I provvedimenti spiegati alle aziende
con guide, checklist, modelli; AI assisted
Osservatorio a cura del dott. V. Spataro 



   documento 2023-03-03 ·  NEW:   Appunta · Stampa · Cita: 'Doc 96473' · pdf

Ordinanza ingiunzione nei confronti di Corradi s.r.l. 16 dicembre 2021 [9739653]

abstract:



Documento annotato il 03.03.2023 Fonte: GPDP
Link: https://www.garanteprivacy.it/web/guest/home/docwe




analisi:

L'analisi è riservata agli iscritti. Segui la newsletter dell'Osservatorio oppure il Podcast iscrizione gratuita 30 giorni




index:

Indice

  • Ordinanza ingiunzione nei confronti di C
  • IL GARANTE PER LA PROTEZIONE DEI DATI PE
  • PREMESSO
  • 1. Il reclamo nei confronti della societ
  • 2. L’avvio del procedimento per l’ad
  • 3. L’esito dell’istruttoria e del pr
  • 3.1. Esito dell’istruttoria.
  • 3.2. Titolarità del trattamento.
  • 3.3. Mancanza di informativa.
  • 3.4. Violazione dei principi di necessit
  • 3.5. Omesso riscontro alle richieste del
  • 3. Conclusioni: dichiarazione di illicei
  • 4. Adozione dell’ordinanza ingiunzione
  • TUTTO CIÒ PREMESSO, IL GARANTE
  • ORDINA
  • INGIUNGE
  • DISPONE



testo:

E

estimated reading time: 20 min

[doc. web n. 9739653]

Ordinanza ingiunzione nei confronti di Corradi s.r.l. - 16 dicembre 2021

Registro dei provvedimentin. 440 del 16 dicembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento in data 6 luglio 2018 dal Sig. XX nei confronti di Corradi s.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. Il reclamo nei confronti della società e l’attività istruttoria.

1.1. Con reclamo del 6 luglio 2018 il Sig. XX ha lamentato presunte violazioni del Regolamento da parte di Corradi s.r.l. (di seguito, la società), con riferimento al mancato riscontro alla richiesta di ottenere la cancellazione degli account di posta elettronica di tipo individualizzato (XX e XX) risultati attivi e funzionanti anche dopo l’interruzione del rapporto di lavoro (avvenuta in data 23.1.2018), come indicato in apposito interpello inviato alla società con comunicazione del 1° giugno 2018.

In data 7 settembre 2018 l’Ufficio ha avviato un procedimento e, con nota inviata in pari data, ha chiesto alla società di fornire informazioni e chiarimenti sui fatti oggetto di reclamo. In assenza di alcun riscontro l’Autorità ha inviato dapprima una nota di sollecito (in data 29 marzo 2019) e successivamente, con nota del 17 giugno 2019, ha formulato l’invito a fornire riscontro alle informazioni richieste ai sensi dell’art. 157 del Codice.

1.2. Non essendo pervenuto riscontro da parte della società l’Ufficio ha delegato al Nucleo Speciale Tutela privacy e Frodi Tecnologiche della Guardia di Finanza l’effettuazione di un accertamento ispettivo al fine di acquisire le informazioni richieste. L’ispezione ha avuto luogo in data 30 settembre e 1° ottobre 2019 presso la sede legale della società.

Nel corso degli accertamenti il delegato del legale rappresentante della società ha dichiarato che:

a. “in merito al mancato riscontro all’Autorità […] giacché le comunicazioni pervenute via Pec vengono inoltrate al sottoscritto e ad altri due referenti della società, probabilmente sarà stata fatta confusione sull’evasione della stessa e non è stata trattata” (v. verbale di operazioni compiute del 30.9.2019, p. 3);

b. in relazione all’account XX, avvalendosi delle schermate prodotte dal Responsabile IT, è stato evidenziato che “l’account era attivo con la vecchia società Corradi S.p.A., con la nascita della nuova Corradi s.r.l. l’account in parola è stato reindirizzato verso l’indirizzo […] XX; in ogni caso, come da schermata prodotta, da una ricerca effettuata sui sistemi l’indirizzo email XX non risulta presente; per quanto concerne invece l’indirizzo XX, dalle schermate fornite risulta che il 19 marzo 2018 detto indirizzo email è stato disabilitato […]” (v. verbale di operazioni compiute cit., p. 4).

All’esito di una verifica effettuata dai verbalizzanti al fine di accertare l’effettiva disabilitazione dei due indirizzi email, è stato acquisito lo screenshot della risposta automatica di mancato recapito relativamente all’indirizzo XX.

Con nota del 16 ottobre 2019 la società ha inviato documentazione in risposta ad alcuni specifici quesiti formulati dai verbalizzanti (v. verbale di operazioni compiute cit., p. 4-5). Tale documentazione, trasmessa all’Autorità in data 15 giugno 2020, contiene, tra l’altro:

a. screenshots “relativi alla cancellazione degli AD e email […] XX” (Doc. n. 3 Proof of deletion”);

b. “email che riporta l’avvenuta cancellazione dell’account XX” (Doc. n. 4 Undeliverable mail);

c. screenshot “del messaggio impostato di mancato recapito all’indirizzo XX nonché screenshot della cancellazione relativa all’account stesso” (Doc. n. 5 Automatic response);

d. documento contenente “la richiesta da parte [della società] della disattivazione e cancellazione dell’account [del reclamante]” (Doc. n. 6 Ticket Corradi chiusura account);

e. copia del contratto stipulato con la società fornitrice di servizi IT (Renson Ventilation NV) e designazione di quest’ultima quale Responsabile del Trattamento ex art. 28 del Regolamento da parte di Corradi s.r.l. (Doc. n. 8 IT Services Agreement, 19.12.2016; Intra Company Data processing Agreement);

f. Regolamento aziendale per l’utilizzo di internet e della posta elettronica di Corradi s.r.l., rev. 6.12.2018 (Doc. n. 12);

g. documenti relativi alle “procedure di abilitazione e disabilitazione degli account di posta elettronica di tipo individualizzato per i dipendenti di Corradi s.r.l.” (a) On-boarding policy; b) Off-boarding policy, Doc. n. 14).

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della società.

Il 13 gennaio 2021 l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. a), c), e) e 13 del Regolamento e all’art. 157 del Codice.

Con memorie difensive inviate in data 12 febbraio 2021 la società ha dichiarato che:

a. “l’unico Titolare del Trattamento in parola era, all’epoca dei fatti contestati, la Corradi S.p.A., autonomo soggetto di interessi giuridici e di obblighi rispetto alla Corradi s.r.l.”;

b. “l’account di posta denominato XX […] era di proprietà della Corradi S.p.A. e non della Corradi s.r.l., unico soggetto giuridico nei confronti del quale è stata elevata la contestazione”;

c. Corradi s.r.l. “ha avviato un processo di gap analisys volto ad individuare disallineamenti da quanto previsto dal GDPR e dal Codice, al fine di adottare tutte le misure idonee volte a prevenire la violazione delle norme ivi sancite”;

d. in ogni caso, con riferimento alle prospettate violazioni, sono state indicate, tra le altre, le seguenti circostanze: il fatto che la presunta violazione sia stata commessa nei confronti di un solo interessato; il carattere colposo “dell’evento contestato”; la circostanza che la società “abbia, non appena resasi conto dell’accaduto, provveduto tempestivamente prima a reindirizzare la posta ad altro account e in seguito a cancellare definitivamente l’account di posta aziendale”; l’assenza di precedenti violazioni accertate in materia di protezione dei dati; la natura comune dei dati oggetto di trattamento; l’assenza di “alcun beneficio […] tratto dalla società dalla presunta violazione”; il processo di adeguamento “alla normativa GDPR nel rispetto del principio di accountability”;

e. con riguardo al mancato riscontro alle richieste dell’Autorità si è evidenziata “la non intenzionalità del comportamento assunto, che quindi tutt’al più potrà essere qualificato come esclusivamente colposo”.

In data 15 giugno 2021, nel corso dell’audizione richiesta dalla società, quest’ultima ha dichiarato che “i trattamenti che fanno riferimento alla parte tecnologica (IT) non sono nella disponibilità della Corradi s.r.l., ma […] della capogruppo RP Holding BVBA […] che ne stabilisce le finalità e i mezzi”. Inoltre “all’epoca dei fatti il reclamante era dipendente della Corradi S.p.A. che è un soggetto giuridicamente autonomo dalla Corradi s.r.l. […] La Corradi S.p.A. oggi non esiste più”. Il mancato riscontro alle richieste dell’autorità di controllo è “riconducibile ad un difetto organizzativo interno, in assenza di dolo, che allo stato si ritiene di aver colmato”.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

3.1. Esito dell’istruttoria.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite al reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali. In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Nel merito è emerso che la società, dopo la cessazione del rapporto di lavoro con il reclamante (avvenuta il 24.2.2018), ha mantenuto attivo l’account di posta elettronica di tipo individualizzato XX fino alla data del 14 ottobre 2019 (v. screenshots e email allegati dalla società con nota del 16.10.2019, in particolare Doc. n. 3, 4 e 6). Risulta, altresì, che in data 29 giugno 2018 la società ha disposto il reindirizzamento (forward) dell’account riferito al reclamante su diverso user (Doc. n. 6 cit.).Con riferimento all’account di tipo individualizzato XX, risulta che la società ha dapprima attivato un messaggio di mancato recapito, successivamente ne ha disposto la cancellazione (in data 16.4.2019, v. Doc. 5), che risulta documentata a seguito di test effettuato il 14 ottobre 2019 (v. nota 16.10.2019 cit., Doc. 5).

3.2. Titolarità del trattamento.

La titolarità dei trattamenti effettuati mediante i due account di posta elettronica oggetto del presente reclamo, in base agli elementi presenti in atti, deve essere riferita a Corradi s.r.l., differentemente da quanto in proposito sostenuto dalla società nelle memorie difensive e nel corso dell’audizione davanti all’Autorità. In primo luogo si osserva che nel documento Intra Company Data processing Agreement, contratto stipulato tra Corradi s.r.l. e Renson Ventilation NV, quest’ultima è espressamente designata quale Responsabile del Trattamento ai sensi dell’art. 28 del Regolamento in relazione alla fornitura di servizi IT (v. in particolare punti 4.1. e 6.1.) e Corradi s.r.l. è definita Titolare del Trattamento (“data controller”). Pertanto non può essere accolta la ricostruzione offerta dalla società in base alla quale i trattamenti effettuati mediante le infrastrutture tecnologiche non sarebbero nella disponibilità di Corradi s.r.l. bensì della capogruppo. La società, inoltre, non ha prodotto documentazione dalla quale emerga che il reclamante era, all’epoca dei fatti, dipendente di Corradi S.p.A. (circostanza peraltro addotta solo in occasione della presentazione delle memorie difensive). In proposito si rileva che la email inviata dal reclamante il 9.2.2018 alla società capogruppo a seguito delle proprie dimissioni reca in calce la firma: XX - Contry sales Manager Extra Europe and Iberian Peninsula riferita a Corradi s.r.l. (v. nota della società 16.10.2019, Doc. n. 10). Inoltre nel corso degli accertamenti ispettivi la società ha dichiarato che “l’account XX […] era attivo con la vecchia società Corradi S.p.A., con la nascita della nuova Corradi s.r.l. l’account in parola è stato reindirizzato verso l’indirizzo di posta elettronica XX” (verbale 30.9.2019, p. 4). Pertanto attraverso il reindirizzamento sull’account XX l’attività di gestione dell’account è proseguita da parte di Corradi s.r.l..

Ciò posto, il Trattamento dei dati del reclamante relativi all’account di posta elettronica assegnato in occasione del rapporto di lavoro è dunque cessato solo successivamente alla presentazione del reclamo all’Autorità e nonostante la ricezione di apposita istanza di cancellazione inviata alla società dal reclamante con comunicazione email del 1° giugno 2018, cui peraltro la società stessa ha fornito una risposta solo interlocutoria (v. email 3.6.2018, allegata al reclamo).Tale trattamento, protrattosi oltre la data di definitiva entrata in vigore del Regolamento (UE) 2016/679 nel nostro ordinamento (15 maggio 2018), non è conforme ai principi di protezione dei dati.

Si rileva preliminarmente che, conformemente al costante orientamento della Corte europea dei diritti dell’uomo, la protezione della vita privata si estende anche all’ambito lavorativo, considerato che proprio in occasione dello svolgimento di attività lavorative e/o professionali si sviluppano relazioni dove si esplica la personalità del lavoratore (v. artt. 2 e 41, comma 2, Cost). Tenuto anche conto che la linea di confine tra ambito lavorativo/professionale e ambito strettamente privato non sempre può essere tracciata con chiarezza, la Corte ritiene applicabile l’art. 8 della Convenzione europea dei diritti dell’uomo posto a tutela della vita privata senza distinguere tra sfera privata e sfera professionale (v. Niemietz c. Allemagne, 16.12.1992 (ric. n. 13710/88), spec. par. 29; Copland v. UK, 03.04.2007 (ric. n. 62617/00), spec. par. 41; Bărbulescu v. Romania [GC], 5.9.2017 (ric. n. 61496/08), spec. par. 70-73; Antović and Mirković v. Montenegro, 28.11. 2017 (ric. n. 70838/13), spec. par. 41-42). Pertanto il Trattamento dei dati effettuato mediante tecnologie informatiche nell’ambito del rapporto di lavoro deve conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, a tutela di lavoratori e di terzi (v. Raccomandazione CM/Rec (2015)5 del Comitato dei Ministri agli Stati Membri sul Trattamento di Dati personali nel contesto occupazionale, spec. punto 3).

3.3. Mancanza di informativa.

Nel merito non risulta, in primo luogo, che il reclamante fosse stato preventivamente informato delle modalità di gestione della posta elettronica da parte dell’azienda dopo la cessazione del rapporto di lavoro. In base alla documentazione acquisita nel corso dell’istruttoria è emerso che il Regolamento aziendale per l’utilizzo di internet e della posta elettronica di Corradi s.r.l. nulla prevede in proposito. In ogni caso la versione del regolamento interno consegnato all’Autorità risulta essere stata adottata in data successiva ai fatti oggetto di reclamo (6.12.2018). Quanto al documento IT Off-boarding policy, riferito espressamente ai dipendenti di Renson e sprovvisto di data, questo prevede una procedura relativa alla gestione della posta elettronica dopo l’interruzione del rapporto di lavoro comunque diversa da quella applicata nel caso di specie. In ogni caso non risultano evidenze che tale documento sia stato fornito al reclamante.

Il Trattamento effettuato dalla società risulta sotto tale profilo in violazione dell’art. 13 del Regolamento, in base al quale il Titolare è tenuto a fornire all’interessato - prima dell’inizio dei trattamenti - tutte le informazioni relative alle caratteristiche essenziali del Trattamento stesso. Nell’ambito del rapporto di lavoro l’obbligo di informare l’interessato è altresì espressione del principio generale di correttezza dei trattamenti, sancito dall’art. 5, par. 1, lett. a) del Regolamento. Le norme richiamate risultano applicabili al caso di specie considerato che il Trattamento è proseguito fino al 14 ottobre 2019. Si rileva che, in ogni caso, le disposizioni ivi contenute corrispondono a quanto stabilito, all’epoca dei fatti oggetto di reclamo, rispettivamente, dagli artt. 13 e 11, comma 1, lett. a) del Codice, testo vigente all’epoca dell’inizio del trattamento.

3.4. Violazione dei principi di necessità, min imizzazione e limitazione della conservazione.

Posto, inoltre, che lo scambio di corrispondenza elettronica − estranea o meno all’attività lavorativa − su un account aziendale di tipo individualizzato configura un’operazione che consente di conoscere alcune informazioni personali relative all’interessato (v. "Linee guida del Garante per posta elettronica e Internet", 1.3.2007, in G. U. n. 58 del 10.3.2007, spec. punto 5.2, lett. b), il Garante ha già ritenuto conforme ai principi di necessità, pertinenza e non eccedenza che dopo la cessazione del rapporto di lavoro il Titolare provveda alla rimozione dell’account previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti alla sua attività professionale (v., tra gli altri, Provv.ti 29.9.2021, n. 353, doc. web n. 9719914 e 2.7.2020, n. 115, doc. web n. 9445180). Ciò conformemente ai principi di necessità e min imizzazione e di limitazione della conservazione in relazione alle finalità perseguite.

Il Trattamento effettuato dalla società risulta sotto tale profilo in violazione dell’art. all’art. 5, par. 1, lett. c) e e) del Regolamento. La norma richiamata risulta applicabile al caso di specie considerato che il Trattamento è proseguito fino al 14 ottobre 2019. Si rileva che, in ogni caso, le disposizioni ivi contenute corrispondono a quanto stabilito, all’epoca dei fatti oggetto di reclamo, rispettivamente, dagli artt. 3 e 11, comma 1, lett. d) e e) del Codice, testo vigente all’epoca dell’inizio del trattamento.

3.5. Omesso riscontro alle richieste dell’Autorità.

È altresì emerso che la società ha omesso di fornire riscontro alla richiesta di informazioni del 17 giugno 2019 formulata dall’Autorità ai sensi dell’art. 157 del Codice, dopo l’invio – rimasto parimenti senza riscontro – di precedenti inviti ad aderire in data 7 settembre 2018 e 29 marzo 2019. In base al citato articolo 157 del Codice “Nell'ambito dei poteri di cui all'articolo 58 del Regolamento, e per l'espletamento dei propri compiti, il Garante può richiedere al titolare, […] di fornire informazioni e di esibire documenti”. L’art. 166, comma 2, del Codice stabilisce che la violazione dell’art. 157 del Codice è soggetta alla sanzione amministrativa di cui all’art.83, par. 5, del Regolamento.

L’omesso riscontro alla richiesta di informazioni del Garante è pertanto avvenuto in violazione dell’art. 157 del Codice in relazione a quanto previsto dall’art. 166, comma 2, del Codice.

3. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal Titolare del Trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il Trattamento dei Dati personali effettuato dalla società risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), c), e) (principi di correttezza, min imizzazione e limitazione della conservazione) e 13 (informativa all’interessato) del Regolamento e all’art. 157 (richiesta di informazioni) in relazione al 166, comma 2, del Codice.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura, della gravità e della durata della violazione stessa, del grado di responsabilità e della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. cons. 148 del Regolamento).

Visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, si dispone una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) del Regolamento).

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento risulta che Corradi s.r.l. ha violato gli artt. 5, par. 1, lett. a), c), e) e 13 del Regolamento e l’art. 157 in relazione all’art. 166, comma 2, del Codice. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso Trattamento o a trattamenti collegati, un Titolare del Trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato i principi generali del trattamento, tra cui il principio di correttezza, min imizzazione e limitazione della conservazione;

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del Titolare è stata presa in considerazione la condotta della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;

c) con riferimento al grado di cooperazione con l’Autorità di controllo è stato considerato il mancato riscontro da parte della società a tre richieste di fornire chiarimenti e informazioni pur regolarmente ricevute;

d) a favore della Società si è tenuto conto dell’assenza di precedenti specifici.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla società con riferimento al bilancio ordinario d’esercizio per l’anno 2020 (che ha registrato perdite di esercizio). Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Corradi s.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 20.000 (ventimila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali del trattamento, in particolare i principi di correttezza, min imizzazione e limitazione della conservazione, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del Trattamento effettuato da Corradi s.r.l., in persona del legale rappresentante, con sede legale in Via Marino Serenari, 20, Castel Maggiore (BO), C.F. 03464321201, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par. 1, lett. a), c), e) e 13 del Regolamento e l’art. 157 in relazione all’art. 166, comma 2, del Codice;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Corradi s.r.l., di pagare la somma di euro 20.000 (ventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di euro 20.000 (ventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 16 dicembre 2021

IL PRESIDENTEStanzione

IL RELATOREScorza

IL VICE SEGRETARIO GENERALEFilippi


Link: https://www.garanteprivacy.it/web/guest/home/docwe

Testo del 2023-03-03 Fonte: GPDP




Commenta



i commenti sono anonimi e inviati via mail e cancellati dopo aver migliorato la voce alla quale si riferiscono: non sono archiviati; comunque non lasciare dati particolari. Si applica la privacy policy.


Ricevi gli aggiornamenti su Ordinanza ingiunzione nei confronti di Corradi s.r.l. 16 dicembre 2021 [9739653] e gli altri post del sito:

Email: (gratis Info privacy)






Nota: il dizionario è aggiornato frequentemente con correzioni e giurisprudenza