[doc. web n. 9718112]

Ordinanza ingiunzione nei confronti di Intesa Sanpaolo s.p.a. - 27 maggio 2021

Registro dei provvedimenti
n. 270 del 27 maggio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato al Garante ai sensi dell’articolo 77 del Regolamento, con il quale il Sig. XX ha lamentato la presunta illecita comunicazione di dati riferiti ai rapporti bancari dallo stesso intrattenuti con Intesa Sanpaolo S.p.a. (di seguito “l’istituto di credito”, “la banca” o “IntesaSP”) ad un soggetto terzo non autorizzato;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Il reclamo e l’attività istruttoria.

1.1 Con il reclamo presentato in data 10 marzo 2020, il Sig. XX lamentava l’illiceità del trattamento dei dati personali che lo riguardano posto in essere da Intesa Sanpaolo S.p.a. - filiale di Catanzaro 1, con specifico riguardo all’illecita comunicazione dei dati riferiti ai rapporti bancari dallo stesso intrattenuti con il predetto istituto di credito ad un soggetto terzo non autorizzato, dipendente dell’istituto medesimo.

L’Ufficio, pertanto, con nota del 16 giugno 2020 (prot. n. 22092) invitava la banca a fornire informazioni e chiarimenti sui fatti oggetto di reclamo; quest’ultima, con comunicazione del 1° luglio 2020 (prot. n. 24256) rappresentava che, a seguito della segnalazione ricevuta dal Sig. XX l’11 marzo 2019, “si era potuto accertare l’effettivo non corretto trattamento dei dati personali dello stesso contenuti in rendicontazioni contabili periodiche” e “di tale circostanza se ne diede atto all’interessato con nota del 12 giugno 2019”; successivamente, a fronte delle richieste, formulate dal Sig. XX per il tramite del suo legale, di conoscere le generalità dei dipendenti responsabili dell’accesso illecito e la misura delle sanzioni disciplinari eventualmente comminate agli stessi, la banca forniva riscontro negativo ritenendo che le richieste fossero “estranee all’esercizio dei diritti dell’interessato come indicati nel Regolamento (UE) 2016/679 e nel d.lgs. n. 196/2003”.

1.2. Con nota del 1° settembre 2020 (prot. n. 32139) l’Ufficio, sulla base degli elementi acquisiti nel corso dell’attività istruttoria, notificava al titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, le presunte violazioni, con riferimento agli artt. 5, par. 1, lett. a) e f) e 6 del Regolamento nonché alle specifiche prescrizioni di cui al par. 4.3.2 del provvedimento del Garante del 12 maggio 2011 “in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie” (doc. web n. 1813953) e ai par. 3.1 e 3.2 delle “Linee guida in materia di trattamento dei dati personali della clientela in ambito bancario” del 25 ottobre 2007 (doc. web n. 1457247), in quanto compatibili con il nuovo quadro regolatorio ai sensi dell’art. 22, comma 4 del d.lg. n. 101/2018. Con la medesima nota l’istituto di credito veniva invitato a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, legge n. 689 del 24 novembre 1981).

1.3 Intesa Sanpaolo S.p.a., in data 28 settembre 2020 (prot. n. 36039) provvedeva a far pervenire i propri scritti difensivi, che qui integralmente si richiamano, con i quali ha, tra l’altro, rappresentato che:

a) già a fronte del reclamo presentato alla banca dall’interessato, la Funzione Interna di Controllo della banca medesima aveva “rilevato come la dipendente Sig.ra (…), ex coniuge del Sig. XX, avesse effettuato, nella giornata di domenica 3 marzo 2019 – non già in qualità di dipendente della banca, ma utilizzando i codici attribuiti al correntista – un accesso al contratto multicanale n. (…) in capo al cliente, con conseguenti 16 invii - tramite le funzionalità di internet banking – di estratti conto trimestrali degli anni 2016 e 2017 relativi al conto corrente n. (…) collegato al contratto multicanale in questione”; le predette “rendicontazioni contabili vennero inviate all’indirizzo email privato della dipendente: in 15 casi fu deselezionato l’indirizzo mail associato al contratto (…), mentre per l’invio dell’estratto conto al 31 dicembre 2017 venne mantenuto l’inoltro per conoscenza all’indirizzo mail del Sig. XX, generando così il reclamo proposto dal cliente”; gli invii anzidetti vennero “eseguiti mediante dispositivo smartphone e con l’utilizzo delle corrette credenziali di accesso e della chiavetta OTP consegnata al Sig. XX nell’ottobre 2015”;

b) d’altra parte, “dalle correlate analisi attivate, sulla base della normativa interna attuativa del provvedimento 192/2011 del Garante, su accessi ai dati personali del Sig. XX eventualmente effettuati dalla Sig.ra (…) in qualità di dipendente” è emerso che “la stessa, nel periodo ricompreso tra il 21 gennaio 2019 e il 10 maggio 2019 ed avvalendosi delle abilitazioni informatiche attribuitele per lo svolgimento delle proprie mansioni presso la Filiale di Catanzaro 1, ha effettuato richieste di interrogazioni sui rapporti in capo al Sig. XX, in assenza di esigenze operative e/o operazioni correlate; tuttavia, per quanto a nostra conoscenza, non è allo stato emersa la comunicazione ad altri soggetti terzi delle informazioni assunte dalla Sig.ra (…) mediante tali interrogazioni”;

c) di conseguenza, il comportamento tenuto della dipendente “in aperto contrasto con la normativa di legge ed aziendale in materia di trattamento di dati personali”, è stato oggetto della “lettera di contestazione del 13 giugno 2019”, con cui “IntesaSP avviava un procedimento disciplinare nei confronti della Sig.ra (…), poi definitosi con la sospensione dal servizio e dal trattamento economico per dieci giorni (…) ovvero la massima sanzione conservativa, unitamente ad un ulteriore periodo di aspettativa non retribuita”;

d) “sulla base di successivo monitoraggio risulta che la dipendente non abbia più effettuato ulteriori inquiry non consentite sui rapporti in capo al cliente Sig. XX”;

e) “a seguito d’istanza depositata ai sensi degli articoli 335 c.p.p. e 110 bis d.lg. 271/1989 è emerso che la banca risulta essere indicata quale persona offesa nell’ambito del procedimento penale (…) pendente in fase dibattimentale dinanzi alla Procura della Repubblica presso il Tribunale di Catanzaro e sorto a seguito di denuncia presentata dal Sig. XX per i fatti oggetto della presente; in previsione dell’udienza dibattimentale fissata per il 15 settembre 2021, la banca valuterà di costituirsi parte civile”.

1.4. L’Ufficio, esaminata la memoria difensiva di Intesa Sanpaolo S.p.a., con nota del 9 ottobre 2020 (prot. n. 37561), tenuto conto di quanto dichiarato dall’istituto di credito con riferimento agli accessi in questione effettuati dalla dipendente nel periodo 21 gennaio-10 maggio 2019 (v. par. 1.3, lett. b)), chiedeva alla banca di fornire copia dei log di accesso relativi al periodo sopraindicato e di precisare quali tipologie di alert fossero stati attivati nei sistemi informatici della banca medesima per la rilevazione di comportamenti anomali o a rischio relativi alle operazioni di inquiry sui dati personali della clientela (cfr. par. 4.3.1 del provvedimento 192/2011).

Intesa Sanpaolo S.p.a., con nota del 22 ottobre 2020 (prot. n. 39604) nel produrre la documentazione richiesta, forniva informazioni circa gli alert attivati (che “fanno parte della normativa interna messa a disposizione del Personale della banca”), dichiarando, altresì, che “è in corso di attivazione un ulteriore set di controlli” basati su nuove tipologie di alert e che “la Funzione Interna di Controllo effettua con periodicità annuale le verifiche previste al punto 4.3.2 del provvedimento n. 192/2011”.

Per quanto riguarda gli alert già attivi, gli stessi, in sintesi, sono relativi a:

a) tre specifiche tipologie di operazioni di trattamento effettuate, in assenza di specifiche condizioni, da un qualsiasi operatore della banca:

1. interrogazioni effettuate tramite l’applicazione “CRIF-GATE SISTEMA RISCHIO CLIENTE” (utilizzata per acquisire informazioni creditizie relative a clienti con finanziamenti in corso o che hanno richiesto un finanziamento);

2. interrogazioni che hanno ad oggetto movimentazioni di carte di credito o di debito;

3. annullamento di operazioni di bonifico;

b) le operazioni di interrogazione effettuate, nel corso di una settimana o del trimestre di riferimento del controllo, da un operatore della filiale online su un medesimo cliente.

Relativamente, invece, agli alert in corso di attivazione, gli stessi riguardano specifiche tipologie di operazioni di trattamento (accessi a “dati ed informazioni personali mediante consultazione degli strumenti di archiviazione documentale” o a “dati personali relativi a rapporti estinti”) o una particolare categoria di soggetti autorizzati al trattamento (“interrogazioni da parte di utenti di funzioni di Direzione Centrale effettuate su tutti i rapporti attivi”).

2. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori
All’esito dell’esame delle dichiarazioni rese dal titolare del trattamento nel corso del procedimento di cui all’art. 166, comma 5 del Codice, nonché della documentazione acquisita agli atti, questa Autorità formula le seguenti considerazioni.

2.1 Risulta acclarato che, nel caso di specie, la dipendente in questione, nel periodo compreso tra il 21 gennaio 2019 e il 10 maggio 2019, avvalendosi delle abilitazioni informatiche che le sono state attribuite per lo svolgimento delle proprie mansioni presso la filiale di Catanzaro 1, ha effettuato accessi ai dati bancari del reclamante, ex coniuge della stessa, in assenza del consenso di quest’ultimo o di altro legittimo presupposto; il trattamento posto in essere risulta pertanto illecito in quanto in contrasto con i princìpi generali in materia di protezione dei dati di cui agli artt. 5, par. 1, lett. a) e f) e 6 del Regolamento.

2.2 Alla luce di quanto rappresentato dal titolare del trattamento nel corso del procedimento sanzionatorio in ordine agli alert attivi alla data del 22 ottobre 2020, risulta che questi operavano esclusivamente su alcune specifiche tipologie di operazioni ovvero su operazioni di interrogazione effettuate da una particolare categoria di soggetti autorizzati al trattamento. In particolare, gli alert di cui alla lettera a) (v. sopra, par. 1.4) prendono in considerazione le sole operazioni di interrogazione che hanno ad oggetto informazioni sui rapporti creditizi, le movimentazioni di una carta di pagamento o gli annullamenti di operazioni di bonifici, mentre gli alert di cui alla lettera b) (v. sopra, par. 1.4) sono volti a rilevare i comportamenti anomali o a rischio assunti esclusivamente dagli operatori della filiale online.

Da quanto sopra emerge che l’istituto di credito, fino al 22 ottobre 2020, non aveva implementato alert idonei a rilevare, in modo compiuto, comportamenti anomali a fronte di operazioni di inquiry eseguite da operatori di una filiale tradizionale, limitandosi ad attivare, per questa tipologia di soggetto autorizzato al trattamento, solo alcuni alert relativi a specifiche tipologie di operazioni.

D’altra parte, occorre rilevare - per compiutezza di analisi - che gli stessi alert che IntesaSP ha dichiarato essere in corso di attivazione, non appaiono superare la criticità anzi descritta in quanto anch’essi risultano riferiti a specifiche tipologie di operazioni di trattamento (accessi a “dati ed informazioni personali mediante consultazione degli strumenti di archiviazione documentale” o “dati personali relativi a rapporti estinti”) o a una particolare categoria di soggetti autorizzati al trattamento (“utenti di funzioni di Direzione Centrale”).

2.3 Con la nota del 22 ottobre 2020, IntesaSP ha altresì fornito copia dei log degli accessi effettuati dalla dipendente - ed ex coniuge del reclamante - nel periodo fra il 21 gennaio e il 10 maggio 2019 ai dati personali del reclamante medesimo.

L’esame tecnico dei predetti log di accesso ha evidenziato che, aggregandoli su base giornaliera, gli accessi, seppur non effettuati in giorni festivi o in orari extra lavorativi, risultano essere numerosi nelle giornate dell’8 e dell’11 febbraio 2019 (rispettivamente, 336 e 115 accessi); anche aggregandoli su base settimanale e mensile, gli accessi effettuati nelle prime due settimane di febbraio 2019 (rispettivamente, 341 e 233 accessi) e quelli effettuati nel mese di febbraio 2019 (708 accessi) risultano essere numerosi, anche rispetto agli altri periodi oggetto di analisi.

Al riguardo, pur non disponendo di informazioni di dettaglio che consentano di comprendere le tipologie di operazioni effettuate nei diversi accessi e considerando che ciascuna operazione di trattamento può aver generato molteplici record nel log degli accessi (come comunemente avviene nei sistemi Customer Information Control System), si ritiene che gli accessi effettuati dalla dipendente nel caso di specie (peraltro relativi a diversi rapporti finanziari) siano stati effettivamente numerosi e che verosimilmente sarebbero stati qualificati come anomali o a rischio laddove l’istituto di credito avesse preventivamente provveduto ad attivare adeguati e specifici alert. L’attivazione di alert in grado di rilevare comportamenti anomali o a rischio relativi a operazioni di inquiry effettuate, in un determinato periodo (giorno, settimana o mese), da un operatore di una filiale tradizionale sui dati di un medesimo cliente avrebbe - con ragionevole probabilità - consentito alla banca di rilevare gli accessi indebiti effettuati dalla dipendente e di adottare adeguate e tempestive misure correttive, attenuando gli effetti negativi nei confronti dell’interessato.

3. Conclusioni: illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, del Regolamento.

3.1 Per i suesposti motivi, tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento in esame, che riguarda dati di particolare delicatezza (quali i dati bancari) e che presenta rischi elevati per i diritti e le libertà delle persone fisiche, l’Autorità ritiene che le misure adottate da IntesaSP non si siano rivelate idonee alla rilevazione della violazione comportamentale oggetto del reclamo che ne occupa, consentendo –rectius, non prevenendo- la realizzazione di operazioni non lecite di consultazione di dati bancari effettuate dai soggetti che agiscono sotto l’autorità del titolare del trattamento. In particolare, si reputa che la violazione accertata costituisca scaturigine della omessa adozione ed implementazione di specifici alert volti a rilevare intrusioni o accessi anomali e abusivi ai sistemi informativi di un istituto bancario; misura, peraltro, di cui è menzione nel citato provvedimento del Garante n. 192 del 12 maggio 2011 (cfr. punto 4.3.1 e punto 1), lett. d), punto i), del dispositivo), ai sensi dell’art. 154, comma 1, lett. c), del previgente Codice, e che deve essere, allo stato, considerata una misura che un titolare del trattamento è tenuto ad adottare, anche in attuazione dei principi di “integrità e riservatezza” di cui all’art. 5, par. 1, lett. f) e 32 del Regolamento.

Di qui:

- l’accertamento della violazione comportamentale – denunziata con il reclamo del sig. XX - consistente nella effettuazione da parte di un a dipendente della banca, nel lasso temporale intercorrente tra il 21 gennaio 2019 e il 10 maggio 2019, di una serie di accessi ai dati bancari del reclamante – avvalendosi delle abilitazioni informatiche attribuitele ratione officii- in assenza del consenso di esso reclamante ovvero di altra causa legittima di giustificazione (violazione dei principi generali in materia di protezione dei dati di cui agli artt. 5, par. 1, lett. a) e f), e 6 del regolamento);

- la ascrivibilità di tale illecito contegno comportamentale all’intermediario, in quanto diretta scaturigine di carenze procedurali e organizzative, oltre che della omessa vigilanza sull’agere illecito della dipendente; e, invero, le misure adottate da IntesaSP – come, del resto, ha confermato l’analisi dei log degli accessi effettuati dalla dipendente (cfr. par. 2.3) - sono risultate nella specie non idonee ad assicurare il perseguimento dei fini contemplati dall’art. 5, par. 1, lett. f) e all’art. 32 del Regolamento che stabilisce che il titolare del trattamento deve mettere in atto misure per “assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” (art. 32, par. 1, lett. b)) e che nel “valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (art. 32, par. 2).

3.2. Pertanto:

- si irroga la sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto ((art. 58, par. 2, lett. i) del Regolamento), per la violazione comportamentale consistente negli accessi non autorizzati posti in essere da una dipendente della banca, già coniuge del reclamante;

- nell’esercizio dei poteri correttivi attribuiti all’Autorità dall’art. 58, par. 2 del Regolamento, tenuto conto della natura della violazione accertata –discendente ex post dalla mancata predisposizione ex ante di adeguati presidi di sicurezza - si ingiunge all’istituto di credito di conformare i trattamenti di dati personali alle disposizioni del Regolamento, provvedendo all’adozione di ulteriori e adeguate misure (alert) – secondo le indicazioni di cui al par. 3.1 - volte a implementare i controlli sulla legittimità e liceità degli accessi ai dati della clientela da parte di tutti i soggetti autorizzati al trattamento e a sensibilizzare gli stessi al rispetto delle istruzioni loro impartite, entro 120 giorni dal ricevimento del presente provvedimento.

4. Ordinanza ingiunzione.

Ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166, commi 3 e 7 del Codice, il Garante dispone l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24 novembre 1981, n. 689), in relazione al trattamento dei dati personali riferiti al reclamante, di cui è stata accertata l’illiceità, nei termini sopra esposti, in relazione agli artt. 5, par. 1, lett. a), e f), 6.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”; considerato che le accertate violazioni dell’art. 5 del Regolamento sono da considerarsi più gravi, in quanto relative alla inosservanza di una pluralità di principi di carattere generale applicabili al trattamento di dati personali, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto per la predetta violazione.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:

a) con riguardo alla natura, gravità e durata della violazione è stata considerata la natura della violazione che ha riguardato i princìpi generali del trattamento in materia di sicurezza; con riferimento alla gravità si è tenuto conto del fatto che il titolare abbia avuto contezza della violazione solo a seguito di segnalazione da parte dell’interessato;

b) con riguardo al carattere doloso o colposo delle violazioni e al grado di responsabilità del titolare del trattamento (art. 83, par. 2, lett. b) e d) del Regolamento) è stata presa in considerazione la negligente condotta dell’intermediario, le cui carenze procedurali e organizzative e la cui omissione di vigilanza, hanno in definitiva reso possibile il perpetrarsi dell’illecito materialmente posto in essere dalla propria dipendente, in danno della sfera giuridica del soggetto reclamante;

c) la circostanza che l’istituto di credito ha cooperato con l’Autorità nel corso del procedimento;

d) l’assenza di precedenti specifici - relativi alla stessa tipologia di trattamento - a carico di Intesa Sanpaolo S.p.a.;

e) la circostanza che i dati personali interessati dalla violazione sono dati bancari, quindi dati comuni di particolare delicatezza, ma non appartenenti alla categoria dei dati particolari di cui all’art. 9 del Regolamento;

f) con riferimento ad eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso concreto (art. 83, par. 2 lett. k)), è stato considerato quale elemento attenuante:

- l’avvenuta attivazione del procedimento disciplinare a carico della dipendente responsabile dell’accesso illecito definitosi con la sospensione dal servizio e dal trattamento economico per dieci giorni, unitamente ad un ulteriore periodo di aspettativa non retribuita;

- la circostanza che la violazione acclarata dagli Uffici ha leso la sfera giuridica di un singolo cliente (il reclamante).

Si ritiene, inoltre, che assumano rilevanza nel caso di specie, in considerazione dei richiamati principi di effettività, proporzionalità e dissuasività (art. 83, par. 1, del Regolamento) ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione, le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti e riferiti al bilancio d’esercizio per l’anno 2020.
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di applicare nei confronti di Intesa Sanpaolo S.p.a. la sanzione amministrativa del pagamento di una somma pari ad euro 200.000,00 (duecentomila).

In tale quadro, in considerazione della tipologia delle violazioni accertate, che hanno riguardato l’adozione di adeguate misure di sicurezza tali da attuare in modo efficace, sin dalla progettazione, i principi di protezione dei dati medesimi, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento nonché dell’art. 166 del Codice, l’illiceità del trattamento effettuato, nei termini di cui in motivazione, da Intesa Sanpaolo S.p.a., per la violazione degli artt. 5, par. 1, lett. a) e f), e 6 del Regolamento;

INGIUNGE

quindi a Intesa Sanpaolo s.p.a., avente sede in Torino, Piazza San Carlo, 156, P.I. 11991500015, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 200.000,00 (duecentomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato;

INGIUNGE

ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, alla ridetta Società , di conformare i trattamenti di dati personali alle disposizioni del Regolamento, provvedendo all’adozione di ulteriori e adeguate misure (alert) – secondo le indicazioni di cui al par. 3.1 - volte a implementare i controlli sulla legittimità e liceità degli accessi ai dati della clientela da parte di tutti i soggetti autorizzati al trattamento e a sensibilizzare gli stessi al rispetto delle istruzioni loro impartite, entro 120 giorni dal ricevimento del presente provvedimento;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 maggio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei