Con provvedimento in data 22 luglio 2021(Registro dei provvedimenti Registro dei provvedimenti n. 298 del 22 luglio 2021) il Garante ha adottato una Ordinanza ingiunzione nei confronti di Università degli Studi di Milano-Bicocca.
Ha ordinato di pagare la somma di euro € 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni di seguito indicate:
- illiceità del trattamento di dati personali effettuato dall'Università degli Studi di Milano-Bicocca .
In particolare l'Ufficio ha reputato che l’Azienda, diffondendo i dati e le informazioni personali del reclamante contenuti nei documenti pubblicati online prima descritti, fra cui il documento di riconoscimento – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD.
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);
VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);
VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;
Relatore la prof.ssa Ginevra Cerrina Feroni;
PREMESSO
1. Introduzione
Questa Autorità ha ricevuto un reclamo da parte del sig. XX (di seguito “reclamante”), con il quale è stata lamentata una violazione della normativa in materia di protezione dei dati personali da parte dell’Università degli Studi di Milano - Bicocca.
Nello specifico, come emerso dalla verifica preliminare effettuata dall’Ufficio, all’url https://www.unimib.it/..., riferito al dominio della predetta Università, era possibile visualizzare e scaricare liberamente il documento intitolato «XX», del XX a firma del procuratore di XX, di n. 2 pagine, con allegato in calce il documento intitolato «XX», nonché la copia fronte-retro della carta d’identità del Sig. XX.
I citati documenti, contenevano dati identificativi del reclamante, compresa la data e il luogo di nascita unitamente al codice fiscale, con allegata copia integrale del relativo documento di riconoscimento.
Il reclamante ha provveduto ad allegare al reclamo la nota già inviata all’Università in data XX, con la quale aveva chiesto la rimozione del proprio documento di riconoscimento dal sito web. Dagli atti risulta che l’amministrazione non ha fornito alcun riscontro.
2. La normativa in materia di protezione dei dati personali
Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).
Con particolare riferimento al caso sottoposto all’attenzione di questa Autorità, si ricorda che i soggetti pubblici, come l’Università, possono diffondere «dati personali» solo se tale operazione è prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, commi 1 e 3, del Codice), nel rispetto – in ogni caso – dei principi in materia di protezione dei dati, fra cui quello di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).
Si ricorda che, fin dal 2014, il Garante ha fornito specifiche indicazioni alle amministrazioni sulle cautele da adottare per la diffusione di dati personali online con il provvedimento generale n. 243 del 15/5/2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (in corso di aggiornamento, ma ancora attuale nella parte sostanziale).
3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.
A seguito dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che l’Università degli Studi di Milano - Bicocca – diffondendo i dati e le informazioni personali del reclamante contenuti nei documenti pubblicati online prima descritti, fra cui il documento di riconoscimento – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate alla predetta Università le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).
4. Memorie difensive.
L’Università degli Studi di Milano - Bicocca, con la nota prot. n. XX dell’XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.
Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».
Nello specifico, quanto alla condotta tenuta, è stato evidenziato, fra l’altro che:
- l’«amministrazione si è adoperata tempestivamente per eliminare il documento dal sito internet di Ateneo, non appena venuti a conoscenza della PEC e dunque della richiesta del reclamante [...] La richiesta di eliminazione del documento dal portale è stata inoltrata senza ritardo, una volta compiute le verifiche necessarie, ed è stata altresì richiesta la deindicizzaizone e l’eliminazione della copia cache del documento da tutti i motori di ricerca. […] Alla data del presente atto, pertanto, il documento non è più reperibile su internet al link [contestato]»;
- «A comprova della buona fede del Titolare si è altresì avviata una verifica interna rispetto alle pubblicazioni effettuate in ottemperanza degli obblighi imposti dalla normativa sulla trasparenza, ai sensi del D.Lgs. 33/2013»;
- «Le finalità nell’ambito delle quali si era provveduto alla pubblicazione degli atti di affidamento, tra cui per errore era stato allegato anche il documento di identità del reclamante, sono da individuarsi negli oneri di pubblicazione di documenti per finalità di trasparenza, e dunque per obblighi imposti da una norma di legge (art. 2-ter, commi 1 e 3, del Codice Privacy). In relazione agli obblighi di pubblicazione concernenti i contratti pubblici di lavori, servizi e forniture, invero, l’articolo 37 co.1 del D.Lgs. 33/2013 dispone che “le pubbliche amministrazioni e le stazioni appaltanti pubblicano: a) i dati previsti dall’articolo 1, comma 32, della legge 6 novembre 2012, n. 190; b) gli atti e le informazioni oggetto di pubblicazione ai sensi del decreto legislativo 18 aprile 2016, n. 50.” Tali dati rimangono pubblicati per un periodo di 5 anni ai sensi dell’articolo 8 comma 3 del D.Lgs. 33/2013. In aggiunta si rappresenta che fra i dati oggetto di pubblicazione obbligatoria ai sensi della normativa suindicata vi è la delibera a contrarre considerato che ogni qualvolta l’amministrazione proceda in assenza di gara pubblica all’affidamento di lavori, servizi e forniture è tenuta a pubblicare la stessa in quanto atto sostitutivo del bando di gara (FAQ ANAC Trasparenza punto n. 21);
- «Rispetto alla pubblicazione del documento di identità, si riconosce che tale documento è stato pubblicato, nell’ambito dell’ottemperanza dei suddetti obblighi, per mero errore materiale»;
- «Come già indicato in precedenza, riconosciuta la non conformità della pubblicazione, si è proceduto tempestivamente alla cancellazione della copia del documento di identità dal sito, senza indugio.
- «Anche rispetto a questo punto, nonostante si riconosca il disagio provato dall’interessato rispetto alla pubblicazione dei suoi dati, si chiede di voler tenere conto che tale trattamento e pubblicazione non conforme, oggetto del presente procedimento, riguarda i dati anagrafici di un interessato»;
-«L’istanza di cancellazione inoltrata dal reclamante è stata inviata all’indirizzo PEC generale di Ateneo e per un “disguido organizzativo” non è stata presa in carico e per tale aspetto la scrivente Amministrazione esprime un sentito rammarico»;
- «Tale criticità è stata determinata dal fatto che l’istanza non è pervenuta attraverso i canali preferenziali dedicati, creati per la gestione delle istanze e di tutti gli adempimenti connessi al trattamento e alla protezione dei dati personali (indirizzo PEC XX e XX); oltre a ciò si deve rilevare che l’emergenza sanitaria e la turnazione per il rientro dal periodo di ferie estive hanno comportato tale fraintendimento che non ha consentito di prendere in carico la richiesta dell’interessato»;
- «In aggiunta, si segnala che all’account PEC istituzionale XX, attraverso cui è stata veicolata l’istanza, viene recapitato un elevato numero di comunicazioni (nel periodo di riferimento, tra il XX e il XX, sono state ricevute 3.156 PEC); anche tale aspetto ha contribuito al “disguido organizzativo”»;
- «In merito a tali aspetti, che non possono considerarsi esimenti rispetto al mancato riscontro, si chiede tuttavia che possano essere valutati dall’Autorità quali espressione di buona fede e come sintomi dell’elemento soggettivo della colpa»;
- «Non vi è stato invero alcun dolo nel mancato riscontro, in quanto non vi era la volontà di negare il soddisfacimento del diritto all’interessato, tenuto anche conto del fatto che, non appena ricevuto l’avviso di inizio del procedimento, il Titolare del trattamento ha tempestivamente provveduto alla cancellazione del dato e dunque all’accoglimento delle richieste del reclamante».
5. Valutazioni del Garante
La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni personali del reclamante (data e luogo di nascita, codice fiscale) contenuti in documenti pubblicati online sul sito web istituzionale dell’Università degli Studi di Milano - Bicocca, unitamente alla copia fronte-retro della relativa carta d’identità.
Nell’ambito dell’istruttoria aperta al riguardo da questa Autorità, la predetta Università ha confermato, nelle proprie memorie difensive, l’avvenuta diffusione online dei dati personali descritti. Sotto tale profilo, l’ente ha rappresentato che i documenti oggetto di contestazione sono stati pubblicati per finalità di trasparenza nell’ambito degli obblighi di pubblicazione concernenti i contratti pubblici di lavori, servizi e forniture (art. 37, del d. lgs. n. 33/2013) e che in ogni caso la pubblicazione del documento di riconoscimento è avvenuta «per mero errore materiale».
Al riguardo, questa Autorità ha in più occasioni ricordato che la presenza di uno specifico regime di pubblicità, non può tuttavia comportare alcun automatismo rispetto alla diffusione online dai dati e informazioni personali, né una deroga ai principi in materia di protezione dei dati personali di provenienza europea, previsti dal RGPD, quali – fra gli altri – quello di «minimizzazione», in base al quale i dati personali – anche contenuti in atti o documenti la cui diffusione online sia prevista da una specifica base normativa – devono essere non solo «adeguati» e «pertinenti», ma anche «limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c).
Ciò è d’altronde confermato anche dal sistema di protezione dei dati personali contenuto nel RGPD, alla luce del quale è inoltre previsto che il titolare del trattamento debba mettere «in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento» («data protection by default») e debba essere «in grado di dimostrare» – alla luce del principio di «responsabilizzazione» («accountability») – di averlo fatto (artt. 5, par. 2; 24 e 25, par. 2, RGPD).
Il quadro descritto è del resto coerente con quanto affermato dal Garante fin dal 2014 con Linee guida prima richiamate (par. 2), laddove è stato indicato alle pp.aa. che – anche nell’ipotesi in cui esista un obbligo per l’amministrazione di pubblicare un atto o documento nel proprio sito web istituzionale – è in ogni caso necessario «selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrono i presupposti per l’oscuramento di determinate informazioni», in quanto non necessari rispetto alle finalità per le quali sono trattati (cfr. ora il principio di “minimizzazione” dei dati di cui art. 5, par. 1, lett. c, del RGPD).
Ciò chiarito, si ricorda le regole descritte valgono anche per i dati anagrafici non necessari contenuti documento intitolato «XX», del XX pubblicato online con i relativi allegati, in quanto dati di carattere personale che vanno in ogni caso protetti.
Sotto tale profilo, la diffusione dei dati e delle informazioni del reclamante inerenti alla data e luogo di nascita nonché al codice fiscale, risulta non conforme al principio di «minimizzazione» (art. 5, par. 1, lett. c, del RGPD), in quanto i predetti dati non sono «limitati a quanto necessario rispetto alle finalità» di trasparenza dichiarate dall’Università.
Per altro verso, da quanto dichiarato nelle memorie difensive, risulta altresì che il mancato riscontro dell’amministrazione universitaria alla richiesta di oscuramento dei dati personali – inviata dal reclamante all’Università prima di rivolgersi al Garante – è stato causato da un «disguido organizzativo», dovuto all’invio dell’istanza alla casella di p.e.c. generale dell’ente – e non all’e-mail dedicata –, che nel periodo preso in considerazione è stata destinataria di «un elevato numero di comunicazioni» (circa 3.156 p.e.c.). Tali circostanze, unitamente all’«emergenza sanitaria e [al]la turnazione per il rientro dal periodo di ferie estive», hanno «comportato [un] fraintendimento che non ha consentito di prendere in carico la richiesta dell’interessato».
L’Università ha comunque fatto presente di essersi «adoperata tempestivamente per eliminare il documento dal sito internet di Ateneo, non appena venuti a conoscenza della PEC e dunque della richiesta del reclamante».
6. Esito dell’istruttoria relativa al reclamo presentato
Per tutto quanto sopra descritto, le circostanze evidenziate negli scritti difensivi esaminate nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019. Ciò anche considerando che sin dal 2014 l’Autorità, nelle Linee guida in materia di trasparenza e pubblicazione online sopra citate, ha fornito a tutte le pp.aa. specifiche indicazioni sulle modalità per contemperare gli obblighi di trasparenza e pubblicità dell’azione amministrativa con il diritto alla protezione dei dati personali dei soggetti interessati.
In tale quadro, si confermano le valutazioni preliminari dell’Ufficio con la nota prot. n. XX del XX e si rileva l’illiceità del trattamento di dati personali effettuato dall’Università degli Studi di Milano - Bicocca, in quanto la diffusione dei dati e delle informazioni personali del reclamante, contenuti nel documento intitolato «XX» del XX, e relativi allegati, compresa la copia fronte-retro della carta d’identità, pubblicati online sul sito web istituzionale risulta:
a) priva di idonei presupposti normativi con particolare riferimento alla pubblicazione del documento di riconoscimento del reclamante, in violazione dell’art. 2-ter, commi 1 e 3, del Codice; nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD;
b) non conforme al principio di minimizzazione dei dati, in relazione alla data e luogo di nascita nonché al codice fiscale, che non risultano «limitati a quanto necessario rispetto alle finalità» di trasparenza dichiarate dall’Università, in violazione dell’art. 5, par. 1, lett. c), del RGPD.
Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha dichiarato di aver provveduto a rimuovere i dati personali dal sito web istituzionale, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.
7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 del RGPD)
L’Università degli Studi di Milano - Bicocca risulta aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché l’art. 2-ter, commi 1 e 3, del Codice.
Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».
In ordine alla condotta in esame, pertanto, la violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso di specie.
Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.
In tal senso, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali risulta di natura colposa e ha avuto a oggetto la diffusione online di dati personali, per più di quattro anni e mezzo, non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD), riferiti a un solo soggetto interessato. L’amministrazione, a seguito della richiesta dell’Ufficio è intervenuta tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione, attenuandone i possibili effetti negativi. Si è tenuto conto, altresì, delle condizioni economiche del titolare del trattamento. Non risultano, in ogni caso, eventuali precedenti violazioni del RGPD pertinenti commesse dall’ente.
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di € 10.000,00 (diecimila) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD, nonché dell’art. 2-ter, commi 1 e 3, del Codice; quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.
In relazione alle specifiche circostanze del presente caso, relative alla diffusione di dati personali online in assenza di una idonea base normativa e in violazione del principio di minimizzazione dei dati (art. 5, par. 1, lett. c, RGPD), si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.
Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
rilevata l’illiceità del trattamento effettuato dall’Università degli Studi di Milano - Bicocca nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD
ORDINA
all’Università degli Studi di Milano - Bicocca, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Dell'Ateneo Nuovo, 1 - 20126 Milano (MI) – C.F. 12621570154 di pagare la somma di € 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;
INGIUNGE
alla medesima Università di pagare la somma di euro € 10.000,00 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.
Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).
DISPONE
- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;
- l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.
Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Fonte : Garante