g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Prescrizioni del Garante
  4. Provvedimento del 27 febbraio 2025 [10118264]

Provvedimento del 27 febbraio 2025 [10118264]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10118264]

Provvedimento del 27 febbraio 2025

Registro dei provvedimenti
n. 117 del 27 febbraio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo.

L’Autorità ha ricevuto una segnalazione con la quale la segnalante ha lamentato di aver ricevuto in più di un’occasione, e precisamente, in data XX e in data XX al proprio indirizzo e-mail la convocazione relativa ad una riunione del Gruppo di Lavoro Operativo per l’inclusione scolastica (GLO) organizzato dall’Istituto Comprensivo “Maria Grazia Cutuli” di Roma (di seguito, l’Istituto), pur non “essendone interessata né come personale dell’Istituzione scolastica, né come parte del Gruppo Lavoro né per qualsiasi altra motivazione”. La richiamata convocazione sarebbe infatti dovuta, secondo quanto segnalato ad un caso di “omonimia con un componente del gruppo di lavoro”.

2. L’attività istruttoria.

Con nota del XX (prot. n. XX), l’Istituto ha fornito riscontro alla richiesta di informazioni formulata dall’Autorità, rappresentando, in particolare, che:

- “la segnalante è soggetto aspirante personale ATA che può ritenersi soggetto affidabile in base a quanto previsto da European Data Protection Board che, nelle sue linee guida sul data breach, afferma: Il fatto che il titolare del trattamento sappia o meno che i dati personali sono nelle mani di persone le cui intenzioni sono sconosciute o potenzialmente dannose può incidere sul livello di rischio potenziale. Prendiamo una violazione della riservatezza nel cui ambito i dati personali vengono comunicati a un terzo di cui all’articolo 4, punto 10, o ad altri destinatari per errore. Una tale situazione può verificarsi, ad esempio, nel caso in cui i dati personali vengano inviati accidentalmente all’ufficio sbagliato di un’organizzazione o a un’organizzazione fornitrice utilizzata frequentemente. Il titolare del trattamento può chiedere al destinatario di restituire o distruggere in maniera sicura i dati ricevuti. In entrambi i casi, dato che il titolare del trattamento ha una relazione continuativa con tali soggetti e potrebbe essere a conoscenza delle loro procedure, della loro storia e di altri dettagli pertinenti, il destinatario può essere considerato “affidabile”. In altre parole, il titolare del trattamento può ritenere che il destinatario goda di una certa affidabilità e può ragionevolmente aspettarsi che non leggerà o accederà ai dati inviati per errore e che rispetterà le istruzioni di restituirli. Anche se i dati fossero stati consultati, il titolare del trattamento potrebbe comunque confidare nel fatto che il destinatario non intraprenderà ulteriori azioni in merito agli stessi e restituirà tempestivamente i dati al titolare del trattamento e coopererà per garantirne il recupero. In tali casi, questo aspetto può essere preso in considerazione nella valutazione del rischio effettuata dal titolare del trattamento in seguito alla violazione; il fatto che il destinatario sia affidabile può neutralizzare la gravità delle conseguenze della violazione, anche se questo non significa che non si sia verificata una violazione. Nel caso in esame, è evidente che il soggetto che, per mero errore ha ricevuto i dati è soggetto affidabile risultando pressoché azzerato il livello di rischio”;

- “come emerge in modo evidente dagli allegati uniti alla segnalazione, nessun dato sensibile/particolare è stato diffuso. Si tratta solo di informazioni che possono portare ad assunzioni di carattere molto generico, ma nessuna informazione di dettaglio. Sono difatti presenti i nomi dei docenti, dei terapisti e dell’alunno, ma nulla sulla tipologia di disturbi dello stesso. A tal riguardo, vale la pena di ricordare che, secondo le linee guida di ENISA dal titolo “Recommendations for a methodology of the assessment of severity of personal data breaches”, il livello di rischio in simili situazioni è quasi azzerato, proprio per via del fatto che nessun dato personale è presente ma solo assunzioni generali. Nel caso in esame, è chiaro che nessun dato di dettaglio è stato comunicato e, comunque, anche qualora vi fossero dati di dettaglio, il soggetto ricevente ricordiamo essere soggetto “affidabile”, circostanza questa che assieme a quanto appena evidenziato, rende nullo il rischio”;

- “si evidenzia come l’invio sia stato fatto per mero errore materiale da soggetto autorizzato e regolarmente formato. E’ solo per errore che è stata inviata la comunicazione al segnalante. Non di certo per volontà o per iscrizione ad una newsletter. Un errore materiale, purtroppo sempre possibile, ma reso meno grave alla luce delle circostanze sopra evidenziate”.

Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del XX (prot. n. XX), all’Istituto, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, 6 e 9 del Regolamento, degli artt. 2-ter e 2-sexies del Codice invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

L’Istituto ha fatto pervenire le proprie memorie difensive, con note del XX (prot. n. XX) e del XX (prot. n. XX), rappresentando, in particolare, che:

- “La segnalante ha lamentato di aver ricevuto SOLTANTO n. 2 mail di convocazione al GLO, a lei dalla scuola erroneamente destinate. E’ sin troppo evidente che anche ove tutto ciò venisse accertato, si tratterebbe di un mero errore materiale. Si precisa poi che le convocazioni al GLO non contengono riferimento a dati sensibili ma solo quelle che   ENISA ed EDPB chiamano “general assumption”;

- “NESSUN DATO SENSIBILE è presente nelle convocazioni. Vi è solo il riferimento alla convocazione GLO, senza dettaglio alcuno. Pertanto è evidente che la casistica rientra a pieno titolo nella categoria delle “general assumption” indicate come sopra da ENISA”;

- “rispetto all’Art. 83. Par. 2 Lett. b), occorre rilevare come in segreteria il numero di persone in organico di diritto ammonti a cinque unità dal XX ma che le procedure amministrative afferenti alla gestione degli alunni disabili siano diventate più complesse, in particolare negli ultimi tre anni, ciò dovuto tanto all’aumento esponenziale dei casi di alunni con disabilità certificata, quanto all’ammontare di operatori coinvolti e di momenti di confronto necessari a garantire la massima inclusione dei più fragili. Ciononostante, l’asserito errore in esame ha riguardato, si ribadisce, SOLO 2 invii di mail, le quali contenevano NON dati sensibili inerenti la salute, ma “general assumption” così come definite da ENISA”;

- “rispetto all’art. 83, par. 2, lett. c) e d), le misure intraprese da questa istituzione scolastica per attenuare le conseguenze della violazione e le misure tecniche e organizzative specifiche messe in atto ai sensi degli articoli 25 e 32: Indicazione dei soggetti interessati, con particolare riferimento agli alunni con disabilità, mediante le sole iniziali di nome e cognome; Assoluta mancanza di riferimento a codici sanitari in grado di identificare la tipologia di disabilità degli studenti disabili, ma esclusivamente classe e sezione frequentata; Controllo sistematico e periodico della rubrica di riferimento della posta elettronica in uso all’istituzione al fine di azzerare margini di errore dovuti a omonimia; Formazione, informazione e aggiornamento continuativo e periodico del personale e di tutti gli stakeholder dell’istituzione, anche mediante il coinvolgimento del DPO sia digitalmente che in presenza; Controllo dell’uso dei dati presenti su materiale cartaceo riprodotto mediante macchina fotocopiatrice in uso all’istituzione, per una corretta gestione del materiale; La dicitura in calce ad ogni corrispondenza in uscita per come segue: “Le informazioni contenute nella presente comunicazione e i relativi eventuali allegati possono essere riservate e sono, comunque, destinate esclusivamente alle persone o alle Società sopraindicate. La diffusione, distribuzione e/o copiatura del documento trasmesso da parte di qualsiasi soggetto diverso dal destinatario è proibita ai sensi GDPR (Regolamento UE 679/16). Se questo messaggio vi è stato inviato per errore, vi preghiamo di distruggerlo e di informarci immediatamente per telefono allo (…) o per e- mail: (…)”;

- “rispetto all’art. 83, par. 2 lett. f), l’istituto, nella persona del Titolare del Trattamento dei Dati, garantisce una piena e tempestiva cooperazione con l’Autorità per porre rimedio alla violazione al fine di attenuarne i possibili effetti negativi”;

- “la presenza di dati sanitari non può che ricondurre all’alveo dell’art 9 GDPR. Tuttavia, si ribadisce che la convocazione al GLO non contiene indicazioni di dettaglio, bensì solo dati che indirettamente lasciano presagire che lo studente potrebbe avere un bisogno specifico. Non viene però detto nulla su quali difficoltà egli abbia o su decisioni riguardanti esso”;

- “rispetto all’Art. 83, par. 2, lett. i), si evidenzia come non sia mai intercorsa la necessità di attuare prescrizioni, limitazioni o divieti disposti dal Garante, non essendo stata ad oggi rilevata alcuna violazione del Regolamento; ciò in quanto la scrivente Dirigente Scolastica, dall’a.s. XX, e dapprima la DSGA in servizio fino al XX e i due DSGA in servizio dal XX ad oggi, hanno sempre posto particolare attenzione dapprima alle procedure utili e necessarie a garantire la precisa osservanza delle disposizioni stabilite dal D.lgs. 196/2003 e successivamente dal Regolamento generale sulla protezione dei dati n. 2016/679 e norme attuative correlate, seppur con le esigue risorse umane e finanziarie disponibili, nonostante l’estensione del numero e del tipo di dati ritenuti meritevoli di protezione da parte dell’ordinamento, l’aumento delle competenze delle istituzioni scolastiche in merito tanto agli alunni quanto al personale e dei rapporti tra quelle e gli altri soggetti istituzionali ed operatori privati con cui si garantiscono esperienze formative, lavorative e umane mediante rapporti e collaborazioni sempre più complessi”;

- “sul punto si ricorda che il soggetto segnalante, è da ritenersi “soggetto affidabile”. Tale circostanza è chiaramente determinante nell’identificare il livello di rischio per i dati dei minori presenti nelle DUE convocazioni giunte erroneamente alla segnalante. Sull’importanza dell’affidablità del destinatario nella determinazione del rischio, si riporta EDPB (già WP28) in Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679”.

Nel corso dell’audizione, tenutasi in data XX, l’Istituto ha altresì dichiarato:

- “ad integrazione di quanto già in atti, (… si) descrive la presenza di elementi che giocano a favore della riduzione della gravità della comunicazione in esame. Nell’invio della comunicazione dei GLO non sono presenti elementi sensibili, ovvero i motivi per cui la persona è stata inserita in un GLO, vi è solo la convocazione dello stesso. La violazione c’è stata ma la convocazione del GLO è molto generica (patologie possibili, ad es. diabete o schizofrenia) anche sulla base di quanto contenuto nelle linee guida ENISA”;

- “le Linee guida EDPB sostengono che quando il destinatario dell’illecita comunicazione è affidabile, tale affidabilità può neutralizzare le conseguenze della violazione”;

- “nei documenti allegati dalla segnalante, in particolare, nelle mail ricevute (condivise durante la seduta ZOOM), c’erano dei destinatari in CCN, questo testimonia un livello alto di attenzione da parte dell’Istituto. Il personale dell’Istituto è formato e sensibilizzato in materia di protezione dei dati personali”;

- “si è trattato di un errore materiale ma l’Istituto ha fatto tutto ciò che poteva fare in termini di formazione e sensibilizzazione del personale”;

- “l’istituto aveva pensato di minimizzare le comunicazioni in relazioni al GLO (es. iniziali di nome e cognome dell’alunno, ma il numero degli alunni con disabilità e i casi di omonimia avrebbero reso questa misura comunque non risolutiva)”;

- “la Parte (…) aggiunge che l’Istituto ha una media del 10% di alunni con disabilità che necessitano di GLO, questo comporta un lavoro aggiuntivo. Vi è stato, negli ultimi anni, un aumento di casi di disabilità e di procedure più complesse per la gestione delle stesse”.

3. Normativa applicabile.

3.1 Il quadro normativo.

Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), definisce “dato personale”, “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” e “dati relativi alla salute”, “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, punti 1 e 15, del Regolamento).

A norma del Regolamento il trattamento di dati personali effettuato in ambito pubblico è lecito quando è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. c) ed e) e paragrafo 2 e 3 del Regolamento; art 2-ter del Codice).

Più in generale, la normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (…)” (art. 6, paragrafo 2 del Regolamento).

La disciplina nazionale ha introdotto disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando, con maggiore precisione, requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2 del Regolamento) e, in tale ambito, ha previsto che le operazioni di trattamento che consistono nella “diffusione” e “comunicazione” di dati personali sono ammesse solo quando previste da una norma di legge, regolamento o atti amministrativi generali (art. 2-ter, del Codice).

Con riguardo alle categorie particolari di dati personali, il trattamento è, di regola, consentito ove “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento), a condizione che i trattamenti siano “previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato” (art. 2-sexies, comma 1, del Codice).

Il titolare del trattamento è poi tenuto a rispettare i principi in materia di protezione dei dati, tra cui quello di “liceità, correttezza e trasparenza” in base al quale i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato (art. 5, par. 1, lett. a) del Regolamento).

3.2 Il trattamento di dati personali effettuato dall’Istituto.

Dall’accertamento compiuto, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni del Dipartimento, risulta accertato che l’Istituto ha inviato, in due diverse occasioni, e in particolare in data XX e in data XX all’indirizzo e-mail della segnalante la convocazione relativa ad una riunione del Gruppo di Lavoro Operativo per l’inclusione scolastica (GLO) contenente l’indicazione del nominativo dell’alunno per  il quale il GLO è stato organizzato, pur non essendo la segnalante una docente della classe o uno dei componenti del GLO.

In via preliminare si osserva che, ai sensi dell’art. 4 par.1, n. 15 del Regolamento sono considerati dati relativi alla salute “i dati personali attinenti alla salute fisica e mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute”.

Stante la definizione di dato personale e di dato relativo alla salute (art. 4, punti 1 e 15, del Regolamento), si ritiene che la convocazione di una riunione del Gruppo di lavoro Operativo per l’inclusione scolastica, prevista dalla normativa di settore in materia di disabilità, rappresenti di per sé una informazione relativa allo stato di salute dell’alunno per il quale viene convocata.

Le informazioni relative alla convocazione del richiamato gruppo di lavoro, recanti in chiaro il nominativo dell’alunno per il quale sono state organizzate, possono essere comunicate solo ai genitori dello studente interessato, ai docenti della classe di appartenenza di quest’ultimo e ai soggetti individuati dalla normativa di settore coinvolti nell’intervento terapeutico e formativo seguito dall’alunno stesso (cfr. art. 9, comma 10, d.lgs. 13 aprile 2017, n. 66).

Alla luce delle considerazioni che precedono, l’Istituto, ancorché a seguito di un mero errore, inviando secondo le suddette modalità, le convocazioni delle riunioni del Gruppo di lavoro Operativo per l’inclusione scolastica contenenti l’indicazione del nominativo dell’alunno per il quale il GLO era stato organizzato, ha dato luogo a una “comunicazione” di dati personali anche relativi alla salute, in violazione degli artt. 5, 6, 9 del Regolamento e 2-ter e 2 sexies del Codice).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dall’Istituto, in violazione degli artt. 5, 6 e 9 del Regolamento nonché dell’art. 2-ter e 2-sexies del Codice.

Ciò premesso, tenuto conto che:

- il titolare del trattamento è un istituto scolastico e, pertanto, un soggetto di ridotte dimensioni;

- l’istituto versa in difficili condizioni in quanto può disporre di un ristretto numero di personale di segreteria in organico a fronte di procedure riguardanti la gestione degli alunni disabili sempre più complesse e di un notevole aumento dei casi di alunni con disabilità certificata;

- la comunicazione di dati ha riguardato solo un numero ristretto di alunni;

- l’evento si è verificato per un mero errore materiale verificatosi al momento dell’invio delle e-mail;

- il titolare del trattamento ha prestato piena collaborazione all’Autorità nel corso dell’istruttoria;

- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento;

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018”.

Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato gli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento nonché dell’art. 2-ter e 2-sexies del Codice.

Considerato che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

- ai sensi dell’art. 57, par. 1, lett. f), dichiara illecita la condotta tenuta dall’Istituto Comprensivo “Maria Grazia Cutuli”, con sede in via Melizzano 94, 00132 Roma, Codice fiscale 97198130581, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. artt. 5, par. 1, lett. a), 6 e 9 del Regolamento nonché dell’art. 2-ter e 2-sexies del Codice;

- ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce l’Istituto Comprensivo “Maria Grazia Cutuli” quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento nonché dell’art. 2- ter e 2-sexies del Codice;

DISPONE

-  ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 febbraio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
10118264
Data
27/02/25

Argomenti

Dati sanitari Scuola Studenti

Tipologie

Prescrizioni del Garante

Vedi anche (8)