g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Azienda USL di Parma - 2 dicembre 2021 [9739586]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9739586]

Ordinanza ingiunzione nei confronti di Azienda USL di Parma - 2 dicembre 2021

Registro dei provvedimenti
n. 420 del 2 dicembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito il “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante il “Codice in materia di protezione dei dati personali”, contenete disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito il “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. La segnalazione e la notifica di violazione

Con nota del XX, la sig.ra XX ha segnalato a questa Autorità una presunta violazione della disciplina in materia di protezione dei dati personali per aver ricevuto, da parte dell’Azienda USL di Parma - sita in Parma, Strada del Quartiere n. 2/A, c.a.p. 43125 - C.F. 01874230343 - n. 2 referti relativi a esami diagnostici riguardanti altri due pazienti.

In particolare, la segnalante ha rappresentato di aver ricevuto, a mezzo di raccomandata, in data XX, “una busta contenente l’esito di esami clinici effettuati presso l’Azienda ospedaliera”. La segnalante ha specificato che “La busta (…) (conteneva) esami di altri soggetti (…) mentre risulta(va) totalmente assente il referto di (…) pertinenza (della segnalante medesima)”.

Con nota del XX (prot. n. XX), l’Azienda sanitaria, ha trasmesso a questa Autorità una notifica preliminare di data breach con la quale ha comunicato - relativamente a tale vicenda - la violazione di dati personali ai sensi dell’art. 33 del Regolamento, dichiarando di aver inviato, in data XX, “(…) referti - a mezzo raccomandata a/r - a destinatario non corrispondente al nominativo indicato nei referti”.

L’Azienda sanitaria ha precisato che “nella fase di imbustamento dei referti, l'operatore addetto alla predisposizione delle buste (la procedura interna prevede la trasmissione a mezzo raccomandata a/r) ha erroneamente inserito i referti all'interno della busta non corrispondente”, che la violazione ha ad oggetto “dati personali (nome, cognome, data di nascita, C.F.), dati di contatto (indirizzo di residenza), dati relativi alla salute (referti)” riferiti a n. 2 interessati e che il titolare del trattamento è venuto a conoscenza della violazione in data 24 maggio, alle ore 12.47.

Con la medesima comunicazione, l’Azienda sanitaria ha, altresì, evidenziato che in tale  vicenda “non sono coinvolti sistemi e infrastrutture IT” e che “considerata la tipologia di violazione, che da una prima istruttoria risulta causata da un mero errore umano, non potendo prevedere modifiche sostanziali alle procedure in uso, (…) promuoverà appositi momenti di incontro con tutto il personale interessato, in modo da testare il livello di applicabilità delle procedure sulla base del numero di persone addette al servizio e del volume delle comunicazioni da effettuare. Tali incontri saranno utili altresì per raccogliere eventuali proposte migliorative da parte dei referenti dei servizi sul territorio. (…) L'azienda si adopererà affinché vengano effettuati controlli periodici a campione per verificare la corretta associazione tra destinatario del plico e intestatario del referto”.

L’Azienda sanitaria, in data XX, ha inviato all’Autorità una nota integrativa (prot. n. XX) della sopra menzionata notifica di violazione, rappresentando di aver comunicato in data XX, ai sensi dell’art. 34 del Regolamento, l’avvenuta violazione ai due soggetti interessati.

2. L’attività istruttoria

Con nota del XX (prot. n. XX), lo scrivente Ufficio ha richiesto alla sopra citata struttura sanitaria, titolare del trattamento, informazioni ai sensi dell’art. 157 del Codice, da trasmettere entro il termine di 30 giorni dal ricevimento della richiesta, al fine di disporre di ulteriori elementi conoscitivi concernenti la vicenda, utili alla istruttoria e alla valutazione del caso. 

Con nota del XX (prot. n.  XX), l’Azienda ha fatto pervenire il proprio riscontro a tale richiesta di informazioni, evidenziando, fra altro, che:

- “L’incidente di sicurezza oggetto di reclamo è stato segnalato alla scrivente a mezzo e-mail in data 20 maggio u.s. all’indirizzo dpo@ausl.pr.it. A causa di problemi di ordine tecnico/organizzativo, la mail è stata letta dal DPO solo in data 24 maggio”;

- “le procedure in uso presso i 4 Distretti aziendali prevedono che, in caso di referto positivo, l’invio avvenga tramite raccomandata a/r con allegata la lettera invito a proseguire i percorsi diagnostici. A causa di un errore del personale addetto, i referti di due pazienti sono stati inseriti nella busta indirizzata alla sig.ra XX, mentre quello della sig.ra XX non è stato imbustato. Non esiste pertanto un presupposto giuridico, ma si è purtroppo trattato di un mero errore umano. Il referto della sig.ra XX è stato inviato a mezzo raccomandata a/r in data XX e risulta essere consegnato in data XX (cfr. allegato 1 - copia ricevuta di ritorno raccomandata inviata alla sig.ra XX)”;

- “l’intera procedura di screening ambulatoriale” avviene sulla base di un manuale operativo accessibile al personale, al quale “(…) l’azienda ha fornito (…) le istruzioni operative che sono consultabili nella sezione Privacy della rete intranet aziendale (Allegato 3 – Istruzioni operative)”;

- “il sistema è interamente gestito da articolazioni organizzative della scrivente, Gestione del sistema senza alcun intervento da parte di terzi”.

Tenuto conto che la violazione descritta con la notifica effettuata dalla Azienda sanitaria ai sensi dell’art. 33 del Regolamento riguarda il medesimo oggetto del procedimento avviato a seguito della segnalazione, effettuata in data XX, nei confronti dello stesso titolare del trattamento, i due procedimenti istruttori sono stati riuniti e trattati contestualmente ai sensi dell’art. 10, comma 4, del “Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali” [doc. web 9107633].

Sulla base di quanto rappresentato dal titolare del trattamento nell’atto di notifica di violazione e degli elementi acquisiti nel corso dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio, con atto del XX (prot. n. XX), ha notificato all’Azienda USL di Parma, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento.

In particolare, l’Ufficio, nel predetto atto ha ritenuto che l’Azienda USL di Parma, inviando a una paziente una busta contenente n. 2 referti relativi ad altri due pazienti della Azienda medesima,  ha effettuato, in qualità di titolare del trattamento, una comunicazione di dati personali e relativi alla salute in assenza di un idoneo presupposto giuridico e, quindi, in violazione degli artt. 6 e 9 del Regolamento, nonché dell’art. 2-ter del Codice e dei principi base di cui all’art. 5, lett. f), del Regolamento medesimo. In relazione a ciò, l’Ufficio ha, altresì, invitato tale titolare del trattamento a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

Con nota del XX (prot. n. XX), l’Azienda sanitaria ha presentato una memoria difensiva, nella quale, ha evidenziato, fra altro, che:

- “La violazione - verificatasi in data XX - è avvenuta nell’ambito dei processi attinenti ai percorsi di screening dei tumori femminili; nel caso di specie, i referti di due assistite sono stati inviati, a mezzo raccomandata a/r, a un destinatario non corrispondente, a causa di un errore durante l’imbustamento degli stessi. In Azienda, tutte le fasi riguardanti il Programma regionale per la prevenzione dei tumori femminili sono dettagliate all’interno di un apposito Manuale operativo per le procedure informatizzate di 1° livello destinato alle ostetriche degli ambulatori dello screening”;

- “L’evento non può considerarsi certamente sistematico ma del tutto isolato: tale asserzione si spiega meglio se si tiene conto di un dato numerico estrematamene rappresentativo. Se prendiamo in considerazione l’intervallo temporale compreso tra il 1° maggio 2017 e il 18 maggio 2021 (cioè dalla data di adozione del Manuale e delle relative procedure alla data in cui si è verificata la violazione), sono stati inviati complessivamente n. 3756 referti positivi, con una media annua di 939 raccomandate. La segnalazione relativa alla violazione di cui si tratta risulta essere l’unica per tutto il periodo considerato, ovvero nell’arco dei 4 anni”;

- “In termini di gravità, la comunicazione dei dati è avvenuta nei confronti della sola segnalante (che, peraltro, ha ricevuto il proprio referto in data XX, senza subire alcun pregiudizio dalla violazione), per cui risulta improbabile che si sia verificata la privazione di diritti o libertà, discriminazione, danno economico o sociale, pregiudizio alla reputazione per i due interessati. I due soggetti interessati sono venuti a conoscenza della violazione in seguito a comunicazione inviata dall’Azienda tramite raccomandata a/r e una di essi ha contattato il Referente Aziendale Privacy per avere chiarimenti sul motivo della comunicazione. È appena il caso di rilevare che la conversazione telefonica si è conclusa con un esito sereno e rassicurante da parte dell’interessata, che anzi ci ha tenuto a ringraziare l’Azienda per gli importanti servizi messi a disposizione in un ambito tanto delicato”;

- “Tenuto conto delle circostanze del caso, la condotta dell’operatore non ha avuto il carattere dell’intenzionalità nella causazione della violazione. Si è trattato, infatti, di una condotta colposa in conseguenza di una mera disattenzione nelle operazioni di imbustamento, connotate dal carattere della ripetitività”;

- “L’Azienda, non appena venuta a conoscenza della violazione, è immediatamente, intervenuta richiamando l’attenzione di tutti gli operatori alla corretta gestione ed esecuzione delle procedure”, coinvolgendo, altresì, questi ultimi al fine dell’analisi e della eventuale revisione migliorativa di tali procedure, nonché programmando “(…) un apposito momento formativo nel mese di ottobre 2021”;

- “(…) l’Azienda ha prontamente collaborato (con l’Autorità) e puntualmente fornito tutte le informazioni richieste (cfr. nota prot. XX del XX)”;

- “L’Autorità è venuta a conoscenza della violazione dalla segnalante: il reclamo infatti era allegato alla segnalazione effettuata all’Azienda in data XX”;

- “L’emergenza COVID, com’è noto, ha inciso più o meno pesantemente in tutti gli aspetti della vita quotidiana, con ricadute che sono state e sono tutt’ora molteplici sulle ordinarie attività lavorative. (…) (Al fine di) affrontare un fenomeno sconosciuto e di dimensioni enormi, è stato necessario dover convogliare molte risorse in attività formative specifiche, in modo da informare correttamente il personale sulle precauzioni da adottare, dall’entrata in azienda alla gestione dell’utenza. (…) Tale scelta, sicuramente doverosa e necessaria, insieme ad altri fattori sempre collegati all’insorgere ed al persistere della pandemia, ha ovviamente limitato, se non addirittura azzerato, la possibilità di dedicare le consuete attenzioni alla formazione e all’aggiornamento professionale delle diverse figure aziendali, con le immaginabili ripercussioni negative soprattutto sul personale di nuova assunzione”.

Per i motivi sopra esposti, l’Azienda sanitaria ha chiesto all’Autorità, in qualità di contravventore, “di voler considerare, previa valutazione concreta delle circostanze del caso, gli elementi forniti come idonei a configurare una violazione tale da comportare la sostituzione della sanzione amministrativa pecuniaria ex art. 83, par. 5, lett. a) con i poteri correttivi di cui all’art. 58, par. 2, lett. a), b) e d) (cap. III, lett. a) delle “Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento (UE) n. 2016/679”, adottate il 3 ottobre 2017 dal Gruppo di Lavoro articolo 29 (“WP 253”.

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato e documentato nel corso del procedimento istruttorio dalla Azienda Usl di Parma, dapprima con gli atti di notifica di violazione e, successivamente, con la nota di riscontro alla richiesta di informazioni formulata dall’Autorità, ai sensi dell’art. 157 del Codice, nonché con la memoria difensiva prodotta a seguito dell’atto notificato dall’Autorità medesima, ai sensi dell’art. 166, si osserva che:

1. il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, delle disposizioni del Regolamento e del Codice. Con particolare riferimento alla questione prospettata, si evidenzia che per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” e per “dati relativi alla salute” “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, nn. 1 e 15 del Regolamento);

2. in ambito sanitario, le informazioni sullo stato di salute possano essere comunicate unicamente all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o previa delega scritta dell’interessato (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101);

3. il titolare del trattamento è, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di «integrità e riservatezza», secondo il quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento);

4. l’Azienda ha confermato, sia nel riscontro alla richiesta di informazioni sia nelle memorie difensive, l’avvenuta comunicazione dei dati relativi alla salute di n. 2 interessati ad un soggetto terzo non autorizzato a riceverli. Ciò, a causa di un errore umano nella fase di imbustamento dei referti. L’Azienda ha dichiarato che, appena venuta a conoscenza dell’accadimento dal destinatario dei sopra citati due referti, ha immediatamente apportato, a seguito di un momento di confronto con gli operatori del settore, modifiche alle procedure e programmato un apposito evento formativo.

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla Azienda USL di Parma per aver trattato dati personali identificativi degli interessati cui afferiscono i referti oggetto della illecita comunicazione di cui al presente procedimento, nonché dati relativi alla salute in violazione dell’art. 9 del Regolamento e dei principi base di cui all’art. 5, lett. f), del Regolamento medesimo.

La violazione delle predette disposizioni rende applicabile, ai sensi dell’art. 58, par. 2, lett. i), la sanzione amministrativa prevista dall’art. 83, par. 5 del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti e che sono state fornite idonee assicurazioni da parte del titolare del trattamento, il quale, al riguardo, ha implementato specifiche misure per evitare il ripetersi della condotta contestata, non ricorrono i presupposti per l’adozione di provvedimenti, di tipo prescrittivo o inibitorio, di cui all’art. 58, par. 2 del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. f) e 9 del Regolamento causata dalla condotta posta in essere dalla Azienda USL di Parma, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par.5, lett. a) del Regolamento e 166, comma 2, del Codice.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali si osserva che:

- la comunicazione dei dati ha avuto riguardo a due interessati i quali, avvisati dall’Azienda, non hanno effettuato rimostranze (reclami o alcun tipo di doglianza) (art. 83, par. 2, lett. a) del Regolamento);

- la comunicazione effettuata dalla Azienda sanitaria ha coinvolto un solo destinatario e ha riguardato dati personali e sulla salute dei due suddetti pazienti (art. 83, par. 2, lett. a) e g) del Regolamento);

- si è trattato di un caso isolato (cfr. nota del XX, prot, n. XX: “tra il 1° maggio 2017 e il 18 maggio 2021- cioè dalla data di adozione del Manuale e delle relative procedure alla data in cui si è verificata la violazione - sono stati inviati complessivamente n. 3756 referti positivi, con una media annua di 939 raccomandate. La segnalazione relativa alla violazione di cui si tratta risulta essere l’unica per tutto il periodo considerato, ovvero nell’arco dei 4 anni”) e rispetto alla vicenda non emerge alcun comportamento doloso da parte del Titolare del trattamento essendo la violazione avvenuta per errore nella fase di imbustamento dei referti (art. 83, par. 2, lett. b) del Regolamento);

- nei confronti della Azienda sanitaria medesima non sono state in precedenza adottati provvedimenti riguardanti violazioni pertinenti (art. 83, par. 2, lett. e) del Regolamento);
-    l’Azienda ha sempre tenuto un comportamento chiaro, preciso e collaborativo con l’Autorità (art. 83, par. 2, lett. f) del Regolamento);

- l’Azienda si è attivata prontamente nell’adozione di misure volte a scongiurare il ripetersi dell’accaduto (art. 83, par. 2, lett. f) del Regolamento);

- l’Azienda sanitaria, venuta a conoscenza della violazione a seguito della comunicazione da parte della segnalante, ha provveduto a notificare tale violazione all’Autorità ai sensi dell’art. 33 del Regolamento (art. 83, par. 2, lett. h) del Regolamento);

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 5.000,00 (cinquemila) per la violazione degli artt. 5, par. 1, lett. f) e 9 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, in ragione della tipologia di dati personali oggetto di trattamento illecito, rientranti nella categoria particolare di cui all’art. 9, par.1, del Regolamento, e della particolarità dell’evento illecito, consistente in una violazione di dati personali.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda USL di Parma - sita in Parma, Strada del Quartiere n. 2/A, c.a.p. 43125 - C.F. 01874230343 per la violazione degli art. 5, par. 1, lett. f) e 9 del Regolamento nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla Azienda USL di Parma, di pagare la somma di euro 5.000,00 (cinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Azienda sanitaria, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 5.000,00 (cinquemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 2 dicembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei