g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Ica s.r.l. - 2 dicembre 2021 [9733053]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9733053]

Ordinanza ingiunzione nei confronti di Ica s.r.l. - 2 dicembre 2021

Registro dei provvedimenti
n. 419 del 2 dicembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196, “Codice in materia di protezione dei dati personali”, come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell'ordinamento nazionale al Regolamento (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE il dott. Agostino Ghiglia;

1. Premessa

Da un reclamo presentato all’Autorità nel mese di XX, è emerso che il servizio di pagamento delle multe online del Comune di Collegno era stato configurato in assenza di idonee misure di sicurezza ai sensi dell’art. 32 del Regolamento. Secondo il reclamante, infatti, le configurazioni adottate consentivano a chiunque di conoscere i dati personali dei cittadini che erano stati multati e che potevano avvalersi del predetto servizio di pagamento. In particolare “fino al XX si poteva accedere alle informazioni personali relative alle multe. Per effettuare la violazione basta indicare semplicemente: un numero di verbale (i verbali sono a numerazione progressiva) e una data (coerente con la numerazione dei verbali) senza indicare la targa. Così facendo era possibile acquisire i dati personali degli interessati quali: la targa, l’ora in cui è stata rilevata l’infrazione, il tipo di infrazione, l’importo da pagare e la fotografia dell’automobile”.

2. Attività istruttoria

In relazione al caso è stata avviata un’istruttoria, nel corso della quale è emerso che il Comune di Collegno – titolare del trattamento – ha stipulato con ICA s.r.l. (di seguito, la società) un contratto per l’affidamento del servizio di gestione delle violazioni al Codice della Strada, nonché delle violazioni amministrative diverse dal Codice della Strada di competenza dell’ente, inclusa l’attività di riscossione ordinaria e coattiva; altresì ha provveduto a regolare il rapporto con la società, ai sensi dell’art. 28 del Regolamento, con un “atto di nomina a responsabile esterno del trattamento dei dati”.

In risposta alla richiesta di informazioni dell’Autorità (nota prot. n. XX del XX) la società, con nota del XX, ha dichiarato, tra l’altro:

“di essere “appaltatrice dal Comune […] del servizio di supporto all’accertamento e riscossione delle sanzioni amministrative per violazioni al Codice della Strada”;

“il servizio comprende la fornitura al Comando di Polizia Municipale di apposito software gestionale ed i relativi servizi di manutenzione ed aggiornamento […]. Si tratta del software “Vigilando”, installato nel server dedicato al servizio presso il “Consorzio per il Sistema Informativo” C.S.I. Piemonte”;

“l’utilizzo del servizio cloud di C.S.I. è avvenuto, di comune accordo con il Comune, “in variazione a quanto previsto dal capitolato […] per il quale il server doveva essere fisicamente collocato presso il Comune”;

“il software “Vigilando” ha un’interfaccia verso l’utenza; si tratta dell’applicativo web “Portale dei pagamenti”, tramite il quale l’interessato può accedere ai dati dei propri verbali ed eseguire il relativo pagamento. In particolare, in relazione a ciascun verbale è possibile accedere ai seguenti dati, […]: - importo del verbale - eventuali foto di rilevamento, nella quale non è mai visibile il conducente ma solamente la targa - targa e modello del veicolo - articolo di legge violato” mentre “nel caso in cui il verbale non sia relativo ad un veicolo dotato di targa, i dati a cui si accede attraverso il portale, sono i medesimi ad eccezione della targa”;

“ciascun Ente locale, in qualità di Titolare del Trattamento, indica alla scrivente le modalità di accesso dell’utenza al portale dei pagamenti. Il Comune di Collegno ha richiesto un doppio sistema di accreditamento […]: - inserimento di anno, data e n. verbale per l’accesso alle violazioni che interessano i pedoni - inserimento dei predetti dati e in aggiunta del numero di targa per quelle che riguardano gli autoveicoli. In pratica il Comando, inserendo i verbali a sistema, valorizza i campi “S” (targa italiana), “N” (targa estera) o “A” oppure “null” (nessuna targa). Nei primi due casi il software subordina l’accesso all’inserimento anche del numero di targa”;

“sennonché il software non svolgeva più questa operazione; non agganciava più ai valori S ed N il requisito “targa”; da qui la possibilità di accedere senza indicazione della targa, anche ove presente. La funzionalità si deve essere persa negli aggiornamenti software (o nell’istallazione sul server di CSI Piemonte), e di ciò ICA non si è avveduta fino al XX, quando il Comune ha reso nota la segnalazione del [reclamante]”;

“va fatto presente che in tutti gli altri appalti per la gestione dei verbali CDS i Comuni hanno chiesto un unico sistema di accreditamento, in cui i campi da inserire sono sempre gli stessi e non variano in funzione del tipo di verbale. Quella di Collegno è quindi una singolarità rispetto al normale funzionamento dell’applicativo, che ha richiesto un intervento ad hoc. La scrivente è consapevole che ciò non giustifica l’accaduto, ma almeno ne fornisce una spiegazione”;

“ricevuta la segnalazione dell’utente il XX la scrivente ha immediatamente ripristinato la funzionalità di cui sopra. Quindi dal primo pomeriggio di quel giorno l’accesso era nuovamente subordinato all’inserimento del numero di targa. Il mancato coordinamento interno tra i servizi informatici ed il referente tecnico presso il Comune ha fatto sì che quest’ultimo, eseguito nella tarda serata dello stesso giorno il test di verifica, abbia riferito al Comune che il sistema di accesso richiedeva l’inserimento del numero di targa, senza sapere che ciò dipendeva dall’intervento manutentivo. Il XX è stato svolto un test congiunto tra ICA ed il Comune tramite il quale è stato certificato che l’accesso era subordinato all’inserimento della targa”.

Dalla documentazione inviata, pertanto, è stato accertato che, verosimilmente a causa di “aggiornamento del software”, l’inserimento del campo “Targa” non era più obbligatorio per l’accesso ai dati dei verbali trattati nell’ambito del servizio di pagamento delle multe, a differenza di quanto precedentemente impostato. Di conseguenza, compilando solamente i campi “Anno”, “Verbale” e “Data violazione”, chiunque avrebbe potuto accedere a dati personali di terzi. Analogamente, per quanto concerne le altre violazioni amministrative (es. violazione dei pedoni), è stato accertato che per accedere ai dati del verbale online è necessario compilare esclusivamente i campi “Anno”, “Verbale” e “Data violazione”, senza inserire ulteriori dati di riscontro non facilmente predicibili e conoscibili solo dal contravventore.

Pertanto, con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, ha notificato alla società, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando la società a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981). Con la nota sopra menzionata, l’Ufficio ha rilevato che la società ha effettuato il trattamento dei dati personali in esame senza aver adottato misure di sicurezza idonee ad assicurare su base permanente la riservatezza dei dati trattati, in violazione degli artt. 5, par. 1, lett. f), e 32 del Regolamento.

Con nota del XX, la società ha presentato le memorie difensive, dichiarando:

“dalla verifica svolta a seguito della notifica della violazione, risulta che il servizio Web “Portale Pagamenti Vigilando” è stato installato sul server di CSI Piemonte in data XX […] Successivamente a quella data il Portale ha avuto un solo aggiornamento in data XX, che ha riguardato un aspetto estraneo alle credenziali di accesso, ma che “potrebbe aver inserito nel portale un bug applicativo tale da consentire all'utente di effettuare ricerche senza l'inserimento del numero di targa […] In tal senso deporrebbe anche la vicinanza temporale tra l'aggiornamento e la segnalazione dell'utente, unitamente al fatto che nessuna segnalazione era in precedenza pervenuta all'Ente o alla scrivente in merito a tale malfunzionamento. Se così non dovesse ritenersi, l'inizio del trattamento in violazione degli obblighi in materia di sicurezza andrebbe ricondotto alla data del XX, cioè il momento della prima installazione del Portale contenente il bug”;

“per quanto riguarda i verbali interessanti i veicoli, tramite il portale dei pagamenti si accede ai seguenti dati […]: − importo del verbale − eventuali foto di rilevamento, nella quale non è mai visibile il conducente ma solamente la targa. − targa e modello del veicolo. − articolo di legge violato. In particolare, nel portale: − non è presente la copia del verbale, da cui sarebbe eventualmente possibile accedere ad informazioni aggiuntive. − Non è indicato il nominativo del proprietario del veicolo o del trasgressore. Quindi il livello di sicurezza non adeguato che si è determinato in conseguenza del malfunzionamento consentiva l'accesso a dati: − che non hanno natura di dati “particolari” ovvero relativi a condanne penali e reati. − che non sono immediatamente associabili ad un interessato, se non attraverso una ricerca, a pagamento, presso l'ACI. Va inoltre fatto presente che per effetto del bug era possibile accedere ai predetti dati con una ricerca casuale (cioè partendo da un numero di verbale noto ad una determinata data, era possibile indicare numeri progressivi) e non mirata, cioè volta ad acquisire informazioni determinate”;

“Peraltro risulta che del bug (non immediatamente percepibile dall'utente, dato che nel portale il campo “targa” era comunque presente) si sia avveduto il solo segnalante, non essendo pervenute alla scrivente e al Titolare del trattamento altre segnalazioni”;

“anche il segnalante dichiara di aver solamente provato ad inserire numeri di verbali progressivi, ma non di aver poi posto in essere quelle operazioni (accesso al PRA) necessarie a ricondurre i dati delle singole posizioni ad un interessato determinato”;

“Si è quindi trattato di una violazione degli obblighi in materia di sicurezza dei dati che: − ha avuto natura colposa; − non è stata connotata da gravità; − ha avuto una durata limitata nel tempo; − non ha comportato pregiudizio per i diritti degli interessati”;

“Ci si permette infine di segnalare: − il tempestivo intervento per porre rimedio alla violazione degli obblighi di sicurezza: ricevuta la segnalazione dell’utente il XX la scrivente ha immediatamente ripristinato la funzionalità. Dal primo pomeriggio di quel giorno l’accesso era nuovamente subordinato all’inserimento del numero di targa”;

“il XX è stato svolto un test congiunto tra ICA ed il Comune tramite il quale è stato certificato che l’accesso era subordinato all’inserimento della targa”;

“l'accesso semplificato al sistema on line di pagamento delle contravvenzioni diverse da quelle che interessano i veicoli, per cui è sufficiente inserire anno, data e numero del verbale, dipende dal fatto (non precisato nelle informazioni rese ai sensi dell'art. 157 d.lgs. 196/2003 perché estraneo alla segnalazione) che in questo caso non si è in presenza di trattamento di dati personali. Infatti, come risulta dagli screenshot allegati sub docc. 5 e 6, tramite il portale dei pagamenti si accede unicamente ai seguenti dati: − importo del verbale − articolo di legge violato. Si tratta quindi di un mero strumento di pagamento, dove non sono presenti dati, come la targa, che consentirebbero indirettamente di risalire all'interessato. Per questo motivo la scrivente non ha ritenuto di obiettare alla scelta del Titolare di procedere con un sistema di accesso semplificato, che risponde all'esigenza di consentirne un facile utilizzo all'utenza. Tuttavia, se il Garante riterrà diversamente, la scrivente ha proposto come possibile soluzione immediatamente implementabile, ed il Titolare si è dichiarato disponibile, ad aggiungere alle credenziali di accesso in essere il codice c.d. “forte”. Si tratta di un codice seriale che viene inserito all'interno del verbale e che quindi solamente chi è materialmente in possesso del verbale ha la possibilità di conoscere.

3. Esito dell’attività istruttoria

In base alla disciplina in materia di protezione dei dati personali i soggetti pubblici possono trattare i dati solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento). In tale quadro, la gestione delle violazioni amministrative e delle violazioni al Codice della Strada rientra tra le attività istituzionali affidate agli enti locali.

Come emerso nel corso dell’istruttoria il trattamento dei dati in esame è svolto dalla società per conto del Comune di Collegno.

Ai sensi dell’art. 28 del Regolamento, infatti, il titolare può affidare un trattamento anche a terzi soggetti che presentino garanzie sufficienti sulla messa in atto di misure tecniche e organizzative idonee a garantire che il trattamento sia conforme alla disciplina in materia di protezione dei dati personali (“responsabili del trattamento”).

Pur in presenza di una condizione di liceità, ad ogni modo, il trattamento dei dati personali deve avvenire nel rispetto dei principi in materia di protezione dei dati, fra i quali quello di “integrità e riservatezza” in base al quale i dati devono essere  “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f). del Regolamento).

L’art. 32 del Regolamento pone in capo sia al titolare che al responsabile -tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio- l’adozione di misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio.

Come già precedentemente chiarito dal Garante, taluni obblighi sono posti direttamente anche a carico dello stesso responsabile il quale, in base anche alle competenze tecniche specifiche, deve collaborare, anche manifestando un’autonomia propositiva, nell’adozione di misure adeguate e nella verifica sistematica dell’efficacia delle stesse, soprattutto nel caso in cui fornisca servizi a una pluralità di titolari del trattamento, che coinvolgono un numero elevato di interessati, come nel caso in esame (cfr. provvedimenti n. 48 dell’11 febbraio 2021, doc. web n. 9562831 e n. 293 del 22 luglio 2021, doc. web. n. 9698597).

La società, proprio in ragione della sua esperienza nel settore, era tenuta a verificare costantemente l’efficacia delle misure poste a presidio del servizio fornito per il Comune.

Risulta invece accertato che, verosimilmente a partire dal XX (data in cui è stato installato il “Portale Pagamenti Vigilando” sul server di CSI Piemonte) o al più tardi, a partire dal XX (data in cui è stato effettuato un aggiornamento) l’inserimento del campo “Targa” non era più obbligatorio per l’accesso ai dati dei verbali trattati nell’ambito del servizio di pagamento delle multe dei veicoli, a differenza di quanto precedentemente impostato. Di conseguenza, compilando solamente i campi “Anno”, “Verbale” e “Data violazione”, chiunque avrebbe potuto accedere a dati personali di terzi. Ciò in quanto i dati da inserire in tali campi risultano facilmente predicibili (es. incrementando o decrementando, in modo coerente, il numero del verbale e la data della violazione).

Pertanto, risulta accertata la mancata adozione, da parte della società, di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento, in violazione degli artt. 5, par. 1, lett. f), e 32 del Regolamento.

La violazione dei medesimi articoli era stata contestata dall’Autorità anche per quanto concerne il pagamento, tramite il portale in esame, delle violazioni amministrative dei pedoni.  L’Autorità ha rilevato, infatti, che per accedere ai dati del verbale online è necessario compilare esclusivamente i campi “Anno”, “Verbale” e “Data violazione”, senza inserire ulteriori dati di riscontro non facilmente predicibili e conoscibili solo dal contravventore. Questo profilo, tuttavia, si intende superato alla luce di quanto chiarito dalla società nella citata nota del XX, ovvero che l’inserimento dei campi “anno, data e numero del verbale, dipende dal fatto […] che in questo caso non si è in presenza di trattamento di dati personali [in quanto …] tramite il portale dei pagamenti si accede unicamente ai seguenti dati: − importo del verbale − articolo di legge violato. Si tratta quindi di un mero strumento di pagamento, dove non sono presenti dati, come la targa, che consentirebbero indirettamente di risalire all'interessato”.

Si conferma, in ogni caso, la violazione degli artt. 5 e 32 del Regolamento in relazione al trattamento dei dati nell’ambito del servizio di pagamento delle multe dei veicoli.

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dalla società ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Dalle verifiche compiute sulla base degli elementi acquisiti, anche attraverso la documentazione inviata, nonché dalle successive valutazioni, è stata accertata la non conformità dei trattamenti svolti dalla società per conto e nell’interesse del Comune di Collegno aventi a oggetto il servizio di pagamento delle multe relative ai veicoli.

La violazione dei dati personali, oggetto dell’istruttoria, è avvenuta nella piena vigenza delle disposizioni del Regolamento e del Codice, come modificato dal d.lg.n.101/2018, e dunque, al fine della determinazione del quadro normativo applicabile sotto il profilo temporale (art. 1, comma 2, della l. 24 novembre 1981, n. 689), queste costituiscono le disposizioni vigenti al momento della commessa violazione, avvenuta a partire dal mese di marzo o al più tardi, dal mese di XX.

Si confermano pertanto le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla società in quanto esso è avvenuto in assenza di misure tecniche e organizzative idonee a garantire un livello di sicurezza permanente e adeguato al rischio presentato dal trattamento, in violazione degli artt. 5. par. 1. lett. f), e 32 del Regolamento.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa ai sensi degli artt. 58, par. 2, lett. i), e 83, parr. 4 e 5, del Regolamento medesimo.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Ai fini dell’applicazione della sanzione è stato considerato che il trattamento dei dati personali raccolti attraverso il servizio di pagamento online delle multe dei veicoli al Codice della Strada a partire dal mese di settembre 2019 (o, al massimo, marzo 2019) fino al 15 ottobre 2019, ed è avvenuto in assenza di efficaci misure di sicurezza poste a presidio dello stesso.

Tale violazione è stata portata a conoscenza dall’Autorità mediante un reclamo.

Di contro è stato considerato che la predetta violazione si è protratta per un periodo di tempo breve e che pur riguardando, “potenzialmente”, tutti i soggetti che usufruiscono del servizio in esame non risultano pervenuti altri reclami o segnalazioni che possano documentare che la predetta violazione possa aver coinvolto un numero rilevante di interessati.

Si è tenuto conto, altresì, che la società si è attivata immediatamente per porre rimedio alla violazione e attenuarne i possibili effetti negativi, collaborando con il titolare del trattamento, manifestando, in generale, un atteggiamento di ampia collaborazione, nel corso dell’attività istruttoria, con l’Autorità.

Si evidenzia, in ogni caso, il comportamento non doloso della violazione.

Non risultano, infine, precedenti violazioni del Regolamento commesse dalla società.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del Regolamento l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, lett. a), del Regolamento, nella misura di euro 30.000 per la violazione degli artt. 5, par. 1, lett. f), e 32 del Regolamento quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo Regolamento.

Tenuto conto della mancata adozione di misure tecniche di sicurezza adeguate, si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara illecita la condotta tenuta da Ica s.r.l., per la violazione degli artt. 5, par. 1, lett. f), e 32 del Regolamento, nei termini di cui in motivazione,

ORDINA

a Ica s.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Roma, Lungotevere della Vittoria, 9 - 00195 - C.F. 02478610583 - di pagare la somma di euro 30.000 a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

a Ica s.r.l., di pagare la somma di euro 30.000 (trentamila)– in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 2 dicembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei