Ordinanza ingiunzione nei confronti di Deca s.r.l. - 9 marzo 2023 [9874604]
Ordinanza ingiunzione nei confronti di Deca s.r.l. - 9 marzo 2023 [9874604]
Condividi[doc. web n. 9874604]
Ordinanza ingiunzione nei confronti di Deca s.r.l. - 9 marzo 2023
Registro dei provvedimenti
n. 66 del 9 marzo 2022
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento dai Sig.ri XX, XX, XX, XX, XX, XX e XX nei confronti di Deca s.r.l.;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Agostino Ghiglia;
PREMESSO
1. Il reclamo nei confronti della società e l’attività istruttoria.
Con reclamo del 10 gennaio 2020, i Sig.ri XX, XX, XX, XX, XX, XX e XX hanno lamentato presunte violazioni del Regolamento da parte di Deca s.r.l. (di seguito, la Società), con riferimento al mancato riscontro alla richiesta di accedere ai dati personali riferiti alla rilevazione della presenza in servizio (inizio e fine dell’attività lavorativa), effettuata mediante dispositivo badge.
È stato altresì lamentato che il trattamento dei dati effettuato mediante l’impianto di videosorveglianza installato presso i locali dell’esercizio commerciale gestito dalla società, sarebbe stato illecito.
La Società, nel fornire riscontro alla richiesta di informazioni del 4 giugno 2020 con nota del 14 luglio 2020, ha dichiarato che:
a. “a causa dell’emergenza Covid19 in questi mesi la nostra attività è rimasta chiusa e solo di recente ha ripreso il lavoro in forma molto ridotta”;
b. “anche l’attività dei nostri consulenti del lavoro e commercialisti […] si svolge con efficienza ridotta dal regime di smart working forzatamente adottato per garantire il rispetto delle norme di distanziamento sociale”;
c. “non ci è stato possibile in queste settimane disporre del supporto del personale amministrativo, che si trova in cassa integrazione, e del nostro consulente del lavoro”, di conseguenza, con riguardo alle domande relative alle istanze di accesso ai dati riferiti alla rilevazione delle presenze, è stata chiesta al Dipartimento una proroga dei termini per fornire riscontro;
d. con riferimento all’attività di videosorveglianza, “l’impianto è stato concepito con lo scopo di fornire un supporto alla sicurezza dell’azienda e dei lavoratori nei confronti di terzi e l’installazione delle sole telecamere è avvenuta in data 30 gennaio 2015 successivamente alle regolari comunicazioni e autorizzazioni ottenute dal Ministero del Lavoro, ma […] lo spesso impianto non è mai stato completato e messo in funzione”.
A seguito della decorrenza dell’ulteriore termine per fornire riscontro in ordine alle istanze di accesso ai dati dei dipendenti, dopo un nuovo sollecito da parte dell’Ufficio (del 16 novembre 2020), con nota del 7 dicembre 2020 la società ha dichiarato che:
a. “sino al periodo antecedente il lockdown del marzo 2020, la rilevazione delle presenze era eseguita attraverso un sistema badge. Mensilmente i dati delle presenze erano “scaricati” dal personale amministrativo […] ed erano trasmesse allo studio del consulente del lavoro per l’elaborazione delle buste paga” (nota 7/12/2020, p. 1);
b. “da quando il caffè è stato riaperto […] le presenze sono rilevate manualmente dal personale amministrativo” (nota cit., p. 1);
c. “con il consulente del lavoro […] è stato sottoscritto un accordo ai sensi dell’art. 28 del Regolamento che disciplina anche le modalità di collaborazione in caso di istanze di accesso ai dati” (nota cit., p. 2);
d. “al netto delle difficoltà organizzative dovute alla emergenza epidemiologica in corso, sulla base dei rapporti con lo studio di consulenza, la società è stata oggi in grado di soddisfare le istanze di accesso pervenute” (nota cit., p. 2).
Con nota inviata via e-mail in data 14 gennaio 2021, i reclamanti hanno ribadito le loro richieste, ritenendo in particolare che “l’azienda, successivamente al lockdown, ha ripreso l’attività a maggio e risulta poco credibile che dopo otto mesi non sia riuscita ad ottenere dai propri consulenti i tabulati delle entrate e delle uscite dei dipendenti, specialmente in considerazione delle reiterate richieste […] di accedere ai suddetti tabulati sin dal 2019”.
A fronte della successiva richiesta di fornire ulteriori chiarimenti sui fatti oggetto di reclamo (nota del 16/7/2021), relativi all’indicazione delle specifiche modalità con le quali la Società avrebbe fornito riscontro alle istanze di accedere ai dati relativi alla presenza in servizio dei dipendenti, producendo idonea documentazione a supporto, la Società non ha fornito alcun riscontro.
A fronte di una ulteriore sollecito (nota del 21/1/2022), la Società, in data 11 febbraio 2022, ha inviato una nota avente il medesimo contenuto della nota già precedentemente inviata all’Autorità, in data 7 dicembre 2020, senza però fornire specifico riscontro alle nuove richieste.
Al fine di definire il procedimento, il Dipartimento ha pertanto delegato il Nucleo Speciale privacy e frodi tecnologiche della Guardia di finanza ad acquisire, presso la Società, gli elementi già richiesti.
Nell’ambito degli accertamenti svolti in data 5 aprile 2022 presso lo studio dell’avvocato delegato dal legale rappresentante, la Società ha dichiarato che:
a. “la società ha ricevuto soltanto richieste informali e non dettagliate da parte di alcuni lavoratori […]. Per quanto riguarda le timbrature del badge, la società non ne ha conservato copia dopo che questa è stata consegnata allo studio Donati per la predisposizione delle buste paga” (verbale ispettivo 4/4/2022, p. 2);
b. “lo studio Donati, dopo aver utilizzato le timbrature per la predisposizione delle buste paga, ne tratteneva copia per un certo periodo di tempo, per il caso di eventuali contestazioni […], senonché le richieste, in particolare [di uno dei reclamanti], facevano riferimento al periodo anteriore al 2015 e non è stato possibile recuperare copia di documentazione così risalente” (verbale cit., p. 2-3);
c. “la comunicazione inviata a mezzo PEC in data 11 febbraio 2022 alle ore 23.51 al Garante Privacy era erroneamente la stessa già inviata via PEC il 6 dicembre 2020 alle ore 14.00 a causa di un mero errore materiale nel salvataggio del file informatico. A riguardo vi fornisco copia della comunicazione del 10 febbraio 2022 di riscontro alla nota n. 4627.21/1/2022 del Garante con allegata copia dell’accordo ex art. 28 GDPR con lo studio Donati” (verbale cit., p. 3);
d. allo stato “il sistema di videosorveglianza non è attivo e non lo è mai stato nel senso che seppure alimentato da corrente elettrica […] esso non è mai stato in grado di riprendere le immagini perché non è mai stato collegato a un monitor né ad un DVR” (verbale cit., p. 3);
e. la nota datata 10 febbraio 2022, indirizzata al Garante e mai spedita, allegata al verbale ispettivo, contiene la seguente frase: “parte dei dipendenti che avevano richiesto la documentazione relativa agli orari di servizio (e in particolare [quattro dipendenti, dei quali tre reclamanti]) hanno cessato il rapporto di lavoro con la scrivente società e non hanno richiesto alcuna documentazione aggiuntiva rispetto a quella già messa a loro disposizione”. Inoltre l’allegata Nomina a responsabile del trattamento dei dati (consulente del lavoro) di Studio Donati Consulenti del lavoro associati, da parte della società, datata 14 maggio 2018, al punto 7 prevede che “il responsabile, in ossequio all’art. 28, paragrafo 3, lett. e) del Regolamento (Ue) 2016/679 assiste il titolare fornendogli idonea assistenza al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste di esercizio dei diritti da parte degli interessati”.
Con nota dell’8 aprile 2022, a scioglimento delle riserve formulate in sede di accertamento ispettivo, la Società ha allegato copia di una comunicazione, ricevuta il 18 ottobre 2019 via e-mail da uno dei reclamanti, con la quale si chiede, tra l’altro “il counter delle presenze in riferimento al periodo Ottobre 2014-Ottobre 2019”.
Infine, con nota pervenuta il 3 giugno 2022, in riscontro a una ulteriore richiesta di chiarimenti e invio di documenti dell’11 maggio 2022, volta ad acquisire copia dei riscontri forniti ai dipendenti in relazione alla rilevazione degli orari di servizio o comunque documentazione utile a rappresentare le concrete modalità con le quali fosse stato fornito riscontro alle istanze presentate, la Società ha sostenuto “di aver ottemperato alla richiesta di accesso del personale […] nei termini già riferiti nelle precedenti risposte, tuttavia, non abbiamo fatto un processo verbale della consegna della documentazione che è stata brevi manu”.
2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della società.
Il 6 settembre 2022, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 12 e 15 del Regolamento.
Con memorie difensive, inviate in data 13 ottobre 2022, la Società ha dichiarato che:
a. la “gestione del rapporto di lavoro, nonché dei rapporti interpersonali con [uno dei reclamanti è stata] particolarmente complessa ed è anche a ragione di ciò che non c’è stata la lucidità di formalizzare - come sarebbe stato dovuto - la consegna della documentazione richiesta dal lavoratore in vista del deposito del suo ricorso giudiziario”;
b. la richiesta è stata “del tutto pretestuosa posto che tutta la documentazione oggetto delle […] richieste [di uno dei reclamanti] e del Reclamo al Garante che ci occupa era effettivamente in suo possesso, come è risultato provato dalla copiosa produzione documentale […] nel giudizio giuslavoristico”;
c. il procedimento giurisdizionale avviato da uno dei reclamanti in relazione a profili lavoristici si è concluso con la redazione di un “verbale di conciliazione giudiziale […]” con il quale “ha rinunciato “a qualsivoglia pretesa a titolo di: […] qualsiasi altro motivo, anche se non espressamente menzionato, comunque connesso, anche indirettamente, con ogni rapporto di lavoro intercorso fra le Parti”;
d. pertanto si chiede “che codesta spettabile Autorità voglia ritenere che qualsivoglia condotta inadempiente eventualmente posta in essere dalla Società sia oramai stata già sufficientemente compresa e «scontata»”.
3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.
3.1 Esito dell’istruttoria.
All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite ad alcuni dei reclamanti (XX, XX e XX), che risultano non conformi alla disciplina in materia di protezione dei dati personali.
In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.
Nel merito è emerso che la Società ha ricevuto, quantomeno con la comunicazione scritta da uno dei reclamanti (XX, e-mail presente in atti), la richiesta di accedere ai dati a sé riferiti relativi alla rilevazione della presenza sul posto di lavoro effettuata tramite badge.
Oltre a quanto in proposito sostenuto con il reclamo, la stessa Società ha infatti prodotto copia di una e-mail del 18 ottobre 2019 con la quale uno dei reclamanti richiede, tra l’altro “il counter delle presenze in riferimento al periodo Ottobre 2014-Ottobre 2019”.
Inoltre sempre la medesima Società, con la nota datata 10 febbraio 2022, indirizzata al Garante ma non inviata via Pec a causa di un errore, secondo quanto dichiarato, e successivamente allegata al verbale ispettivo del 5 aprile 2022, ha altresì rappresentato la circostanza che alcuni dipendenti “avevano richiesto la documentazione relativa agli orari di servizio” (tra questi figurano espressamente tre dei reclamanti davanti all’Autorità: XX, XX e XX, più un altro lavoratore che non ha presentato reclamo).
Al riguardo la Società ha sostenuto, dapprima con la nota del 7 gennaio 2020, di aver soddisfatto le istanze di accesso pervenute. Anche con la successiva nota del 3 giugno 2022 ha ribadito “di aver ottemperato alla richiesta di accesso del personale”. Ciò nonostante, a fronte delle richieste reiteratamente formulate in proposito dall’Autorità, nessuna evidenza è stata fornita in ordine alle concrete modalità con le quali le istanze di accesso sarebbero state evase.
Per quanto riguarda, invece, il sistema di videosorveglianza, nel corso dell’istruttoria non sono stati rinvenuti elementi idonei a comprovare le violazioni lamentate con il reclamo.
3.2 Violazione degli artt. 12 e 15 del Regolamento.
Sulla base di quanto rilevato al precedente punto 3.1, non risulta pertanto che la Società abbia fornito riscontro alle istanze di accesso ai dati relativi alle presenze, raccolti con il sistema del badge, avanzate dai dipendenti.
Ciò indipendentemente dalle modalità con le quali tali richieste sono state avanzate, posto che la disciplina posta in materia di protezione dei dati personali non prevede che l’istanza di esercizio dei diritti debba rivestire una particolare veste formale (v. art. 15 del Regolamento).
È emerso, altresì, che la richiesta presentata con e-mail del 18 ottobre 2019, diversamente da quanto sostenuto dalla Società, ha proprio ad oggetto dati relativi alle presenze rilevate tramite badge anche oltre il 2015, in particolare fino al mese di ottobre 2019.
La Società avrebbe potuto far fronte all’istanza, tenuto anche conto che disponeva direttamente dei dati rilevati con il badge, quantomeno fino alla trasmissione al consulente del lavoro, con cadenza mensile, per l’elaborazione delle buste paga.
Peraltro l’atto di designazione a responsabile del consulente del lavoro prevede espressamente l’obbligo di collaborare con il titolare in caso di istanze di esercizio dei diritti (punto 7), considerato anche che il consulente conservava i dati sulle presenze, rilevati tramite badge, per un periodo di tempo non specificato ma comunque verosimilmente congruo rispetto all’obiettivo, dichiarato dalla Società, di poter far fronte ad eventuali contestazioni.
In ogni caso, anche tenendo conto di quanto dichiarato dalla Società riguardo l’impossibilità di fornire riscontro alla richiesta dell’interessato per l’intervenuta cancellazione dei dati, si evidenzia che il titolare è tenuto a fornire riscontro all’interessato anche nel caso in cui non ottemperi alle richieste di quest’ultimo, specificandone i motivi e informando circa la possibilità di presentare reclamo all’Autorità di controllo e di proporre ricorso giurisdizionale (art. 12, par. 4, del Regolamento).
Quanto alle modalità di riscontro alle istanze di esercizio dei diritti, l’art. 12, par. 1, del Regolamento stabilisce che “Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall'interessato, le informazioni possono essere fornite oralmente”.
Pertanto il riscontro dichiaratamente avvenuto mediante consegna “brevi manu” dei dati (comunque non altrimenti documentata e la cui effettuazione è stata contestata dai reclamanti) non è conforme a quanto stabilito con il richiamato art. 12 del Regolamento.
In proposito, analogamente, anche l’art. 15, par. 3, del Regolamento stabilisce che “Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune”.
Infine, sul punto, si osserva che spetta al titolare del trattamento, conformemente al principio di responsabilizzazione (art. 5, par. 2 del Regolamento), documentare le attività svolte per conformarsi a quanto stabilito dalla disciplina in materia di protezione dei dati personali (con riferimento alla specifica materia del diritto di accesso v. Guidelines 01/2022 on data subject rights - Right of access, adottate il 18 gennaio 2022 e sottoposte a consultazione pubblica conclusa l’11 marzo 2022, par. 5.2.1, n. 129, “In accordance with the accountability principle, a controller must document their approach to be able to demonstrate how the means chosen to provide the necessary information under Art. 15 are appropriate in the circumstances at hand”; traduzione non ufficiale: “Conformemente al principio di responsabilizzazione, il titolare del trattamento deve documentare il proprio approccio per poter dimostrare in che modo i mezzi scelti per fornire le informazioni necessarie ai sensi dell'articolo 15 sono appropriati alle circostanze specifiche”.
L’assenza di documentazione del riscontro che sarebbe stato fornito alle istanze di esercizio dei diritti non è, inoltre, coerente con quanto previsto dal regolamento interno, allegato alla nota del 7 gennaio 2020 (“Regolamento e istruzioni per la sicurezza nel trattamento dei dati personali”), che prevede l’attivazione di una specifica procedura per disciplinare la presa in carico, la gestione e l’evasione delle istanze (punto 5: Istruzioni in merito all’esercizio dei diritti degli interessati).
L’attivazione, infatti, di una procedura come quella descritta nell’allegato regolamento presuppone necessariamente la possibilità di poter ricostruire i diversi passaggi effettuati.
Si ritiene, da ultimo, che il verbale di conciliazione n. 1457/2022, relativo alla posizione di uno dei reclamanti, avente ad oggetto profili prettamente lavoristici e non relativi alla protezione dei dati, non sia idoneo a determinare l’archiviazione del procedimento nei confronti della Società.
Ciò tenuto anche conto che il potere di accertamento attribuito al Garante non è subordinato all’iniziativa di parte (v. sul punto Cass., sez. civ., ord. 22/9/2021, n. 40635: sebbene la pronuncia sia riferita al quadro normativo antecedente alle modifiche di cui al d.lgs. n. 101 del 2018, i vigenti artt. 57 del Regolamento e 154 del Codice regolano analogamente i poteri dell’Autorità).
La Società ha pertanto omesso di fornire riscontro alle istanze di accesso ai dati relativi alle presenze rilevate con il badge fino al momento della dismissione di tale sistema (dismissione avvenuta, secondo quanto da ultimo dichiarato con nota dell’8 aprile 2022, “durante il lock down del marzo-maggio 2020”), nei termini su indicati, in violazione di quanto previsto dagli artt. 12 e 15 del Regolamento.
4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.
Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Il trattamento dei dati personali effettuato dalla Società e segnatamente l’omesso riscontro alle istanze di accesso presentate da tre reclamanti, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 12 e 15 del Regolamento.
La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura, della gravità e della durata della violazione stessa, del grado di responsabilità, della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. Considerando 148 del Regolamento).
Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, si dispone una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).
All’esito del procedimento risulta che Deca s.r.l. ha violato gli artt. 12 e 15 del Regolamento. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. b) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).
Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.
Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:
a) in relazione alla natura e alla gravità della violazione è stata considerata rilevante la natura della violazione che ha riguardato l’esercizio dei diritti dell’interessato (art. 83, par. 1, lett. a) del Regolamento);
b) con riguardo al grado di responsabilità del titolare è stata presa in considerazione la condotta della Società che non si è conformata alla disciplina in materia di protezione dei dati nell’ambito del rapporto di lavoro con i propri dipendenti e non ha osservato le procedure interne adottate in materia di esercizio dei diritti (art. 83, par. 1, lett. b) del Regolamento);
c) con riguardo al grado di cooperazione con l’Autorità di controllo è stato considerato che nel corso del procedimento è stato necessario sollecitare più volte l’invio di riscontri e delegare al Nucleo Speciale privacy e frodi tecnologiche della Guardia di finanza l’acquisizione degli elementi già richiesti (art. 83, par. 1, lett. f) del Regolamento);
d) con riferimento al carattere doloso o colposo della violazione è stato considerato che la condotta della società è stata meramente colposa (art. 83, par. 1, lett. b) del Regolamento);
e) a favore della società si è altresì tenuto conto dell’assenza di precedenti violazioni in materia di protezione di dati personali, del numero ridotto di interessati coinvolti e delle difficoltà di gestione manifestatesi in occasione dell’emergenza sanitaria, nonché del fatturato (art. 83, par. 1, lett. a), e) e g) del Regolamento).
Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio abbreviato d’esercizio per l’anno 2021.
Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Deca s.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 1.600(milleseicento).
In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato l’esercizio dei diritti dell’interessato, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.
Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO, IL GARANTE
rileva l’illiceità del trattamento effettuato da Deca s.r.l., in persona del legale rappresentante, con sede legale in Piazza Navona, 80, Roma (RM), P.I. 05117161009, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 12 e 15 del Regolamento;
ORDINA
ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Deca s.r.l., di pagare la somma di euro 1.600 (milleseicento) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;
INGIUNGE
quindi alla medesima Società di pagare la predetta somma di euro 1.600 (milleseicento), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);
DISPONE
la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 9 marzo 2023
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Mattei
