Sanzione di 46.000,00 Euro ad ASL Roma 1 per pubblicazione illecita di dati personali

Rispondi
Giancarlo Favero
Messaggi: 167
Iscritto il: dom gen 24, 2021 6:45 am

Sanzione di 46.000,00 Euro ad ASL Roma 1 per pubblicazione illecita di dati personali

Messaggio da Giancarlo Favero »

Interessante il provvedimento in questione, dal quale risulta che l'ASL Roma 1 ha fatto un filotto compiendo ben 10 (sì, avete letto bene: DIECI VIOLAZIONI) violazioni in un colpo solo:

L’Azienda sanitaria locale Roma 1 ha violato gli artt.
5, par. 1, lett. c);
6, par. 1, lett. c)
e), par. 2
e), par. 3, lett. b);
9, parr. 1,
9) par. 2
9) par 4, del RGPD;

e

2-ter, comma 1
2- ter camma 3;
2-septies, comma 8, del Codice.

Di seguito trovate il testo integrale del provvedimento, consultabile anche al seguente link:

https://www.garanteprivacy.it/web/guest ... eb/9784482

Grazie e buona lettura,

Giancarlo Favero

Ordinanza ingiunzione nei confronti di Azienda Sanitaria Locale Roma 1 - 26 maggio 2022

Registro dei provvedimenti
n. 199 del 26 maggio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27/4/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. n. 196 del 30/6/2003, recante il Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. Introduzione

Questa Autorità ha aperto un’istruttoria nei confronti dell’Azienda sanitaria locale Roma 1 (ASL Roma 1) in relazione a una violazione della normativa in materia di protezione dei dati personali, derivante dalla diffusione di dati personali sul sito relativo web istituzionale.

Nello specifico, come emerso dalla verifica preliminare effettuata dall’Ufficio, sul sito istituzionale della predetta ASL, nella sezione «Amministrazione trasparente», nell’area «Accesso civico»/«Registro degli accessi», era possibile accedere a una pagina web (https://...) in cui erano presenti due file intitolati:

1. «Registro degli accessi XX», contenente il «registro provvisorio richieste accesso agli atti» riferite a 1119 istanze, con specifica indicazione dei seguenti dati: numero di registro, data e numero di protocollo, oggetto, mittente, destinatario (url: https://...).

2. «Registro degli accessi XX», contenente il «registro provvisorio richieste accesso agli atti» riferite a 218 istanze, con specifica indicazione dei seguenti dati: numero di registro, data e numero di protocollo, oggetto, mittente, destinatario (url: https://...).

I citati documenti contenevano, nel campo oggetto e mittente, dati e informazioni personali, con specifica indicazione del nominativo del soggetto interessato o del proprio rappresentate legale, oppure di entrambi. In un numero molto rilevante di casi erano contenuti anche dati relativi alla salute dei soggetti interessati, considerando che la tipologia di atti richiesti alla ASL, nella maggior parte degli accessi, era inerente a documentazione sanitaria (fra cui cartelle cliniche, accertamenti di invalidità, test, relazioni tecniche, ecc.). Nel campo oggetto, inoltre, si potevano frequentemente rinvenire ulteriori dettagliate descrizioni di quanto richiesto, con chiare indicazioni sempre a dati sulla salute dei soggetti interessati (solo per fare alcuni esempi, si trovava indicato a seconda dei singoli casi: «visita del XX presso la commissione di prima istanza per l’accertamento degli stati di invalidità»; «Richiesta acquisizione visione analisi tossicologiche»; «copia conforme all’originale esami clinici, visita psichiatrica e test psicodiagnostici»; «Richiesta di copia in carta semplice dei test funzioni attentive»; «[…] consegna della documentazione ecografica comprensiva di ecografie - radiografie e referti di tutti gli esami effettuati dal 2009 al 2010»; ecc.).

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Il RGPD definisce inoltre i «dati relativi alla salute» come i «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute» (art. 4, par. 1, n. 15; considerando n. 35).

In tale contesto, i soggetti pubblici, come l’ASL, possono in generale diffondere «dati personali» secondo quanto previsto dall’art. 2-ter, commi 1 e 3, del Codice, e – in ogni caso – nel rispetto del principio di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).

I dati relativi alla salute, invece, rientrano nelle «categorie particolari di dati personali», per i quali è previsto – anche a tutela dei singoli e nel «rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona» (art. 1, comma 1, del Codice) – un espresso divieto di diffusione, ossia la possibilità di darne «conoscenza […] a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione» (art. 2-septies, comma 8; art. 2-ter, comma 4, lett. b, del Codice; art. 9 del RGPD, parr. 1, 2 e 4). Il medesimo divieto è peraltro richiamato dalla disciplina statale in materia di trasparenza, nella parte in cui prevede che «Restano fermi i limiti […] alla diffusione dei dati idonei a rivelare lo stato di salute […]» (art. 7-bis, comma 6, d. lgs. n. 33/2013).

Con particolare riferimento al caso in esame, l’opportunità di istituire «presso ogni amministrazione un registro delle richieste di accesso presentate (per tutte le tipologie di accesso)» è indicata nelle Linee guida dell’ANAC in materia di accesso civico, adottate d’intesa con il Garante (par. 9, Determinazione n. 1309 del 28/12/2016 recante le «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013», in G.U. n. 7 del 10/1/2017 e in http://www.anticorruzione.it/portal/pub ... to?ca=6666.

Tuttavia nelle medesime Linee guida è precisato che il registro contiene «l’elenco delle richieste con l’oggetto e la data e il relativo esito con la data della decisione» ed è pubblicato sul sito web «oscurando i dati personali eventualmente presenti» (ivi. del medesimo tenore anche il par. 8.2.b. della Circolare del Ministro per la pubblica amministrazione n. 1 del 2019, recante «Attuazione delle norme sull’accesso civico generalizzato (c.d. FOIA)», in http://www.funzionepubblica.gov.it/site ... 1_2019.pdf).

Occorre, inoltre, tenere in considerazione che la stessa disciplina statale in materia di trasparenza prevede espressamente che «Le pubbliche amministrazioni possono disporre la pubblicazione nel proprio sito istituzionale di dati, informazioni e documenti che non hanno l’obbligo di pubblicare ai sensi del presente decreto o sulla base di specifica previsione di legge o regolamento, nel rispetto dei limiti indicati dall’articolo 5-bis, procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti» (art. 7-bis, comma 2, del d. lgs. n. 33/2013).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che l’Azienda sanitaria locale Roma 1 – diffondendo i dati e le informazioni personali contenuti nei documenti pubblicati online prima descritti – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate alla predetta ASL le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando l’amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive.

L’Azienda sanitaria locale Roma 1, con nota prot. n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

In tale contesto, quanto alla condotta tenuta, l’Ente ha in particolare rappresentato, fra l’altro, che:

- «All’esito della ricezione della comunicazione di codesta Autorità […] sono state tempestivamente poste in essere numerosi azioni di analisi e remediation [indicate in atti]»;

- «dall’analisi precipua svolta presso la specifica sezione di Amministrazione trasparente-sottosezione Altri contenuti- è emerso che i file in questione sono risultati essere stati caricati nel back end del sito aziendale per mero errore materiale, dovuto al caricamento del file del Registro provvisorio anziché di quello definitivo, come può evincersi dalla denominazione della tabella che appare all’apertura del documento elettronico»;

- «Infatti, come per le altre annualità del Registro, i file provvisori costituiscono fogli di “lavoro” finalizzati alla sola creazione del file del Registro annuale degli accessi, file che appositamente lavorato ed epurato dei dati identificativi presenti nel file provvisorio, per garantire l’anonimizzazione dei richiedenti/soggetti coinvolti, vengono poi, di regola, pubblicati nella sezione dedicata»;

- «L’errore materiale si desume anche dal fatto che per tutti gli altri anni oggetto di pubblicazione la problematica non si evince»;

- «Proprio per garantire il maggior presidio del processo di pubblicazione della documentazione, già nell’anno 2018, l’Azienda aveva provveduto alla contrattualizzazione del fornitore [identificato in atti] che ha dotato l’Azienda medesima della piattaforma [identificata in atti, che] ha consentito, per gli anni a venire, la corretta alimentazione e pubblicazione di dati nella sezione Amministrazione trasparente […]»;

- «La soluzione applicativa [utilizzata], il cui accesso è limitato ai soli utilizzatori accreditati, offre meccanismi di protezione, sicurezza e prevenzione dalle intrusioni indebite, tanto a livello software quanto a livello infrastrutturale [descritte in atti]»;

- «L’Azienda ha, altresì, realizzato apposite linee guida, mediante il supporto del DPO aziendale, per la corretta pubblicazione dei file nel rispetto della normativa in materia di trattamenti dei dati personali […]»;

- «relativamente ai dati presenti nei file in questione nessuna segnalazione o lamentatela da parte di eventuali interessati è mai pervenuta alla scrivente Azienda né, da quanto consta, ad altre Autorità»;

- «l’iter informatico […] presenta un livello di percorribilità di particolare complessità e di scarsa immediatezza, il che consente di affermare che del tutto remota sia stata la possibilità di un accesso considerevole [ai file oggetto di contestazione]».

5. Valutazioni del Garante

La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni personali, contenuti nel «Registro degli accessi» pervenuti all’ASL, relativi agli anni XX e XX, pubblicati online (di cui ai file identificati supra ai nn. 1 e 2 del par. 1).
I citati registri riportavano in chiaro tutti i nominativi dei soggetti richiedenti l’accesso (o del proprio rappresentate legale, oppure di entrambi) e dati appartenenti a categorie particolari in quanto relativi alla salute (art. 9, par. 1, RGPD).

Infatti, nella maggior parte degli accessi, la tipologia di atti richiesti alla ASL era inerente a documentazione sanitaria (fra cui cartelle cliniche, accertamenti di invalidità, test, relazioni tecniche, ecc.). Inoltre, nel campo oggetto dei medesimi registri erano contenuti ulteriori informazioni dettagliate relative alla documentazione richiesta, parimenti rientranti nella categoria dei dati sulla salute dei soggetti interessati. Ciò considerando, ad esempio, che si potevano trovare indicati, a seconda dei singoli casi, riferimenti come: «visita del XX presso la commissione di prima istanza per l’accertamento degli stati di invalidità»; «Richiesta acquisizione visione analisi tossicologiche»; «copia conforme all’originale esami clinici, visita psichiatrica e test psicodiagnostici»; «Richiesta di copia in carta semplice dei test funzioni attentive»; «[…] consegna della documentazione ecografica comprensiva di ecografie - radiografie e referti di tutti gli esami effettuati dal 2009 al 2010»; ecc.

Nell’ambito dell’istruttoria aperta al riguardo da questa Autorità, l’Azienda sanitaria locale Roma 1 ha confermato, nelle proprie memorie difensive, l’avvenuta diffusione online dei dati personali descritti, riconducendo la propria condotta a un mero errore materiale dovuto alla circostanza di avere caricato il file provvisorio degli accessi, piuttosto che quello definitivo epurato dei dati personali ivi contenuti.
L’ASL ha dichiarato di avere provveduto a rimediare alla situazione e di avere adottato diverse misure tecniche e organizzative (descritte nelle memorie difensive) per pubblicare correttamente i documenti online, evidenziando – in ogni caso – di non avere ricevuto alcuna segnalazione da parte dei soggetti interessati al riguardo.

6. Esito dell’istruttoria

Le circostanze evidenziate negli scritti difensivi della ASL, esaminate nel loro complesso, anche se sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento. Ciò in quanto, nel caso in esame, non ricorre alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019.

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio con la nota prot. n. XX del XX e si rileva che il trattamento di dati personali effettuato dall’Azienda sanitaria locale Roma 1 non è conforme alla disciplina rilevante in materia di protezione dei dati personali, in quanto la diffusione dei dati personali contenuti nel «Registro degli accessi» pervenuti all’ASL, relativi agli anni XX e XX, pubblicati online (di cui ai file identificati supra ai nn. 1 e 2 del par. 1) è avvenuta in violazione:

1) del divieto di diffusione dei dati sulla salute dei soggetti interessati, previsto dall’art. 2-septies, comma 8, del Codice (cfr. anche l’art. 9, parr. 1, 2 e 4, del RGPD);

2) del principio di «minimizzazione» dei dati, che non sono risultati «limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (ossia la trasparenza amministrativa), previsto dall’art. 5, par. 1, lett. c), del RGPD;

3) delle disposizioni contenute nell’art. 7-bis, comma 2, del d. lgs. n. 33/2013; dell’art. 2-ter, commi 1 e 3, del Codice; dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché delle indicazioni contenute nelle Linee guida dell’ANAC (det. n. 1309/2016) e nella Circolare del Ministro per la pubblica amministrazione n. 1/2019, sopra richiamate al par. 2.

Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha dichiarato di aver provveduto a rimediare alla propria condotta, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 del RGPD)

L’Azienda sanitaria locale Roma 1 ha violato gli artt. 5, par. 1, lett. c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 9, parr. 1, 2 e 4, del RGPD; nonché gli artt. 2-ter, commi 1 e 3; 2-septies, comma 8, del Codice.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

Nel caso di specie, la violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso in esame.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali risulta di natura colposa, derivante da un mero errore materiale e ha avuto a oggetto la diffusione online di dati personali per circa tre anni riferiti a più di mille soggetti interessati, anche relativi alla salute (art. 9 del RGPD). Ai fini della valutazione della condotta rilevano tuttavia quali elementi attenuanti il carattere del tutto accidentale della condotta tenuta, l’assenza della ricezione da parte dell’ASL di eventuali segnalazioni o lamentele dei soggetti interessati, la circostanza – secondo quanto dichiarato dall’ASL – della possibile (anche se non provata) assenza di un «accesso considerevole» ai file oggetto di contestazione, considerata la pluralità di passaggi che caratterizzavano il percorso informatico per potervi accedere. Si tiene, inoltre, conto del fatto che il titolare del trattamento, a seguito della richiesta dell’Ufficio è intervenuto tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione, attenuandone i possibili effetti negativi. Nel riscontro al Garante sono state, inoltre, descritte diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD e non risultano, in ogni caso, eventuali precedenti violazioni del RGPD pertinenti commesse dall’ente.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 46.000,00 (quarantaseimila) per la violazione degli artt. 5, par. 1, lett. c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 9, parr. 1, 2 e 4, del RGPD; nonché degli artt. 2-ter, commi 1 e 3; 2-septies, comma 8, del Codice; quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, relative alla diffusione di dati personali online in violazione del divieto di diffusione di dati sulla salute nonché in assenza di una idonea base normativa e in violazione del principio di minimizzazione dei dati, si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dall’Azienda Sanitaria Locale Roma 1 nei termini indicati in motivazione, ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD

ORDINA

all’Azienda Sanitaria Locale Roma 1, in persona del legale rappresentante pro-tempore, con sede legale in Borgo Santo Spirito, 3 - 00193 Roma (RM) – C.F. 13664791004 di pagare la somma di euro 46.000,00 (quarantaseimila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;

INGIUNGE

alla medesima Azienda Sanitaria Locale di pagare la somma di euro 46.000,00 (quarantaseimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

- l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d. lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 26 maggio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL VICE SEGRETARIO GENERALE
Filippi

Rispondi