di formazione, provenienti da Italia Consulenze & Formazione s.r.l., l´Ufficio formulava una richiesta di informazioni nei confronti della suddetta società (nota n. 18339 del 23 giugno 2015), in riscontro alla quale la stessa dichiarava che l´indirizzo e-mail del segnalante era contenuto in un database di "liste profilate con consenso (…), [nelle quali] sono presenti indirizzi e-mail con ragione sociale, referente e regione in Italia e in Europa con indirizzo ip di richiesta del contatto", acquistato in data 8 maggio 2015 da N.J.L. & Time di Bernasconi Nadia (di seguito "N.J.L.");
VISTA la richiesta di informazioni n. 27573 del 6 ottobre 2015, formulata dal Segretario generale ai sensi dell´art. 157 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice"), nei confronti di N.J.L., notificata dal Nucleo privacy della Guardia di finanza;
VISTI gli atti dell´accertamento ispettivo effettuato dal Nucleo privacy della Guardia di finanza presso la sede di N.J.L. in data 10 e 11 novembre 2015, dai quali è risultato che:
- N.J.L. effettua una raccolta di dati personali (tra cui nome, telefono, indirizzo e-mail, interesse aziendale) tramite un form presente sul sito www.njltime.com, a fronte del quale è stata riscontrata l´assenza dell´informativa di cui all´art. 13 del Codice;
- N.J.L. detiene "un database di utenti residenti in Italia e un database di utenti residenti in Paesi della Comunità Europea, creati tramite attività pregresse nel tempo" che consta di circa 883.000 utenti totali. Tali dati sono stati raccolti "tramite un form dedicato alle aziende presente sul vecchio sito internet, che permetteva la registrazione per lo scambio di informazioni promozionali tra aziende e professionisti (…). Sono state effettuate campagne per conto di imprese verso le utenze contenute nei nostri database (…). Dal 1 gennaio 2015 ad oggi [11 novembre 2015, data dell´accertamento ispettivo] sono state inviate per i servizi detti circa 2.350.000 mail, verso una parte delle utenze italiane contenute nel nostro database (…)";
- con riferimento alle modalità con cui veniva resa l´informativa agli interessati i cui dati sono contenuti nel suddetto database, N.J.L. ha dichiarato che "riguardo al form presente sul vecchio sito per la registrazione di aziende (…) all´epoca era presente un´informativa specifica con relativa raccolta del consenso. (…) Riguardo (…) ai dati forniti dalle committenti, al contatto preliminare effettuato via mail, inviavo le informazioni necessarie al fine di risalire all´origine dei dati, l´informativa circa le modalità, le finalità e i diritti di cui all´art. 7 del codice (…)". Tuttavia, la parte ha dichiarato di non avere più alcuna documentazione in merito;
- con riferimento alle modalità con cui veniva acquisito il consenso, N.J.L. ha dichiarato che questo "è stato raccolto tramite la registrazione dell´indirizzo IP dell´utente effettuata tramite il servizio offerto dal provider utilizzato DreamHost, con sede in California";
VISTO il verbale n. 100/2015 dell´11 novembre 2015, con cui il Nucleo privacy della Guardia di finanza, all´esito dell´accertamento ispettivo, ha contestato a N.J.L., con sede in Guasila (CA), via della Resistenza n. 42, P.I. 03115060125, la violazione amministrativa prevista dall´art. 161 del Codice, per aver effettuato un trattamento di dati personali per mezzo del form di raccolta dati, presente sul sito internet www.njltime.com, senza fornire l´informativa di cui all´art. 13 del Codice;
RILEVATO che dal rapporto predisposto dal predetto Nucleo, ai sensi dell´art. 18 della legge n. 689/1981, non risulta sia stato effettuato il pagamento in misura ridotta;
RILEVATO che l´Autorità ha adottato nei confronti di N.J.L. il provvedimento n. 49 dell´11 febbraio 2016 [doc. web n. 4885578], notificato in data 4 marzo 2016, che qui integralmente si richiama, nel quale si stabilisce che "l´impresa individuale [ha] raccolto nel proprio database dati personali, oggetto poi di cessione a ICF, senza essere in grado di dimostrare nel corso degli accertamenti di aver reso (nel caso di specie al segnalante) l´informativa prescritta dall´art. 13, comma 1, del Codice. Del pari, dagli elementi acquisiti neanche risulta comprovato (…) che NJL abbia acquisito il consenso degli interessati (e, tra questi, del segnalante) richiesto dall´art. 130, commi 1 e 2, del Codice, per lo svolgimento da parte della stessa di attività di marketing mediante invio di email, nonché, ai sensi dell´art. 23 del Codice, per comunicare gli indirizzi di posta elettronica a terzi, nel caso di specie a ICF";
CONSIDERATO che l´Autorità, nel medesimo provvedimento, ha vietato a N.J.L., ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, l´ulteriore trattamento per finalità di marketing dei dati personali contenuti nei propri database (perché raccolti in assenza di un´idonea informativa ai sensi dell´art. 13 del Codice e senza aver acquisito il consenso di cui all´art. 130, commi 1 e 2, del Codice), nonché la comunicazione degli stessi a terzi, e ha invitato la parte, ai sensi dell´art. 157 del Codice, a comunicare le iniziative assunte per dare attuazione a quanto vietato nel provvedimento e a fornirne riscontro documentato, con l´indicazione del termine entro cui fornire riscontro e delle conseguenze previste dall´art. 164 del Codice in caso di inottemperanza alla richiesta formulata;
VISTO il verbale n. 11810/100164 del 22 aprile 2016, che qui integralmente si richiama, con cui sono state contestate a N.J.L., nella persona del legale rappresentante pro-tempore:
- la violazione amministrativa prevista dall´art. 161 del Codice, applicata in combinato disposto con l´art. 164-bis, comma 3, per aver effettuato un trattamento di dati personali in assenza di un´idonea informativa per le diverse finalità del trattamento in questione (marketing e comunicazione di dati a terzi), in violazione dell´art. 13 del medesimo Codice;
- la violazione amministrativa prevista dall´art. 162, comma 2-bis, applicata in combinato disposto con l´art. 164-bis, comma 3, del Codice per aver effettuato una comunicazione di dati personali a terzi, in assenza del consenso specifico degli interessati ai sensi dell´art. 23 del Codice;
- la violazione amministrativa prevista dall´art. 162, comma 2-bis, applicata in combinato disposto con l´art. 164-bis, comma 3, del Codice per aver effettuato un trattamento di dati personali finalizzato all´invio di comunicazioni promozionali all´indirizzo di posta elettronica degli interessati, in assenza del consenso ex art. 130, commi 1 e 2 del Codice;
RILEVATO che dal rapporto predisposto dall´Ufficio ai sensi dell´art. 17 della legge 24 novembre 1981 n. 689 non risulta che siano stati effettuati i pagamenti in misura ridotta;
VISTO il verbale n. 17191/100164 del 10 giugno 2016, con cui è stata altresì contestata a N.J.L., in persona del legale rappresentante pro-tempore, la violazione amministrativa prevista dall´art. 164 del Codice, per non aver fornito riscontro alla richiesta formulata dal Garante, ai sensi dell´art. 157 del Codice, in merito alle iniziative intraprese per dare attuazione a quanto disposto con il citato provvedimento dell´11 febbraio 2016;
RILEVATO che dal rapporto predisposto dall´Ufficio ai sensi dell´art. 17 della legge 24 novembre 1981 n. 689 non risulta sia stato effettuato il pagamento in misura ridotta;
RILEVATO che, contestualmente alla notifica del verbale di contestazione n. 17191/100164 del 10 giugno 2016, è stata formulata una nuova richiesta di informazioni ai sensi dell´art. 157 del Codice (nota n. 17192) notificata tramite il Nucleo privacy della Guardia di finanza in data 22 giugno 2016, e diretta a conoscere le determinazioni assunte per dare attuazione a quanto indicato dal Garante nel suddetto provvedimento;
VISTO il verbale di operazioni compiute redatto dal predetto Nucleo in data 22 giugno 2016, in cui la parte ha dichiarato che "il giorno successivo all´attività espletata dal Nucleo speciale privacy ho cancellato il database che normalmente utilizzavo. Da quella data ho aggiornato il sito, inserendo un´informativa e, dove necessario, la raccolta del consenso. La società, in relazione al provvedimento n. 49 dell´11 febbraio 2016, non ha più effettuato un trattamento per finalità di marketing dei dati personali presenti nel database in questione, in quanto cancellati definitivamente (…)";
VISTI gli scritti difensivi, inviati in data 6 dicembre 2015 ai sensi dell´art. 18 della legge n. 689/1981, con cui la parte, con riferimento all´atto di contestazione n. 100/2015 dell´11 novembre 2015, ha dichiarato che la mancanza di una idonea informativa in calce al form di raccolta dati è stata assolutamente involontaria, ritenendo che le aziende, inserendo i propri dati, acconsentissero ad essere ricontattate. La parte ha, poi, evidenziato come, a seguito della notifica del verbale di contestazione, abbia apportato le modifiche necessarie a rendere il trattamento conforme alle disposizioni del Codice, inserendo apposita informativa e formule di consenso specifico in base alle diverse finalità perseguite;
VISTI gli ulteriori scritti difensivi, inviati in data 21 luglio 2016, ai sensi dell´art. 18 della legge n. 689/1981, nei quali la parte, con riferimento al verbale di contestazione n. 17191 del 10 giugno 2016, relativo alla violazione dell´art. 157 del Codice, ha osservato come abbia fornito tutte le informazioni richieste dal Garante già durante la prima visita ispettiva, eseguita dal Nucleo privacy della Guardia di finanza, e poi successivamente con la nota datata 6 dicembre 2015, alla quale allegava il file "Nuovo allegato per Garante.pdf", nel quale rendeva atto delle modifiche apportate e che "costituiva prova dell´avvenuto adempimento delle prescrizioni di adeguamento imposte a N.J.L.". Pertanto, a fronte del provvedimento del Garante n. 49, la stessa "ritenendo erroneamente di aver già adempiuto alle medesime prescrizioni imposte dall´Autorità scrivente nel novembre 2015, non riscontrava il provvedimento con un messaggio di avvenuto adempimento (…). Considerato il contesto economico-operativo e la personalità evidenziata nel corso dell´accertamento dalla giovane titolare della N.J.L. sembrerebbe corretto giustificare la violazione dell´art. 157 del codice come involontaria e prodotta da una ignoranza scusabile (…)".
Quanto, invece, al verbale di contestazione n. 11810 del 22 aprile 2016, con cui sono state contestate le violazioni degli artt. 13, 23 e 130 del Codice, la parte ha rappresentato come i propri servizi siano rivolti esclusivamente alle aziende, imprese e liberi professionisti, nei cui confronti ha sempre ritenuto non applicabile "integralmente" la normativa in materia di protezione dei dati personali, ma, piuttosto, la disposizione di cui all´art. 24, comma 1, lett. b), del Codice nella parte in cui stabilisce che il consenso non è richiesto "quando il trattamento è necessario per eseguire obblighi derivanti da un contratto del quale è parte l´interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell´interessato". Pertanto, ha ritenuto "irrilevante e perdeva ogni ragione d´essere l´introduzione nella piattaforma di accesso al sito di una informativa completa sulla privacy ex art. 13 del Codice". Nel ripercorrere le modalità attraverso cui le aziende conferivano i propri dati, la parte ha precisato che, a seguito della procedura di iscrizione cd. Double opt-in, provvedeva a registrare l´indirizzo IP dell´utente che, a suo parere, equivaleva a una manifestazione del consenso dell´azienda a ricevere materiale pubblicitario. Tale procedura secondo la parte non si pone in contrasto con quanto disposto dall´art. 130 del Codice;
CONSIDERATO che le argomentazioni addotte non permettono di escludere la responsabilità della parte in relazione a quanto contestato, per i motivi di seguito esposti.
- Rispetto alla violazione di cui all´art. 161 del Codice, rilevata con verbale di contestazione n. 100/2015 dell´11 novembre 2015, si osserva che la disposizione di cui all´art. 13 del Codice stabilisce che, a fronte di un trattamento di dati personali (nel caso di specie, una raccolta di dati per mezzo di un form), l´interessato deve essere edotto circa le caratteristiche principali del trattamento, tra cui l´indicazione del titolare del trattamento, delle finalità e delle modalità dello stesso, la eventuale comunicazione dei dati a terzi (circostanza ravvisabile nel caso de quo), l´esercizio dei diritti di cui all´art. 7 del Codice, ecc. La circostanza che l´utente/interessato invii una richiesta di contatto utilizzando un form nel quale inserire i propri dati personali, non esime il titolare del trattamento dall´obbligo di fornirgli l´informativa. Pertanto, la violazione dell´art. 13 del Codice è stata correttamente riscontrata, non potendosi, tra l´altro, accogliere l´argomentazione della parte secondo cui tale omissione sia stata involontaria.
- Rispetto alla violazione dell´art. 157 di cui al verbale di contestazione n. 17191 del 10 giugno 2016, si osserva che il Garante, nel citato provvedimento n. 49, ha disposto che la parte, nel termine di 60 giorni dal ricevimento del provvedimento (avvenuto in data 4 marzo 2016) desse comunicazione circa "le iniziative assunte per dare attuazione a quanto vietato nel presente provvedimento". Pertanto, le dichiarazioni rese dalla parte con la nota del 6 dicembre 2015 (successiva alla notifica del verbale di contestazione dell´11 novembre 2015), non possono, ovviamente, contenere alcun riferimento utile rispetto alle richieste formulate dal Garante con il suddetto provvedimento, che infatti è cronologicamente successivo; piuttosto, con la suddetta nota la parte ha riferito circa gli adempimenti relativi all´obbligo di rendere l´informativa sul sito internet, la cui omissione era stata oggetto di rilievo nel verbale di contestazione n. 100/2015. Pertanto, non può ravvisarsi nel caso di specie l´errore scusabile per ignoranza del precetto invocato dalla parte, in quanto l´errore non risulta nè incolpevole nè inevitabile, secondo i canoni dell´ordinaria diligenza;
- in ultimo, rispetto al verbale di contestazione n. 11810 del 22 aprile 2016, devono rigettarsi in toto le argomentazioni addotte dalla parte in relazione all´omessa informativa e all´omessa acquisizione del consenso, entrambe riferite ai dati personali degli utenti presenti nel database oggetto di cessione. In primo luogo, relativamente alla violazione dell´art. 13 del Codice, si osserva che la parte, pur avendo dichiarato nel corso delle operazioni di accertamento del 10 novembre 2015, di aver reso agli utenti (i cui dati erano confluiti nel database) un´idonea informativa, sia per mezzo di un link presente sul vecchio sito internet, sia mediante email inviata dalla stessa a seguito di contatto, in realtà non ha fornito alcun riscontro documentale in ordine al suddetto adempimento. Tra l´altro tali dichiarazioni non trovano riscontro con quanto successivamente asserito dalla parte negli scritti difensivi, laddove la stessa ha dichiarato di ritenere "irrilevante" l´inserimento dell´informativa nella piattaforma di accesso al sito internet, sul presupposto che fosse applicabile l´art. 24, comma 1, lett. b), del Codice. In realtà, tale argomentazione deve essere rigettata, in quanto, la disposizione citata disciplina uno specifico caso di esclusione del consenso, a fronte di un trattamento di dati personali, mentre non incide sull´obbligo di rendere l´informativa. Quest´ultima, infatti, attiene a un adempimento che il titolare del trattamento deve sempre porre in essere con il quale, come già detto, vanno fornite all´interessato tutte le informazioni necessarie per permettergli di conoscere il trattamento dei dati che lo riguardano. Con riferimento, invece, alla mancata acquisizione del consenso di cui agli artt. 23 e 130, il Garante, nel citato provvedimento n. 49, ha chiarito come la registrazione dell´indirizzo IP degli utenti non possa considerarsi sufficiente a "comprovare l´effettiva manifestazione di una libera e specifica volontà degli utenti al trattamento dei dati per finalità promozionali". Ciò tenendo conto di quanto stabilito nelle Linee guida in materia di attività promozionale e contrasto allo spam, adottate dal Garante in data 4 luglio 2013 (doc. web n. 2542348), in cui è chiarito che "ai trattamenti effettuati ai fini promozionali tramite strumenti automatizzati o a questi equiparati si applica l´art. 130, commi 1 e 2, del Codice, in base al quale l´utilizzo di tali strumenti per le finalità di marketing è consentito solo con il consenso preventivo del contraente o utente (c.d. opt-in)" e che "ai fini della legittimità della comunicazione promozionale effettuata, non è lecito, con la medesima, avvisare della possibilità di opporsi a ulteriori invii, né è lecito chiedere, con tale primo messaggio promozionale, il consenso al trattamento dati per finalità promozionali". Pertanto, si ribadisce che, alla fattispecie in esame, non può applicarsi la richiamata disposizione di cui all´art. 24, comma 1, lett. b), in quanto la violazione degli artt. 23 e 130 si riferisce, rispettivamente, alla mancata acquisizione del consenso rispetto alle due distinte finalità della cessione dei dati a terzi e dell´attività di marketing posta in essere dalla parte, che esulano dalla finalità specifica della raccolta dei dati che sarebbe consistita nello "scambio di informazioni promozionali tra aziende e professionisti". Quanto all´argomentazione addotta dalla parte secondo cui la normativa in materia di protezione dei dati personali non sarebbe applicabile "integralmente" alle persone giuridiche, si richiama quanto stabilito nel provvedimento n. 262 del 20 settembre 2012 (doc. web n. 2094932) laddove si chiarisce che le disposizioni contenute nel Titolo X del Codice, anche a seguito delle modifiche apportate al Codice dall´art. 40 del d.l. 201/2011, continuano a trovare applicazione nei riguardi delle persone giuridiche, enti, associazioni, in quanto "contraenti".
Infine, con riferimento all´applicazione dell´aggravante di cui all´art. 164-bis, comma 3, del Codice, si rileva che tale disposizione è stata applicata in considerazione del rilevante numero di dati che la parte ha raccolto nel tempo e che sono confluiti nel database;
RILEVATO, pertanto, che N.J.L. & Time di Bernasconi Nadia, in qualità di titolare del trattamento ai sensi dell´art. 28 del Codice:
- ha effettuato un trattamento di dati personali per mezzo del sito internet www.njltime.com, omettendo di rendere l´informativa;
- ha effettuato un trattamento di dati personali in assenza di un´idonea informativa e di una specifica acquisizione del consenso per le diverse finalità del trattamento in questione (marketing e comunicazione di dati a terzi);
non ha fornito riscontro alla richiesta formulata dal Garante, ai sensi dell´art. 157 del Codice, in merito alle iniziative intraprese per dare attuazione a quanto disposto con il citato provvedimento dell´11 febbraio 2016;
VISTO l´art. 161 del Codice, che punisce la violazione dell´art. 13 del medesimo Codice con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro;
VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell´art. 167 del Codice, tra le quali quella di cui agli artt. 23 e 130 del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;
VISTO l´art. 164 del Codice, che punisce la violazione dell´art. 157 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila a sessantamila euro;
VISTO l´art. 164-bis, comma 3, del Codice che prevede che in casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, i limiti minimo e massimo delle sanzioni sono applicate in misura pari al doppio;
RILEVATO che sussistono i presupposti per l´applicazione dell´aggravante della sanzione di cui all´art. 164-bis, comma 3, del Codice, rispetto alle violazioni degli artt. 13, 23 e 130 del Codice (di cui al verbale n. 11810), in considerazione della circostanza che la violazione coinvolge numerosi interessati;
CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge n. 689/1981, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;
CONSIDERATO che, nel caso in esame:
a) in ordine all´aspetto della gravità con riferimento agli elementi dell´entità del pregiudizio o del pericolo, modalità della condotta e intensità dell´elemento psicologico, le violazioni commesse dalla parte devono essere valutate in considerazione del numero rilevante di dati trattati in assenza dei presupposti previsti dal Codice. Quanto alla violazione dell´art. 157 del Codice, tali elementi vanno valutati alla luce del fatto che l´omesso riscontro della parte ha impedito una rapida definizione dell´istruttoria in corso;
b) ai fini della valutazione dell´opera svolta dall´agente, deve evidenziarsi che la parte ha provveduto a modificare il testo dell´informativa e la formula di acquisizione del consenso, presenti sul sito internet, e a cancellare il database costituito nel tempo, in assenza dei presupposti previsti dal Codice;
c) in merito alle condizioni economiche dell´agente, sono stati presi in considerazione gli elementi delle dichiarazioni reddituali relative all´anno d´imposta 2016;
RITENUTO, quindi, di dover determinare, ai sensi dell´art. 11 della legge n. 689/1981, l´ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso:
- nella misura di euro 6.000,00 (seimila) per la violazione di cui all´art. 161 del Codice, con riferimento alla omessa informativa in calce al form di raccolta dati;
- nella misura di euro 12.000,00 (dodicimila) per la violazione di cui all´art. 161, applicata in combinato disposto con l´art. 164-bis, comma 3, con riferimento all´omessa informativa rispetto ai dati degli utenti presenti nel database;
- nella misura di euro 20.000,00 (ventimila) per la violazione di cui all´art. 162, comma 2-bis, applicata in combinato disposto con l´art. 164-bis, comma 3, con riferimento alla violazione dell´art. 130, commi 1 e 2, per aver effettuato un trattamento di dati personali finalizzato all´invio di comunicazioni promozionali all´indirizzo di posta elettronica degli interessati in assenza del relativo consenso;
- nella misura di euro 20.000,00 (ventimila) per la violazione di cui all´art. 162, comma 2-bis, applicata in combinato disposto con l´art. 164-bis, comma 3, con riferimento alla violazione dell´art. 23, per aver effettuato una comunicazione di dati personali a terzi;
- nella misura di euro 10.000,00 (diecimila) per la violazione di cui all´art. 164, con riferimento all´omesso riscontro alla richiesta formulata dal Garante ai sensi dell´art. 157 del Codice;
per un ammontare complessivo pari a euro 68.000,00 (sessantottomila);
VISTA la documentazione in atti;
VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;
VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;
RELATORE la dott.ssa Giovanna Bianchi Clerici;
ORDINA
a N.J.L. & Time di Bernasconi Nadia, con sede in Guasila (CA), via della Resistenza n. 42, P.I. 03115060125, nella persona del legale rappresentante pro-tempore, di pagare la somma di euro 68.000,00 (sessantottomila) a titolo di sanzione amministrativa pecuniaria per le violazioni previste dagli artt. 161, 162, comma 2-bis, del Codice, applicate in combinato disposto con l´art. 164-bis, comma 3, 161 e 164 come indicato in motivazione;
INGIUNGE
al medesimo soggetto di pagare la somma di euro 68.000,00 (sessantottomila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.
Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.
Roma, 11 gennaio 2018
IL PRESIDENTE
Soro
IL RELATORE
Bianchi Clerici
IL SEGRETARIO GENERALE
Busia
