Con provvedimento in data 22 luglio 2021(Registro dei provvedimenti Registro dei provvedimenti n. 280 del 22 luglio 2021) il Garante ha adottato una Ordinanza ingiunzione nei confronti di Regione Calabria.
Ha ordinato di pagare la somma di euro € 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni di seguito indicate:
- illiceità del trattamento di dati personali effettuato dalla Regione Calabria .
Nello specifico, come emerso dalla verifica preliminare effettuata dall’Ufficio, è stato riscontrato che all’url http://... si apriva una pagina web in cui era possibile visualizzare e scaricare liberamente il Decreto dirigenziale n. XX del XX del Dipartimento lavoro, formazione e politiche sociali (LFPS)-settore 5-Piani lavoro e sviluppo, politiche territoriali, emersione, della Regione Calabria (giunta regionale) avente a oggetto «XX».
In particolare, Il predetto decreto – che era altresì direttamente visualizzabile dall’url: https://... – conteneva dati e informazioni del reclamante nel testo e nell’oggetto, quali il nominativo e l’indirizzo di residenza, nell’ambito del procedimento di revoca del finanziamento concesso alla ditta individuale intitolata al reclamante stesso, dovuta alla mancata restituzione delle rate del mutuo bancario contratto.
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);
VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);
VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;
Relatore il prof. Pasquale Stanzione;
PREMESSO
1. Introduzione
Questa Autorità ha ricevuto un reclamo da parte del sig. XX (di seguito “reclamante”), con il quale è stata contestata una violazione della normativa in materia di protezione dei dati personali da parte della Regione Calabria.
Nello specifico, come emerso dalla verifica preliminare effettuata dall’Ufficio, è stato riscontrato che all’url http://... si apriva una pagina web in cui era possibile visualizzare e scaricare liberamente il Decreto dirigenziale n. XX del XX del Dipartimento lavoro, formazione e politiche sociali (LFPS)-settore 5-Piani lavoro e sviluppo, politiche territoriali, emersione, della Regione Calabria (giunta regionale) avente a oggetto «XX».
Il predetto decreto – che era altresì direttamente visualizzabile dall’url: https://... – conteneva dati e informazioni del reclamante nel testo e nell’oggetto, quali il nominativo e l’indirizzo di residenza, nell’ambito del procedimento di revoca del finanziamento concesso alla ditta individuale intitolata al reclamante stesso, dovuta alla mancata restituzione delle rate del mutuo bancario contratto.
Dagli atti risulta che il reclamante si era già precedentemente rivolto alla Regione Calabria per chiedere l’oscuramento dei propri dati personali e che l’ente aveva respinto la richiesta.
2. La normativa in materia di protezione dei dati personali
Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).
Al riguardo, i soggetti pubblici (come la Regione) possono diffondere «dati personali» solo se tale operazione è prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, commi 1 e 3, del Codice), nel rispetto – in ogni caso – dei principi in materia di protezione dei dati, fra i quali quello di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).
Fin dal 2014, il Garante ha fornito specifiche indicazioni alle amministrazioni sulle cautele da adottare per la diffusione di dati personali online con il provvedimento generale n. 243 del 15/5/2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (attualmente in corso di aggiornamento, ma ancora attuale nella parte sostanziale).
3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.
A seguito dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che la Regione Calabria – diffondendo i dati e le informazioni personali del reclamante contenuti nel documento pubblicato online prima descritti – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate alla predetta Regione le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).
4. Memorie difensive.
La Regione Calabria, con la nota prot. n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.
Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».
Nello specifico, quanto alla condotta tenuta, è stato evidenziato, fra l’altro che:
- «La Ditta individuale beneficiaria del […] finanziamento, con ragione sociale “XX”, è risultata inadempiente nei confronti dell’Intermediario Finanziario XX per non aver rimborsato l’importo escusso dall’Istituto di Credito allo stesso intermediario finanziario per il mancato pagamento delle rate di mutuo. A seguito di ciò, l’amministrazione regionale ha avviato ai sensi della Legge 241/90 il procedimento di revoca tendente al recupero della somma erogata […]»;
- «Il decreto di revoca e di ingiunzione redatto dallo scrivente dipartimento è stato pubblicato online nei giorni successivi alla sua repertoriazione avvenuta in data XX»;
- «Si deve rimarcare che lo stesso presenta una esiguità di interessati coinvolgendo uno solo interessato in oggetto, ossia la ditta “XX”. Lo stesso decreto presenta, invero, il nominativo e l’indirizzo di residenza del reclamante»;
- «il Dipartimento [interessato] ha proceduto alla pubblicazione del Decreto n. XX del XX “… a tutela dell’interesse pubblico generale”. Ad indurre il Dipartimento in errore è stata, probabilmente, una interpretazione estensiva dell’Art. 2-sexies, comma 2, del Codice “Fermo quanto previsto dal comma 1, si considera rilevante l'interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all'esercizio di pubblici poteri nelle seguenti materie: … lett q) attività sanzionatorie e di tutela in sede amministrativa o giudiziaria”, in considerazione della natura ingiuntiva del Decreto Dirigenziale n. XX del XX e, pertanto, inteso quale un provvedimento Sanzionatorio e di tutela in sede amministrativa e giudiziaria dell’Amministrazione Regionale. Tale decisione è da intendersi, infatti, come eccesso di zelo nel rispetto della normativa in materia di trasparenza degli atti amministrativi, configurandosi, pertanto, un carattere colposo nella suddetta violazione, e non anche doloso. L’errore, in sede di pubblicazione del decreto, è stato quello di considerare il portale regionale uno spazio presso il quale dare pubblicità a provvedimenti e avvisi di interesse pubblico»;
- «A tale proposito corre l’obbligo precisare che l’Amministrazione Regionale quando ha riscontrato il reclamo del sig. XX in data XX con nota prot. XX n. XX ha sostanzialmente riscontrato sulla correttezza del procedimento amministrativo, non intendendo assolutamente sottovalutare la situazione lamentata dall’istante in tema di violazione dei dati personali. A quella nota, infatti, era inteso che conseguisse la eliminazione del decreto da parte del Settore competente, in quanto Referente dipartimentale in materia di protezione dati. Purtroppo, invece, il decreto è rimasto pubblicato sul sito colpevolmente e solo a causa di un problema organizzativo del Dipartimento che ha visto in quel periodo avvicendarsi funzionari e dirigenti responsabili a causa della riorganizzazione amministrativa in atto conclusasi, con l’adozione dei Decreti nn. XX del XX; XX del XX e XX del XX»;
- «A riprova della veridicità di quanto sopra asserito si fa presente che l’Ente con tempestività ha proceduto alla immediata rimozione dell’atto appena ricevuto il provvedimento del GPDP. Ed infatti, a seguito della ricezione del procedimento del GPDP trasmesso con Pec del RPD della Regione Calabria in data XX al Dipartimento interessato, lo stesso ha provveduto in pari data all’immediata rimozione del decreto in esame dal portale regionale, comunicando contestualmente e tempestivamente all’interessato, sign. XX, l’avvenuta rimozione. In più è stata disposta tempestivamente la rimozione di eventuali provvedimenti simili relativi agli anni 2018/2019/2020/2021»;
- «In aggiunta, e al fine di sensibilizzare ulteriormente il personale ai principi a cui si ispirano le direttive in materia di protezione dei dati, il Dipartimento “Lavoro, Formazione e Politiche Sociali” con nota prot. n. XX del XX ha evidenziato la necessità di procedere ad una verifica degli atti prodotti dai settori interni allo stesso Dipartimento, coerentemente a quanto disposto nelle Circolari prot. nn. XX del XX; XX del XX e XX del XX sottoscritte dal RPD, invitando, altresì, a mettere in atto quanto necessario a garantire la tutela della riservatezza di tutti i destinatari dei procedimenti amministrativi. Inoltre, nell’anno in corso, al fine di informare i Dipartimenti della Giunta regionale sulla corretta applicazione della disciplina in materia di protezione dei dati personali e, soprattutto, in un’ottica di contemperamento dei principi di trasparenza e protezione dei dati personali, il RPCT e il RPD, con nota prot. n. XX del XX a firma congiunta, hanno fornito una serie di indicazioni in ordine alle procedure di pubblicazione di atti amministrativi quali decreti e delibere dell’amministrazione regionale. La stessa nota rimanda, altresì, alle precedenti disposizioni in materia di trattamento di dati personali prodotti dal RPD, rinvenibili sul portale regionale alla sezione dedicata al Responsabile della protezione dei dati (https://portale.regione.calabria.it/website/responsabileprotezionedati/). All’interno della stessa sezione sono presenti linee guida, informative e istruzioni operative in ordine ai principi di protezione dati necessari in fase di pubblicazione di provvedimenti amministrativi»;
- «All’esito del procedimento trasmesso dal GPDP, lo scrivente Dipartimento ha tempestivamente provveduto ad attuare tutte le procedure necessarie ad attenuare i possibili effetti negativi dell’errata pubblicazione dei dati, cooperando tanto con il RPD della Regione Calabria, quanto con la stessa Autorità, riscontrando in tempi celeri la notifica riportante la violazione di cui all’art. 166, co. 5, del D.Lgs. 196/2003».
5. Valutazioni del Garante
La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione online di dati e informazioni personali del reclamante (quali il nominativo e l’indirizzo di residenza), contenuti nel testo e nell’oggetto del Decreto dirigenziale n. XX del XX del Dipartimento lavoro, formazione e politiche sociali (LFPS)-settore 5-Piani lavoro e sviluppo, politiche territoriali, emersione, della Regione Calabria (giunta regionale), pubblicato sul sito web istituzionale, nell’ambito del procedimento di revoca del finanziamento concesso alla ditta individuale intitolata al reclamante dovuta alla mancata restituzione delle rate del mutuo bancario contratto.
Il reclamante, prima di rivolgersi al Garante, già ad XX, aveva chiesto alla Regione l’oscuramento dei propri dati personali, ricevendo tuttavia un diniego.
Nell’ambito dell’istruttoria aperta al riguardo da questa Autorità, la Regione Calabria ha confermato, nelle proprie memorie difensive, l’avvenuta diffusione online dei dati personali descritti. Sotto tale profilo, l’ente ha rappresentato che sia la diffusione dei dati online del reclamante che la relativa mancata rimozione a seguito della richiesta dello stesso sono stati frutto di un mero errore, ritenendo di dover «proced[ere] alla pubblicazione del Decreto n. XX del XX “… a tutela dell’interesse pubblico generale», interpretando «probabilmente, [in maniera] estensiva dell’art. 2-sexies, comma 2, del Codice».
Al riguardo, pur ammettendo un possibile errore nel mancano oscuramento al momento della pubblicazione, si deve in ogni caso tenere conto che l’ente avrebbe potuto evitare l’apertura di una specifica istruttoria da parte del Garante e il presente procedimento, se nel 2020 avesse valutato correttamente la richiesta di oscuramento dei dati personali a suo tempo presentata dal reclamante al quale, invece, fu ribadita – contrariamente a quanto sostenuto nelle memorie difensive della Regione – la legittimità della diffusione, respingendo la richiesta e rappresentando al soggetto istante, fra l’altro e in maniera non conforme alla normativa in materia di protezione dei dati personali, che l’«ammissione ai benefici di un Avviso Pubblico comporta la pubblicazione della graduatoria e/o elenco dei soggetti ammessi, a tutela dell’interesse pubblico generale, come da normativa vigente in materia di trasparenza dell’operato della pubblica amministrazione» e che l’«eventuale revoca dei benefici concessi comporta una evidenza pubblica, analogamente alla pubblicazione dell’elenco dei soggetti ammessi, nel rispetto delle procedure in materia di trasparenza degli atti amministrativi» (nota prot. n. XX del XX del Dipartimento n. 7-Lavoro, formazione e politiche sociali della Regione Calabria).
6. Esito dell’istruttoria relativa al reclamo presentato
Per tutto quanto sopra descritto, le circostanze evidenziate negli scritti difensivi esaminate nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019. Ciò anche considerando che sin dal 2014 l’Autorità, nelle Linee guida in materia di trasparenza e pubblicazione online sopra citate, ha fornito a tutte le pp.aa. specifiche indicazioni sulle modalità per contemperare gli obblighi di trasparenza e pubblicità dell’azione amministrativa con il diritto alla protezione dei dati personali dei soggetti interessati.
In tale quadro, si confermano le valutazioni preliminari dell’Ufficio con la nota prot. n. XX del XX e si rileva l’illiceità del trattamento di dati personali effettuato dalla Regione Calabria, in quanto la diffusione dei dati e delle informazioni personali del reclamante contenuti Decreto dirigenziale n. XX del XX sopra meglio identificato pubblicato online sul sito web istituzionale della predetta Regione risulta:
- priva di idonei presupposti normativi, in violazione dell’art. 2-ter, commi 1 e 3, del Codice; nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD;
- non conforme al principio di minimizzazione in relazione alla diffusione del nominativo e della residenza del reclamante, considerando che si tratta di dati non «limitati a quanto necessario rispetto alle finalità per le quali sono trattati», in violazione dell’art. 5, par. 1, lett. c), del RGPD.
Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha dichiarato di aver provveduto alla «rimozione del decreto in esame dal portale regionale», fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.
7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 del RGPD)
La Regione Calabria risulta aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché l’art. 2-ter, commi 1 e 3, del Codice.
Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».
Nel caso di specie, la violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso in esame.
Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.
In tal senso, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali risulta di natura colposa ed ha avuto a oggetto la diffusione online di dati personali, per più di due anni, non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD), riferiti a un solo soggetto interessato. La Regione Calabria è un ente territoriale con quasi 2.000.000 di abitanti. L’amministrazione, a seguito della richiesta dell’Ufficio è intervenuta tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione, attenuandone i possibili effetti negativi. Nel riscontro al Garante sono state, inoltre, descritte diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD e non risultano, in ogni caso, eventuali precedenti violazioni del RGPD pertinenti commesse dall’ente.
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 10.000,00 (diecimila) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD, nonché dell’art. 2-ter, commi 1 e 3, del Codice; quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.
In relazione alle specifiche circostanze del presente caso, relative alla diffusione di dati personali online in assenza di una idonea base normativa e in violazione del principio di minimizzazione dei dati (art. 5, par. 1, lett. c, RGPD), si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.
Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
rilevata l’illiceità del trattamento effettuato dalla Regione Calabria nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD
ORDINA
alla Regione Calabria, in persona del legale rappresentante pro-tempore, con sede legale in con sede legale in Cittadella Regionale Catanzaro - 88100 Catanzaro (CZ)– C.F. 02205340793, di pagare la somma di € 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;
INGIUNGE
alla medesima Regione di pagare la somma di euro € 10.000,00 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.
Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).
DISPONE
- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;
- l'annotazione nel registro interno dell'Autorità delle violazioni e delle misure adottate ai sensi dell'art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.
Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Fonte : Garante