[doc. web n. 10070832]

Provvedimento del 12 settembre 2024

Registro dei provvedimenti
n. 552 del 12 settembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il Prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato al Garante ai sensi dell’articolo 77 del Regolamento in data 4 febbraio 2023 con il quale il sig. XX ha lamentato una presunta violazione della disciplina normativa in materia di protezione dei dati personali, con specifico riferimento ad un mancato riscontro fornito da Medic4All Italia S.r.l. a fronte dell’istanza di esercizio dei diritti formulata dal reclamante, ai sensi dell’art. 15 del Regolamento, in data 3 gennaio 2023, nei confronti della stessa;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo e l’attività istruttoria.

Con atto di reclamo formulato innanzi a questa Autorità, ai sensi dell’art. 77 del Regolamento UE 679/2016 (di seguito “Regolamento”), in data 4 febbraio 2023, il Sig. XX ha lamentato di aver presentato, il 3 gennaio 2023, nei confronti di Medic4All Italia S.r.l. (di seguito “Società”), un’istanza di accesso ai sensi dell’art. 15 del Regolamento e di non avere ricevuto un riscontro al riguardo.

A seguito della trasmissione alla Società, con comunicazione dell’Ufficio del 23 febbraio 2023, dell’invito ad aderire alla predetta istanza, Medic4All Italia S.r.l. ha dichiarato in prima battuta che non risultava, nei propri archivi, alcun dato relativo al reclamante (cfr. comunicazione del 19 marzo 2023).

Successivamente, a fronte di alcuni rilievi avanzati sul punto dal Sig. XXcon nota del 19 marzo 2023 −recante peraltro copia della documentazione attestante le richieste tramesse da quest’ultimo alla Società in ordine a varie prestazioni sanitarie a suo tempo evase da Medic4All Italia S.r.l.− la stessa, a integrazione di quanto sopra, ha fornito ulteriori chiarimenti al reclamante, e contestualmente all’Autorità, in merito al trattamento dei dati che lo riguardano. In particolare, la Società ha precisato che essa “si occupa di gestire per conto di soggetti terzi le procedure liquidatorie e di accertamento in occasione di sinistri” e che tale “gestione avviene su sistemi della società terza e gli archivi sono in capo alla società terza [nel caso di specie Intesa Sanpaolo Assicura S.p.A.]” (cfr. comunicazione del 25 marzo 2023).

Alla luce di quanto sopra dichiarato e delle osservazioni avanzate al riguardo dal reclamante con comunicazione del 25 marzo 2023, l’Ufficio, il 2 maggio 2023, ha formulato una richiesta di informazioni, ai sensi dell’art. 157 del Codice, al fine di acquisire elementi utili volti all’individuazione del trattamento di dati effettuato da Medic4All Italia S.r.l. con particolare riferimento al ruolo rivestito dalla medesima, nel caso di specie, rispetto alla disciplina in materia di protezione dei dati personali e all’eventuale avvenuta designazione della stessa quale responsabile, ai sensi dell’art. 28 del Regolamento, da parte del titolare del trattamento dei dati oggetto di contestazione, ossia Intesa Sanpaolo Assicura S.p.A.

Accertato che la sopra menzionata richiesta, pur essendo stata regolarmente notificata a Medical4All Italia S.r.l. tramite pec, rimaneva inevasa (v. relativa attestazione di avvenuta consegna della pec, datata 2 maggio 2023), l’Autorità, ai sensi dell’art. 166, comma 5 del Codice, ha notificato la violazione dell’art. 157 del Codice (art. 166, comma 2 del Codice), e ha al contempo acquisito, presso la Società, le informazioni richieste con la nota del Garante del 2 maggio 2023.

A seguito degli accertamenti effettuati, la Società, in data 2 ottobre 2023, ha inviato al Garante ulteriore documentazione.

Dall’esame delle dichiarazioni rese in sede di accertamenti ispettivi e della documentazione trasmessa successivamente agli stessi, è in particolare emerso che:

la Società svolge “la gestione dei sinistri ramo salute, come attività di run-off, dell’unico cliente Intesa San Paolo Assicura S.p.A. ed effettua anche l’erogazione di servizi di telemedicina verso gli assistiti di società terze” (cfr. verbale del 21 settembre 2023, pag. 2);

con Intesa San Paolo Assicura S.p.A. “è in essere un contratto di erogazione di servizi e gestione sinistri stipulato in data 1° gennaio 2014” (v. verbale del 21 settembre 2023, pag. 2 e successiva nota, recante copia di tale contratto, del 2 ottobre 2023);

la Società “tratta i dati sanitari degli assistiti di (..) Intesa San Paolo Assicura S.p.A.” ed è stata designata da quest’ultima responsabile del trattamento, ai sensi dell’art. 28 del Regolamento, con atto di nomina dell’11 giugno 2018 (cfr. verbale del 21 settembre 2023, pag. 2);

nel predetto atto di nomina, è stabilito che la Società, quale responsabile del trattamento per conto di Intesa San Paolo Assicura S.p.A., deve “collaborare con il titolare −con misure tecniche e organizzative adeguate− affinché [lo stesso] possa fornire il dovuto riscontro alle richieste degli interessati aventi ad oggetto l’esercizio dei diritti di cui agli artt. 15-22 del GDPR; a tal fine, il Responsabile dovrà entro tre (3) giorni lavorativi informare il titolare delle richieste che dovessero pervenire da parte degli interessati, tese ad esercitare i diritti di cui ai citati articoli, e fornire al titolare tutto quanto necessario per le relative risposte, ed i provvedimenti da adottare eventualmente al riguardo” (cfr. all. 2 al verbale del 21 settembre 2023 recante l’atto di nomina dell’11 giugno 2018, v. in particolare lett. k);

con riferimento alla violazione dell’art. 157 del Codice quale conseguenza della mancata risposta alla richiesta di informazioni trasmessa dal Garante il 2 maggio 2023, tale richiesta “è andata non letta per problemi di ordine organizzativo, ora risolti” (v. comunicazione del 2 ottobre 2023);

a seguito delle verifiche effettuate da questa Autorità, sono state adottate una serie di misure tecniche-organizzative volte a implementare “procedure e presidi atti a garantire ancor di più la privacy di eventuali visitatori del sito o assistiti e assicurati”, quali ad esempio la verifica, nonché la previsione del monitoraggio almeno 2 volte al giorno, della casella e-mail destinata alle comunicazioni con gli utenti (v. comunicazione del 2 ottobre 2023).

Alla luce degli elementi complessivamente acquisiti nel corso dell’istruttoria, con comunicazione del 7 dicembre 2023, l’Ufficio, ha provveduto a notificare a Medical4All Italia S.r.l. l’avvio del procedimento per l’adozione dei provvedimenti di cui agli artt. 58, par. 2, e 83, del Regolamento in relazione alla violazione dell’art. 28, par. 3, lett. e) del Regolamento; ciò in conformità a quanto previsto dall’art. 166, comma 5, del Codice.

Da ultimo, si fa presente che la Società, a seguito della notifica di entrambi gli atti di avvio del procedimento sanzionatorio sopra menzionati, non si è avvalsa delle facoltà previste dall’art. 18 della legge n. 689/1981, non inviando scritti difensivi né chiedendo di essere sentita.

2. L’esito dell’istruttoria.

In primis si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Tanto doverosamente premesso, all’esito dell’attività istruttoria e delle successive valutazioni svolte dall’Autorità in merito, è stato in primo luogo constatato che la Società, nell’ambito dell’attività di erogazione di servizi resi verso gli assistiti di società terze, ha effettuato, nel caso in esame, in qualità di responsabile del trattamento ai sensi dell’art. 28 del Regolamento, operazioni di trattamento di dati personali relativi all’interessato per conto di Intesa San Paolo Assicura S.p.A.
Nello specifico, come più diffusamente di seguito esplicitato, sulla scorta degli elementi acquisiti nel corso degli accertamenti ispettivi effettuati in loco e dall’esame della documentazione e degli ulteriori elementi successivamente trasmessi al Garante, è stato accertato che Medical4All Italia S.r.l. non ha agito in tale contesto in conformità con quanto stabilito dalla normativa vigente in materia di protezione dei dati personali (Regolamento e Codice).

Al riguardo, si osserva quanto segue.

2.1. Violazione degli obblighi del Responsabile del trattamento di cui all’art. 28, par. 3 del Regolamento.

In via preliminare, si rappresenta che −stante gli elementi acquisiti e i fatti emersi a seguito dell’attività istruttoria− risulta accertato che Medical4All Italia S.r.l. abbia rivestito il ruolo di responsabile ai sensi dell’art. 28 del Regolamento rispetto ai dati relativi al reclamante oggetto di trattamento nel caso in esame (v. supra, par. 1).

Tanto premesso, con specifico riferimento all’istanza avanzata dal reclamante nei confronti della Società in data 3 gennaio 2023 e al quadro normativo vigente in materia di protezione dei dati personali in ordine all’esercizio dei diritti da parte dell’interessato, si osserva che in base all’art. 15, par. 1, del Regolamento, “l'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e [a talune] informazioni” indicate in tale disposizione.
Il destinatario della richiesta avanzata ai sensi dell’art. 15 del Regolamento è dunque il titolare del trattamento, il quale è infatti tenuto, come stabilito all’art. 12, par. 3 del Regolamento, a fornire “all'interessato le informazioni relative all'azione intrapresa riguardo [alla stessa] senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal [suo] ricevimento”.

Fermo restando quanto sopra, merita evidenziare che sebbene il responsabile del trattamento non sia il soggetto deputato, in base disciplina in materia di protezione dei dati personali, a fornire direttamente riscontro alle menzionate istanze (v. supra), l’art. 28, par. 3, lett. e) del Regolamento prevede, comunque, che lo stesso debba assistere “il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del titolare del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui al capo III” (cfr. in merito Comitato Europeo per la protezione dei dati-EDPB, “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate il 7 luglio 2021, par. 1.3.5).

Tutto ciò sulla base del contratto (o da altro atto giuridico), stipulato per iscritto, che regolamenta, ai sensi dell’art. 28 del Regolamento, il rapporto instauratosi con il titolare anche rispetto a tale specifico profilo.

Trattasi di un atto, quest’ultimo, che, oltre a vincolare reciprocamente le parti, contiene, come stabilito nell’art. 28, par. 3 del Regolamento, le istruzioni che il titolare impartisce al responsabile anche sotto il profilo inerente alle misure che lo stesso è tenuto a porre in essere al fine di consentire al titolare di dare seguito alle richieste di esercizio dei diritti avanzate dagli interessati di cui al capo III del Regolamento. Infatti “i dettagli relativi all’assistenza che il responsabile del trattamento è tenuto a fornire [rispetto alle istanze di cui sopra] dovrebbero essere previsti nel [sopra citato] contratto o in un suo allegato” (cfr. sul punto, EDPB, Linee guida 07/2020, cit., par. 1.3.5).

Nel caso di specie è stato rilevato che Intesa San Paolo Assicura S.p.A., in qualità di titolare del trattamento, ha fornito le predette istruzioni a Medical4All S.r.l., nell’ambito dell’atto di nomina dell’11 giugno 2018 specificando espressamente, al punto 2, k) della stesso che il responsabile è tenuto a “collaborare col Titolare – con misure tecniche e organizzative adeguate -affinché possa fornire il dovuto riscontro alle richieste degli interessati aventi ad oggetto l’esercizio dei diritti di cui agli artt. 15-22 del GDPR; a tal fine il Responsabile dovrà, entro tre (3) giorni, informare il Titolare delle richieste che dovessero pervenire da parte degli interessati…”.

È stato tuttavia accertato che la Società, a fronte dell’istanza del reclamante, non ha provveduto ad ottemperare alle predette istruzioni legittimamente impartite dal titolare (v. supra par. 1).

In particolare, Medical4All S.r.l. non ha fornito, se non a seguito dell’invito ad aderire formulato da questa Autorità in data 23 febbraio 2023, alcun riscontro all’istanza presentata dal reclamante −quantomeno in termini di chiarimenti in ordine al ruolo dalla medesima rivestito rispetto alla disciplina in materia di protezione dei dati personali nella fattispecie in esame − né ha provveduto a veicolare tempestivamente la suddetta istanza al titolare del trattamento, affinché potesse darvi seguito nei termini di cui all’art. 12, par. 3 del Regolamento.

Pertanto, in considerazione della condotta tenuta, ne consegue che Medical4All S.r.l. non ha ottemperato all’obbligo di cui all’art. 28, par. 3, lett. e) del Regolamento −nei termini declinati nel sopra citato atto di nomina dell’11 giugno 2018− di fornire assistenza al titolare con le misure tecniche e organizzative volte a “soddisfare l'obbligo del titolare del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui al capo III”.

Per tutte le ragioni complessivamente evidenziate, tale condotta risulta in contrasto con l’art. 28, par. 3, lett. e) del Regolamento. La violazione della disposizione sopra richiamata comporta l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 4, lett. a) del RGPD.

Preso atto di quanto dichiarato dalla Società durante l’istruttoria preliminare, in ordine alle misure tecniche-organizzative adottate per conformare il trattamento in esame alla disciplina vigente in materia di protezione dei dati personali, come sopra riportato (v. supra par. 2), non ricorrono invece allo stato i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

2.2. Violazione dell’art. 157 in relazione a quanto previsto dall’art. 166, comma 2, del Codice.

Fermo restando quanto rilevato al paragrafo 2.1. della presente decisione, si rappresenta inoltre che risulta accertato che la Società ha omesso di fornire riscontro alla richiesta di informazioni inviata dall’Autorità, ai sensi dell’art. 157 del Codice, il 2 maggio 2023 (contenente l’espresso avviso che “in caso di inottemperanza alla presente richiesta, dovrà essere applicata la sanzione amministrativa pecuniaria prevista dall’art. 166, comma 2 del Codice”), nonostante la predetta comunicazione fosse stata regolarmente notificata tramite pec il cui avviso di avvenuta consegna è agli atti del fascicolo.

In base al richiamato articolo 157 del Codice, infatti, “nell'ambito dei poteri di cui all'articolo 58 del Regolamento, e per l'espletamento dei propri compiti, il Garante può richiedere al titolare […] di fornire informazioni e di esibire documenti”. Al riguardo, l’art. 166, comma 2, del Codice stabilisce che la violazione dell’art. 157 del Codice è soggetta alla sanzione amministrativa di cui all’art.83, par. 5, del Regolamento.

Ne consegue che la constatata inottemperanza da parte di Medical4All Italia S.r.l. all’invito a fornire informazioni di cui all’art. 157 del Codice per decorso del termine rende applicabile, ai sensi dell’art. 166, comma 2, del Codice, la sanzione amministrativa prevista dall’art. 83, par. 5 del Regolamento.

3. Ordinanza di ingiunzione.

All’esito del procedimento, risulta accertato che Medical4All Italia S.r.l. ha violato gli artt. 28, par. 3 del Regolamento e 157 del Codice. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 4, lett. a) e dell’art. 85, par. 5 del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18 della legge 24 novembre 1981 n. 689).

Le violazioni accertate nei termini di cui in motivazione non possono essere considerate “minori”, tenuto conto della natura e della gravità delle stesse violazioni e del grado di responsabilità, nonché della maniera in cui l'autorità di controllo ha preso conoscenza della violazione di cui all’art. 28, par. 3 del Regolamento (cons. 148 del Regolamento).

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

In merito, ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, si fa presente che l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della predetta sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in ordine alla gravità delle violazioni, si è preso atto della loro natura, in particolare di quella concernente l’inosservanza da parte della Società, degli obblighi, in capo alla stessa in qualità di responsabile del trattamento, in materia di richieste per l’esercizio dei diritti degli interessati di cui al Capo III (art. 83, par. 2, lett. a) del Regolamento); si è al contempo tenuto conto a favore del contravventore della circostanza che la condotta in questione ha avuto una durata limitata nel tempo e ha riguardato un unico evento ed un solo interessato (art. 83, par. 2, lett. k) del Regolamento);

b) con riferimento al carattere doloso o colposo delle violazioni è stata presa in considerazione la condotta colposa della Società che, sebbene non si sia conformata alla disciplina in materia di protezione dei dati, ha da una parte agito nell’erronea convinzione -stante l’assenza in capo alla stessa della titolarità del trattamento oggetto di contestazione- di non dover porre in essere alcun adempimento, in qualità di responsabile del trattamento, ai fini di poter dar seguito all’istanza di accesso del reclamante; con riferimento al mancato riscontro alla richiesta di informazioni di questa Autorità rileva che lo stesso è dipeso da un disguido di carattere organizzativo (art. 83, par. 2, lett. b) del Regolamento);

c) in merito al grado di responsabilità della Società si è tenuto conto della mancata adozione da parte di quest’ultima, quale responsabile del trattamento, di adeguate misure tecniche ed organizzative da mettere in atto ai sensi dell’art. 28, par. 3, lett. e) del Regolamento (art. 83, par. 2, lett. d) del Regolamento);

d) in ordine al grado di cooperazione con l’Autorità, ha rilevato che la Società abbia cooperato con l’Autorità nel corso del procedimento solo a fronte della notifica della richiesta di informazioni effettuata da questa Autorità nel corso degli accertamenti ispettivi posti in essere in loco e a seguito degli stessi (art. 83, par. 2, lett. f) del Regolamento), fornendo comunque in tale sede utili elementi ai fini della definizione del procedimento (art. 83, par. 2, lett. k) del Regolamento);

e) ha rilevato inoltre che la mancata risposta alla richiesta di informazioni dell’Autorità ha aggravato il procedimento, sia in termini di tempi che di costi (art. 83, par. 2, lett. k) del Regolamento);

f) relativamente all’adozione di misure atte a mitigare o ad eliminare le conseguenze delle violazioni, è stata positivamente considerata la circostanza che la Società ha rappresentato di aver implementato alcune misure tecniche-organizzative in materia di protezione dei dati personali, volte a garantire una più appropriata gestione delle istanze degli utenti, in conformità alla normativa vigente (art. 83, par. 2, lett. c) del Regolamento);

g) si è tenuto conto infine dell’assenza di precedenti violazioni commesse dalla Società o precedenti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e) del Regolamento).

Si ritiene, inoltre, che assumano rilevanza, nel caso di specie, in considerazione dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), le condizioni economiche del contravventore.

Da ultimo, viene altresì considerata l’entità delle sanzioni irrogate dal Garante in casi analoghi.
In ragione di tutti gli elementi sopra esposti, valutati nel loro complesso, si ritiene, nel caso di specie, di applicare nei confronti di Medical4All Italia S.r.l., la sanzione amministrativa del pagamento di una somma pari ad euro 15.000,00 (quindicimila).

In tale quadro, anche in considerazione della tipologia di violazione accertata che ha riguardato l’inosservanza degli specifici obblighi, in capo al responsabile del trattamento, in materia di diritti degli interessati (artt. 28 par. 3, lett. e) del Regolamento) e delle conseguenze derivate dalla stessa nei confronti del reclamante (prima fra tutto la mancata evasione, nei termini di cui agli artt. 12 e ss. del Regolamento, all’istanza di accesso alle informazioni che lo riguardano), si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 57, par. 1, lett. f) e 83, del Regolamento, rileva l’illiceità del trattamento effettuato Medical4All Italia S.r.l., in persona del legale rappresentante, con sede legale in Milano, Partita n. IVA03548040967, nei termini di cui in motivazione, per la violazione dell’art. 28, par. 3, lett. e) del Regolamento e dell’art. 157 del Codice;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento alla medesima Medical4All Italia S.r.l. di pagare la somma di euro 15.000,00 (quindicimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

quindi a Medical4All Italia S.r.l. di pagare la somma di euro 15.000,00 (quindicimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 12 settembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei