Provvedimento del 26 febbraio 2026 [10233201]
Provvedimento del 26 febbraio 2026 [10233201]
Condividi[doc. web n. 10233201]
Provvedimento del 26 febbraio 2026
Registro dei provvedimenti
n. 121 del 26 febbraio 2026
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia componente e il dott. Luigi Montuori, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTO il reclamo presentato dalla Sig.ra XX, nei confronti di Groupharma s.r.l.s.;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Agostino Ghiglia;
PREMESSO
1. Il reclamo nei confronti della Società e l’attività istruttoria.
Con reclamo del 16 ottobre 2024, regolarizzato il 18 dicembre 2024, la Sig.ra XX ha lamentato presunte violazioni del Regolamento (Ue) 2016/679 (di seguito “Regolamento”) da parte di Groupharma s.r.l.s. (di seguito, la Società), con particolare riferimento al mancato riscontro all’esercizio del diritto di accesso dell’interessata e all’esercizio del diritto di cancellazione di dati personali trattati dalla Società nell’ambito del rapporto di lavoro.
In particolare, con il reclamo è stato lamentato che, dopo la cessazione del rapporto di lavoro, avvenuta in data 1/8/2024, la reclamante ha chiesto la cancellazione dei propri dati personali (foto, numero di cellulare e indirizzo e-mail aziendale) dal sito internet riconducibile alla Società (sezione “Chi siamo”), nonché copia dell’ultimo contratto di collaborazione stipulato con la Società, attraverso una comunicazione via Pec inviata in data 12/9/2024, senza ricevere alcun riscontro.Ciò posto, con il reclamo è stato chiesto all’Autorità di adottare “ogni opportuno provvedimento”.
L’Autorità ha avviato l’istruttoria preliminare, con nota dell’8 febbraio 2025, con la quale la Società è stata invitata ad aderire alle richieste dell’interessata e a fornire comunque un riscontro sui fatti oggetto di reclamo.
La Società ha riscontrato la richiesta dell’Ufficio, con nota del 14 marzo 2025, inviata in copia alla reclamante, con la quale ha rappresentato che:
“Il contratto, come prassi della Cliente fu consegnato in doppio originale alla [reclamante] al momento della sottoscrizione e consegnato un duplicato un anno e mezzo dopo c.a.” (riscontro 14/3/2025, p. 1);
“A seguito del riassetto/variazioni societarie i soci hanno inteso modificare il rapporto sociale prevedendo che la [reclamante] avrebbe collaborato con la nuova società con un contratto di collaborazione che si allega […] anche ai fini della messa a disposizione dell’istante” (riscontro cit., p. 2);
“il contratto di collaborazione, non è altro che un modulo prestampato standard che la [reclamante], avendolo sottoscritto e dunque conoscendolo bene, avrebbe potuto reperire facilmente” (riscontro cit., p. 2);
“Quanto alla mancata cancellazione dei dati dal sito internet, gli stessi sono stati eliminati praticamente in concomitanza con la prima richiesta della [reclamante] e dunque indipendentemente e comunque non appena possibile” (riscontro cit., p. 2);
“L’asserito mancato tempestivo riscontro -se mai si fosse effettivamente verificato- troverebbe inoltre giustificazione nella circostanza per cui sia pervenuta in un momento di riorganizzazione aziendale e ridistribuzione delle competenze, dovuto anche a motivo della cessazione del rapporto lavorativo con la [reclamante]” (riscontro cit., p. 2-3);
“Ad ogni modo [l’amministratore unico della Società] aderisce all’istanza di accesso ed eventuale cancellazione di ulteriori dati” (riscontro cit., p. 3).
La reclamante, con memoria inviata il 21 marzo 2025, ha dedotto che:
“si sottolinea nuovamente come, alla diffida PEC inviata alla Società in data 12 settembre 2024 […] con cui si chiedeva la cancellazione dei dati personali ancora presenti sul sito [della Società] nonché di copia del contratto della [reclamante, la Società] non abbia mai replicato” (nota 21/3/2025, p., 1);
“è palese come la cancellazione dei dati personali dal sito web [della Società] sia avvenuto a distanza di anni […] dalla conclusione di ogni rapporto lavorativo con [la reclamante]” (nota cit., p. 2).
La Società, con nota di replica del 9 aprile 2025, ha ribadito che alla reclamante “non […] è mai stato negato l’accesso e il mancato tempestivo riscontro ad una PEC non può essere a ciò equiparato”, ed ha affermato la “cessata materia del contendere dal momento che i dati sono stati cancellati ed il contratto trasmesso”.
2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società.
Il 17 giugno 2025, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. a) e d), 12, 15 e 17 del Regolamento.
Con le memorie difensive, inviate in data 17 luglio 2025, la Società ha rappresentato che:
“Il rapporto di lavoro era cessato per volontà della Groupharma, giusta raccomandata AR del 28 agosto 2024, […], come già rappresentato con chiarimenti resi con PEC dell’11 marzo 2025. Il medesimo giorno, 28 agosto 2024, veniva chiesto al nuovo gestore della pagina web […] l’eliminazione dei dati della [reclamante] dal sito” (nota 17/7/2025, p. 1);
quanto alla natura della violazione contestata, il “ritardo non [è] ingiustificato nel fornire copia di un documento già ampiamente in possesso dell’interessata e nella conferma formale dell’avvenuta rimozione dei dati dal sito” (nota cit., p. 2);
quanto alla gravità della violazione contestata, questa è “limitata, avendo la [reclamante] potuto accedere in ogni momento ai dati tramite i propri sistemi interni e avendo personalmente gestito il contratto in qualità di ex socia” (nota cit., p. 2);
“già prima della richiesta PEC -12 settembre 2024- ed il giorno stesso della cessazione del rapporto di collaborazione, -28 agosto 2024- la Groupharma aveva richiesto la rimozione dei dati della [reclamante], peraltro incentivata -almeno si sperava- da un cambio di fornitori web e dalla riconfigurazione interna delle competenze” (nota cit., p. 2);
“La dilazione è da attribuirsi a ragioni organizzative e non intenzionali, dovute al contemporaneo passaggio di gestione del sito web […], dalle problematiche susseguitesi per la redazione del sito e dalla necessaria riassegnazione delle competenze interne. Nessuna condotta dolosa o finalità ostativa è mai emersa” (nota cit., p. 2);
“Immediatamente dopo la richiesta del garante del 5 febbraio 2025, Groupharma ha: inviato in copia PEC del 14 marzo 2025 il contratto di collaborazione; verificato che i dati fossero stati cancellati ed il nuovo sito è divenuto operativo in data 8 febbraio 2025” (nota cit., p. 3);
“I dati oggetto della segnalazione non rientrano nelle categorie particolari di cui all’art. 9 e 10 GDPR, […]. La violazione, pertanto, non ha comportato conseguenze gravi né danni concreti per l’interessata” (nota cit., p. 3);
deve essere tenuta in considerazione “la buona fede, la totale collaborazione con il Garante e l’inesistenza di danno alla [reclamante]” (nota cit., p. 4);
alla luce dei modesti “dati reddituali della società” relativamente agli anni 2021, 2022 e 2023, una eventuale “sanzione pecuniaria particolarmente afflittiva potrebbe compromettere irrimediabilmente la salute societaria” (nota cit., p. 4).
3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.
3.1 Il quadro normativo applicabile.
L’art. 5 del Regolamento indica i principi generali applicabili al trattamento dei dati personali, in particolare il principio di liceità, correttezza e trasparenza (par. 1, lett. a) e di esattezza, par. 1, lett. d).
In materia di esercizio dei diritti da parte dell’interessato, l’art. 15, par. 1 del Regolamento stabilisce che “L’interessato ha il diritto […] di ottenere l’accesso ai dati personali” nonché informazioni specifiche sul trattamento effettuato, anche con riferimento alle “categorie di dati personali”. In proposito “il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento […]” (v. art. 15, cit., par. 3).
In base all’art. 17 del Regolamento, “L'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali” qualora ricorrano determinati motivi (tra i quali: “i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati”, oppure “l'interessato si oppone al trattamento ai sensi dell'articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell'articolo 21, paragrafo 2”).
Quanto alle specifiche modalità di riscontro alle richieste di esercizio dei diritti, ai sensi dell’art. 12 del Regolamento “il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa”. Inoltre, il paragrafo 4 dell’art. 12 del Regolamento precisa che “se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”.
3.2 Esito dell’istruttoria. Violazione degli artt. 5, par. 1, lett. a), 12 e 15 del Regolamento.
All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite al reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali.
In proposito, si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.
Nel merito, è emerso che la reclamante, dopo la cessazione del rapporto di lavoro con la Società (i cui effetti sono decorsi dal 1/8/2024), ha esercitato, “ai sensi e per gli effetti della normativa vigente in materia di privacy”, il diritto di accesso ai dati contenuti nell’ultimo contratto di collaborazione stipulato con la Società (peraltro sottoscritto in data 1/1/2019, dunque a distanza di più di cinque anni dalla richiesta di accesso, v. All. 3, riscontro 14/3/2025), nonché la cancellazione dei dati a sé riferiti (foto, numero di cellulare e indirizzo email aziendale), presenti sul sito internet della Società al momento della presentazione dell’istanza (All. al reclamo, lettera del 12/9/2024).
L’omesso riscontro all’istanza di accesso da parte della Società, secondo quanto dichiarato da quest’ultima, sarebbe dipeso dalla circostanza che il contratto di collaborazione sarebbe già stato nella disponibilità della reclamante.
Lo stesso argomento è stato ribadito nelle memorie difensive, laddove la Società ha rappresentato che il documento oggetto di accesso era “già ampiamente in possesso dell’interessata”. Inoltre il contratto sarebbe stato accessibile alla reclamante attraverso “sistemi interni”, sebbene di tale disponibilità non sia stata fornita alcuna specificazione né documentazione.
Tale assunto non può essere accolto, considerato che l’art. 15 del Regolamento non prevede alcuna limitazione in ordine alle informazioni riferite all’interessato che possono essere oggetto di accesso e lo stesso Regolamento, peraltro, prevede espressamente la possibilità che l’interessato presenti più richieste di accesso (salva la possibilità per il titolare del trattamento, in caso di richieste “eccessive, in particolare per il loro carattere ripetitivo” di addebitare un contributo spese ragionevole; art. 12, par. 5, del Regolamento; sulla interpretazione delle norme del Regolamento qui richiamate si vedano, in senso conforme, le Guidelines 01/2022 on data subject rights - Right of access, EDPB, del 28 marzo 2023).
Con specifico riguardo al diritto di accesso ai dati personali, il Garante, in relazione ad alcuni casi concreti, ha costantemente affermato che tale diritto può ben essere esercitato nei confronti di dati che siano già nella disponibilità degli interessati (v., da ultimo, Provv. n. 571 dell'11 settembre 2025, in www.garanteprivacy.it, doc. web n. 10183903).
La condotta della Società, nei termini sopra esposti, è pertanto avvenuta in violazione dell’art. 15 del Regolamento laddove stabilisce “L’interessato ha il diritto […] di ottenere l’accesso ai dati personali” nonché informazioni specifiche sul trattamento effettuato, anche con riferimento alle “categorie di dati personali”. In proposito “il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento […]” (v. art. 15, cit., par. 3).
Inoltre, la Società ha agito in violazione dell’art. 12 del regolamento, quanto alle modalità con le quali il riscontro avrebbe dovuto essere fornito all’interessata, posto che ai sensi della predetta disposizione il titolare del trattamento deve fornire riscontro alle richieste dell’interessato “senza ritardo” e comunque entro un mese dalla richiesta (art. 12, par. 3).
In base all’art. 12, par. 4 del Regolamento, il titolare del trattamento, se non ottempera alla richiesta di accesso o di cancellazione, come nel caso di specie, indica “senza ritardo” all’interessato i motivi dell’inottemperanza e la possibilità di presentare reclamo all’autorità di controllo e di proporre ricorso giurisdizionale.
Infine, comunque, ai sensi dell’art. 12, par. 2, del Regolamento “il titolare del trattamento agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22”.
La condotta della Società è altresì avvenuta in violazione del principio generale di correttezza stabilito dall’art. 5, par. 1, lett. a) del Regolamento, che costituisce uno dei principi generali in materia anche con particolare riguardo all’ambito del rapporto di lavoro.
Si prende atto, in ogni caso, che la Società, nel corso del procedimento, ha collaborato con l’Autorità ed ha trasmesso, anche alla reclamante, copia del contratto di collaborazione oggetto della istanza di accesso in allegato alla nota del 14 marzo 2025.
3.3 Violazione degli artt. 12 e 17 del Regolamento.
È altresì emerso che, anche relativamente alla richiesta di procedere alla cancellazione dei dati personali riferiti alla reclamante presenti sul sito internet della Società (posto che a seguito della cessazione del rapporto di lavoro era venuta meno la ragione della loro pubblicazione), la Società non ha fornito alcun riscontro alla reclamante.
In proposito, la Società ha dichiarato che i predetti dati personali comunque “sono stati eliminati praticamente in concomitanza con la prima richiesta” della reclamante, sebbene la stessa Società non escluda che la cancellazione possa essere avvenuta in un momento successivo (“L’asserito mancato tempestivo riscontro -se mai si fosse effettivamente verificato- troverebbe inoltre giustificazione nella circostanza per cui sia pervenuta in un momento di riorganizzazione aziendale e ridistribuzione delle competenze, dovuto anche a motivo della cessazione del rapporto lavorativo con la [reclamante]”).
In effetti, la Società ha prodotto copia di una e-mail del 28 agosto 2024, con la quale il gestore del sito internet chiedeva indicazioni sulle foto aziendali da rimuovere dalla sezione “chi siamo”, anche con riguardo alla reclamante (v. All. 6, memorie difensive 17/7/2025), ma non emerge alcuna indicazione circa la data in cui la rimozione sia, in concreto, avvenuta. La reclamante, anzi, ha dichiarato che, in data 18 dicembre 2024 e 27 gennaio 2025, le informazioni riferite alla reclamante erano ancora presenti sul sito internet.
In ogni caso, dopo la cessazione del rapporto di lavoro con la reclamante (a far data dal 1/8/2024, v. All. nota della Società 9/4/2025, “lettera chiusura collaborazione”), alcune informazioni riferite all’interessata sono state mantenute sul sito internet, quantomeno per circa un mese (dalla cessazione del rapporto di lavoro all’avvenuta preliminare interlocuzione con la società di gestione del sito web relativa alla rimozione in data 28/8/2024), ciò in violazione del principio di esattezza, in base al quale il titolare deve trattare dati personali “esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. d) del Regolamento).
Infine, e in ogni caso, la Società avrebbe dovuto fornire una risposta alla reclamante anche relativamente alla richiesta di cancellazione, in applicazione di quanto stabilito dall’art. 17 del Regolamento, in forza del quale l’interessato ha il diritto di ottenere la cancellazione dei dati che lo riguardano “senza ingiustificato ritardo” e, correlativamente, il titolare ha l’obbligo di cancellare i dati “senza ingiustificato ritardo”.
Anche relativamente al diritto di cancellazione l’art. 17, vale quanto rappresentato, in ordine all’art. 12, par. 4 del Regolamento, nel precedente paragrafo, in relazione all’esercizio del diritto di accesso, secondo cui, il titolare del trattamento, se non ottempera alla richiesta di accesso o di cancellazione, come nel caso di specie, indica “senza ritardo” all’interessato i motivi dell’inottemperanza e la possibilità di presentare reclamo all’autorità di controllo e di proporre ricorso giurisdizionale.
In ogni caso, pure in relazione al profilo relativo al diritto di cancellazione, si prende atto della volontà della Società di collaborazione con l’Autorità di controllo posto che, dopo l’avvio del procedimento, la stessa ha dichiarato di aver provveduto a rimuovere i dati della reclamante dal proprio sito internet.
4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.
Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Il trattamento dei dati personali effettuato dalla Società e segnatamente l’omesso riscontro alla richiesta di accesso e di cancellazione riferite ai dati personali della reclamante con richiesta del 12 settembre 2024, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a) e d), 12, 15 e 17 del Regolamento.
La violazione, accertata nei termini di cui in motivazione, non può essere considerata “minore”, tenuto conto della natura delle plurime violazioni accertate, che hanno riguardato i principi generali del trattamento e le disposizioni in materia di esercizio dei diritti.
L’Autorità ha altresì tenuto conto del livello medio di gravità della violazione, alla luce di tutti i fattori rilevanti nel caso concreto, e, in particolare, la natura e la gravità della violazione, tenendo in considerazione la natura, l'oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito.
L’Autorità ha altresì preso in considerazione i criteri relativi al carattere doloso o colposo della violazione e le categorie di dati personali interessate dalla violazione nonché la maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. art. 83, par. 2 e Considerando 148 del Regolamento), nonché le circostanze attenuanti rilevanti nel caso concreto.
Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento si dispone una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).
All’esito del procedimento, risulta quindi che Groupharma s.r.l.s. ha violato gli artt. 5, par. 1, lett. a) e d), 12, 15 e 17 del Regolamento.
Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) e b) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).
Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere da Groupharma s.r.l.s., di cui è stata accertata l’illiceità, nei termini sopra esposti
Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.
Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, ritenuto che il livello di gravità della violazione sia medio, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:
a) in relazione alla natura della violazione, questa ha riguardato fattispecie punite più severamente ai sensi dell’art. 83, par. 5 del Regolamento in ragione dell’interesse protetto dalle norme violate (principi generali del trattamento e disposizioni relative all’esercizio dei diritti);
b) in relazione alla durata della violazione, questa si è protratta, per quanto riguarda l’esercizio del diritto di accesso, dalla data di presentazione dell’istanza (12/9/2024) all’invio del riscontro in copia alla reclamante (14/3/2025), dunque per circa sei mesi, mentre, per quanto riguarda la richiesta di cancellazione, per almeno un mese;
c) in relazione alla gravità della violazione, è stata presa in considerazione la natura del trattamento che ha riguardato trattamenti effettuati nell’ambito del rapporto di lavoro, caratterizzato da uno squilibrio tra il titolare e gli interessati;
d) in relazione al numero di interessati concretamente coinvolti, è stata presa in considerazione la circostanza che la violazione ha riguardato un’interessata;
e) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare, sono stati presi in considerazione gli elementi oggettivi della condotta della Società e il grado di responsabilità della stessa che ha violato l’obbligo di diligenza previsto dall’ordinamento e non si è conformata alla disciplina in materia di protezione dei dati, relativamente a una pluralità di disposizioni;
f) come fattore attenuante, a favore della Società, si è tenuto conto della cooperazione con l’Autorità di controllo, in particolare l’adozione di misure per attenuare la limitazione del diritto da parte dell’interessata, con riguardo all’invio alla reclamante, nel corso del procedimento, dei dati personali oggetto della richiesta di accesso.
Si ritiene inoltre che assumano rilevanza, nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento) le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio abbreviato d’esercizio per l’anno 2024, ultimo disponibile.
Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene pertanto di applicare, nei confronti di Groupharma s.r.l.s., la sanzione amministrativa del pagamento di una somma pari ad euro 3.000 (tremila).
In tale quadro si ritiene che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito Internet del Garante.
Ciò in considerazione della tipologia delle violazioni accertate che hanno riguardato l’esercizio del diritto di accesso da parte dell’interessata, preordinato ad acquisire consapevolezza del trattamento effettuato dal titolare e verificarne la liceità (v. cons. 63 del Regolamento), nonché l’esercizio del diritto di cancellazione e i principi generali del trattamento.
TUTTO CIÒ PREMESSO, IL GARANTE
ai sensi dell’art. 57, par. 1, lett. f) e 83 del Regolamento, rileva l’illiceità del trattamento effettuato da Groupharma s.r.l.s., in persona del legale rappresentante, con sede legale in Via Newton, 10B, Piove di Sacco (PD), C.F. 05011370284, nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a) e d), 12, 15 e 17 del Regolamento;
ORDINA
a Groupharma s.r.l.s. ai sensi dell’art. 58, par. 2, lett. i) del Regolamento, di pagare la somma di euro 3.000 (tremila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;
INGIUNGE
quindi alla medesima Società di pagare la predetta somma di 3.000 (tremila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);
DISPONE
- ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;
- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet del Garante;
- ai sensi dell’art. 17 del Regolamento n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.
Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 26 febbraio 2026
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Montuori
