[doc. web n. 9935548]

Provvedimento del 31 agosto 2023

Registro dei provvedimenti
n. 362 del 31 agosto 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali (doc. web n. 1098801);

Relatore l’avv. Guido Scorza;

PREMESSO

1. Premessa

A seguito di una segnalazione, si è appreso che l’accesso da rete pubblica, tramite il sito http://..., alla intranet aziendale della società Servizi Elaborazione Dati S.p.A. (di seguito “S.E.D” o “Società”), risultava possibile con protocollo di comunicazione http, rendendo, in tal modo, la comunicazione utente-server priva di protezione e non consentendo all'utente stesso di essere garantito circa l'identità della parte (server) con cui stava interagendo.

2. Istruttoria.

Sulla base di tale segnalazione, l’Ufficio ha avviato un’istruttoria nei confronti della Società richiedendo a S.E.D. elementi in ordine alle modalità previste per l’accesso alla intranet aziendale e se le medesime si applicassero anche all’accesso ai servizi forniti al Comune dell’Aquila. La predetta Società, infatti, è interamente partecipata dal predetto Comune e svolge in regime “in house providing” i “servizi strumentali, relativi a: supporto informatico, assistenza e consulenza, sviluppo e manutenzione software, sviluppo nuovi servizi applicativi, costituzione, gestione, manutenzione delle banche dati dell’Ente, attività di amministrazione dei sistemi informativi” (cfr. art. 1 Contratto di servizio Delibera Cons. Comunale del Comune dell’Aquila n. 63 del 28 luglio 2020).

In risposta alla predetta richiesta di informazioni, S.E.D., ha dichiarato che “per l’accesso alla intranet aziendale viene utilizzato il protocollo http ma i dati gestiti nell’applicativo non sono dati personali ma solo documentazione della Società” e che “L’accesso con le modalità segnalate non riguarda la rete comunale”.

L’Ufficio ha richiesto ulteriori elementi in ordine alla password policy, all’eventuale previsione circa l’utilizzo delle medesime credenziali per l’accesso ad altri servizi forniti dalla Società (es. email, dominio aziendale, altre applicazioni…) e se tali servizi contemplassero il trattamento di dati personali, chiedendo altresì di specificare il numero dei dipendenti/altri soggetti abilitati all’accesso alla predetta intranet.

Al riguardo, la Società ha dichiarato che “a seguito della valutazione dei rischi al momento dell’entrata in vigore del GDPR abbiamo posto in essere i seguenti interventi atti a minimizzare il rischio tenendo conto dei mezzi e delle risorse a nostra disposizione e delle priorità aziendali:

1. Utilizzo di username univoca assegnata agli utenti e costituita da 8 caratteri casuali (lettere maiuscole, lettere minuscole, numeri) generata casualmente per evitare nel caso di furto delle credenziali che le stesse potessero essere utilizzate altrove.

2. Le credenziali utilizzate su questo sistema non sono utilizzate in nessuna altra applicazione aziendale.

3. Policy delle password che prevede password complessa (lunghezza minima 8 caratteri, almeno una lettera maiuscola, almeno una lettera minuscola, almeno un numero, almeno un carattere speciale), e obbligo di modifica della password ogni 3 mesi verificando che la nuova password sia diversa dalla precedente.

Attualmente stiamo modificando il sistema per portarlo sul protocollo https".

Con la nota del XX (prot. n. XX), sulla base degli elementi acquisiti, delle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, l’Ufficio ha notificato a S.E.D. S.p.A., ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto la presunta violazione degli artt. 5, par. 1, lett. f), 25 e 32 del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti, chiedendo, se del caso, di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla legge 24 novembre 1981, n. 689).

Con nota inviata in pari data, il RPD indicato nella comunicazione effettuata dalla Società al Garante, ai sensi dell’art. 37, paragrafo 7, del Regolamento - al quale era stata trasmessa per conoscenza la predetta notifica di violazione – ha dichiarato che “in data XX ha rimesso le proprie dimissioni dall’incarico di DPO della Società partecipata SED S.p.a. tramite comunicazione PEC”, allegando, a tal proposito, la nota inviata in tale data alla S.E.D. S.p.A. per comunicare “le proprie dimissioni volontarie dal ruolo di responsabile esterno per la protezione dei dati personali (DPO) per l’ultimo anno dell’incarico triennale, ovvero a decorrere dal giorno XX”.

Alla luce di tali dichiarazioni, sulla base di una verifica interna sulle comunicazioni dei dati di contatto del RPD effettuate ai sensi dell’art. 37, par. 7, del Regolamento, è stato rilevato che, fino a quel momento, la Società aveva effettuato una sola comunicazione in data XX (con prot. n. XX), in cui veniva indicato, quale RPD, il predetto professionista e che il medesimo, sulla base di un accertamento effettuato sul sito web di S.E.D. ..., – e verbalizzato con relazione di servizio del XX (prot. n. XX) – risultava ancora indicato quale RPD della Società.

Pertanto, con riferimento a tali profili, con nota del XX (prot. n. XX), l’Ufficio ha notificato a S.E.D., ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto anche la presunta violazione dell’art. 37, par. 1, del Regolamento, per non aver designato un nuovo RPD, a seguito delle dimissioni del precedente a partire dal XX, stante l’obbligo di designazione stabilito, in particolare, dalla lett. c) della citata disposizione, e dell’art. 37, par. 7, del Regolamento, per non aver provveduto ad aggiornare i dati di contatto del RPD, mantenendo inalterati quelli riferiti al RPD non più in carica, con riferimento sia all’obbligo di pubblicazione che all’obbligo di comunicazione all’Autorità.

Con note del XX (prot. n. XX), e del XX (prot. n. XX), la Società ha inviato al Garante, ai sensi dell’art. 166, commi 6 e 7, del Codice e dell’art. 18, comma 1, della legge 24 novembre 1981, n. 689, i propri scritti difensivi in relazione alle violazioni notificate dichiarando, in particolare, che:

- “la società ha provveduto alla rimozione dell’accesso attraverso la rete intranet aziendale da parte dei dipendenti dell’azienda” (nota del XX);

- “l’unica comunicazione che la nostra società ha effettuato riguardante la nomina dell’RDP risale al XX prot n. XX. Successivamente [il RPD] in data XX comunicò le sue dimissioni a far data dal XX. A questo punto in considerazione del fatto che la società stava lavorando insieme all’Amministrazione Comunale del Comune dell'Aquila al rinnovo del contratto di servizio, in cui si prevedeva la possibilità che S.E.D. svolgesse il ruolo di RDP per conto del Comune, quale titolare del trattamento dei dati, e quindi internamente anche per S.E.D. comunque per determinare un risparmio economico che un incarico esterno avrebbe portato, si è aspettato per verificare tale possibilità nonché per effettuare ulteriori verifiche relative ai requisiti professionali”;

- “Nel momento in cui è divenuta più concreta la possibilità di affidare a S.E.D. il ruolo di RDP per conto del Comune dell'Aquila e in particolare alla figura del sottoscritto direttore amministrativo, di S.E.D.” con email del XX è stato richiesto al Garante “un parere in merito al conflitto di interessi che si sarebbe potuto determinare”;

- “Con decreto sindacale n. XX del XX prot. n. XX S.E.D. il Sindaco dell'Aquila nominò RDP il sottoscritto nella sua qualità di direttore amministrativo della società. Successivamente fu aperto un procedimento contro il Comune dell'Aquila che ha portato ad un “Avvio del procedimento per l'adozione dei provvedimenti correttivi ai sensi dell'art. 58, par. 2, del Regolamento (UE) 2016/679, notificato ai sensi dell’art. 166, comma 5, del Codice”;

- “A questo punto in considerazione di quanto sopra e comunque verificato che il sottoscritto, quindi, oltre a non poter svolgere il ruolo di RDP per il Comune dell'Aquila non poteva svolgere tale incarico nemmeno per S.E.D., si è provveduto a [designare] un professionista avente i requisiti previsti di cui si è data comunicazione in data XX prot. XX” (nota del XX).

2. La normativa in materia di protezione dei dati personali

Ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”. Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, paragrafo 1, n. 1 del Regolamento).

Ai sensi dell’art. 9, par. 1, del Regolamento, costituiscono categorie particolari di dati personali i “dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale”, nonché i “dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona”.

Ai sensi dell’art. 5, par. 1, lett. f) del Regolamento, il trattamento di dati personali deve essere effettuato in conformità al principio di “integrità e riservatezza”, in base al quale i dati personali devono essere trattati in maniera da garantire un'adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

Sulla base di tale principio, l’art. 32 del Regolamento prevede che il titolare del trattamento, tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, debba mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso, “la cifratura dei dati personali”.

Inoltre, in base al principio di “protezione dei dati fin dalla progettazione”, di cui all’art. 25, par. 1, del Regolamento, il titolare del trattamento, tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso, deve mettere in atto misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati.

Ai sensi dell’art. 37 del Regolamento “il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta: a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10” (par. 1). Inoltre, “il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all'autorità di controllo” (par. 7).

5. Esito dell’attività istruttoria.

5.1. Le violazioni in materia di sicurezza

Sulla base degli elementi acquisiti a seguito dell’attività istruttoria svolta, nonché delle successive valutazioni, risulta accertato che - fino al momento in cui, come dichiarato, “la società ha provveduto alla rimozione dell’accesso attraverso la rete intranet aziendale da parte dei dipendenti dell’azienda” - l’accesso alla intranet aziendale di S.E.D. S.p.A, da parte dei dipendenti e di eventuali altri soggetti autorizzati, tramite il sito http://..., è avvenuto utilizzando il protocollo di comunicazione “http”.

Con riguardo alle modalità di accesso, la Società ha precisato che per “l’accesso alla intranet aziendale viene utilizzato il protocollo http ma i dati gestiti nell’applicativo non sono dati personali ma solo documentazione della Società” (nota XX) e che la “username univoca assegnata agli utenti e costituita da 8 caratteri casuali (lettere maiuscole lettere minuscole, numeri)” viene “generata casualmente per evitare che in caso di furto delle credenziali le stesse potessero essere utilizzate altrove” (nota del XX).

Al riguardo, si osserva che la “username univoca assegnata agli utenti” generata casualmente, anche se non risulta composta da dati identificativi degli interessati o parti di essi (es. iniziali o parte del nome, cognome, etc.), in base alla definizione dell’art. 4, paragrafo 1, n. 1 del Regolamento, deve essere considerata un dato personale, in quanto “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online …”).

Non può, pertanto, condividersi quanto affermato dalla Società in relazione alla circostanza che “i dati gestiti nell’applicativo non sono dati personali ma solo documentazione della Società” – poiché, come sopra detto, le credenziali di autenticazione sono dati personali - con la conseguente applicazione della disciplina in materia di protezione dei dati personali.

Ciò premesso, l’utilizzo di tecniche crittografiche, allo stato dell’arte, è una delle misure comunemente adottate per proteggere, in particolar modo, le credenziali di autenticazione degli utenti di un sito/servizio online durante la loro trasmissione su rete internet; ciò, tenuto conto degli elevati rischi presentati dal trattamento di tali dati che possono derivare dall’accesso non autorizzato agli stessi o dalla loro divulgazione, anche in ragione della tendenza di molti utenti a riutilizzare la stessa password, o comunque una password molto simile, per l’accesso a diversi servizi online.

L’accesso alla intranet in questione avveniva, invece, in modo non sicuro, mediante il protocollo di rete “http” (hypertext transfer protocol). Tale protocollo, infatti, non garantiva la riservatezza e l’integrità dei dati scambiati tra il browser dell’utente e il server che ospita la intranet della Società, e non consentiva agli utenti di verificare l’autenticità del sito web visualizzato. Tenuto conto della natura, dell’oggetto e della finalità del trattamento, nonché dei rischi che insistono sui dati, incluso il rischio di furto di identità, la possibile “clonazione” del sito web in questione a scopo di phishing o, in ogni caso, l’acquisizione delle credenziali di autenticazione per fini illeciti, la soluzione adottata dalla Società non poteva essere considerata una misura tecnica idonea a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento, che prevedeva la trasmissione di dati, incluse credenziali di autenticazione, su una rete pubblica di comunicazioni.

Per tali motivi, il mancato utilizzo di tecniche crittografiche per la trasmissione dei dati configura una violazione dell’art. 5, par. 1, lett. f), e dell’art. 32 del Regolamento; tale ultima disposizione, al par. 1, lett. a), individua espressamente la cifratura dei dati come una delle misure di sicurezza idonee a garantire un livello di sicurezza adeguato al rischio (sul punto, cfr. anche il considerando n. 83 del Regolamento nella parte in cui prevede che “il titolare del trattamento […] dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura”).

Considerato, inoltre, che il titolare è tenuto a mettere in atto, fin dalla progettazione del proprio sito web, misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati, tra cui il principio di “integrità e riservatezza”, provvedendo ad adottare un protocollo di rete sicuro, quale il protocollo “https” (hypertext transfer protocol over secure socket layer, il trattamento in esame è avvenuto in violazione dell’art. 25 del Regolamento (al riguardo, cfr. altresì le Linee guida 4/2019 sull’articolo 25 – Protezione dei dati fin dalla progettazione e per impostazione predefinita, adottate dal Comitato europeo per la protezione dei dati, nella sua versione definitiva, il 20 ottobre 2020, con specifico riferimento al par. 3.8 che, tra gli elementi principali della progettazione e dell’impostazione predefinita relativi all’integrità e alla riservatezza, indica anche i trasferimenti sicuri).

5.2. Le violazioni in materia di designazione e pubblicazione dei dati di contatto del RPD

Come sopra accennato, nell’ambito dell’istruttoria è stato accertato e verbalizzato con relazione di servizio del XX (prot. n. XX) che, fino a tale data, sul sito web ..., di cui S.E.D. risulta titolare, veniva ancora indicato, in particolare nella sezione “PRIVACY”, quale “DPO (Data Protection Officer) della società SED - Servizi Elaborazione Dati Spa”, un professionista che non esercitava più tale incarico, almeno dalla data in cui le dimissioni rese dal predetto RPD erano divenute effettive (XX). Inoltre, dalla verifica interna sulle comunicazioni al Garante dei dati di contatto del RPD effettuate ai sensi dell’art. 37, par. 7, del Regolamento, il medesimo professionista risultava ancora indicato quale RPD della Società, in quanto, fino a quel momento, la Società aveva effettuato una sola comunicazione in data XX (con prot. n. XX).

Di conseguenza, a partire dalla data in cui le dimissioni rese dal predetto RPD sono divenute effettive (XX), la predetta Società, pur essendovi tenuta – ai sensi dell’art. 37, par. 1, in particolare, lett. c), del Regolamento - non aveva provveduto a nominare un nuovo RPD.

In base alla disposizione citata, infatti, S.E.D. è tenuta alla designazione del RPD in quanto, essendo una società interamente partecipata dal Comune dell’Aquila, ha in gestione le banche dati ed i sistemi informativi del predetto Comune in qualità di responsabile del trattamento, ai sensi dell’art. 28 del Regolamento.

Per effetto di ciò, risulta evidente come le attività principali della Società consistano nel trattamento, su larga scala, quantomeno delle categorie particolari di dati personali di cui all’art. 9 del Regolamento, in quanto nelle banche dati e nei sistemi informativi del Comune dell’Aquila - di cui la Società ha la gestione in qualità di responsabile del trattamento - sono trattati i dati personali di decine di migliaia di soggetti riferibili al medesimo Comune (tutti i cittadini, ma anche i titolari di incarichi politici, i dipendenti, i collaboratori a vario titolo, i fornitori, ecc.), compreso, pertanto, un consistente numero di informazioni idonee a rivelare aspetti di cui all’art. 9, par. 1, del Regolamento (si pensi, ad esempio, anche solo a quelle concernenti lo stato di salute o di disabilità, trattate dalle varie articolazioni del Comune per le finalità istituzionali).

Per tali motivi, l’omessa designazione del RPD da parte S.E.D. costituisce una violazione dell’art. 37, par. 1, del Regolamento.

Oltre alla mancata designazione, nel caso di specie è stato altresì accertato il mancato aggiornamento dei dati di contatto del RPD, in quanto, in atti, risultano pubblicati sul sito web XX della Società e comunicati a questa Autorità solo i dati di contatto riferiti al primo RPD designato nel 2018, anche successivamente alle dimissioni dello stesso. A questo proposito, si evidenzia che la Società, nell’ambito dell’istruttoria avviata, non aveva fornito alcun elemento, benché fosse stata invitata a farlo (cfr. la richiesta di informazioni del XX), e che la vicenda delle dimissioni è stata comunicata all’Autorità dal predetto professionista.

Il mancato aggiornamento dei dati di contatto del RPD configura un inadempimento degli obblighi di pubblicazione e di comunicazione all’Autorità previsti dall’art. 37, par. 7, del Regolamento, che sono finalizzati a rendere reperibile il RPD, effettivamente in carica, sia dagli interessati che da questa Autorità.

6. Conclusioni.

Alla luce delle valutazioni sopra riportate, si evidenzia che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ non consentono di superare i rilievi notificati con atti del XX (prot. n. XX) e del XX (prot. n. XX).

Per tutto quanto sopra descritto, le circostanze evidenziate negli scritti difensivi, esaminate nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

In tale quadro, si confermano pertanto le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato da Servizi Elaborazione Dati S.p.A., in quanto il trattamento è stato effettuato:

in violazione degli artt. 5, par. 1, lett. f), 25 e 32 del Regolamento, in relazione alle modalità di accesso alla intranet;

in violazione dell’art. 37, paragrafi 1 e 7, del Regolamento, in relazione alla omessa designazione di un nuovo RPD a seguito delle dimissioni, a partire dal XX, di quello precedentemente designato e in relazione al mancato aggiornamento dei dati del RPD, con riferimento sia all’obbligo di pubblicazione dei dati di contatto che all’obbligo di comunicazione all’Autorità.

Ciò premesso, si rileva che:

- non risultano precedenti violazioni commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento;

- il titolare ha provveduto, già nel corso dell’istruttoria, a inibire “l’accesso attraverso la rete intranet aziendale da parte dei dipendenti dell’azienda”, nonché a designare il RPD, a comunicare i dati di contatto al Garante e a pubblicarli sul sito XX.

In tale quadro, le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e, pertanto, si ritiene sufficiente ammonire il titolare del trattamento per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento.

Considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, in quanto la Società, come sopra evidenziato, ha provveduto ad eliminare le criticità che hanno dato luogo alla notifica di violazione già nel corso dell’istruttoria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione del fatto che parte delle violazioni attengono al rispetto dei principi che reggono la disciplina sulla protezione dei dati personali.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) dichiara, ai sensi dell’art. 57, par. 1, lett. a), del Regolamento, l’illiceità della condotta tenuta dalla Società Servizi Elaborazione Dati S.p.a. (S.E.D.), con sede legale in Via Campo di Pile, snc, L'Aquila, C.F. 01531780664, consistente nella violazione degli artt. 5, par. 1, lett. f), 25, 32 e 37 del Regolamento nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce S.E.D. S.p.A, per aver violato gli artt. artt. 5, par. 1, lett. f), 25, 32 e 37 del Regolamento, come sopra descritto;

c) dispone la pubblicazione del presente provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019

d) dispone l’annotazione del presente provvedimento nel registro interno delle violazioni e delle misure adottate, in conformità agli artt. 57, par. 1, lett. u), e 58, par. 2, del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 31 agosto 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei