Provvedimento del 18 luglio 2023 [9929053]
Provvedimento del 18 luglio 2023 [9929053]
Condividi[doc. web n. 9929053]
Provvedimento del 18 luglio 2023
Registro dei provvedimenti
n. 318 del 18 luglio 2023
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento dall’Ing. XX nei confronti di S.A.V.E.T. s.r.l.;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Agostino Ghiglia;
PREMESSO
1. Il reclamo nei confronti della società e l’attività istruttoria.
Con reclamo del 18 luglio 2021, integrato in data 2 agosto 2021, l’Ing. XX ha lamentato presunte violazioni del Regolamento da parte di S.A.V.E.T. s.r.l. (di seguito, la Società), con riferimento all’inidoneo riscontro fornito ad una istanza di esercizio del diritto di accesso e di cancellazione relativa ai dati personali trattati dalla Società nell’ambito di un rapporto di lavoro.
In particolare il reclamante ha lamentato che, a fronte dell’esercizio dei propri diritti mediante l’invio di un’istanza in data 17 giugno 2021, la Società, con riscontro del successivo 29 luglio, ha risposto unicamente che la stessa “ha utilizzato e utilizzerà i suoi dati personali solo in conformità alla normativa di legge”.
Il reclamante ha pertanto chiesto all’Autorità di ingiungere al titolare del trattamento di soddisfare le richieste di esercizio dei diritti nonché di imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento.
La Società, nel fornire riscontro a un invito ad aderire alle richieste dell’interessato inviato dall’Autorità il 13 gennaio 2022, con nota del 22 febbraio 2022 ha:
a. dichiarato che i dati personali riferiti al reclamante “sono stati raccolti in più fasi” nell’ambito di distinti processi di trattamento, in particolare “Trattamento di preassunzione”, “Gestione del rapporto di lavoro” e “Gestione dei dati ai fini dell’applicazione della normativa sulla sicurezza”; in relazione a ciascun trattamento la Società ha inoltre indicato i tipi di dati trattati e le operazioni di trattamento effettuate;
b. indicato “i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati” nonché i tempi di conservazione dei dati trattati;
c. elencato i dati riferiti al reclamante detenuti al momento del riscontro, precisando in proposito che i documenti cui afferiscono i dati “dovrebbero essere già tutti in possesso dell’interessato perché ne è stata già consegnata copia durante la gestione del rapporto di lavoro. Ad ogni modo ne può essere consegnata ulteriore copia fotostatica richiedendola presso i nostri uffici o inviata per email direttamente all’interessato, di eventuale documentazione mancante. Attendiamo istruzioni in merito da parte dell’interessato”;
d. dichiarato, con riferimento all’esercizio del diritto alla cancellazione, che “L’azienda ha cancellato tutti i dati la cui conservazione non è obbligatoria per adempimenti normativi o necessari per la tutela di un proprio legittimo interesse. A tal proposito si comunica che l’azienda ha cancellato tutti i seguenti dati che si trovavano sui gestionali Geolab e WebAtlante: Dati anagrafici - Dati di contatto (email, numero telefono ecc) - Copie dei documenti (carta identità, Patente guida, Tessera Sanitaria ovvero Codice Fiscale, Certificato di Laurea) - E’ stata eliminata anche la foto dell’interessato inserita sul gestionale GeoLab collegata alla propria scheda personale; - Dati relativi alla presenza sul posto di lavoro. L’azienda ha inoltre disattivato e cancellato il DB di posta elettronica associato al [reclamante]”;
e. dichiarato che “I dati dell’interessato non sono stati resi pubblici inserendoli sul sito o su qualche altra piattaforma ad accesso pubblico e non controllato”;
f. indicato i soggetti che “Sono stati informati tramite email […] della richiesta dell’interessato di cancellare tutti i dati che lo riguardano se la loro conservazione non è resa necessaria da obblighi normativi”.
In risposta ad una richiesta di ulteriori informazioni e chiarimenti, la Società, con nota del 7 ottobre 2022, ha successivamente dichiarato che:
a. con riferimento alle ragioni per le quali, a fronte dell’istanza di esercizio dei diritti, presentata dall’interessato il 17 giugno 2021, è stato fornito un riscontro non specifico, ciò “è da imputarsi ad un mero fraintendimento in merito alla comunicazione dell’interessato in un momento nel quale all’interno dell’azienda era ancora forte la gestione della situazione sanitaria pandemica”;
b. in data 4 ottobre 2022 è stata adottata dalla Società una “Procedura per la gestione delle istanze degli interessati – Regolamento UE 2016/679 (“GDPR”), artt. 15-22”.
2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della società.
Il 19 dicembre 2022, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 12, 15 e 17 del Regolamento.
Con memorie difensive inviate in data 16 gennaio 2023 la Società, premesso che “in assoluta buonafede, […] riteneva di avere risposto alla richiesta del [reclamante], stante la natura della stessa e la tipologia dei trattamenti e dei documenti richiesti, tutti già comunque in possesso dello stesso”, ha dichiarato che:
a. “deve essere posto in evidenza come la richiesta avanzata dall’Interessato fosse relativa a tipologie di dati e forme di trattamento che lo stesso sapeva fossero in essere in quanto derivano da obblighi di legge. Pertanto, la risposta fornita già in prima istanza poteva ritenersi da parte dello stesso sufficiente in quanto […] l’Interessato era a conoscenza del trattamento” (nota 16/1/2023, p. 2);
b. “già dalla prima risposta fornita all’Interessato la [Società] non voleva in alcun modo porre in essere tentativi di sottrarsi agli obblighi derivanti dalla sua qualità di Titolare del trattamento o frapporre ostacoli o difficoltà di alcun tipo alla possibilità dell’Interessato di esercitare i propri diritti. Si è trattato di una risposta frutto di un momento in cui la […] azienda risentiva ancora pesantemente della situazione emergenziale” (nota cit., p. 3);
c. “il comportamento dell’azienda non è caratterizzato […] da dolo ma, eventualmente, da una leggerezza nella gestione tale al massimo da costituire una colpa lieve” (nota cit., p. 3);
d. “Precedentemente mai si erano verificate situazioni di criticità ovvero messa a repentaglio della sicurezza dei dati personali” (nota cit., p. 4);
e. “Si ritiene la violazione di lieve se non lievissima entità in quanto i dati asseritamente non comunicati all’Interessato erano noti e nella disponibilità dello stesso in quanto dati necessariamente trattati per la gestione del rapporto di lavoro. L’interessato era informato di detta circostanza e aveva prestato il necessario consenso al trattamento. […] Nella contestata violazione è stato coinvolto un unico interessato le cui richieste sono state integralmente soddisfatte rispondendo con la mail che qui si allega.” (nota cit., p. 4);
f. “Le misure organizzative adottate in materia di accesso ai dati sono quelle di cui all’allegato protocollo già inviato a codesta Autorità che è stato revisionato a seguito del presente esposto e confermato. Detto documento interno che descrive la procedura da seguire, e sempre rigorosamente applicato, è stato comunque inviato via mail alle direzioni interne competenti ricordandone il carattere di cogenza e disponendo che venga pedissequamente rispettato a fronte di analoghe future richieste” (nota cit., p. 4);
g. “In ordine al grado di cooperazione si ritiene che la scrivente Azienda abbia posto in essere tutto quanto di suo dovere nel rispetto dei tempi indicati nelle richieste” (nota cit., p. 5);
h. “La scrivente azienda si è sempre scrupolosamente attenuta al rispetto della vigente normativa in materia di trattamento dati personali, con particolare attenzione alla trasparenza, al rispetto della riservatezza, alle misure necessarie da adottare e, in tal senso prova ne sia l’assenza di contestazioni o altri eventi che potessero mettere in pericolo i dati degli interessati dall’entrata in vigore del regolamento nonché nel periodo antecedente” (nota cit., p. 5).
3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.
3.1. Esito dell’istruttoria. Violazione degli artt. 12, 15 e 17 del Regolamento.
All’esito dell’esame delle dichiarazioni rese all’Autorità, nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite al reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali. In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.
Nel merito è emerso che, a fronte della istanza di esercizio del diritto di accesso ai propri dati personali trattati nell’ambito del rapporto di lavoro (non più in essere dall’11/5/2021) e di cancellazione degli stessi, presentata dal reclamante in data 17 giugno 2021, la Società ha fornito, in data 29 luglio 2021, un riscontro del tutto generico: “rispondiamo rassicurandola che S.A.V.E.T. S.r.l. ha utilizzato e utilizzerà i suoi dati personali solo in conformità alla normativa di legge”.
Ciò nonostante l’istanza del reclamante contenesse, già dalla intestazione, l’esplicito riferimento all’esercizio dei diritti previsti dal Regolamento (“ESERCIZIO DI DIRITTI IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (artt. 15-22 del Regolamento (UE) 2016/679)”) e indicasse specificamente l’oggetto della stessa (richiesta di accesso e cancellazione relativa ai dati riferiti a: “DOCUMENTAZIONE COMPLETA [riferita al reclamante] quali a titolo esemplificativo (ma non esaustivo): ”Documentazione d’identità (Carta identità, Patente di Guida, Tessera Sanitaria ovvero CODICE FISCALE) presente ad oggi entro sistemi GEOLAB/WEBATLANTE • Documentazione comprovante titolo di studio conseguito (Copia Certificato di Laurea) presente ad oggi entro sistemi GEOLAB/WEBATLANTE • Attestati di Formazione presente ad oggi entro sistemi GEOLAB/WEBATLANTE • Ogni altra documentazione in possesso [della Società] connessa alla mia persona non più occorrente all’espletamento attività lavorativa subordinata”).
Né la motivazione fornita dalla Società, nel corso del procedimento davanti all’Autorità (sussistenza di “un mero fraintendimento” nel particolare contesto della “gestione della situazione sanitaria pandemica”, senza indicare, in concreto, gli specifici elementi che avrebbero determinato il “fraintendimento”), è idonea a far venire meno l’obbligo posto in capo al titolare del trattamento di rispondere alle istanze di esercizio dei diritti.
Inoltre, per ciò che riguarda la richiesta di accesso ai dati, non può essere accolta l’obiezione contenuta nelle memorie difensive della Società secondo la quale l’istanza aveva ad oggetto “tipologie di dati e forme di trattamento che [il reclamante] sapeva fossero in essere in quanto derivano da obblighi di legge” e che “i dati asseritamente non comunicati all’Interessato erano noti e nella disponibilità dello stesso in quanto dati necessariamente trattati per la gestione del rapporto di lavoro”.
Infatti l’istanza di accesso ai dati personali può ben essere presentata anche in relazione a dati trattati in base ad un obbligo di legge oppure a dati posti già nella disponibilità dell’interessato o a questi già consegnati.
Ciò è coerente con lo scopo del diritto di accesso, che è quello di consentire all’interessato di verificare (anche a “intervalli ragionevoli” di tempo: v. cons. 63 del Regolamento) che sia in corso o meno un determinato trattamento e valutarne la liceità e correttezza (tenuto anche conto che modalità e novero dei dati trattati possono cambiare nel tempo).
L’art. 15 del Regolamento non prevede alcuna limitazione in ordine alle informazioni riferite all’interessato che possono essere oggetto di accesso e lo stesso Regolamento, peraltro, prevede espressamente la possibilità che l’interessato presenti più richieste di accesso (salva la possibilità per il titolare del trattamento, in caso di richieste “eccessive, in particolare per il loro carattere ripetitivo” di addebitare un contributo spese ragionevole; art. 12, par. 5, del Regolamento; sulla interpretazione delle norme del Regolamento qui richiamate si vedano, in senso conforme, le Guidelines 01/2022 on data subject rights - Right of access, EDPB, 28 marzo 2023).
Tale ricostruzione è confermata dalla giurisprudenza di legittimità, secondo la quale il diritto di accesso ai propri dati personali, anche nell’ambito del rapporto di lavoro, “non può intendersi, in senso restrittivo, come il mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza e, quindi, nella disposizione dello stesso soggetto interessato al trattamento dei propri dati, atteso che lo scopo della norma [che attribuisce il relativo diritto] è garantire, a tutela della dignità e riservatezza del soggetto interessato, la verifica ratione temporis dell’avvenuto inserimento, della permanenza ovvero della rimozione di dati, indipendentemente dalla circostanza che tali eventi fossero già stati portati per altra via a conoscenza dell’interessato” (v. Corte di Cass. 14/12/2018, n. 32533).
Con riguardo alla richiesta di cancellazione dei dati trattati a seguito della cessazione del rapporto di lavoro con il reclamante, la Società avrebbe dovuto fornire una risposta specifica, seppur precisando che alcuni dati personali riferiti al lavoratore dovevano essere comunque conservati, dal datore di lavoro, per un determinato periodo di tempo in base a norme di settore dell’ordinamento.
In proposito, infatti, si rappresenta che in base all’art. 12, comma 4, del Regolamento, il titolare “Se non ottempera alla richiesta dell'interessato, […] informa l'interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale”. Nel caso di specie la Società avrebbe dovuto comunque, se del caso, informare l’interessato circa i motivi per i quali non si dava corso all’istanza, o si forniva un riscontro parziale, e i rimedi previsti dall’ordinamento avverso tale decisione.
Solo a seguito della presentazione di un reclamo all’Autorità e dell’avvio, da parte di quest’ultima, del relativo procedimento, la Società ha collaborato con il Garante ed ha inviato all’interessato l’elenco dei documenti in proprio possesso “la cui conservazione è necessaria per obbligo di legge o per tutelare i propri legittimi interessi in caso di contenziosi”, indicando altresì i dati presenti sui gestionali Geolab e WebAtlante che sono stati cancellati in esecuzione dell’istanza di cancellazione.
Per quanto riguarda, in particolare, l’esercizio del diritto di accesso, la Società, con riguardo ai dati riferiti all’interessato ancora detenuti, ha poi ritenuto che “Tali documenti dovrebbero essere già tutti in possesso dell’interessato perché ne è stata già consegnata copia durante la gestione del rapporto di lavoro. Ad ogni modo ne può essere consegnata ulteriore copia fotostatica richiedendola presso i nostri uffici o inviata per email direttamente all’interessato, di eventuale documentazione mancante. Attendiamo istruzioni in merito da parte dell’interessato”.
Sotto tale profilo il riscontro non appare ancora conforme a quanto previsto dall’ordinamento posto che il reclamante aveva già formulato una richiesta di accesso ai propri dati e che tale istanza - come sopra ricordato - può, in termini generali, essere presentata anche in relazione a dati già nella disponibilità dell’interessato o a questi già consegnati (non solo, dunque, in relazione a “eventuale documentazione mancante”).
In ogni caso si prende atto che la Società ha adottato, in data 4 ottobre 2022, una procedura volta ad agevolare l’esercizio dei diritti degli interessati nei termini previsti dal Regolamento (“Procedura per la gestione delle istanze degli interessati – Regolamento UE 2016/679 (GDPR), artt. 15-22”). Non risulta invece documentato in atti che una analoga procedura fosse stata adottata anche antecedentemente al 4 ottobre 2022, come invece sostenuto nelle memorie difensive.
La Società, pertanto, nei termini sopra descritti, non ha ottemperato all’obbligo di fornire riscontro all’interessato a seguito dell’esercizio dei diritti previsti dal Regolamento - nel caso di specie il diritto di accesso ai sensi dell’art. 15 e il diritto di cancellazione ai sensi dell’art. 17 -, nei termini e con le modalità prescritte dall’art. 12 del Regolamento.
4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.
Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Il trattamento dei dati personali effettuato dalla Società e segnatamente l’inidoneo riscontro alle istanze di accesso e di cancellazione presentate dal reclamante, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 12, 15 e 17 del Regolamento.
La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura della violazione che ha riguardato l’esercizio dei diritti dell’interessato, della gravità e della durata della violazione stessa, del grado di responsabilità e della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. Considerando 148 del Regolamento).
Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, si ingiunge al titolare di soddisfare la richiesta di esercizio del diritto di accesso dell’interessato (art. 58, par. 2, lett. c) Regolamento) e si dispone una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).
All’esito del procedimento risulta che S.A.V.E.T. s.r.l. ha violato gli artt. 12, 15 e 17 del Regolamento. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. b) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).
Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.
Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:
a) in relazione alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato l’esercizio dei diritti dell’interessato nonché la durata della violazione stessa (circa otto mesi);
b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la condotta della società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;
c) a favore della Società si è tenuto conto della cooperazione con l’Autorità di controllo, della circostanza che la violazione accertata ha riguardato il solo reclamante e della adozione di misure volte ad agevolare l’attività di riscontro alle istanze di esercizio dei diritti degli interessati, nonchè l’assenza di precedenti violazioni da parte del titolare del trattamento.
Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio ordinario d’esercizio per l’anno 2021. Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.
Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di S.A.V.E.T. s.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 15.000 (quindicimila).
In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato l’esercizio dei diritti dell’interessato, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.
Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO, IL GARANTE
rileva l’illiceità del trattamento effettuato da S.A.V.E.T. s.r.l., in persona del legale rappresentante, con sede legale in Strada dei laghi, 59, Monteriggioni (SI), C.F. 02112190547, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 12, 15 e 17 del Regolamento;
INGIUNGE
ai sensi dell’art. 58, par. 2, lett. c) del Regolamento a S.A.V.E.T. s.r.l., di soddisfare la richiesta di esercizio del diritto di accesso da parte dell’interessato ai dati ancora detenuti dalla Società;
ORDINA
ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a S.A.V.E.T. s.r.l., di pagare la somma di euro 15.000 (quindicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;
INGIUNGE
quindi alla medesima Società di pagare la predetta somma di 15.000 (quindicimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);
DISPONE
la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
Richiede a S.A.V.E.T. s.r.l. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto con il presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 90 giorni dalla data di notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.
Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 18 luglio 2023
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Mattei
