Provvedimento del 9 ottobre 2025 [10191660]
Provvedimento del 9 ottobre 2025 [10191660]
Condividi[doc. web n. 10191660]
Provvedimento del 9 ottobre 2025
Registro dei provvedimenti
n. 582 del 9 ottobre 2025
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Angelo Fanizza, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore il prof. Pasquale Stanzione;
PREMESSO
1. Introduzione.
Con reclamo presentato ai sensi dell’art. 77 del Regolamento in data XX, il Sig. XX, funzionario della Procura della Repubblica presso il Tribunale di Milano, nel lamentare una presunta violazione della normativa in materia di protezione dei dati personali, ha rappresentato in particolare che, con e-mail del XX, l’ufficio di segreteria della dirigenza della predetta Amministrazione avrebbe “trasmesso ad una mailing list un file xlsx contenente una tabella riportante cognomi di dipendenti [… della] Procura della Repubblica [in questione], associati ai test che risultavano non effettuati” sulla piattaforma Syllabus.
2. L’attività istruttoria.
In merito al reclamo, il Ministero della Giustizia, con note del XX, XX e XX, ha fornito specifici elementi informativi, dai quali si evince, in particolare, che:
la comunicazione in questione presentava il seguente messaggio di testo: “Gentilissimi, trasmetto in allegato un utile prospetto che riporta i singoli corsi sui quali ciascuno di voi deve ancora effettuare/ultimare l’assessment, adempimento per il quale il termine di scadenza era fissato per il XX scorso. Su disposizione del Dirigente vi chiedo di provvedere al più presto. Grazie”;
“nel caso in esame, la Procura della Repubblica presso il Tribunale di Milano […] ha disposto […] l'attivazione di percorsi formativi sulla piattaforma Syllabus per tutto il personale dipendente. Durante la necessaria fase di monitoraggio dell'obiettivo intermedio, è emerso che alcuni dipendenti non avevano ancora terminato l'assesment entro il termine previsto del XX”;
in tale contesto, “l'ufficio ha effettuato una verifica, di coloro che alla data del XX non avevano ancora terminato l'assessment, come da programma; ha predisposto un elenco riepilogativo del personale in questione e proceduto così ad un sollecito con comunicazione e - mail inviata dalla Segreteria Dirigenza […] rivolta al personale interessato, in particolare 22 dipendenti”;
“l'Amministrazione ha ritenuto utile (oltre che necessario, vista la scadenza del termine) informare della questione i diretti interessati, inviando una mail cumulativa, al fine di consentirgli di concludere i test mancanti nel minor tempo possibile. Si precisa che con la comunicazione in questione, inviata peraltro a seguito di numerosi tentativi di contatto telefonico, non è stato divulgato alcun dato personale, all'infuori dei nominativi dei dipendenti interessati, né tantomeno i risultati dei test eseguiti o le valutazioni individuali, riportando solamente i titoli dei corsi mancanti”;
“l’email, per quanto rivolta a diversi dipendenti, ha riguardato esclusivamente quelli in posizione assimilabile perché toccati dalla stessa problematica di dover “definire” la propria posizione sul corso, con modalità che – in difetto di diverse e specifiche allegazioni - non appaiono affatto lesive della dignità dei prestatori”.
Con nota del XX, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Ministero della Giustizia, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, sul presupposto che il trattamento fosse stato effettuato in violazione degli artt. 5, par. 1, lett. a) e c), e 6 del Regolamento e 2-ter del Codice.
Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).
Con nota del XX, il Ministero della Giustizia, che non ha richiesto di essere audito, ha presentato i propri scritti difensivi, dai quali emerge, in particolare, che:
“le comunicazioni “email” all’origine del reclamo non vertevano, tecnicamente, sul mancato espletamento dei corsi né quindi inerivano a forme di “inadempimento” su “obblighi formativi” delle unità di personale raggiunte dalla e-mail; le informazioni ivi racchiuse non esprimevano alcun giudizio in termini di omesso completamento di “corsi” ma riguardavano unicamente il perfezionamento di “step” amministrativi (da completare su una piattaforma ad hoc) prodromici all’avvio stesso dei corsi prescelti, volti ad allineare il livello di apprendimento sulle effettive necessità dei “discenti” nell’aula virtuale. Si verteva quindi di mera comunicazione di servizio, su circostanze del tutto blande e neutre, funzionali ad un obiettivo formativo dei medesimi dipendenti”;
“nel caso in questione, la comunicazione unitaria era stata preceduta da comunicazioni individuali, nonché da contatti singoli tentati per le vie brevi. Soltanto in esito a tali tentativi, si è ritenuto di privilegiare il raggiungimento dell’obiettivo rispetto alla minimizzazione del dato, in una valutazione comparativa degli interessi coinvolti al fine di garantire il buon funzionamento dell’Ufficio”;
“ricevute le doglianze del [… reclamante] con mail in data XX, [l’ufficio che aveva trasmesso la comunicazione] provvedeva a dare immediato riscontro con mail in data XX, fornendo le motivazioni a giustificazione della diffusione del dato e dando assicurazione al dipendente sul fatto che per il futuro il dato sarebbe stato gestito diversamente”;
“preso atto della notifica della violazione si è provveduto alla diffusione della circolare interna n. XX di sensibilizzazione di tutti i responsabili di settore affinché il trattamento del dato avvenga nel rispetto del Regolamento EU 2016/679 e del D.lgs. n. 196 del 30 giugno 2003 (Codice in materia di protezione dei dati personali)”, nell’ambito della quale “si raccomanda di usare particolare cautela nella trasmissione di informazioni personali che possano intervenire tra gli incaricati alla gestione del dato personale e di utilizzare forme di comunicazione individualizzata con il lavoratore, ogni qualvolta siano trattati dati personali”.
3. Esito dell’attività istruttoria.
Nel premettere che il trattamento di dati personali effettuato, nell’ambito della vicenda in esame, dal personale amministrativo in servizio presso la Procura della Repubblica presso il Tribunale di Milano risulta complessivamente riconducibile al Ministero della Giustizia – titolare del trattamento - e, per esso, al Dipartimento dell’organizzazione giudiziaria, del personale e dei servizi (cfr., spec., art. 16, comma 3, lett. b), del d. lgs. 300/1999 e art. 5 del d.P.C.M. 84/2015), si rappresenta quanto segue.
Dall’accertamento compiuto sulla base degli elementi acquisiti e dei fatti emersi all’esito dell’attività istruttoria, risulta accertato che, in data XX, la segreteria della dirigenza della Procura della Repubblica presso il Tribunale di Milano ha trasmesso a ventidue dipendenti una comunicazione a mezzo e-mail al fine di sollecitare i destinatari ad “effettuare/ultimare l’assessment” in relazione ai percorsi formativi previsti sulla piattaforma Syllabus, corredando la comunicazione di un file riepilogativo recante, per ciascuno dei predetti dipendenti, l’indicazione del numero e dei titoli dei “test mancanti”, essendo il termine previsto per tale specifico “adempimento” già decorso.
In particolare, alla luce delle dichiarazioni rese dal Ministero anche ai sensi dell’art. 168 del Codice, l’iniziativa in ordine all’invio di tale e-mail cumulativa è stata assunta sia per ragioni di rapidità di intervento in rapporto agli stringenti termini previsti dalla disciplina applicabile a carico dell’Amministrazione, anche tenuto conto della gravosità del carico di lavoro della Procura e della carenza di personale in servizio, sia nell’ottica di favorire forme di confronto e aiuto reciproco tra gli stessi dipendenti interessati, anche considerando che, nello specifico caso del reclamante, lo stesso riteneva erroneamente di aver portato a termine tutti i percorsi formativi.
Al riguardo, si rappresenta in via preliminare che i soggetti pubblici, nell’ambito del contesto lavorativo, possono trattare i dati personali degli interessati, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri (artt. 6, par. 1, lett. c), e 88 del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, parr. 1, lett. e), 2 e 3, del Regolamento).
La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di “comunicazione” di dati personali a terzi, da parte di soggetti pubblici, è ammessa solo al ricorre delle condizioni previste dall’art. 2-ter, commi 1, 1-bis, 2 e 4, par. 1, lett. a), del Codice.
Il datore di lavoro, quale titolare del trattamento, è tenuto in ogni caso a rispettare i principi in materia di protezione dei dati, fra i quali, in particolare, quelli di “liceità, correttezza e trasparenza”, “minimizzazione dei dati” e “protezione dei dati per impostazione predefinita” (art. 5, par. 1, lett. a) e c), e 25 del Regolamento).
Per quanto in particolare rileva in relazione alla questione oggetto del presente provvedimento, si evidenzia che, come da tempo chiarito dal Garante con provvedimenti a carattere generale e decisioni su singoli casi, i dati personali dei dipendenti, trattati per finalità di gestione del rapporto di lavoro, non possono, di regola, essere messi a conoscenza di soggetti diversi da coloro che sono parte dello specifico rapporto di lavoro (cfr. definizioni di “dato personale” e “interessato”, contenuta nell’art. 4, par. 1, n. 1, del Regolamento), ovvero di coloro che - anche tenuto conto della definizione di “terzo”, contenuta nell’art. 4, par. 1, n. 10, del Regolamento - non siano legittimati a trattarli in ragione delle mansioni assegnate e delle scelte organizzative del titolare del trattamento.
A tali principi è stata data applicazione dal Garante con orientamento consolidato in numerosi e diversificati casi concreti (cfr., tra i tanti, provv.ti 27 febbraio 2025, n. 101, doc. web n. 10123227; 27 febbraio 2025, n. 92, doc. web n. 10114763; 3 febbraio 2025, n. 70, doc. web n. 10118395; 30 gennaio 2025, n. 36, doc. web n. 10112750; 26 settembre 2024, n. 606, doc. web n. 10068155; 1° giugno 2023, n. 223, doc. web n. 9916798; 23 marzo 2023, n. 82, doc. web n. 9885151; 23 febbraio 2023, n. 43, doc. web n. 9868646; 16 settembre 2021, n. 322, doc. web n. 9711517; 27 maggio 2021, n. 214, doc. web. 9689234; 18 giugno 2020, n. 105, doc. web n. 9444865; 24 marzo 2022, n. 98, doc. web n. 976305; 11 febbraio 2021, n. 50, doc. web n. 9562866; 31 luglio 2014, n. 392, doc. web n. 3399423; 3 ottobre 2013, n. 431, doc. web 2747867; 8 maggio 2013, n. 232, doc. web n. 2501216; 18 ottobre 2012, n. 296, doc. web n. 2174351 e n. 297, doc. web n. 2174582).
Al datore di lavoro è, pertanto, richiesto di limitare l’accessibilità ai dati personali dei dipendenti ai soli soggetti che effettivamente ne necessitino in ragione delle funzioni esercitate all’interno dell’organizzazione del titolare e di ciascuna singola unità o struttura organizzativa nonché di evitare ogni occasione di superflua e ingiustificata conoscibilità dei dati da parte di soggetti non autorizzati. In tal senso, per quanto in particolare rileva ai fini del caso oggetto di reclamo, si evidenzia che - come chiarito dal Garante all’interno delle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico” del 14 giugno 2007, le quali, sebbene adottate nel contesto del previgente quadro normativo in materia di protezione dei dati personali, forniscono indicazioni e orientamenti ancora validi – il datore di lavoro “deve adottare particolari cautele anche nelle trasmissioni di informazioni personali che possono intervenire tra i medesimi incaricati o responsabili nelle correnti attività di organizzazione e gestione del personale […] evita[…ndo], in linea di principio, di fare superflui riferimenti puntuali a particolari condizioni personali riferite a singoli dipendenti”, e “deve utilizzare forme di comunicazione individualizzata con il lavoratore, adottando le misure più opportune per prevenire la conoscibilità ingiustificata di dati personali […] da parte di soggetti diversi dal destinatario, ancorché incaricati di talune operazioni di trattamento” (cfr. spec. punti 5.1 e 5.3 delle predette Linee Guida).
Con riferimento al caso di specie, pur prendendosi atto delle stringenti scadenze al tempo incombenti sull’Amministrazione in qualità di datore di lavoro e delle dichiarate difficoltà logistiche connesse alla situazione organizzativa della stessa, non si ravvisano elementi idonei a giustificare l’invio cumulativo della predetta e-mail del XX, per effetto del quale i dipendenti che ne sono stati destinatari sono stati resi vicendevolmente edotti del numero e delle specifiche attività di formazione (corsi e test valutativi) non ancora espletate da parte di ciascuno, quale condizione soggettiva concernente la diligente esecuzione di specifici obblighi nel quadro del rapporto di lavoro.
Né risulta possibile ritenere che la comunicazione fosse legittima in quanto preordinata a favorire forme di confronto e aiuto reciproco tra i dipendenti, ivi compreso il reclamante, che riteneva erroneamente di aver completato i percorsi formativi obbligatori. Deve infatti ritenersi che, nell’ottica del principio di “minimizzazione dei dati” (art. 5, par. 1, lett. c), del Regolamento), l’invio di comunicazioni individualizzate a ciascuno dei singoli dipendenti, consentendo in maniera ugualmente efficace di soddisfare le finalità perseguite, avrebbe in pari tempo assicurato tutela anche alla riservatezza dei lavoratori coinvolti con riferimento a quello che, a tutti gli effetti, rappresenta un adempimento lavorativo che riguarda in modo individuale ciascuno di loro. Ciò nel rispetto di quanto nel tempo chiarito dal Garante in merito al fatto che devono essere impiegate modalità di trasmissione delle comunicazioni nonché selezionate le informazioni ivi contenute affinché ne siano garantiti la ricezione e il conseguente trattamento da parte del solo personale autorizzato, evitando ogni forma di superflua circolazione di informazioni riguardanti i dipendenti nel contesto lavorativo.
I dipendenti che sono stati destinatari della comunicazione in questione - al contrario del personale di segreteria che ha curato la trasmissione della predetta e-mail, naturalmente preposto alla gestione operativa delle attività di coordinamento e organizzazione degli adempimenti in tale ambito - non risultano, infatti, investiti alla luce delle scelte organizzative del titolare, di specifiche mansioni tali da giustificare l’accesso alle informazioni trasmesse, concernenti lo stato di avanzamento dell’attività di formazione svolta dai propri colleghi (artt. 25, par. 2, 29 e 32, par. 4, del Regolamento).
Peraltro, nel contesto della vicenda oggetto di reclamo, la segreteria della dirigenza aveva prontamente rassicurato il reclamante sul fatto che per il futuro avrebbe gestito diversamente tali operazioni; analogamente, nel corso dell’istruttoria, lo stesso Ministero ha evidenziato che “la modalità ottimale avrebbe potuto concretarsi in un invio “individuale” ai discenti”, dando altresì atto di aver già virtuosamente adottato una specifica circolare interna al fine di sensibilizzare i responsabili di settore in merito all’adozione di specifici accorgimenti in tale ambito (cfr. circolare n. XX).
Né, ancora, può essere invocata la circostanza che, in base a quanto dichiarato dal Ministero, la comunicazione riguardava non già l’inadempimento tout court dell’obbligo formativo da parte del dipendente ma “unicamente il perfezionamento di “step” amministrativi [… sulla piattaforma Syllabus] prodromici all’avvio stesso dei corsi prescelti”. Nella comunicazione in questione, infatti, si rinviene il riferimento alla necessità di “effettuare/ultimare l’assesment”, stante l’intervenuta scadenza del termine previsto per tale “adempimento” – quali informazioni non necessarie per le ragioni sopra esposte e, comunque, ragionevolmente suscettibili di ingenerare nei dipendenti destinatari anche la supposizione che taluni colleghi non avessero tempestivamente osservato i propri obblighi formativi.
In tale ambito, non rileva, infine, neppure l’asserita insussistenza di danni concreti subiti dagli interessati, atteso che il Regolamento e, più in generale, la normativa in materia di protezione dei dati personali si ispirano ad una logica di prevenzione del rischio per i diritti e le libertà degli interessati, che prescinde dall’effettivo concretizzarsi di un danno in capo agli stessi (cfr., in tal senso, l’art. 83, par. 1, lett. a), del Regolamento, che fa riferimento al “livello del danno da essi subito” quale possibile criterio per determinare la gravità della violazione, che, pur potendo costituire un fattore attenuante o aggravante, non costituisce una condizione indispensabile ai fini dell’irrogazione di una sanzione amministrativa).
Tutto ciò premesso, risulta che il trattamento di dati personali in questione è stato effettuato in maniera non conforme ai principi di “liceità, correttezza e trasparenza”, nonché di “minimizzazione dei dati”, in assenza di un’idonea base giuridica, in violazione dell’art. 5, par. 1, lett. a) e c), e 6 del Regolamento e 2-ter del Codice.
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019 non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.
Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Ministero della Giustizia nei termini di cui sopra.
Tanto premesso, occorre, tuttavia, tenere in considerazione taluni elementi, anche di contesto, emersi nel corso dell’istruttoria, che risultano indispensabili ai fini della valutazione in concreto dell’entità delle violazioni riscontrate e della lesività della complessiva condotta (v. cons. 148 del Regolamento).
In particolare, tenuto conto che:
la comunicazione è stata giustificata dal titolare del trattamento anche richiamando l’intenzione di favorire forme di confronto e aiuto reciproco tra i dipendenti che ne sono stati destinatari, peraltro in un contesto caratterizzato da talune difficoltà logistiche e gravato da carenza di personale; la comunicazione in questione non recava evidenza di alcun giudizio di disvalore a carico dei dipendenti che non avevano portato a compimento il percorso formativo (cfr. art. 83, par. 2, lett. a) e g), del Regolamento);
la scelta di inviare una comunicazione cumulativa è stata dettata anche da esigenze connesse alla tempestività e all’economicità dell’azione degli uffici coinvolti (cfr. nota del XX; cfr. art. 83, par. 2, lett. b), del Regolamento);
già a fronte delle doglianze del reclamante, la segreteria della dirigenza ha prontamente rassicurato il reclamante sul fatto che per il futuro avrebbe gestito diversamente tali operazioni; inoltre, il Ministero ha adottato una specifica circolare interna al fine di sensibilizzare i responsabili di settore in merito all’adozione di specifici accorgimenti in tale ambito (cfr. art. 83, par. 2, lett. c), del Regolamento);
il Ministero ha offerto una piena cooperazione con l’Autorità nel corso dell’istruttoria (art. 83, par. 2, lett. f), del Regolamento);
non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento, aventi la medesima natura di quelle accertate in relazione ai fatti di reclamo, o precedenti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e), del Regolamento).
le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 e dell’art. 83, par. 2, del Regolamento, nonché delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.
Alla luce di tutto quanto sopra rappresentato, e dei termini complessivi della vicenda in esame, si ritiene, pertanto, sufficiente ammonire il titolare del trattamento per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento (cfr. anche cons. 148 e art. 83, par. 2, del Regolamento).
Considerato che la condotta ha ormai esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIÒ PREMESSO IL GARANTE
a) dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento dei dati personali effettuato dal Ministero della Giustizia - Dipartimento dell’organizzazione giudiziaria, del personale e dei servizi, in persona del legale rappresentante pro-tempore, con sede legale in Via Arenula, 70 - 00186 Roma (RM), C.F. 80184430587, per violazione degli artt. 5, par. 1, lett. a) e c), e 6 del Regolamento e 2-ter del Codice nei termini di cui in motivazione;
b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce il predetto Ministero, quale titolare del trattamento in questione, per aver violato artt. 5, par. 1, lett. a) e c), e 6 del Regolamento e 2-ter del Codice, come sopra descritto;
c) ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, dispone la pubblicazione del presente provvedimento sul sito internet dell’Autorità;
d) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 9 ottobre 2025
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE
Fanizza
