Diritti interna

Doveri interna

ricerca avanzata

Parere su uno schema di “contratto esecutivo” tra il Ministero Ministero per i beni e le attività culturali e SOGEI per l’adeguamento delle applicazioni informatiche finalizzate alla gestione del “Bonus cultura” - 17 gennaio 2019 [9082272]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9082272
Data:
17/01/19
Argomenti:
Istruzione e formazione , Scuola , Studenti
Tipologia:
Parere del Garante

[doc. web n. 9082272]

Parere su uno schema di “contratto esecutivo” tra il Ministero Ministero per i beni e le attività culturali e SOGEI per l’adeguamento delle applicazioni informatiche finalizzate alla gestione del “Bonus cultura” - 17 gennaio 2019

Registro dei provvedimenti
n. 6 del 17 gennaio 2019

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere del Ministero per i beni e le attività culturali;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito Regolamento);

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito Codice);

Vista la documentazione in atti;

Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000; 

Relatore la dott.ssa Augusta Iannini;

PREMESSO

1. Il Ministero per i beni e le attività culturali (MIBAC) ha chiesto il parere del Garante in ordine a uno schema di “contratto esecutivo” da stipulare tra il medesimo Ministero e la società SOGEI – Società Generale d’Informatica per l’adeguamento delle applicazioni informatiche finalizzate alla gestione del beneficio c.d. “Bonus cultura” destinato ai neo diciottenni, di cui al dPCM 15 settembre 2016, n. 187, regolamento recante i criteri e le modalità di attribuzione e di utilizzo della Carta elettronica prevista dall'articolo 1, comma 979, della legge 28 dicembre 2015, n. 208. 

Tale contratto si pone in stretta correlazione con il suddetto regolamento di cui  costituisce attuazione. Ai sensi del citato dPCM infatti la Carta elettronica per i diciottenni è realizzata in forma di applicazione informatica, utilizzabile tramite accesso alla rete internet (per mezzo di una piattaforma informatica dedicata), “nel rispetto della normativa vigente in materia di trattamento dei dati personali, con riferimento , in particolare alle modalità  e ai tempi di conservazione dei dati personali” (artt. 2 e 5). Amministrazione responsabile per l’attuazione del regolamento è il Ministero dei beni e delle attività culturali che a tal fine si avvale, fra l’altro, della società SOGEI; al Ministero spetta di disciplinare le suddette modalità e i tempi della gestione e conservazione dei dati personali con proprio provvedimento da adottare “sentito il Garante per la protezione dei dati personali” (artt. 4 e 10 dPCM n. 187/2016).

Il Garante in questi ultimi anni ha già espresso il parere di competenza in merito all’utilizzo della suddetta Carta elettronica, una prima volta nel 2016 (parere 28 luglio 2016, n. 328, reperibile in www.gpdp.it; doc. web n. 5387638) rispetto ai giovani che compivano diciotto anni di età nell'anno 2016 (in relazione allo schema di regolamento poi adottato il 15 settembre 2016), e successivamente con i pareri 26 luglio 2017, n. 336 e 7 novembre 2018 , n. 477 relativi all’estensione dei benefici economici della carta ai soggetti che compivano 18 anni rispettivamente nel 2017 e nel 2018 (doc. web n. 6821795; doc. web n. 9058972).

Nel parere n. 336 del 2017 l’Autorità ha posto quale condizione che  l’Amministrazione indicasse nei decreti di modifica al regolamento 15 settembre 2016, n. 187 ”le modalità di realizzazione e gestione della «piattaforma informatica dedicata» e dei tempi di conservazione dei dati personali – eventualmente anche attraverso il rinvio a un atto amministrativo di carattere tecnico, nel rispetto dei principi di pertinenza e non eccedenza nel trattamento dei dati personali (… ) con l’adozione di idonee e preventive misure di sicurezza, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”.

A seguito del parere, l’Amministrazione con il dPCM 4 agosto 2017, n. 136, ha integrato l’articolo 10 del regolamento n. 187, prevedendo che il Ministero dovesse non solo assicurare il trattamento dei dati personali ai sensi della normativa vigente, limitandolo alla sola realizzazione dei compiti attinenti all'attribuzione e all'utilizzo della carta elettronica e provvedere alla designazione del responsabile del trattamento dei dati personali, come già previsto, ma anche disciplinare, sentito il Garante, le “modalità e i tempi della gestione e conservazione dei dati personali”. Inoltre, con separata disposizione (art. 2 del medesimo dPCM n. 136 del 2017) si è previsto che le predette “modalità e i tempi della gestione e conservazione dei dati personali” fossero individuate in un allegato alla convenzione da stipularsi fra il medesimo ministero e SOGEI.

Nel recente parere del 2018 il Garante ha richiamato l’attenzione dell’Amministrazione sulla necessità che il trattamento dei dati personali in attuazione della carta dei diciottenni venisse effettuato in presenza di un’adeguata base giuridica in aderenza ai requisiti previsti dall’articolo 6, paragrafo 3, del Regolamento UE 2016/679 (Regolamento generale sulla protezione dei dati), evidenziando la necessità che le modalità e i tempi della gestione e conservazione dei dati personali, con particolare riferimento alla realizzazione della “piattaforma informatica dedicata”, venissero “individuati nello schema di decreto all’esame o, in alternativa e al più presto, negli atti di attuazione già previsti dalla normativa vigente e sopra indicati, i cui schemi - opportunamente coordinati - devono essere trasmessi al Garante per il prescritto parere”. 

RILEVATO

2. Lo schema di contratto in esame si compone di 17 articoli e di quattro allegati, contrassegnati da lettere (A. Piano delle attività; B. Metriche e corrispettivi unitari; C. Piano tecnico di automazione; D. Sicurezza e tutela dei dati).

Tra le disposizioni dello schema di contratto, di particolare interesse per l’Autorità è l’articolo 14, rubricato “Tutela dei dati personali e riservatezza”.

Esso prevede che il Ministero per i beni e le attività culturali designi per iscritto SOGEI “responsabile esterno del trattamento” per le attività di trattamento di dati personali di cui il Ministero è titolare (comma 1).

La società avrà l’obbligo di mantenere riservati i dati e le informazioni di cui venga in possesso, di non divulgarli in alcun modo e in qualsiasi forma e di non farne oggetto di utilizzazione a qualsiasi titolo per scopi diversi da quelli strettamente necessari all’esecuzione del contratto (comma 2).

Di particolare interesse sotto il profilo della protezione dei dati personali è l’allegato D, titolato “sicurezza e tutela dei dati” che detta disposizioni volte a tutelare il patrimonio informativo gestito attraverso la “piattaforma informatica dedicata” e a disciplinare la conservazione e il controllo degli accessi ai dati.

In esso vengono inoltre descritte le procedure organizzative a cui tutti devono attenersi per garantire, in particolare, l'integrità e la riservatezza dei dati personali, le regole di utilizzo delle credenziali di accesso ai dati, l'obbligo di utilizzo di sistemi di crittografia, fino alle modalità di dismissione sicura di qualunque supporto contenente dati personali, nonché di tracciamento e conservazione di tutte le operazioni compiute.

Inoltre, l’Amministrazione ha inviato, con separata nota, una bozza di atto di designazione di SOGEI quale responsabile del trattamento di dati personali per l’applicazione informatica “18app” (di seguito “disciplinare”), corredata da un annesso  dedicato alla procedura di notifica dei data breach all’Autorità di controllo.

RITENUTO

3. Il quadro normativo e le indicazioni del Garante nel parere n. 477/2018.

Come anticipato sopra, il Ministero ha trasmesso all’Autorità uno schema di “contratto esecutivo” con SOGEI, di cui il MIBAC si avvale, unitamente all’Agenzia per l’Italia digitale (AGID) e alla CONSAP, per l’attuazione della disciplina in materia di “Bonus cultura” ai diciottenni.

Nel parere del 7 novembre u.s. il Garante indicava, quali riferimenti normativi fonte degli atti di attuazione della disciplina in questione cui poter ricorrere al fine di dare seguito all’osservazione resa, l’articolo 10 del dPCM n. 187 del 2016, come modificato dal dPCM 4 agosto 2017, n. 136, e l’articolo 2 del medesimo dPCM n. 136/2017.

Nessuna delle due fonti risulta citata nelle premesse della convenzione trasmessa al Garante per il parere.

Si ritiene quindi preliminarmente necessario che l’Amministrazione interessata chiarisca a quale strumento di attuazione si riferisce la presente richiesta di parere e, comunque, completi il processo di attuazione della materia in conformità a quanto richiesto dal Garante, il quale ha espressamente indicato la necessità di un coordinamento contestuale dei due strumenti (cfr. parere del 7 novembre, nel quale il Garante ha ritenuto “necessario che le “modalità e i tempi della gestione e conservazione dei dati personali”, con particolare riferimento alla realizzazione e gestione della “piattaforma informatica dedicata”, siano individuati nello schema di decreto all’esame o, in alternativa e al più presto, negli atti di attuazione già previsti dalla normativa vigente e sopra indicati, i cui schemi - opportunamente coordinati - devono essere trasmessi al Garante per il prescritto parere”).

Da questo punto di vista si richiama l’attenzione sul fatto che lo strumento con cui il Ministero deve disciplinare la materia ai sensi dell’articolo 10 citato non sembra poter avere natura pattizia, come invece sicuramente ha la “convenzione” di cui all’articolo 2 del dPCM del 2017; ciò del resto appare in linea con l’esigenza di assicurare ai trattamenti un’adeguata base giuridica, ai sensi dell’articolo 6, par. 3, del Regolamento.

Sotto questo profilo, l’adozione dell’atto ministeriale (nelle forme che saranno ritenute conformi all’ordinamento interno del dicastero) appare la sede naturale per la disciplina dei trattamenti dei dati personali effettuati da parte del MIBAC ed, eventualmente, dagli altri soggetti “responsabili per la realizzazione della Carta” di cui all’articolo 4 del dPCM n. 187 del 2016 (AGID, SOGEI, CONSAP e il Dipartimento per l'informazione e l'editoria della Presidenza del Consiglio), ivi compreso il profilo delle modalità e dei tempi di conservazione dei dati.

Non risultano, inoltre, previste nella documentazione trasmessa disposizioni atte a disciplinare il trattamento di dati personali effettuato dal MIBAC nell’ambito dell’attività di vigilanza e controllo ai sensi dell’articolo 9 del predetto dPCM n. 187, in base al quale il Ministero, in caso di eventuali usi difformi o di violazioni delle norme, può provvedere alla disattivazione della Carta di uno dei beneficiari o alla cancellazione dall'elenco di una struttura, di un'impresa o di un esercizio commerciale ammessi, fatte salve le ulteriori sanzioni previste dalla normativa vigente.

Ciò premesso, si ritiene necessario che l’Amministrazione completi il quadro di attuazione della disciplina della carta elettronica dei diciottenni prevista dal dPCM n. 187 del 2016 nei termini sopra descritti, coordinando le disposizioni dell’atto ministeriale di cui all’articolo 10 del predetto regolamento con quelle del “contratto esecutivo”.

4. Il “contratto esecutivo” e il ruolo del Ministero e di SOGEI sotto il profilo della protezione dei dati.

L’articolo 14 dello schema di contratto, rubricato “Tutela dei dati personali e riservatezza”, al comma 1 prevede che per finalità di “tutela della privacy, il Ministero per i beni e le attività culturali designa per iscritto Sogei, in conformità alla normativa vigente, quale Responsabile esterno del trattamento per le attività di trattamento di dati personali di cui il Ministero per i beni e le attività culturali è Titolare, indicando in tale comunicazione i trattamenti di cui Sogei è incaricata e le specifiche istruzioni a cui Sogei dovrà attenersi”.

Sul punto si osserva che - salva l’esigenza di adeguare la terminologia adoperata al nuovo quadro normativo europeo (Regolamento (UE) 2016/679 che si ritiene necessario citare nel preambolo del contratto come di ogni altro provvedimento di attuazione, unitamente al decreto legislativo n. 196/2003, come modificato dal d. lg. n. 101 del 2018, e recante il Codice in materia di protezione dei dati personali) - la previsione del ruolo di “responsabile del trattamento” in capo a SOGEI risulta corretta alla luce della descrizione dei trattamenti di dati personali desumibile dal contratto e dalla documentazione ad esso allegata.

L’articolo 28 del predetto Regolamento, al paragrafo 1, stabilisce infatti che qualora un trattamento dei dati debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre a responsabili del trattamento che presentino garanzie sufficienti a mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti dell’interessato; il medesimo articolo, poi, al paragrafo 3 precisa che i trattamenti da parte del responsabile del trattamento sono disciplinati da un “contratto o da altro atto giuridico” a norma del diritto degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.

Ciò premesso, dal punto di vista formale si suggerisce di sostituire le parole “designa per iscritto Sogei” con “ricorre a SOGEI” e le parole “indicando in tale comunicazione” con “indicando nel relativo atto giuridico”. Inoltre, posto che il presente schema di contratto rappresenta uno strumento giuridico adeguato alla disciplina degli obblighi e delle responsabilità reciproche fra il titolare e il responsabile del trattamento, alla stregua del sopra citato articolo 28, par. 3, del Regolamento, valuti l’Amministrazione se riportare nello schema in esame il predetto “disciplinare” piuttosto che fare rinvio ad un separato accordo negoziale.

5. Il “disciplinare” del rapporto fra titolare e responsabile del trattamento.

Quanto ai contenuti di tale disciplinare, si fa riferimento alla bozza di atto di designazione di SOGEI quale responsabile del trattamento da parte del Ministero, trasmessa a questa Autorità con separata nota.

Al riguardo si forniscono le seguenti indicazioni, elaborate alla luce della documentazione relativa all’applicazione 18app acquisita agli atti del Garante anche nel corso di accertamenti ispettivi.

5.1. Al paragrafo IV di tale atto sono indicati i dati personali relativi ai soggetti beneficiari del “Bonus cultura” e degli esercenti coinvolti che il titolare del trattamento mette a disposizione del responsabile del trattamento per il relativo trattamento ai fini dell’espletamento della procedura di fruizione del beneficio.

Fra questi dati sono ricompresi anche i dati di contatto - l’indirizzo di posta elettronica (e-mail), il telefono cellulare e il telefono fisso (quest’ultimo solo per gli esercenti)- che, unitamente agli altri dati, vengono raccolti da SOGEI ad ogni accesso al servizio nel corso dell'autenticazione tramite SPID e memorizzati nel registro delle transazioni tenuto dalla stessa società in qualità di service provider.

L’articolo 3 del dPCM n. 187 del 2016 prevede che SPID venga utilizzato per accertare i dati anagrafici dei beneficiari, mentre non fa riferimento alla possibilità di raccogliere, attraverso tale sistema, anche i dati di contatto che, peraltro, i beneficiari non hanno la possibilità di modificare una volta registrati sulla piattaforma.

Al riguardo si osserva, inoltre, che la raccolta dei dati di contatto dei beneficiari, prevista dal disciplinare, non risulta supportata da alcuna precisazione circa le finalità per le quali tale informazioni dovrebbero essere trattate, le modalità di utilizzo e le categorie di soggetti autorizzati al loro trattamento.

Si ritiene quindi necessario che, nel rispetto dei principi di minimizzazione e di privacy by default (artt. 5, par. 1, lett. c) e 25 Reg.), nonché dell’articolo 27 del Regolamento AGID recante le modalità attuative per la realizzazione dello SPID, l’Amministrazione valuti la pertinenza e non eccedenza di tali informazioni rispetto alle finalità perseguite, limitandosi a raccogliere, attraverso l’autenticazione a SPID, solo le informazioni relative ad attributi effettivamente necessari ad erogare il servizio).

5.2. Al paragrafo VI (“Ulteriore responsabile del trattamento”), è previsto il rilascio di un’“autorizzazione generale” a SOGEI ad avvalersi di ulteriori responsabili, senza renderli noti al titolare. Al riguardo, si rileva che tale modalità di autorizzazione all’utilizzo di altri responsabili da parte dell’iniziale responsabile del trattamento non appare conforme all’articolo 28, paragrafo 2, del Regolamento e al principio di accountability, poiché priva il titolare di strumenti di controllo delle attività di trattamento. Il titolare, infatti, deve conoscere l’identità degli ulteriori responsabili e potersi opporre a eventuali aggiunte e sostituzioni.

Il testo va pertanto rimodulato in conformità alle disposizioni del Regolamento.

5.3. Al paragrafo VII “Diritto di informazione delle persone interessate” si precisa che il titolare rende l’informativa agli interessati al “momento della raccolta dei dati”. 

Fermo restando l’obbligo per i gestori dell’identità SPID di informare gli interessati al momento dell’autenticazione e prima di emettere l’asserzione con gli attributi richiesti, ai sensi del articolo 27 del predetto Regolamento AGID, occorre che nel disciplinare sia adeguatamente rappresentato a SOGEI che un’idonea informativa deve essere resa agli interessati in ogni caso al momento della registrazione al servizio.
Con l’occasione, si rileva che il testo dell’”Infoprivacy” disponibile, ad oggi, sul sito dell’applicazione 18app non contiene gli elementi richiesti dall’articolo 13 del Regolamento, con particolare riguardo ai dati del responsabile della protezione dati, alla base giuridica del trattamento, ai tempi di conservazione e al diritto a porre reclamo ad un’autorità di controllo, né in merito all’attività di vigilanza del MIBAC sul funzionamento della Carta. 

Al fine di verificare, pertanto, la conformità dei trattamenti in atto alla normativa in materia di protezione dei dati personali, si invita il Ministero a trasmettere a questa Autorità idonea documentazione contenente tutte le informazioni fornite agli interessati ai sensi degli articoli 13 e 14 del Regolamento nell’ambito della registrazione all’applicazione 18app. 

5.4. Al paragrafo IX si disciplina la “notifica” del responsabile del trattamento al titolare di ogni utile informazione circa gli adempimenti richiesti dal Regolamento in caso di “violazione dei dati” (artt. 33 e 34) con rinvio ad uno specifico “annesso” denominato “Flusso di notifica di data breach all’Autorità di controllo”.

Il predetto flusso di notifica presenta criticità in relazione al ruolo del titolare nella qualificazione dell’incidente di sicurezza come violazione di dati personali e nella tempestività di tale procedura. Si sottolinea, pertanto, la necessità  di rivedere le diverse fasi attuative del citato flusso di notifica in modo tale da non inficiare la tempestività della procedura, assicurando che siano svolte con la massima celerità e chiarendo i ruoli assunti, rispettivamente, dal titolare e dal responsabile nella qualificazione dell’incidente di sicurezza occorso (in particolare, punti 2 e 3). 

6. Conservazione dei dati personali e relativi tempi.

Come previsto da entrambe le fonti normative sopra citate (art. 10 dPCM 187/2016 e art. 2 dPCM 136/2017), devono essere disciplinati i tempi di conservazione dei dati; ciò in attuazione del Regolamento, che obbliga i titolari del trattamento non solo ad individuare termini adeguati di conservazione dei dati, ma anche ad indicarli nell’informativa resa agli interessati (in alternativa ai “criteri utilizzati” per determinarli) (artt. 5, par. 1, lett. e), e 13, par. 2, lett. a), Reg.).

Indicazioni in tema di conservazione dei dati si si trovano nel paragrafo 5 dell’allegato D al contratto esecutivo (e nella bozza di atto di designazione del responsabile del trattamento di cui si dirà appresso: ai parr. III. Principi generali da osservare e XII), ma solo per quanto riguarda i trattamenti effettuati da SOGEI quale responsabile del trattamento attraverso la piattaforma da essa gestita. Peraltro, la generica  previsione ivi contenuta - che prevede la conservazione dei dati presso il responsabile del trattamento fino alla “scadenza della durata del contratto esecutivo e sue eventuali proroghe” - non risulta conforme al principio di limitazione della conservazione dei dati di cui all’articolo 5, par. 1, lett. e), del Regolamento.

Nessuna previsione risulta invece rispetto ai trattamenti effettuati dal Ministero quale titolare del trattamento e dagli altri soggetti responsabili per la realizzazione della Carta eventualmente coinvolti.

Si ritiene, pertanto, necessario che vengano individuati nei pertinenti provvedimenti di attuazione, e resi noti agli interessati, per tutti i soggetti coinvolti, tempi di conservazione dei dati proporzionati rispetto a ciascuna delle finalità perseguite.

7. Sicurezza del sistema e dei dati.

Per quanto riguarda la sicurezza del sistema e dei dati, descritta principalmente nell’Allegato D al contratto esecutivo, si osserva preliminarmente che le misure tecniche ed organizzative indicate sembrano applicarsi esclusivamente a SOGEI, mentre non è disciplinata l’adozione da parte del MIBAC di adeguate misure – anche solo organizzative - volte a tutelare la riservatezza dei dati degli interessati in ogni fase del trattamento, eventualmente effettuato anche da parte degli altri soggetti responsabili per la realizzazione della Carta. Tali misure andranno quindi opportunamente individuate nei pertinenti provvedimenti di attuazione. 

Nel citato Allegato inoltre non risulta chiaro se tutti i presidi di sicurezza descritti siano riferiti all’applicazione 18app o se rappresentino l’infrastruttura di sicurezza complessivamente adottata da SOGEI per lo sviluppo, la manutenzione e la conduzione dei diversi servizi erogati per conto della pubblica amministrazione.  In particolare è necessario chiarire se l’applicazione 18app rientri nel perimetro di certificazione della ISO 27001 e nel c.d. “business governance improvement”. E’ altresì necessario esplicitare, al paragrafo 5 (“Conservazione dei dati”) le misure poste concretamente a tutela dei dati personali e della loro riservatezza.

Infine è necessario definire la frequenza di esecuzione dei test dinamici (c.d. DAST) e i tempi di ripristino di eventuali vulnerabilità rilevate di gravità alta e media.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’articolo 58, par. 3, lett. b), del Regolamento, esprime parere nei termini di cui in motivazione sullo schema di “contratto esecutivo” da stipulare tra il Ministero dei beni ambientali e culturali e la società SOGEI – Società Generale d’Informatica per l’adeguamento delle applicazioni informatiche finalizzate alla gestione del beneficio c.d. “Bonus cultura” destinato ai neo diciottenni, di cui al dPCM 15 settembre 2016, n. 187, e sugli altri provvedimenti di attuazione della predetta normativa, con le condizioni di cui ai punti da 3 a 7;

b) ai sensi dell’articolo 58, par. 1, lett. a), del Regolamento ingiunge all’Amministrazione a trasmettere tempestivamente all’Autorità:

-  i testi dei provvedimenti di attuazione che si intendono emanare a seguito di quanto rappresentato in premessa;

- le informazioni fornite agli interessati ai sensi degli articoli 13 e 14 del Regolamento nell’ambito della registrazione all’applicazione 18app (punto 5.3).

Roma, 17 gennaio 2019

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia