VEDI ANCHE: Newsletter del 14 febbraio 2024

[doc. web n. 9978568]

Provvedimento del 7 dicembre 2023

Registro dei provvedimenti
n. 599 del 7 dicembre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. del 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. del 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTI gli accertamenti ispettivi condotti dalla scrivente Autorità in data 26 e 27 luglio 2022 presso la sede legale di Nirvam S.r.l. (in Bergamo);

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo e l’attività istruttoria.

Nell’ambito di un’attività di controllo avviata d’ufficio dall’Autorità, in data 26 e 27 luglio 2022, è stato effettuato un accertamento in loco nei confronti di Nirvam S.r.l.

La predetta Società, che ha sede legale in Bergamo, gestisce una piattaforma di dating on line volta a consentire agli utenti registrati la ricerca di potenziali partner sul territorio nazionale.

Nello specifico, l’attività di controllo del Garante ha riguardato i trattamenti dei dati personali relativi agli utenti della predetta piattaforma, effettuati da Nirvam S.r.l. nell’ambito dell’espletamento dell’attività di dating sopra descritta.

In merito, in sede di accertamento, il titolare ha dichiarato quanto riportato di seguito.

La Società gestisce “un sito di incontri con una chat (www.nirvam.it)” mediante “abbonamenti a pagamento degli iscritti” che possono “avere durata mensile, trimestrale, semestrale o annuale”. È inoltre prevista “la possibilità di usufruire di 3 giorni di utilizzo gratuito del sito (…).

Il “database clienti ha 4.788.451 account registrati, di cui 1.012.421 con email validata, fra questi 9.147 hanno abbonamento attivo. Gli utenti unici che hanno fatto login al sito sono in media 23.331 (…). I domini nirvam.com, nirvam.it, nirvam.fr (sito in francese), nonché gli ulteriori domini (es. nirvam.de) registrati a nome del sig. XX, afferiscono al medesimo servizio” (v. verbale del 26 luglio 2022, pag. 2).

Nirvam S.r.l. “non ha dipendenti né sede fisica e si avvale di due collaboratori esterni per la validazione di alcuni contenuti”. Per l’erogazione dei servizi fruibili tramite il sito “utilizza server di proprietà, gestiti personalmente dal sig. XX –che è anche amministratore di sistema e sviluppatore software– “posti presso il data center di Irideos S.p.A. (…), che fornisce servizi di connettività e sicurezza fisica (v. verbale del 26 luglio 2022, pag. 2).

In considerazione della circostanza che “è ancora in corso un processo di adeguamento al GDPR (…) non è stato [alla data dei predetti accertamenti ispettivi] predisposto il registro dei trattamenti” di cui all’art. 30 del Regolamento, “non è stato nominato il responsabile della protezione dei dati personali” di cui all’art. 37 del Regolamento e non è stata effettuata una valutazione di impatto sulla protezione dei dati personali ex art. 35 del Regolamento (v. verbale del 26 luglio 2022, pagg. 3 e 4).

Per quanto concerne le misure di sicurezza implementate a protezione dei dati personali degli iscritti al servizio, la Società ha dichiarato in primis di non utilizzare sistemi di intrusion detection e prevention, ma “che è allo studio l’introduzione di un firewall”; ha altresì riferito di aver disposto il “back-up dei dati, l’accesso tramite VPN al back-end del sito, la limitazione degli accessi (…), l’uso di bitlocker sugli hard disk dei notebook e misure di blocco dello schermo dei dispositivi, in caso di mancato utilizzo”. Ha inoltre aggiunto che “è in corso l’implementazione di un sistema di disaster recovery, con opzione di snapshot che permette di recuperare la situazione del sistema ad una certa data nonché l’utilizzo di sistemi di MFA per alcuni sistemi” (v. verbale del 26 luglio 2022, pagg. 3-4).

Dagli accessi effettuati in loco è altresì emerso che:

i dati richiesti in fase di registrazione al sito www.nirvam.it sono: “interesse di incontro; nazione, regione e città di residenza; data di nascita; email –che rimane riservata; nickname; password scelta dall’utente”. Una volta completata la registrazione, “l’utente può inserire facoltativamente alcuni dati descrittivi (altezza, peso, colore dei capelli e degli occhi, professione, titolo di studio…), gli interessi, l’annuncio che comparirà nella scheda personale e la foto del profilo. Il sito propone quindi alcuni profili di utenti, on-line, in base alla città, regione e nazione indicata in precedenza” (v. verbale del 27 luglio 2022, pagg. 1-2);

“l’indirizzo email fornito viene verificato attraverso l’invio di una mail di conferma” (v. verbale del 27 luglio 2022, pagg. 1-2);

le credenziali di accesso al backend del sito “sono diversificate per i diversi servizi e per i diversi dispositivi”; “il file in cui sono memorizzate le password è conservato, in chiaro, nello spazio personale [dell’amministratore di sistema] su Onedrive” (v. verbale del 27 luglio 2022, pag. 2).

In merito alle tempistiche di conservazione dei dati, è stato dichiarato che:

Nirvam S.r.l. “non dispone di un documento relativo alle politiche di conservazione dei dati” (v. verbale del 27 luglio 2022, pag. 2);

“i dati di registrazione sono conservati finché l’utente non li cancella”; ad ogni modo la Società “procede a cancellare massivamente gli account in base a criteri di volta in volta definiti (es: mail non validata e assenza di foto) per individuare account non più attivi”; “i dati relativi agli utenti che hanno effettuato la prova gratuita senza finalizzare alcun abbonamento sono, [invece], conservati” potenzialmente sine die (v. verbale del 27 luglio 2022, pag. 2);

il numero “di utenti per cui la data dell’ultimo accesso risale a prima del 1° gennaio 2012, è pari a 1.262.678”; il numero “di utenti per cui la data dell’ultimo accesso risale a prima del 1° gennaio 2012 e hanno la mail non verificata o attualmente non valida è pari a 1.145.691” (v. verbale del 27 luglio 2022, pag. 2);

“quando un utente si cancella dal sito, le relative foto vengono cancellate. Invece quando un profilo viene cancellato nel corso di una cancellazione massiva ad opera dell’amministratore di sistema, le relative foto non sono più raggiungibili ma sono comunque conservate nel file system, pur non essendo oggetto di backup” (v. verbale del 27 luglio 2022, pag. 3).

A quest’ultimo riguardo, a seguito dell’accesso effettuato alla tabella “Foto riservate” (ovvero foto “pubblicate all’interno del profilo utente, accessibili solo su decisione dell’utente stesso”), è emerso che “sono presenti 135 ID di foto riservate non associati ad alcun profilo utente attualmente presente nel DB”.

Dai controlli inerenti invece alla tabella contenente le “foto del profilo”, è stato rilevato che “sono presenti 242 ID di foto del profilo non associati ad alcun profilo utente attualmente presente nel DB”. In merito, inoltre, è stato precisato dalla Società che “in occasione della cancellazione di un utente, possono rimanere dati nelle tabelle collegate, che non vengono cancellati per evitare il lock del database” (v. verbale del 27 luglio 2022, pag. 3).

2. La notifica delle violazioni e le memorie difensive.

Con comunicazione del 4 aprile 2023 l’Ufficio, sulla base della documentazione in atti e degli elementi acquisiti nel corso dell’istruttoria, ha provveduto a notificare a Nirvam S.r.l. l’avvio del procedimento per l’adozione dei provvedimenti di cui agli artt. 58, par. 2, e 83, del Regolamento in relazione alla violazione dell’art. 5, par. 1, lett. a), e) ed f) e par. 2, dell’art. 9, dell’art. 13, dell’art. 32, nonché degli artt. 30, 35 e 37 del Regolamento; ciò in conformità a quanto previsto dall’art. 166, comma 5, del Codice.

Al riguardo, la Società, con nota del 3 maggio 2023, ha fatto pervenire i propri scritti difensivi, con i quali ha rappresentato quanto segue:

in ordine alla natura di dati personali dei 135 ID di “foto riservate” nonché dei 242 ID di “foto del profilo” di cui è stata accertata la presenza nei sistemi di Nirvam (v. nota del Garante ex art. 166, comma 5 del Codice, trasmessa il 4 aprile 2023, par. 3, pag. 5), “le informazioni in questione riguarda[no] unicamente numeri ID riferiti ad utenze false eliminate non associabili in alcun modo a profili utenti e dunque inidonei a identificare direttamente o indirettamente una persona fisica”. Le stesse comunque, a seguito della contestazione delle violazioni trasmessa dal Garante ai sensi dell’art. 166, comma 5 del Codice, sono state definitivamente cancellate dai sistemi della Società (v. nota del 3 maggio 2023, pag. 3).

con riferimento alle 9.811 foto che, nonostante fossero state inserite nella tabella “dbo.dacancellare_fotoriservate”, erano ancora conservate nel backend del sito (v. nota del Garante ex art. 166, comma 5 del Codice, trasmessa il 4 aprile 2023, par. 3, pag. 5), “i [predetti] 9811 record [avevano] ad oggetto solo numeri ID riferibili ad utenti iscritti tra il 2005 e il 2008, eliminati già nel 2008 unitamente alle relative foto e informazioni identificative, pertanto (..) non qualificabili come dati personali al momento della visita ispettiva. Ad ogni buon conto, successivamente alle verifiche svolte internamente, la tabella in questione, che era stata utilizzata per lo svolgimento di un test sul funzionamento della prima versione del programma di cancellazione al fine di evitare la perdita di dati in caso di bug, è stata comunque definitivamente cancellata dai database di Nirvam” (v. nota del 3 maggio 2023, pag. 4).

La Società ha inoltre evidenziato di essersi prontamente attivata, a seguito degli accertamenti ispettivi effettuati dall’Autorità, “con il supporto di un primario studio legale al fine di intraprendere un percorso volto a sanare le vulnerabilità individuate dal Garante” e di avere “attualmente implementato un impianto documentale e procedurale idoneo a tutelare i diritti e le libertà degli utenti del sito web www.nirvam.it (il “Sito”) in compliance con le previsioni di cui al Regolamento” (v.  nota del 3 maggio 2023, pagg. 1-2). Nello specifico:

ha integrato “il form utilizzato in fase di registrazione al Sito, introducendo una ‘spunta’ ad hoc per consentire agli user di rendere, in modo granulare, specifico, libero e informato il consenso al trattamento dei dati particolari nel contesto della fruizione dei servizi di dating” offerti dalla Società (v.  nota del 3 maggio 2023, pag. 2);

ha conformato il contenuto dell’informativa resa agli utenti al disposto dell’articolo 13 del Regolamento, revisionando il relativo documento (v.  nota del 3 maggio 2023, pag. 3);

ha attivato “una specifica casella di posta elettronica dedicata alle istanze relative al trattamento dei dati personali” (v. nota del 3 maggio 2023, pag 2);

ha individuato, “in ossequio al principio di limitazione della conservazione di cui all’articolo 5, par. 1), lett. e), Regolamento, il retention period in relazione a ciascuna delle finalità di trattamento, anche con riferimento ai dati personali degli utenti che effettuano la prova gratuita senza finalizzare l’acquisto di un abbonamento” definendo una specifica policy di data retention (v. nota del 3 maggio 2023, pag. 3);

ha provveduto alla cancellazione dei profili degli utenti il cui ultimo accesso risaliva a una data anteriore al 1° gennaio 2013 (v. nota del 3 maggio 2023, pag. 3);

in materia di misure di sicurezza, “ha implementato un nuovo sistema di disaster recovery, con opzione di snapshot, per il recupero della situazione del sistema ad una certa data”, provvedendo “altresì all’installazione del Firewall Watchguard M290 con Intrusion Prevention System”.  (v. nota del 3 maggio 2023, pag. 4);

ha “(i) redatto una procedura generale sulla protezione dei dati personali ove sono definite, inter alia, le modalità operative idonee a garantire il rispetto delle previsioni normative, i termini e le condizioni per l’acquisizione e la gestione dei dati personali, nonché i processi per la gestione dei data breach e delle richieste degli interessati; (ii) definito i ruoli, responsabilità, modalità operative e regole da seguire per il trattamento dei dati personali; (iii) pianificato la distribuzione di materiale formativo in materia di data protection per sensibilizzare i soggetti che trattano i dati personali per conto di Nirvam. Da ultimo, (..) intende pianificare lo svolgimento di un’attività di controllo e monitoraggio circa la compliance data protection dei soggetti nominati quali responsabili del trattamento” (v. nota del 3 maggio 2023, pag. 4);

ha infine provveduto a redigere il registro dei trattamenti, ha effettuato la valutazione di impatto ai sensi dell’art. 35 del Regolamento e ha avviato “un processo di ricerca e selezione volto all’individuazione di una figura professionale dotata dei requisiti di indipendenza e delle conoscenze specialistiche in materia di data protection da poter designare quale responsabile della protezione dei dati personali ai sensi dell’articolo 37, Regolamento” (v. nota del 3 maggio 2023, pagg. 4-5).

Al riguardo, su specifica richiesta della scrivente Autorità (cfr. nota del Garante del 28 giugno 2023), la Società, con comunicazione del 7 luglio 2023, ha fornito la documentazione attestante quanto sopra dichiarato, consistente in: “Form utilizzato in fase di registrazione al Sito”; “Informativa privacy resa agli utenti del sito internet ai sensi dell’articolo 13 del RGPD”; “Registro delle attività di trattamento”; “Regolamento generale sulla protezione dei dati personali”; “ Valutazione d’impatto effettuata ai sensi dell’art. 35 del RGPD”.

3.1. L’esito dell’istruttoria: la violazione dei principi di liceità, correttezza e trasparenza.

In primis si rappresenta che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Tanto doverosamente premesso, all’esito dell’esame degli elementi acquisiti nel corso delle verifiche sopradescritte risulta accertato che le attività di trattamento dei dati degli utenti iscritti al sito www.nirvam.it sono state poste in essere, da Nirvam S.r.l., in qualità di titolare, in violazione del Regolamento nei termini più diffusamente esplicitati nel proseguo.

La Società, per il tramite dei servizi offerti dal sito d’incontri www.nirvam.it, tratta una serie di informazioni personali degli utenti iscritti allo stesso (nella specie: “interesse di incontro; nazione, regione e città di residenza; data di nascita; email (..); nickname; password scelta dall’utente”), spesso contenuti in foto caricate all’interno del profilo pubblico o dell’area riservata degli account ivi registrati (v. verbale del 26 luglio 2022, pagg. 1-2 e verbale del 27 luglio 2022, pagg. 1-2).

Le predette attività di trattamento hanno riguardato circa 1.012.421 utenti (v. verbale del 26 luglio 2002, pag. 2) e anche categorie particolari di dati ai sensi dell’art. 9 del Regolamento (nello specifico informazioni idonee a rivelare l’orientamento e la vita sessuale degli stessi).

Al riguardo il Regolamento prevede che il trattamento delle predette categorie particolari di dati personali possa essere effettuato solo in presenza di alcuni specifici presupposti individuati dall’art. 9, par. 2, tra cui si ricomprende il consenso esplicito dell’interessato; presupposti, che non sono rinvenibili rispetto alla fattispecie in oggetto e il cui mancato configurarsi si pone in contrasto con il generale divieto di trattamento ivi sancito (art. 9 del Regolamento).

Al riguardo, con specifico riferimento al caso in esame, le indagini condotte dall’Autorità hanno, infatti, evidenziato l’assenza, all’atto dell’iscrizione al sito www.nirvam.it, di una procedura idonea ad acquisire il consenso esplicito ed informato degli interessati; consenso invece necessario ai sensi dell’art. 9, par. 2, lett. a) del Regolamento per porre in essere il trattamento dei dati personali relativi alle preferenze e agli orientamenti sessuali degli utenti medesimi (v. All. 2 al verbale del 27 luglio 2022).

Si rileva altresì, che, sempre in fase di adesione ai servizi di dating offerti dalla Società, non sono state adeguatamente esplicitate le informazioni necessarie a comprendere le caratteristiche essenziali del trattamento oggetto degli stessi (artt. 7, par. 3 e art. 13 del Regolamento); ciò considerato che l’informativa rilasciata agli utenti ai sensi dell’art. 13 del Regolamento (v. All. 1 al verbale del 26 luglio 2022), da una parte, non forniva alcuna indicazione in ordine alle finalità del trattamento (e alla relativa base giuridica), alle categorie di destinatari dei dati (con particolare riferimento ai responsabili designati ai sensi dell’art. 28 del Regolamento), né all’esercizio dei diritti degli interessati, compreso quello di proporre reclamo al Garante (art. 13, par. 1, lettere c) ed e), e par. 2, lettere b) e d) del Regolamento).

Dall’altra, con riferimento alle altre informazioni da rendere ai sensi dell’art. 13 del Regolamento ed in particolare rispetto a quelle inerenti ai tempi di conservazione dei dati oggetto di trattamento (art. 13, par. 2, lett. a) del Regolamento), l’informativa è risultata lacunosa e inadeguata, poiché riportante le tempistiche di data retention esclusivamente con riferimento alla “registrazione dei file di log” (v. All. 1 al  verbale del 26 luglio 2022, punto 5), a fronte dei molteplici e ulteriori trattamenti effettuati dalla Società per la fruizione dei servizi offerti dal sito www.nirvam.it (v. All. 1 al v. verbale del 26 luglio 2022).

Per le ragioni esplicitate, dunque, la condotta tenuta dalla Società appare in contrasto con i principi di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a), art. 9 e art. 13, del Regolamento), in quanto posta in essere in assenza, per tutte le tipologie di dati trattati, di idonea informativa, nonché, rispetto al trattamento dei dati personali di natura sensibile afferenti alla vita e agli orientamenti sessuali degli utenti, in assenza di idonea base giuridica.

3.2. La violazione del principio di limitazione della conservazione.

A seguito degli accessi effettuati nel corso delle attività ispettive, è altresì emerso che la Società non disponeva, a tale data, di una specifica policy inerente alle tempistiche di conservazione dei dati personali trattati, limitandosi a procedere in maniera disarticolata alla cancellazione degli account “in base a criteri di volta in volta definiti (es: mail non validata e assenza di foto) per individuare account non più attivi” (v. verbale del 27 luglio 2022, pag. 2).

Al riguardo merita di contro evidenziare che, ai sensi dell’art. 5, par. 1, lett. e), del Regolamento (c.d. principio di limitazione della conservazione), i dati personali devono essere conservati in modo da consentire l’identificazione dell’interessato per un arco di tempo non superiore a quello necessario a conseguire le finalità del trattamento.

Il predetto principio, infatti, impone al titolare l’onere di valutare la durata del trattamento in necessaria correlazione con le specifiche finalità prefissate a monte all’atto della raccolta; ciò al fine di “assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario” (v. cons. 39 del Regolamento).

Trattasi, invero, dell’obbligo del titolare di garantire una “corretta” durata del trattamento che, in caso contrario, potrebbe protrarsi ingiustificatamente oltre il raggiungimento delle specifiche finalità dello stesso, con impatto sui principi di liceità, correttezza e trasparenza (art. 5 del Regolamento).

Sul punto è stato invece accertato che Nirvam S.r.l. non aveva individuato precise tempistiche di conservazione dei dati personali trattati per la fornitura dei servizi di cui al sito www.nirvam.it; ciò, in particolare, con riferimento ai dati relativi agli utenti che avevano effettuato la prova gratuita, senza finalizzare alcun abbonamento, nonché a quelli riferiti ad utenti la cui registrazione non era andata a buon fine in quanto effettuata con e-mail non valida o non validata.

Al riguardo, infatti, dagli accessi in loco, è emerso che la Società disponeva dei dati di 1.262.678 utenti registrati il cui ultimo accesso risaliva a prima del 1° gennaio 2012, nonché dei dati inerenti a 1.145.691 utenti che avevano effettuato un’iscrizione prima del 1° gennaio 2012 con e-mail non valida o non validata (v. verbale del 27 luglio 2022, pag. 2).

Parimenti, è stato evidenziato che, dopo la cancellazione di un utente, potevano comunque permanere alcuni dati personali relativi allo stesso nelle tabelle collegate del database in uso presso la Società e che, anche laddove un profilo fosse stato rimosso nel corso di una cancellazione massiva ad opera dell’amministratore di sistema (in ragione del fatto che, ad esempio, l’account fosse risultato obsoleto), le relative foto, pur non essendo più raggiungibili dall’interessato o da altri utenti del sito, non venivano cancellate ma rimanevano conservate nel file system del titolare (v. verbale del 27 luglio 2022, pag. 3).

Al riguardo, nel corso degli accertamenti ispettivi, è stato, in particolare, accertato che, nei sistemi di Nirvam S.r.l., erano presenti 9.811 foto che, nonostante fossero state inserite nella tabella “dbo.dacancellare_fotoriservate”, erano ancora conservate nel backend del sito (v. All. 5 del verbale del 27 luglio 2022).

Sul punto, in relazione a quanto sostenuto dalla Società in sede di memorie difensive in ordine alla natura di dati anonimi delle predette immagini (v. par. 2, punti ii del presente provvedimento), si osserva di contro che le foto -che, come già rilevato sopra, non sempre venivano cancellate dal file system del sito in occasione di operazioni di cancellazione massiva da parte dell’amministratore di sistema- anche se non associabili ai dati anagrafici degli utenti, contengono, per propria natura, elementi caratteristici dei tratti fisici dell’individui ivi raffigurati, in grado di consentire comunque l’identificazione degli stessi.

Gli elementi complessivamente sopra rilevati hanno evidenziato, alla luce di quanto sopra accertato, la violazione dell’art. 5, par. 1, lett. e) del Regolamento.

Diversamente, con riguardo invece alla prospettata violazione del principio di limitazione della conservazione relativa alle 135 ID di “foto riservate” nonché alle 242 ID di “foto del profilo” -nessuna delle quali associata ad un account utente (v. notifica di violazione del 4 aprile 2023, pag. 5)-, si tiene conto di quanto rappresentato dalla Società, nelle proprie memorie difensive (v. par. 2 del presente provvedimento), in ordine alla circostanza che i predetti ID consistessero in mere stringhe numeriche “riferite ad utenze false eliminate non associabili in alcun modo a profili utenti e dunque inidonei a identificare direttamente o indirettamente una persona fisica”.

In merito, pertanto, con riferimento a tale specifica fattispecie, non sussistono gli estremi per adottare provvedimenti in relazione alla connessa violazione (art. 5, par. 1, lett. e) del Regolamento) contenuta nella notifica della scrivente Autorità del 4 aprile 2023. Si accoglie, dunque, limitatamente a tale circoscritto profilo, la richiesta, avanzata da Nirvam S.r.l., di archiviazione della contestazione nella parte riguardante tale specifica fattispecie di violazione.

Da ultimo, con specifico riferimento alle tempistiche di data retention riportate dalla Società all’interno del “Registro del trattamento” trasmesso alla scrivente Autorità nel corso del procedimento (v. nota del 7 luglio 2023, All. C), si osserva che le stesse non appaiono, nemmeno ad oggi, conformi al principio di limitazione della conservazione sopra richiamato.

Nirvam S.r.l., infatti, ha previsto tempistiche uniche per la quasi totalità dei trattamenti ivi individuati (per lo più consistenti in 10 anni dalla cancellazione del profilo utente); tempistiche che, pur apparendo giustificate con riferimento ad alcune tipologie di informazioni (quali, in ipotesi, i dati comuni necessari alla fatturazione dei servizi), risultano invece assolutamente sproporzionate rispetto a trattamenti aventi ad oggetto differenti categorie di dati personali e distinte finalità (v. ad esempio, tra le tante, la categoria dei “dati del profilo di un’utente”, dati rispetto ai quali, in quanto suscettibili anche di ricomprendere informazioni particolarmente sensibili come quelle inerenti all’orientamento o alla vita sessuale degli interessati, dovrebbero essere individuate tempistiche di conservazione strettamente correlate alle finalità dei relativi trattamenti).

3.3. La violazione del principio di integrità e riservatezza.

Per quanto concerne le misure di sicurezza adottate, è emerso che queste ultime consistevano, al momento dell’accertamento ispettivo:

‒ in controlli automatici sugli IP da cui vengono effettuati gli accessi al sito da parte degli utenti;

‒ nell’esecuzione di “query manuali” sul database e di controlli automatici per individuare esecuzione di codice malevolo;

‒ nella verifica dei messaggi scambiati fra gli utenti per effettuare l’encoding di caratteri potenzialmente pericolosi;

‒ nell’accesso ai server, esclusivamente da parte dell’amministratore di sistema;

‒ nell’utilizzo di un solo software proprietario e sviluppato ad hoc;

‒  nella disabilitazione dell’utenza admin su tutte le macchine;

‒ nella crittografia dei dischi dei computer che vengono utilizzati per l’accesso ai server di back-end con Bitlocker.

Le stesse, però, in considerazione dei rischi presentati dallo specifico trattamento posto in essere, non sono risultate idonee a garantire l’integrità e la riservatezza delle informazioni personali ivi trattate.

Appare infatti evidente, tenuto conto della peculiare tipologia di servizio erogato dal sito www.nirvam.it, che i dati personali degli utenti abbonati allo stesso costituiscano –come peraltro già rilevato supra– informazioni di natura estremamente sensibile, in quanto atte a rilevare le preferenze e l’orientamento sessuale degli interessati.

In ragione di tali caratteristiche, il relativo trattamento necessita di specifiche misure di sicurezza, proporzionate ai rischi significativi connessi allo stesso. Ciò anche e soprattutto in relazione ai materiali fotografici caricati dagli utenti medesimi che possono presentare contenuti espliciti meritevoli di specifica protezione.

A fronte della necessità di misure particolarmente efficaci a tutela dei diritti e delle libertà degli interessati, le modalità di sviluppo del sito e di erogazione dei servizi ad esso connessi, attuate da Nirvam S.r.l. fin dalla sua costituzione, sono di contro risultate approssimative e inadeguate.

La creazione, la gestione e la manutenzione del servizio sono apparse infatti improntate a un approccio tecnicamente non adeguatamente organizzato e la loro verifica nel tempo è stata condotta in assenza di idonea pianificazione, controllo, e documentazione.

Tale circostanza ha comportato che la gestione e la manutenzione dell’applicativo e dell’infrastruttura nel suo complesso sono state gestite senza una programmazione specifica e non seguendo metodologie consolidate e certificate.

È quanto emerso con evidenza dall’assenza di processi consolidati di manutenzione evolutiva, che ha provocato, fra l’altro, la cancellazione solo parziale dei profili degli utenti che ne hanno fatto richiesta, nonché dalla mancata adozione di policy di sicurezza indispensabili per la gestione di un servizio volto al trattamento delle predette particolari categorie di dati personali.

In ordine a tali profili, occorre rilevare pertanto la violazione, a carico di Nirvam S.r.l., degli artt. 5, par. 1, lett. f) e 32 del Regolamento, in quanto l’infrastruttura inerente al trattamento è risultata priva di misure adeguate di conservazione dei dati personali degli utenti, di policy di cancellazione, di sistemi strutturati per il back-up e il disaster recovery, di presidi di sicurezza fisica, informatica e infrastrutturale.

Si osserva infine che, sebbene la Società, nel corso del procedimento, abbia dichiarato di aver implementato “un nuovo sistema di disaster recovery, con opzione di snapshot”, provvedendo “altresì all’installazione del Firewall Watchguard M290 con Intrusion Prevention System” (v. nota del 3 maggio 2023, pag. 4; cfr. altresì, par. 2 della presente decisione), le misure così adottate e risultanti dalla documentazione trasmessa con nota del 7 luglio 2023, non appaiono ancora sufficienti a conformare il trattamento alle disposizioni di cui all’art. 32 del Regolamento.

Sulla base di quanto emerso dall’analisi della documentazione fornita dalla Società (v. nota del 7 luglio, Allegati C e D), infatti, le misure ivi adottate non possono ritenersi adeguate ai rischi presentati dal trattamento in oggetto.

Le stesse, invero -oltre ad apparire per lo più la mera riproposizione ripetitiva di dichiarazioni di intenti, piuttosto che reali misure corredate da un piano di attuazione e di implementazione- sono state applicate indistintamente a trattamenti anche molto differenti fra loro, in termini di rischio per i diritti e le libertà delle persone fisiche; ciò  sia per la tipologia di dati trattati, sia per le categorie di interessati coinvolti (si pensi, ad esempio, alle differenze esistenti, sul piano del rischio del trattamento, tra la gestione dei dati dei consulenti per le finalità di assistenza alla Società e i trattamenti connessi alla creazione della lista di profili di interesse di un utente all’interno della piattaforma di dating).

Al riguardo, inoltre, non è stato possibile rinvenire, nella documentazione presentata dal titolare, specifiche misure tecniche  a protezione dei dati particolarmente sensibili, in quanto idonei a rilevare l’orientamento e la vita sessuale degli utenti (quali quelle strettamente volte a ridurre eventuali accessi abusivi o non autorizzati ai dati contenuti nella piattaforma di dating, nonché quelle a prevenire possibili forme di diffusione delle informazioni ivi presenti); ciò né con riferimento ai sistemi dedicati alla gestione dei dati degli abbonati, né a quelli rivolti agli iscritti al sito www.nirvam.it per il tempo necessario ad effettuare la prova gratuita ai predetti servizi.

Parimenti, nessuna indicazione è stata fornita dalla Società in ordine al sistema di gestione delle identità e degli accessi dei soggetti autorizzati ad accedere ai dati per attività di assistenza tecnica sui sistemi e di caring della clientela, né alla definizione dei rispettivi ruoli e dei profili.

3.4. Ulteriori violazioni.

Da ultimo, in relazione, più in generale, all’osservanza degli adempimenti posti dal Regolamento a carico del titolare, si rileva altresì che Nirvam S.r.l., pur essendovi tenuta ai sensi dell’art. 30, par. 1 del Regolamento, non ha redatto il registro delle attività di trattamento (v. verbale del 26 luglio 2022, pag. 3).

La stessa, inoltre, non ha nominato il responsabile della protezione dati (RPD), né ha predisposto una valutazione d’impatto sulla protezione dei dati personali (v. verbale del 26 luglio 2022, pagg. 3 e 4); ciò sebbene Nirvam S.r.l., in ragione dei significativi rischi connessi alle attività di trattamento afferenti alla fruizione della piattaforma di dating da questa gestita, nonché in relazione all’elevato numero di dati personali di cui all’art. 9 del Regolamento trattati al suo interno, sia invece obbligata all’adozione di entrambi gli adempimenti sopra indicati.

Sul punto, infatti, preso atto di quanto emerso dagli accertamenti ispettivi in ordine alla dimensione delle attività di trattamento poste in essere dal titolare (4.788.451 account registrati al sito di incontri, di cui 1.012.421 corrispondenti ad utenti validati alla data dell’ispezione, v. verbale del 26 luglio 2022, pag. 2), è possibile rinvenire nel caso di specie il requisito richiesto dall’art. 37, par. 1, lett. c) del Regolamento, consistente nel “trattamento, su larga scala, di categorie particolari di dati personali”. La mancata osservanza di tali disposizioni ha comportato la violazione degli artt. 30, 35 e 37 del Regolamento.

Con specifico riferimento alla valutazione di impatto, inoltre, si rileva altresì che il documento trasmesso all’Autorità successivamente alla fase di contestazione delle violazioni (v. nota del 7 luglio, All. E), non appare soddisfare i requisiti richiesti dall’art. 35 del Regolamento, in quanto “le misure [ivi] previste per affrontare i rischi” del trattamento non appaiono idonee ad attenuare gli stessi (art. 35, par. 2, lett. d) del Regolamento); ciò considerato, in particolare, che le predette misure, descritte peraltro in maniera alquanto generica e sommaria, sono applicate indistintamente a tutte le minacce individuate, indipendentemente dal livello di gravità e di probabilità di ognuna di esse.

Dall’insieme di tutte le violazioni singolarmente prospettate, emerge, più in generale, che le misure tecniche e organizzative complessivamente adottate dal titolare al fine di conformare i trattamenti al Regolamento, non sono apparse, alla data dell’accertamento ispettivo (né lo sono ad oggi), adeguate alla natura, al contesto, alle finalità e ai rischi del trattamento dedotto in contestazione, configurando, in capo al suddetto titolare, la violazione del principio di “accountability” (art. 5, par. 2 e art. 24 del Regolamento).

Ai sensi del predetto principio, infatti, il titolare è il soggetto cui è attribuita la “responsabilità generale” del trattamento, gravando, pertanto, sullo stesso l’onere di attuare un sistema organizzativo e gestionale contraddistinto da misure reali ed efficaci di protezione dei dati nonché comprovabili (v. anche cons. 74 del Regolamento); ciò in primis mediante la corretta e puntuale predisposizione degli adempimenti imposti dal Regolamento (informativa, registro delle attività di trattamento, nomina del responsabile della protezione dei dati ove obbligatoria, valutazione di impatto ove necessaria ecc.), nonché attraverso l’implementazione di procedure e prassi organizzative atte a conformare i relativi trattamenti alla disciplina di riferimento (es. processi per la corretta gestione dei dati oggetto di trattamento; policy di data retention; regole per l’attribuzione di responsabilità; programmi di formazione del personale; procedure per la gestione delle richieste di esercizio dei diritti e dei reclami; previsione di audit interni ed esterni con cadenza periodica ecc.; cfr. Gruppo art. 29, WP 173 del 13 luglio 2010- Opinion 3/2010 on the principle of accountability, pagg. 11-12).

Dalle verifiche poste in essere in sede di accertamenti ispettivi, nonché dall’esame della documentazione in atti, di contro, è emersa una gestione inadeguata dei trattamenti posti in essere per il tramite del sito www.nirvam.it, soprattutto ove rapportata alla delicatezza delle informazioni ivi trattate e ai connessi significativi rischi per i diritti e le libertà degli interessati coinvolti.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Alla luce di quanto rilevato, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino pertanto inidonee a disporre l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società risulta infatti illecito, nei termini su esposti, con riferimento alla violazione dei principi di liceità, correttezza e trasparenza, di limitazione della conservazione, di responsabilizzazione e di integrità e riservatezza (artt. 5, par. 1, lett. a), e) ed f) e par. 2, art. 9, art. 13, art. 24 e art. 32 del Regolamento), nonché degli obblighi di redigere il registro delle attività di trattamento, di effettuare una valutazione di impatto e di designazione del Responsabile della protezione dei dati (artt. 30, 35 e 37 del Regolamento).

Tale condotta si è protratta per la durata di circa 16 anni (dal 2007, anno in cui sono stati attivati i primi abbonamenti al sito –cfr. verbale del 26 luglio 2022, pag. 2– ad aprile 2023, data di trasmissione da parte del Garante della comunicazione ex art. 166, comma 5 del Codice).

La stessa ha inoltre riguardato circa 1.000.000 (un milione) di soggetti interessati in qualità di utenti della piattaforma di dating di cui al sito www.nirvam.it (v. verbale del 26 luglio 2002, pag. 2).

La violazione delle disposizioni sopra richiamate comporta pertanto l’applicazione delle sanzioni amministrative previste dall’art. 83, par. 4, lett. a) e dall’art. 83, par. 5, lettere a) e b) del Regolamento.

Da ultimo, per quanto concerne l’esercizio dei poteri correttivi di cui all’art. 58, par. 2, del Regolamento, si prende atto della circostanza che Nirvam S.r.l., nel corso del procedimento, abbia provveduto ad adottare alcune prime misure volte ad allineare, in conformità al quadro normativo sopra descritto, il trattamento dei dati degli utenti al Regolamento come dettagliatamente riportate nella presente decisione (v. supra, par. 2).

Tenuto pertanto conto di quanto sopra indicato e ferme restando le summenzionate azioni già avviate dalla Società, si ritiene ad ogni modo necessario, alla luce delle ulteriori criticità rilevate a carico del titolare del trattamento (v. paragrafi 3.2, 3.3 e 3.4 del presente provvedimento), ingiungere allo stesso, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, le seguenti misure correttive:

a) individuare adeguate tempistiche di conservazione delle informazioni personali trattate, distinte per categorie di dati e per specifiche finalità dei trattamenti posti in essere; ciò in linea con il principio di limitazione della conservazione sancito dall’art. 5, par. 1, lett. e) del Regolamento. Si rammenta altresì che le modifiche così apportate alla policy di data retention della Società dovranno essere parimenti evidenziate nell’informativa da rilasciare agli utenti ai sensi dell’art. 13 del Regolamento;

b) una volta previsti tempi di conservazione proporzionati alle diverse finalità dei trattamenti effettuati, cancellare definitivamente i profili utenti che risultano superare i termini ivi individuati, avendo cura di rimuovere tutti i dati personali ad essi relativi, anche quanto presenti in tabelle referenziate o in archivi non strutturati conservati sul file system;

c) verificare la presenza nel backend del sito e nel file system di dati personali, anche in forma non strutturata, associati a profili utente non più esistenti, e procedere all’immediata cancellazione degli stessi;

d) redigere la valutazione d’impatto conformemente alle indicazioni previste dall’art. 35 del Regolamento, individuando nel dettaglio le misure approntate dal titolare per affrontare i rischi dei trattamenti posti in essere dalla piattaforma www.nirvam.it.

Le predette misure, in considerazione degli elevati rischi connessi alle attività di trattamento poste in essere dallo stesso, devono essere implementate tempestivamente e con carattere di urgenza in quanto necessarie ad assicurare una prima e immediata tutela alle informazioni, di natura sensibile, trattate per il tramite del sito www.nirvam.it. Si tiene conto a tal fine anche della possibilità di attuazione in tempi brevi delle stesse nonché dell’attività di studio e di analisi già avviata in merito da Nirvam S.r.l. nel corso del procedimento (v. quanto dichiarato al riguardo dal titolare in ordine all’incarico da quest’ultimo conferito ad uno studio legale specializzato; cfr. nota del 3 maggio 2023, pagg. 1-2).

Inoltre, con riferimento più in generale all’intero impianto organizzativo implementato dal titolare per la fornitura dei servizi di dating on line, si prescrivono altresì le ulteriori misure di seguito elencate:

e) adottare un sistema di Identity and Access Management, per individuare profili e ruoli dei soggetti che operano sul sito e sui sistemi utilizzati dalla società;

f) adottare misure specifiche a protezione dei dati particolari trattati dalla Società, quali, ad esempio misure di cifratura o di pseudonimizzazione di tale tipologia di dati;

g) conservare i dati particolari trattati da Nirvam S.r.l. in una partizione del back-end del sito ad accesso riservato ad un numero ristretto di soggetti;

h) prevedere un corretto sistema di tracciatura delle operazioni effettuate sui dati e sui sistemi utilizzati dalla Società, che consenta di registrare, per ogni operazione di accesso ai dati, ivi compresa la consultazione e la produzione di reportistiche anche in forma aggregata, almeno le seguenti informazioni:

utenza che ha posto in essere l’operazione di accesso;

data e ora di esecuzione;

riferimento dell’utente oggetto dell’operazione di accesso ai dati;

finalità dell’accesso, tipologia di operazione effettuata e dati esaminati;

i) dotare i log file di marche temporali e di controlli di integrità a garanzia della loro inalterabilità e autenticità, anche con il ricorso a tecniche di firma digitale e con l’utilizzo di sistemi di certified logging. La consultazione dei log file deve essere consentita ai soli soggetti dotati di profili di autorizzazione preventivamente individuati, e deve essere a sua volta oggetto di tracciamento;

j) adottare una procedura formalizzata per la cancellazione dei profili degli utenti, anche quando presenti sul sito per la sola prova gratuita, che preveda la verifica della cancellazione di tutti i dati ad essi relativi, anche quanto presenti in tabelle referenziate o in archivi non strutturati conservati sul file system. In particolare, adottare misure volte ad assicurare che il profilo dell’utente, ove quest’ultimo abbia richiesto la cancellazione del proprio account, non sia più visibile ad altri utenti, con conseguente rimozione dello stesso dalla lista dei profili di interesse di terzi;

k) adottare sistemi di intrusion detection and prevention, al fine di individuare le attività dannose sui sistemi e l’esecuzione di codice malevolo, nonché gli eventuali tentativi di accesso non autorizzato, adottando le necessarie contromisure.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere da Nirvam S.r.l., di cui è stata accertata l’illiceità, nei termini sopra esposti.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione le circostanze sotto riportate:

‒ la rilevante gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), in relazione alla natura delle stesse −in quanto concernenti l’inosservanza dei principi generali del trattamento−, nonché all’elevato numero di interessati coinvolti (circa un milione). Tali elementi sono ulteriormente aggravati dalla considerevole durata della condotta illecita: quest’ultima, infatti, si è perpetrata continuativamente per ben 16 anni e persiste in parte tuttora, nonostante le misure nel frattempo adottate dal titolare per conformare le proprie attività di trattamento al Regolamento (v, in merito, supra, par. 4)

‒ il significativo grado di responsabilità del titolare (art. 83, par. 2, lett. b) e d), del Regolamento) con specifico riferimento alla mancata adozione di misure tecniche e organizzative volte a garantire la conformità del trattamento al Regolamento. Al riguardo, si tiene in particolare conto della circostanza che l’inadeguatezza degli strumenti di accountability adottati dal titolare nel caso di specie hanno riguardato in linea generale la gestione della piattaforma di dating on line, evidenziando carenze di carattere sistemico dell’intero processo di gestione delle attività di trattamento dei dati personali degli utenti;

‒ la natura estremamente sensibile delle informazioni oggetto di violazione (art. 83, par. 2, lett. g) del Regolamento) in quanto atte a rilevare la vita e l’orientamento sessuale degli interessati;

‒ l’adozione, da parte del titolare, di alcune misure per mitigare le conseguenze della violazione (art. 83, par. 2, lett. c) del Regolamento). Al riguardo va positivamente considerata la circostanza che Nirvam S.r.l. abbia tempestivamente adottato le misure descritte al par. 2 del presente provvedimento (v. anche supra, par. 4);

‒ la circostanza che la Società abbia attivamente cooperato con l’Autorità nel corso del procedimento (art. 83, par. 2, lett. f) del Regolamento);

‒  l’assenza di precedenti violazioni commesse dal titolare del trattamento o provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e) del Regolamento).

Si ritiene inoltre che assumano rilevanza nel caso di specie, in ragione dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), le condizioni economiche del contravventore, determinate in base al volume d’affari della Società, di cui al bilancio d’esercizio per l’anno 2022 (ultimo disponibile).

Da ultimo, si tiene conto dei costi che la Società è tenuta ad affrontare per adempiere alle prescrizioni di cui al paragrafo 4 della predetta decisione.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Nirvam S.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 200.000/00 (duecentomila/00).

In tale quadro si ritiene, altresì, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Tutto ciò in considerazione della particolare natura dei dati personali trattati dalla Società, inerenti alla vita e alle abitudini sessuali degli interessati coinvolti, nonché della tipologia delle violazioni accertate che hanno interessato i principi generali del trattamento, in particolare i principi di liceità, correttezza, trasparenza, limitazione della conservazione, integrità e riservatezza ed accountability.

Si tiene altresì conto della circostanza che le diverse violazioni accertate nel caso di specie hanno evidenziato una generalizzata e sistematica inosservanza, da parte del predetto titolare, della disciplina in materia di protezione dei dati personali.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

a) ai sensi degli artt. 57, par. 1, lett. a) e 83, del Regolamento e dell’art. 144, comma 2 del Codice, rileva l’illiceità del trattamento effettuato da Nirvam S.r.l., con sede in Bergamo, p. iva n. 03350600163 nei termini di cui in motivazione, per la violazione dell’art. 5, par. 1, lett. a), e) ed f) e par. 2, dell’art. 9, dell’art. 13, dell’art. 24, dell’art. 32, nonché degli artt. 30, 35 e 37 del Regolamento;

b) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento ingiunge alla summenzionata Società di conformarsi, entro 45 giorni dalla data della notifica del presente provvedimento, alle prescrizioni formulate al par. 4, lettere da a) a d) del presente provvedimento, richiedendo al contempo alla stessa di comunicare quali iniziative intende intraprendere al fine di dare attuazione a quanto disposto e di fornire, entro il predetto termine,  riscontro adeguatamente documentato ai sensi dell'art. 157 del Codice; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall'art. 83, par. 5, lett. e) del Regolamento;

c) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento ingiunge alla summenzionata Società di conformarsi, entro nove mesi dalla data della notifica del presente provvedimento, alle prescrizioni formulate al par. 4, lettere da e) a k) del presente provvedimento, richiedendo al contempo alla stessa di comunicare quali iniziative intende intraprendere al fine di dare attuazione a quanto disposto e di fornire, entro il predetto termine,  riscontro adeguatamente documentato ai sensi dell'art. 157 del Codice; l’eventuale mancato riscontro può comportare l'applicazione della sanzione amministrativa pecuniaria prevista dall'art. 83, par. 5, lett. e) del Regolamento;

d) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante.

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento alla medesima Nirvam S.r.l., di pagare la somma di euro 200.000/00 (duecentomila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento.

INGIUNGE

quindi a Nirvam S.r.l. di pagare la predetta somma di euro 200.000/00 (duecentomila/00), secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall'art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento - sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129.

Ai sensi dell'art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 7 dicembre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei