Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti della Regione Campania - 2 luglio 2020 [9440075]

 

VEDI ANCHE Newsletter del 27 luglio 2020

 

[doc. web n. 9440075]

Ordinanza ingiunzione nei confronti della Regione Campania - 2 luglio 2020

Registro dei provvedimenti
n. 120 del 2 luglio 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la prof.ssa Licia Califano e la dott.ssa Giovanna Bianchi Clerici, componenti e il dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida del Garante in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Antonello Soro;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto una segnalazione in ordine alla pubblicazione sul sito web istituzionale della Regione Campania di dati e informazioni personali dei signori XX e XX.

Nello specifico, come verificato in base all’accertamento preliminare effettuato dall’Ufficio, è risultato che all’url http://..., era visualizzabile e liberamente scaricabile il documento intitolato «XX» del XX, a firma del Responsabile del XX, contenente dati personali dei segnalanti (nominativo e residenza), relativi a un debito maturato dalla Regione nei loro confronti in esecuzione di una sentenza esecutiva con specificazione dell’ammontare.

La Regione ha comunicato con nota prot. n. XX del XX che a seguito della richiesta d’informazioni dell’Ufficio (prot. n. XX del XX) la “Direzione Generale per il Governo del Territorio, i lavori pubblici e la protezione civile” ha provveduto a far oscurare i dati personali oggetto della segnalazione.

2. Normativa applicabile.

Ai sensi del RGPD il trattamento di dati personali effettuati da soggetti pubblici (come la Regione) è lecito solo se necessario «per adempiere un obbligo legale al quale è soggetto il titolare del trattamento» oppure «per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» (art. 6, par. 1, lett. c ed e).

È inoltre previsto che «Gli Stati membri possono mantenere […] disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]» (art. 6, par. 2, RGPD), con la conseguenza che al caso di specie risulta applicabile la disposizione contenuta nell’art. 19, comma 3, del Codice (vigente all’epoca dei fatti e il cui contenuto è ora riprodotto nei medesimi termini nel nuovo art. 2-ter, commi 1 e 3, del Codice), laddove prevede che l’operazione di diffusione di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o di regolamento.

In ogni caso, il titolare del trattamento è tenuto a rispettare, altresì, i principi in materia di protezione dei dati, fra i quali quello di «liceità, correttezza e trasparenza» nonché di «minimizzazione», in base ai quali i dati personali devono essere «trattati in modo lecito, corretto e trasparente nei confronti dell'interessato» e devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. a e c, del RGPD).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che la Regione Campania diffondendo i dati personali dei segnalanti relativi a un debito maturato dalla Regione nei loro confronti, in esecuzione di una sentenza esecutiva, con specificazione del relativo ammontare – contenuti nel documento intitolato «XX n. XX del XX - prat. avv.ra n. XX. Area XX Settore XX Servizio XX» del XX, a firma del Responsabile del Servizio XX– ha effettuato un trattamento di dati personali non risultato conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate alla Regione le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione delle misure correttive di cui all’art. 58, par. 2, del RGPD e invitando la Regione a inviare al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive e audizione.

Con la nota prot. n. XX del XX la Regione Campania ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate, allegando diversa documentazione inerente agli adempimenti in materia di protezione dei dati personali.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, nella nota prot. n. XX dell’XX (allegata alla citata nota di riscontro) è stato evidenziato, fra l’altro che:

- si è già «provveduto a far oscurare i dati personali presente nella “XX”»;

- «nella vicenda de qua […] non sono derivati danni a terzi né, tantomeno, in capo ai soggetti i cui nominativi erano stati diffusi, senza ulteriore indicazione»;

- «i dati riportati all’interno dell’url in contestazione erano stati inseriti in conseguenza dell’obbligo di cui all’art. 73 del D. Lgs. 118/2011, relativo al procedimento di riconoscimento della legittimità di debiti fuori bilancio delle Regioni, a mente del quale “il Consiglio regionale riconosce con legge, la legittimità dei debiti fuori bilancio derivanti da: a) sentenze esecutive […]”, imponendo in capo agli enti la pubblicazione di tutti i documenti posto a supporto della relativa richiesta»;

- «Inoltre, i dati personali, oggetto della diffusione online, riguardavano l’esecuzione di una sentenza civile, di cui le parti interessate non avevano richiesto la cautela di cui all’art. 52, comma 1, del D. Lgs. 30 giugno 2003, n. 196, che consente all’interessato di chiedere, per motivi legittimi, con richiesta depositata nella cancelleria o segreteria dell’ufficio che procede prima che sia definito il relativo grado di giudizio, che sia apposta a cura della medesima cancelleria o segreteria, sull’originale della sentenza o del provvedimento, un’annotazione volta a precludere, in caso di riproduzione della sentenza o provvedimento in qualsiasi forma, l’indicazione delle generalità e di altri dati identificativi del medesimo soggetto interessato riportati sulla sentenza o provvedimento»;

- «la contestazione fa riferimento ad una situazione verificatasi prima dell’adozione della normativa in riferimento. Seppur il Regolamento 2016/679 risulti operante a decorrere dal XX, il decreto attuativo è stato adottato solamente nell’agosto 2018 (“Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”, G.U. n. 205 del 4.09.2018. Orbene, in ragione del “Principio di legalità”, di cui all’art. 1 L. 689/1981, “Nessuno può essere assoggettato a sanzioni amministrative se non in forza di una legge che sia entrata in vigore prima della commissione della violazione. Le leggi che prevedono sanzioni amministrative si applicano solo nei casi e per i tempi in esse considerati”. Del tutto evidente, quindi come nel caso analizzato dall’Autorità Garante i fatti abbiano avuto origine ben prima dell’entrata in vigore della normativa di dettaglio e, comunque, lo si ribadisce, sono stati immediatamente e prontamente risolti da parte dell’Ente».

In data XX si è, inoltre, svolta presso il Garante l’audizione richiesta dalla Regione ai sensi dell’art. 166, comma 6, del Codice in occasione della quale è stato rappresentato, ad integrazione di quanto già riportato nella documentazione inviata, che la Regione:

- «è tenuta, ai sensi del d.lgs. 267/2000 (Capo II, Titolo III) nonché dell’art. 151, comma 4 del medesimo decreto, a pubblicare i dati personali oggetto di segnalazione, anche per consentire alla magistratura contabile di effettuare i controlli sul decreto relativo al debito fuori bilancio»;

- «si è, in ogni caso, attivata prontamente per oscurare i dati personali del reclamante a seguito dell’avvenuta conoscenza del reclamo»;

- «ha avviato un percorso formativo a favore di tutti gli uffici della Regione e dei dirigenti. La Regione ha, inoltre, provveduto a nominare un Responsabile della protezione dei dati personali».

Nel corso della predetta audizione, la Regione ha provveduto a depositare la nota integrativa prot. n. XX del XX, alla quale sono allegati diversi documenti a dimostrazione dell’adozione di «procedure apposite volte all’oscuramento dei dati sin dalla progettazione», evidenziato, fra l’altro che:

- «nel caso di debito fuori bilancio, la menzione del nominativo dei soggetti cui destinare l’impegno di spese, “è pienamente lecita” in quanto, come noto, come previsto dal Capo II, Tit. III del D. Lgs. 267/2000, per l’adozione degli impegni di spesa, è prevista non solo l’indicazione dell’importo da pagare e delle generalità del creditore, ma anche l’esplicitazione delle ragioni dell’impegno stesso (cfr., in particolare, art. 185, co. 2, [che] disciplina, per quel che quivi particolarmente interessa, le indicazioni minime che deve contenere il mandato di pagamento e, tra queste, figura espressamente alla lettera, “e) indicazione del creditore e, se si tratta di persona diversa, del soggetto tenuto a rilasciare quietanza, nonché il relativo codice fiscale o la partita IVA”, rammentando come, a ben vedere, l’ente territoriale, obbligato alla pubblicazione di quel dato, lo abbia pubblicizzato solo con nome e cognome, evitando l’inserimento del codice fiscale che, certamente, avrebbe comportato una più facile individuazione dei soggetti asseritamente lesi»;

- «Ed ancora, ad ulteriore conferma dell’obbligo, in quella fase, di pubblicazione dei nominativi dei due soggetti, si rileva che, come disposto dall’art. 151, co. 4 del medesimo compendio normativo, “il sistema contabile degli enti locali garantisce la rilevazione unitaria dei fatti gestionali sotto il profilo finanziario, economico e patrimoniale, attraverso l’adozione: a) della contabilità finanziaria, che ha natura autorizzatoria e consente la rendicontazione della gestione finanziaria; b) della contabilità economico-patrimoniale ai fini conoscitivi, per la rilevazione degli effetti economici e patrimoniali dei fatti gestionali e per consentire la rendicontazione economico e patrimoniale” essendo, pertanto, evidente la ratio sottesa all’intera normativa di cui è destinataria la Pubblica Amministrazione nel momento in cui debba procedere al riconoscimento, nel caso di specie, di debiti fuori bilancio»;

- «alcuno dei soggetti asseritamente lesi dalla diffusione dei dati, ha mai segnalato la problematica all’Ente […] che, non appena ne ha avuto conoscenza, tempestivamente, si è attivato per rimuovere un dato inserito, comunque, in virtù di un obbligo normativo (ancora ad oggi cogente).

5. Esito dell’istruttoria relativa alla segnalazione presentata

Nello specifico caso sottoposto all’esame del Garante, oggetto di lamentela da parte dei segnalanti risulta essere la diffusione dei propri dati personali contenuti in un documento pubblicato online, ossia la “XX” n. XX del XX, allegata alla proposta di delibera per XX, che conteneva i dati personali (nominativo e residenza) dei segnalanti nonché informazioni relative al debito maturato per un risarcimento del danno, con specificazione del relativo ammontare, da parte della Regione nei loro confronti in esecuzione di una sentenza esecutiva.

La Regione Campania sia nelle memorie difensive che nell’audizione ha confermato l’avvenuta diffusione online dei dati personali dei segnalanti, presentando alcune osservazioni che, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento.

In particolare, si concorda con il rilievo dalla Regione per il quale le disposizioni di natura contabile contenute negli artt. 73 del d. lgs. n. 118 del 26/6//2001; 151, comma 4, e 185, comma 2 del d.lgs. n. 267 del 18/8/2000, indicano, fra l’altro, anche gli elementi che deve contenere il mandato di pagamento e servono a consentire, altresì, l’effettuazione dei dovuti controlli della magistratura contabile sui debiti fuori bilancio. Tuttavia tali articoli, anche ai fini del controllo della Corte dei Conti, non prevedono in alcun modo la diffusione online dei dati personali dei segnalanti.

Analogamente, anche se – come affermato dalla Regione – «i dati personali, oggetto della diffusione online, riguardavano l’esecuzione di una sentenza civile», non è possibile richiamare le disposizioni contenute nell’art. 52 del Codice, che non riguarda la pubblicazione degli atti dell’Ente, ma una fattispecie del tutto diversa inerente alla possibilità dell’interessato di chiedere, per motivi legittimi, l’oscuramento dei propri dati personali riportati nella sentenza in caso di riproduzione della stessa.

Non è possibile, infine, accogliere l’ulteriore eccezione formulata, secondo la quale «la contestazione fa riferimento ad una situazione verificatasi prima dell’adozione [del RGPD]», e il «decreto attuativo», contenuto nel d. lgs. n. 101 del 10 agosto 2018 «è stato adottato solamente nell’agosto 2018» ed entrato in vigore in data 19/9/2018.

Occorre infatti tenere conto che, seppure il documento oggetto della segnalazione, pubblicato online, risale ad XX, per la determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato – come correttamente affermato anche dalla Regione – il principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981 che sancisce come «Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati». Ciò determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione, che nel caso in esame – data la natura permanente dell’illecito contestato – deve essere individuato all’atto di cessazione della condotta illecita, verificatasi successivamente alla data del 25/5/2018 in cui il RGPD è divenuto applicabile. Dagli atti dell’istruttoria è, infatti, emerso che l’illecita diffusione online è cessata a seguito della richiesta d’informazioni dell’Ufficio del XX (prot. n. XX) con l’oscuramento dei dati personali dei segnalanti dal sito web istituzionale da parte della Direzione Generale competente. Al riguardo, non ha alcun rilievo la circostanza che il citato d. lgs. n. 101/2018 sia entrato in vigore solo a settembre 2018, posto che il RGPD è un regolamento europeo e, in quanto tale, è «obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri» (art. 288 del Trattato sul funzionamento dell’Unione europea) fin dalla data del 25/5/2018 in cui il è divenuto applicabile (art. 99, par. 2, RGPD).

Per tali motivi, in relazione alla condotta tenuta, le argomentazioni riportate dalla Regione Campania non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo nessuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla Regione, in quanto la pubblicazione sul sito web istituzionale dei dati personali dei segnalanti sopra descritti è avvenuta e in maniera non conforme al principio di minimizzazione dei dati e in assenza di idonei presupposti normativi, in violazione dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD, nonché dell’art. 19 comma 3 del Codice (vigente all’epoca dei fatti e il cui contenuti è ora riprodotto nei medesimi termini nel nuovo art. 2-ter, commi 1 e 3, del Codice).

Considerato, comunque, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha provveduto a oscurare dal sito web istituzionale i dati personali dei segnalanti prima descritti, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 RGPD)

La Regione Campania risulta aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché l’art. 19, comma 3, del Codice, vigente al momento della condotta illecita.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

Nel caso di specie, la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso di specie.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In relazione ai predetti elementi, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali ha avuto a oggetto la diffusione di dati personali non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD) di due soggetti interessati. La diffusione si è protratta per diversi anni, ma l’amministrazione si è subito attivata per oscurare i dati personali oggetto della segnalazione una volta ricevuta la richiesta d’informazioni del Garante, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione – il cui carattere, stante anche quanto affermato dalla Regione, appare di natura colposa – attenuandone i possibili effetti negativi. Nel riscontro al Garante sono state, inoltre descritte diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD. Non risultano eventuali precedenti violazioni del RGPD pertinenti commesse dalla Regione Campania.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 4.000,00 (quattromila) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché dell’art. 19, comma 3, del Codice, quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, relative alla violazione del principio di minimizzazione dei dati e alla diffusione sul web di dati personali in assenza di una idonea base normativa, si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f), del Regolamento e 144 del Codice, l’illiceità del trattamento effettuato dalla Regione Campania nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD;

ORDINA

alla Regione Campania, in persona del legale rappresentante pro-tempore, con sede legale in Via Santa Lucia 81 - 80132 Napoli (NA) – C.F. 80011990639, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, e 166 del Codice, di pagare la somma di euro 4.000,00 (quattromila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;

INGIUNGE

alla medesima Regione di pagare la somma di euro 4.000,00 (quattromila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019 e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 2 luglio 2020

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia