[doc. web n. 9992986]

Provvedimento del 24 gennaio 2024

Registro dei provvedimenti
n. 32 del 24 gennaio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento e con una segnalazione presentata ai sensi dell’art. 144 del Codice, è stato rappresentato che tra il 20 e il XX sarebbe stata inviata a tutti i dipendenti pubblici italiani una lettera del Ministro per la Pubblica Amministrazione relativa alle opportunità di formazione messe a disposizione nel quadro del c.d. “Piano strategico per la valorizzazione e lo sviluppo del capitale umano della PA”.

L’invio in questione risulta essere stato effettuato dall’indirizzo “Dipartimento della Funzione Pubblica - formazionePA@inps.it”, riconducibile al dominio di posta elettronica dell’Istituto Nazionale Previdenza Sociale (di seguito, l’“INPS” o l’“Istituto”)”.

Gli interessati hanno lamentato che tali email sarebbero state inviate non già agli indirizzi di posta elettronica istituzionale dei destinatari (ad esempio, nome.cognome@amministrazione.it), bensì a quelli personali.

La segnalazione e il reclamo confermano, peraltro, quanto era stato appreso da fonti di stampa, nonché da un comunicato stampa della FP CGIL del XX.

Da tali fonti, nonché dal dibattito su alcuni social network, sembra, peraltro, emergere che la lettera in questione sia stata inviata anche a persone non più in servizio presso la Pubblica Amministrazione, come, ad esempio, dipendenti pubblici in pensione.

2. L’attività istruttoria.

In riscontro a una richiesta d’informazioni formulata dall’Ufficio del Garante ai sensi dell’art. 157 del Codice (v. nota prot. n. XX del XX), la Presidenza del Consiglio dei Ministri dei Ministri (Dipartimento della funzione pubblica – di seguito, il “Dipartimento”), con nota prot. n. XX, ha dichiarato, in particolare, che:

“nell’ambito dell’investimento sul capitale umano come asset strategico della pubblica amministrazione, centrale per il rilancio del Paese nella fase post-emergenziale, dunque, anche – e soprattutto – in relazione all’attuazione degli obiettivi del PNRR, si inquadra l’azione Piano Strategico per la valorizzazione e lo sviluppo del capitale umano della pubblica amministrazione “Ri-formare la PA. Persone qualificate per qualificare il Paese […] presentato dal Ministro per la pubblica amministrazione nella sede del Dipartimento […] il XX”;

“successivamente, in data XX, con nota prot. n. XX […], avente ad oggetto, per l’appunto, «Piano Strategico per la valorizzazione e lo sviluppo del capitale umano della pubblica amministrazione “Ri-formare la PA. Persone qualificate per qualificare il Paese”, il Dipartimento […] ha chiesto la disponibilità all’INPS a fornire la propria collaborazione al fine di «garantire la massima diffusione dell’iniziativa e quindi raggiungere tutti i dipendenti delle pubbliche amministrazioni interessate», risultando all’uopo necessario «utilizzare il maggior numero di canali informativi disponibili, tra i quali anche quelli gestiti [dall’] Istituto””;

“conseguentemente, l’INPS ha individuato e adottato le scelte e le soluzioni tecniche e organizzative ritenute maggiormente adeguate al fine di raggiungere l’obiettivo – comune alle finalità istituzionali del Dipartimento […] stesso e dell’INPS – di garantire la massima diffusione delle iniziative sopra citate. All’uopo, appare doveroso evidenziare che, in effetti, la comunicazione diretta agli interessati è particolarmente servita nell’ambito di intervento “PA 110 e lode” del Piano strategico de quo, giacché nella lettera del Ministro per la pubblica amministrazione si faceva specifico riferimento ad una puntuale iniziativa in scadenza di lì a qualche giorno […] [determinando un] c.d. “effetto moltiplicatore” sul numero di iscrizioni […]”;

“con la nota del 18 gennaio […] il Dipartimento […] si è limitato a chiedere al Presidente dell’INPS di dare massima diffusione al [predetto] Piano Strategico […], attesa la necessità di utilizzare il maggior numero di canali informativi disponibili, senza fornire alcuna indicazione specifica sul tipo di canale informativo da utilizzare e/o sul dato da trattare”;

“il Dipartimento […] non ha assunto alcun ruolo, ai fini della normativa sulla privacy; tra il Dipartimento […] e l’INPS, peraltro, non vi è stata alcuna condivisione e/o scambio di dati relativi ai dipendenti della pubblica amministrazione cui è stata inviata la citata nota del Ministro per la pubblica amministrazione”.

In riscontro alla medesima richiesta d’informazioni, l’Istituto, con nota prot. n. XX, per il tramite del proprio Responsabile della protezione dei dati, ha dichiarato, in particolare, che:

“il Dipartimento […] ha manifestato l’esigenza istituzionale di informare tutti i dipendenti pubblici circa le iniziative formative utili alla loro crescita professionale nel quadro del [predetto]Piano strategico […]. Il Dipartimento, non disponendo dei recapiti telematici dei citati dipendenti, ha chiesto la collaborazione dell’INPS per raggiungere i dipendenti pubblici attraverso i propri canali di comunicazione”;

“l’Istituto ha evidenziato al Dipartimento di non avere una banca dati dei dipendenti pubblici con le relative email istituzionali, ma di poter identificare lo status di “dipendente pubblico” dalle denunce retributive UNIEMENS-ListaPosPA, che le amministrazioni pubbliche/enti pubblici effettuano mensilmente all’Istituto per i propri dipendenti. Inoltre, l’INPS ha i recapiti telematici degli utenti che si sono registrati su myINPS e che li hanno forniti per le finalità espresse nella relativa informativa. Considerato che la comunicazione si riferiva anche a prestazioni erogate dall’INPS (ValorePA), si è ritenuto che la stessa rientrasse anche tra le finalità di comunicazione istituzionale dell’Ente”;

“il procedimento adottato dall’INPS per l’invio delle comunicazioni dovrebbe essere stato il seguente: è stato estrapolato l’elenco dei codici fiscali dei dipendenti pubblici desunto dall’ultima denuncia contributiva inviata dalle P.A; tale elenco è stato integrato con il cognome, il nome e l’indirizzo email fornito dagli interessati all’interno della sezione myINPS del portale dopo aver preso visione della relativa informativa; è stata inviata la comunicazione via email ad ognuno di tali indirizzi attraverso i mail server dell’INPS e con indirizzo mittente formazionePA@inps.it”;

“i soggetti raggiunti via email sono stati circa 1,2 milioni”;

“i recapiti telematici degli utenti, nonché gli altri dati personali, non sono stati comunicati al Dipartimento […] o ad alcun altro soggetto esterno essendo stati trattati esclusivamente dall’INPS”;

“il Dipartimento […] e l’INPS hanno agito in qualità di titolari autonomi del trattamento nel perseguimento dell’interesse (pubblico) di promuovere la formazione del proprio personale dirigenziale, nell’ambito del quadro normativo risultante dalla novella di cui al decreto-legge n. 139/2021, convertito in legge n. 205/2021”.

A seguito di un’ulteriore richiesta d’informazioni dell’Ufficio (nota prot. n. XX del XX), l’Istituto, con nota prot. n. XX, per il tramite del proprio Responsabile della protezione dei dati, ha dichiarato, in particolare, che:

“le interlocuzioni [con il Dipartimento] del XX hanno […] evidenziato che l’attività si inquadrava nella costruzione di un modello che in ogni modo andava costruito “per differenza”, interpolando più database partendo dalle denunce UNIEMENS-ListaPosPA, per poi estrapolare solo i soggetti delle amministrazioni non gestite da NoiPA (MEF); nei tavoli di lavoro è stato poi concordato che l’Istituto avrebbe inviato le comunicazioni anche ai soggetti delle amministrazioni gestite da NoiPA (MEF) secondo lo schema seguente: individuazione dei soggetti esposti nelle denunce UNIEMENS-ListaPosPA, senza alcun filtro (con l’assunto che i soggetti esposti nelle denunce retributive/contributive fossero in servizio); individuazione degli indirizzi email “certificati” dai contatti; invio comunicazione”;

“[…] nei tavoli di lavoro è stato comunque evidenziato che in assenza di una base dati ad hoc sarebbe stato comunque necessario procedere con delle [considerazioni presupposte] che poi si sono riverberate anche sul fatto che il campione potesse potenzialmente ricomprendere anche personale in pensione pur essendo nel perimetro dei flussi uniemens”;

“la scelta di assumere come fonte dati il flusso uniemens è stato il presupposto per intercettare tutta la platea dei dipendenti, ma questo ha comportato che nel campione potessero essere ricompresi coloro che, avendo cessato il servizio a cavallo della rilevazione o comunque in tempi immediatamente precedenti, a vario titolo sono stati titolari di emolumenti differiti e quindi ricompresi nel flusso”;

“[…] [il] Dipartimento e l’INPS hanno agito in qualità di titolari autonomi del trattamento nel perseguimento dell’interesse (pubblico) di promuovere la formazione dei dipendenti pubblici e ciò trova conferma anche nell’email del XX [prodotta in copia unitamente all’email di riscontro inviata dal Capo del Dipartimento in data XX], con la quale il Direttore centrale tecnologia informatica e innovazione pro tempore dell’Istituto dava conto analiticamente al Dipartimento […] della platea dei potenziali destinatari della comunicazione e sottoponeva al vaglio dell’interlocutore se “mandare la lettera congiunta direttamente ai dipendenti e non solo tramite le loro amministrazioni, [nonché] se mandare la lettera solo a quei dipendenti pubblici che hanno email validate””.

“[…] lo stesso Dipartimento [della Funzione Pubblica], con la nota sopra richiamata, ha dato conto dell’urgenza dell’inoltro della comunicazione oggetto di reclamo in vista dell’imminente scadenza del proprio bando “PA 110 e lode” […]”;

“se non certo, è quantomeno presumibile che detta circostanza abbia avuto un rilievo non trascurabile per il Dipartimento sulla configurazione del trattamento dei dati personali effettuato. Infatti, una diversa soluzione consistente nel preliminare coinvolgimento delle pubbliche amministrazioni per il successivo invio, ciascuna al proprio personale dipendente, della lettera a firma del Ministro sugli indirizzi di posta elettronica istituzionale del personale avrebbe richiesto tempi non compatibili con la scadenza del bando “PA 110 e lode””.

L’Ufficio del Garante ha successivamente rivolto un’ulteriore richiesta di informazioni al Dipartimento (nota prot. n. XX del XX), che ha fornito riscontro con prot. n.XX del XX, dichiarando, in particolare, che:

“rispetto alla vicenda in esame, il Dipartimento […] si è limitato a chiedere all’INPS la disponibilità a fornire la propria collaborazione al fine di garantire la massima diffusione dell’iniziativa “PA 110 e lode”, utilizzando il maggior numero di canali informativi a disposizione dell’INPS”;

“con la nota del XX, infatti, il Dipartimento […] si è limitato a chiedere al Presidente dell’INPS di dare massima diffusione al [predetto] Piano Strategico […], attesa la necessità di utilizzare il maggior numero di canali informativi disponibili, al fine di raggiungere tutti i dipendenti delle pubbliche amministrazioni, senza - tuttavia - fornire alcuna indicazione specifica sul tipo di canale informativo da utilizzare e/o sul dato da trattare”;

“viceversa, è l’INPS ad aver adottato le soluzioni tecnico-organizzative ritenute maggiormente adeguate al fine di raggiungere l’obiettivo suddetto”;

“[…] il Dipartimento […] non può aver assunto alcun ruolo ai fini della normativa sulla privacy, men che meno quello di “titolare autonomo del trattamento” […]: il Dipartimento […], infatti, non ha trattato alcun dato autonomamente, considerato che le e-mail sono state inviate dal dominio di posta elettronica dell’INPS”;

“peraltro, non vi è stata alcuna condivisione e/o scambio di dati relativi ai dipendenti della pubblica amministrazione tra INPS e Dipartimento […] a cui è stata inviata la citata nota del Ministro per la pubblica amministrazione, tale per cui non è certamente possibile sostenere che i dati siano stati trattati dal Dipartimento anche solo indirettamente e/o in un secondo momento rispetto al trattamento dei dati – questo sì – effettuato direttamente dall’INPS, unico titolare dei dati trattati nella fattispecie in esame”.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Istituto, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. a) e b), 6, 12, 13, 14 e 26, parr. 1 e 2, del Regolamento, nonché 2-ter del Codice, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Con nota del XX (prot. n. XX), l’Istituto ha presentato una memoria difensiva, dichiarando, in particolare, che:

“in data XX, [il] Dipartimento […], con nota prot. n. XX […] ha manifestato all’INPS l’esigenza istituzionale di informare tutti i dipendenti pubblici degli interventi compresi nel “Piano strategico Ri-formare la PA”, promosso dal Dipartimento […], “nell’ambito della durata del PNRR”, al fine di valorizzare e sviluppare il capitale umano delle pubbliche amministrazioni”;

“il Dipartimento […] ha chiesto all’INPS di fornire la propria collaborazione al fine di “garantire la massima diffusione dell’iniziativa e quindi raggiungere tutti i dipendenti delle pubbliche amministrazioni”, risultando all’uopo necessario “utilizzare il maggior numero di canali informativi disponibili, tra cui anche quelli gestiti [dall’] Istituto”. Inoltre, la richiesta [del Dipartimento] interessava anche funzioni esercitate istituzionalmente dall’INPS, in quanto prevedeva pure “la messa a disposizione di contenuti formativi già predisposti dall’INPS e immediatamente integrabili all’interno delle iniziative previste nel Piano strategico””;

“il primo aspetto che assume rilievo, quindi, ai fini di individuare la base giuridica del trattamento, è che la richiesta [del] Dipartimento […], si colloca nell’ambito del PNRR”, essendo previsti “interventi di riforma della pubblica amministrazione volti a migliorare la capacità amministrativa a livello centrale e locale, rafforzando in particolare la formazione e lo sviluppo delle competenze dei dipendenti pubblici”;

“in questo quadro, si inserisce il Piano strategico “Ri-formare la PA. Persone qualificate per qualificare il Paese. Piano strategico per la valorizzazione e lo sviluppo del capitale umano della Pubblica Amministrazione” promosso dal Dipartimento […] che si articola attraverso tutta una serie di interventi, tra i quali vi è l’“Obiettivo PA 110 e Lode” e il progetto “Syllabus” per la formazione delle “Competenze digitali per la PA””;

“la responsabilità di indirizzo del PNRR è assegnata alla Presidenza del Consiglio dei Ministri (decreto-legge n. 77/2021 convertito dalla legge 29 luglio 2021, n. 108 […]”;

“[…] [a propria volta] INPS, tramite il progetto “Valore PA”, consente la partecipazione a corsi universitari di formazione proposti da atenei italiani su aree di interesse delle stesse amministrazioni, con il finanziamento delle quote di partecipazione dei dipendenti selezionati; nonché mette a disposizione borse di studio per il finanziamento di master universitari “executive” di I e II livello accreditati”;

“in tale quadro normativo, si colloca (i) la richiamata nota prot. n. XX con cui [il] […] Dipartimento […] ha individuato come necessaria ed ha richiesto all’INPS di fornire la propria collaborazione per attuare il Piano strategico “Ri-formare la PA” e […] la doverosa collaborazione istituzionale prestata dall’Istituto”;

“la collaborazione e, quindi, il comportamento dell’Istituto, è consistito nel permettere [al] [Dipartimento] […] di veicolare la propria campagna di informazione attraverso i medesimi canali informativi dell’Istituto, abbinando in una unica lettera rivolta alla stessa platea costituita da tutti i dipendenti pubblici, sia gli obiettivi di formazione del Dipartimento […] – “PA 110 e Lode” e “Syllabus” - sia quelli dell’INPS – “Valore PA” e borse di studio”;

“alla comunicazione ha provveduto l’INPS e non il Dipartimento […]. Al fine di raggiungere tutti i dipendenti pubblici, l’INPS ha utilizzato i recapiti telematici cioè le e-mail fornite quali contatti per le comunicazioni di interesse dai dipendenti pubblici registrati nell’area “MyInps” del sito istituzionale dell’Istituto. Peraltro, né i recapiti telematici né alcun dato personale è stato comunicato o condiviso con il Dipartimento […]”;

“l’unico aspetto che è stato condiviso è il testo della lettera […] da inviare ai dipendenti pubblici”;

“si tratta di una comunicazione di carattere assolutamente istituzionale che fa esplicito riferimento alle numerose iniziative formative – sia del Dipartimento […] sia dell’INPS – messe a disposizione e di possibile interesse per tutti i dipendenti pubblici o già dipendenti pubblici (come detto le iniziative formative dell’INPS possono rivolgersi anche a pensionati già dipendenti pubblici)”;

“la collaborazione richiesta [dal] […] Dipartimento […] appare, quindi, rientrare ed essere fondata su un obbligo legale, riconducibile a norme di legge, di regolamento e, comunque, di atti amministrativi generali come sono i piani e gli interventi previsti e disciplinati nell’ambito del PNRR sotto l’egida della Presidenza del Consiglio dei Ministri”;

"in ogni caso, l’Istituto ha prestato [al] […] Dipartimento […] la propria collaborazione istituzionale per l’adempimento di un compito sicuramente di interesse pubblico nel senso di cui all’art. 2-ter, comma 1-bis [del Codice]”;

è evidente che, in relazione al contesto giuridico di riferimento, sia per i compiti istituzionali dell’INPS che per gli impegni connessi alla realizzazione del PNRR, si configura un trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri […]”;

“difatti, la veicolazione di una nota informativa avente ad oggetto anche, ma non solo, interventi formativi oggetto del Piano strategico promosso dal Dipartimento […] nell’ambito del PNRR, è sicuramente una finalità di pubblico interesse. Ed anche se la si volesse considerare una finalità esclusivamente propria [del] Dipartimento […] e non dell’INPS (per quanto sia discutibile in quanto gli obiettivi perseguiti dal [predetto] Piano strategico […] riguardano la formazione dei dipendenti di tutte le pubbliche amministrazioni), sicuramente è una finalità compatibile o sovrapponibile con quella analoga dell’INPS che persegue la medesima finalità, nei confronti della stessa platea dei dipendenti pubblici, con i propri strumenti e con altri ed ulteriori interventi formativi richiamati e pubblicizzati nella medesima nota informativa”;

“infine, nello svolgimento di tale attività, l’INPS […] non ha arrecato alcun pregiudizio alla tutela dei diritti e delle libertà degli interessati”;

“[…] nell’informativa presente sul sito web dell’Istituto e in quella presente all’interno dell’area “MyInps”, è anche indicato espressamente agli utenti di fornire soltanto recapiti personali (e non di terzi, intermediari ecc.) e di tenerli aggiornati. L’utilizzo è, quindi, strettamente personale. All’area “MyInps” si accede soltanto con le credenziali SPID, CIE e CNS che presentano elevati livelli di sicurezza”;

“l’informativa sul trattamento dei dati personali fornita dall’Istituto sul proprio sito web, prevede espressamente che gli utenti possano ricevere comunicazioni in merito ad eventuali servizi di interesse dell’utente, anche per funzioni direttamente connesse alle medesime finalità per cui sono stati raccolti. E non appare possibile negare che le iniziative formative in questione siano di possibile interesse per i dipendenti pubblici o già dipendenti pubblici pensionati”;

“sia l’informativa sul trattamento dei dati personali fornita dall’Istituto sul proprio sito web, sia quella fornita all’interno dell’area “MyInps”, fanno espresso riferimento all’utilizzo dei dati in conformità alle norme di legge e di regolamento, nel rispetto dei presupposti stabiliti dal Regolamento e dal Codice, con particolare riferimento al perseguimento delle finalità istituzionali dell’Istituto ed eventuali finalità connesse”;

“non appare, quindi, possibile affermare che l’INPS non abbia fornito una informativa sul trattamento dei dati personali. Né che tale informativa non sia adeguata e non possa ricomprendere l’utilizzo dei contatti telematici per una campagna promozionale di iniziative rivolte alla formazione ed allo sviluppo della capacità e delle competenze dei dipendenti pubblici. La formazione dei dipendenti pubblici costituisce una finalità perseguita a pari titolo sia dall’INPS che dal Dipartimento […] Pertanto, non è possibile che un dipendente pubblico, nella sua qualità, in particolare di iscritto al Fondo Credito dell’INPS, possa affermare che la comunicazione di iniziative di formazione legate alla sua qualità di dipendente pubblico, non sono comunicazioni di suo possibile interesse e si pongono in contrasto con l’aspettativa in merito al trattamento dei propri dati personali”;

“nel caso di specie, come si è visto, l’INPS e [il] Dipartimento […] perseguono a pari titolo ed in modo autonomo la finalità di formazione e sviluppo della capacità e delle competenze dei dipendenti pubblici. E l’INPS in base ad una normativa autonoma risalente ancor prima rispetto agli interventi della Funzione Pubblica di cui al [predetto] Piano strategico […] che contiene le iniziative “PA 110 e Lode” e “Syllabus”. Il punto in comune è che tutte le iniziative formative, sia quelle curate dall’INPS, sia quelle curate dal Dipartimento […], concorrono alla realizzazione del PNRR che ha previsto, tra l’altro, la Missione 1 Componente 1.2 “Modernizzazione della pubblica amministrazione””;

“il rapporto tra [il Dipartimento] e l’INPS, non è […] affatto un rapporto complesso che ha richiesto la determinazione o condivisione di finalità, mezzi e modalità di trattamento in un accordo che valga a disciplinare i dettagli e il modo in cui deve svolgersi il rapporto […] L’unico aspetto condiviso è stato il testo della lettera […]”;

“[non] è possibile che l’INPS possa sindacare tempi e modi di attuazione del PNRR, in quanto la responsabilità di indirizzo del PNRR è assegnata alla Presidenza del Consiglio dei Ministri ed il raggiungimento dei relativi obiettivi risponde ad un interesse economico e finanziario di primaria importanza per il Paese”;

“pertanto, […] [non era necessaria] la stipulazione di un accordo [di contitolarità del trattamento]”.

3. Esito dell’attività istruttoria.

3.1 Il ruolo del Dipartimento e dell’Istituto ai fini della normativa in materia di protezione dei dati.

Ai sensi dell’art. 4, par. 1, n. 7), del Regolamento, il titolare del trattamento è “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri”.

Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, “essi sono contitolari del trattamento” e devono “determina[re] in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal […] regolamento, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell'Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati” (art. 26, par. 1, del Regolamento). L'accordo tra i contitolari “riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati” e il “contenuto essenziale dell'accordo [deve essere] messo a disposizione dell'interessato” (art. 26, par. 2, del Regolamento).

Come chiarito dal Comitato europeo per la protezione dei dati, “il criterio generale per la sussistenza della contitolarità di trattamento è la partecipazione congiunta di due o più soggetti nella definizione delle finalità e dei mezzi di un’operazione di trattamento. La partecipazione congiunta può assumere la forma di una decisione comune, presa da due o più soggetti […]” (“Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate il 7 luglio 2021, par. 53).

Nel corso dell’istruttoria è emerso che, con nota del XX (prot. n. XX), in atti, il Dipartimento ha chiesto all’Istituto di “utilizzare il maggior numero di canali informativi disponibili, tra i quali anche quelli gestiti [dall’] Istituto”, al fine di “garantire la massima diffusione dell’iniziativa e quindi raggiungere tutti i dipendenti delle pubbliche amministrazioni interessate”, invitando l’Istituto “a prendere parte all’iniziativa in parola, fornendo la propria collaborazione per ciò che riguarda sia l’attività di comunicazione ai dipendenti, sia la messa a disposizione di contenuti formativi già predisposti dall’INPS e immediatamente integrabili all’interno delle iniziative previste nel Piano Strategico”.

Sebbene l’Istituto fosse estraneo alle iniziative formative promosse dal Dipartimento, esso, accettando di collaborare con quest’ultimo, ha fatto propria la finalità del trattamento in questione, ritenendo che “la comunicazione […] rientrasse anche tra le finalità di comunicazione istituzionale dell’Ente” (nota prot. n. XX) e dando un apporto essenziale ai fini del perseguimento della stessa. In assenza della collaborazione dell’Istituto, il Dipartimento non avrebbe, infatti, potuto veicolare la comunicazione in questione ai dipendenti pubblici su base individuale.

D’altra parte, l’Istituto non ha negato di aver determinato la finalità del trattamento, ritenendo lo stesso di aver agito, assieme al Dipartimento, “in qualità di titolari autonomi del trattamento nel perseguimento dell’interesse (pubblico) di promuovere la formazione del proprio personale dirigenziale, nell’ambito del quadro normativo risultante dalla novella di cui al decreto-legge n. 139/2021, convertito in legge n. 205/2021” (ibidem), secondo un’impostazione confermata anche nella memoria difensiva.

L’Istituto ha, altresì, determinato, assieme al Dipartimento, i mezzi del trattamento. Dalle interlocuzioni intercorse tra il Dipartimento e l’Istituto e dalla corrispondenza acquisita agli atti, emerge, infatti, che, a fronte della richiesta del Dipartimento di “utilizzare il maggior numero di canali informativi disponibili, tra i quali anche quelli gestiti [dall’] Istituto”, quest’ultimo ha individuato la specifica soluzione per veicolare, su base individuale, la lettera in questione ai dipendenti pubblici (individuazione dei soggetti esposti nelle denunce UNIEMENS-ListaPosPA; integrazione dei dati con il cognome, il nome e l’indirizzo email fornito dagli utenti all’interno della sezione myINPS del portale; invio comunicazione su base individuale attraverso i mail server dell’Istituto e con indirizzo mittente formazionePA@inps.it), mettendo, a tal fine, a disposizione le proprie banche dati e i propri sistemi informatici.

Dall’e-mail inviata dall’Istituto al Dipartimento il XX, in atti, emerge poi che l’Istituto ha specificamente informato il Dipartimento della circostanza che i lavoratori pubblici avrebbero potuto essere contattati a mezzo email su base individuale, specificando che “occorre decidere se vogliamo mandare la lettera congiunta direttamente ai dipendenti e non solo tramite le loro amministrazioni”.

Con successiva e-mail del XX, inviata dal Dipartimento all’Istituto, in atti, a cui sono allegate due lettere “rispettivamente quella da inviare a tutti i dipendenti pubblici e quella da inviare a tutte le Amministrazioni”, il Dipartimento ha poi impartito all’Istituto le seguenti indicazioni: “nella stringa del mittente dell’email, come concordato, dovrà essere visibile solo “Dipartimento della Funzione pubblica”, mentre l’oggetto dell’email sarà “Ri-formare la PA. Il Piano strategico per la formazione dei dipendenti pubblici”. Ciò conferma che il Dipartimento fosse a conoscenza della circostanza che i dipendenti sarebbero stati contattati a mezzo e-mail su base individuale, facendo propria tale soluzione.

Alla luce di tutto quanto sopra esposto, si ritiene che l’Istituto e il Dipartimento abbiano agito, nel caso in questione, in qualità di contitolari del trattamento (v. artt. 4, par. 1, n. 7), e 26 del Regolamento), in quanto “il trattamento non sarebbe [stato] possibile senza la partecipazione di entrambe le parti”, essendo “il trattamento da parte di ciascuna parte […] inseparabile, ovverosia […] indissolubilmente legato” (“Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, cit., all. 1, che riprende i contenuti della sez. 3, relativa alla “definizione di contitolari del trattamento”). Sia l’Istituto sia il Dipartimento hanno, infatti esercitato un’“influenza decisiva sull’attuazione e sulle modalità del trattamento, mediante una decisione comune o decisioni convergenti che si completano a vicenda e sono necessarie per il trattamento poiché hanno un impatto tangibile sulla determinazione delle finalità e dei mezzi” (ibidem).

A tal riguardo, occorre evidenziare che, come chiarito dalla Corte di giustizia dell’Unione europea, l’esistenza di una responsabilità congiunta non implica necessariamente una responsabilità equivalente, per un medesimo trattamento di dati personali, dei diversi soggetti che vi partecipano. Al contrario, tali soggetti possono essere coinvolti in fasi diverse di tale trattamento e a diversi livelli, di modo che il grado di responsabilità di ciascuno di essi deve essere valutato tenendo conto di tutte le circostanze rilevanti nello specifico contesto (sentenza C-40/17, Fashion ID GmbH & Co.KG contro Verbraucherzentrale NRW eV, del 29 luglio 2019: v. anche sentenza C-210/16, Wirtschaftsakademie Schleswig-Holstein, 5 giugno 2018). Non è, inoltre, necessario che la determinazione delle finalità e dei mezzi del trattamento debba essere effettuata mediante istruzioni scritte o incarichi da parte del titolare del trattamento. Può, quindi, essere considerata titolare del trattamento una persona fisica o giuridica che, per scopi che le sono propri, influisca sul trattamento di dati personali e partecipi, pertanto, alla determinazione delle finalità e dei mezzi di tale trattamento (v. Corte di giustizia dell’Unione europea, sent. C-25/17, Jehovan todistajat, del 10 luglio 2018; cfr. le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, cit., parr. 57 e 58).

Né rileva la circostanza che il Dipartimento non avesse accesso ai dati personali detenuti dell’Istituto e utilizzati ai fini del recapito della lettera in questione, atteso che “la responsabilità congiunta di vari soggetti per un medesimo trattamento […] non presuppone che ciascuno di essi abbia accesso ai dati personali di cui trattasi” (Corte di giustizia dell’Unione europea, sent. C-40/17, cit.; v. anche le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, cit., par. 56).

Nel caso di specie, deve, quindi, concludersi, che, avendo l’Istituto e il Dipartimento determinato congiuntamente – seppur con gradi di influenza diversi - le finalità e i mezzi del trattamento, gli stessi abbiano agito in qualità di contitolari del trattamento (v., in senso conforme, provv. 13 aprile 2023, n. 122, doc. web n. 9896412).

Ciononostante, l’Istituto e il Dipartimento non hanno stipulato un accordo interno, prima di dare avvio al trattamento, al fine di disciplinare in maniera trasparente le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal Regolamento, avendo, pertanto, l’Istituto agito in violazione dell’art. 26, parr. 1 e 2, dello stesso.

3.2 La violazione del principio di limitazione di finalità e la base giuridica del trattamento.

Alla luce di quanto si evince dalla documentazione in atti, l’Istituto, al fine di individuare gli indirizzi di posta elettronica dei dipendenti pubblici, ai quali recapitare la predetta lettera del Ministro per la Pubblica Amministrazione, ha preliminarmente identificato “lo status di “dipendente pubblico” dalle denunce retributive UNIEMENS-ListaPosPA”. Tali denunce devono essere presentate dai datori di lavoro all’Inps con cadenza periodica, rendendo noti i dati relativi alle retribuzioni mensili corrisposte ai propri dipendenti e le altre informazioni necessarie per il calcolo dei contributi, nonché le informazioni utili all’implementazione della posizione assicurativa individuale del lavoratore e all’erogazione delle prestazioni da parte dell’Inps.

Successivamente, stando a quanto dichiarato, l’Istituto ha estratto i codici fiscali degli interessati individuati quali dipendenti pubblici, ottenendoli dall’ultima denuncia contributiva inviata dalle Pubbliche Amministrazioni, e, tramite gli stessi, è risalito al nome, al cognome e all’indirizzo di posta elettronica forniti degli interessati che, in qualità di utenti e anche indipendentemente dal proprio status di dipendenti pubblici, si fossero eventualmente registrati sulla predetta sezione “myINPS” del sito web per fruire dei diversi servizi ivi offerti all’utenza.

Come si legge nell’informativa sul trattamento dei dati personali denominata “Trattamento dati personali dei servizi web”, pubblicata sul tale sito web (https://www.inps.it/privacy/trattamento-dati-personali-dei-servizi-web), “il MyINPS è un’area del portale riservata all’utente autenticato, in quanto alla stessa si accede esclusivamente con l’uso delle credenziali PIN, SPID, CIE e CNS. L’area consente all’utente di verificare in un unico punto i propri contatti, lo stato delle domande presentate, il proprio estratto conto, le comunicazioni ricevute dall’Istituto e di ricevere informazioni o di effettuare simulazion[i] rispetto a prestazioni di interesse. In MyINPS inoltre è possibile l’accesso semplificato a servizi di immediato interesse in considerazione dell’evoluzione dinamica dei rapporti con l’Istituto e la possibilità di stampare atti e certificati (es. verbale di invalidità civile, CU, cedolino di pensione, ecc.)”.

In tale quadro, pertanto, il portale “MyInps” censisce categorie eterogenee di utenti (ad esempio, oltre a lavoratori pubblici, dipendenti di soggetti privati, pensionati, invalidi civili, privati cittadini che abbiano alle proprie dipendenze dei collaboratori domestici, beneficiari di finanziamenti a condizioni agevolate, ecc.), e che quindi non necessariamente prestano la propria attività lavorativa alle dipendenze di Pubbliche Amministrazioni.

L’Istituto, in base al quadro normativo di settore che ne regola compiti e funzioni, tratta, pertanto, sia i dati personali dei lavoratori pubblici e privati, inclusi quelli che compaiono nelle denunce retributive UNIEMENS-ListaPosPA, sia i dati personali dei cittadini che dispongano di un’utenza per accedere all’area “MyINPS”. Tanto nell’ambito dell’erogazione di benefici e/o servizi di varia natura per finalità connesse all’adempimento di obblighi di legge e/o all’esecuzione dei compiti di interesse pubblico attribuitigli dalla legge (art. 6, par. 1, lett. c) ed e), del Regolamento).

Nel caso di specie, nel quadro del Piano nazionale di ripresa e resilienza (PNRR) e, in particolare,  degli interventi di riforma della pubblica amministrazione volti a migliorare la capacità amministrativa a livello centrale e locale, rafforzando la formazione e lo sviluppo delle competenze dei dipendenti pubblici, i dati personali degli interessati sono stati trattati dall’Istituto per la finalità di veicolare la predetta lettera del Ministro per la Pubblica Amministrazione, recapitandola individualmente a ciascun dipendente pubblico, informando in merito a talune opportunità formative.

Tuttavia, come sopra evidenziato, l’Istituto ha utilizzato gli indirizzi di posta elettronica dei dipendenti pubblici autenticati nell’area del portale “MyInps”, indirizzi  che sono stati forniti dagli interessati al fine di fruire dei servizi erogati tramite il sito web istituzionale, non necessariamente in quanto lavoratori ma in qualità di cittadini e utenti che a vario titolo si avvalgono dei servizi in questione. L’utilizzo di tali dati di contatto ai fini dell’invio della predetta lettera si pone in contrasto con l’aspettativa degli utenti del portale in merito al trattamento dei propri dati, i quali, anche in considerazione dell’informativa sul trattamento dei dati personali fornita loro dall’Istituto al momento della raccolta dei dati, sopra citata, confidano che gli stessi saranno utilizzati esclusivamente ai fini dell’erogazione degli specifici servizi richiesti attraverso il portale “MyInps” (cfr. “Parere 03/2013 sulla limitazione delle finalità”, cit., par. II.3). Ciò anche in considerazione della natura pubblicistica dell’Istituto e del conseguente squilibrio nel rapporto tra il titolare e il responsabile del trattamento (v. cons. 49 del Regolamento), che rafforza ulteriormente l’aspettativa degli interessati a che i propri dati siano trattati esclusivamente per le finalità istituzionali proprie del soggetto pubblico che raccoglie i loro dati ed effettua il trattamento (cfr. “Parere 03/2013 sulla limitazione delle finalità”, cit., par. III.2.2.(b)).

Gli indirizzi di posta elettronica degli utenti autenticati nell’area del portale “MyInps”, non necessariamente coincidono con gli account istituzionali eventualmente assegnati dalle rispettive Amministrazioni datrici di lavoro a coloro i quali siano anche dipendenti pubblici. Per tale ragione, come peraltro risulta dal reclamo e dalla segnalazione, ai fini dell’invio della predetta lettera sono stati utilizzati anche indirizzi di posta elettronica privati. Gli utenti accreditati sul portale “MyInps”, inclusi quelli con la qualifica di dipendente pubblico, non avevano, pertanto, l’aspettativa di essere contattati sui recapiti di posta elettronica privati, forniti ad altri fini all’Inps, in merito a iniziative formative del Ministero per la Pubblica Amministrazione.

Né risulta in atti che l’Istituto abbia adottato misure per ridurre l’impatto sugli interessati e assicurare la correttezza del trattamento, non essendo state fornite agli stessi informazioni aggiuntive in merito all’ulteriore finalità di trattamento perseguita, relativa alla divulgazione di opportunità formative offerte da soggetti terzi e non oggetto di contributi da parte dell’Istituto (cfr. “Parere 03/2013 sulla limitazione delle finalità”, cit., par. III.2.2.(b); per tali profili si veda più diffusamente il successivo par. 3.3).

Nel far presente che la formazione del personale delle pubbliche amministrazioni può considerarsi un compito di interesse pubblico (art. 6, par. 1, lett. e) del Regolamento; v. anche d.l n. 80/2021, convertito con modificazioni dalla legge n. 113/2021 che prevede, tra le missioni del PNRR, la formazione del personale delle pubbliche amministrazioni) e che l’attività di supporto richiesta dal Dipartimento all’Istituto mirava ad assicurare la più ampia conoscibilità dell’iniziativa formativa, rivolta ai dipendenti pubblici, si ritiene, tuttavia, per le ragioni sopra esposte, che l’effettivo trattamento di dati personali posto in essere con le sopradescritte modalità, non fosse in concreto necessario, avendo potuto la medesima finalità essere perseguita attraverso modalità meno invasive per gli interessati e la loro riservatezza, ovvero senza fare ricorso a trattamenti di dati personali, ad esempio diramando la predetta lettera alle Amministrazioni Pubbliche e invitando le stesse, in qualità di datrici di lavoro, ad informare i propri dipendenti con propri canali (posta elettronica istituzionale; intranet; bacheche; ecc.). La soluzione in questione avrebbe, altresì, evitato che, come verificatosi nel caso di specie, la lettera del Ministro fosse recapitata anche a persone che non rivestivano più la qualifica di dipendente pubblico. 

In conclusione, si ritiene, pertanto, che l’Istituto abbia agito, ancorché nel quadro degli obiettivi di interesse pubblico legati alla formazione e riqualificazione della pubblica amministrazione, con modalità eccedenti rispetto allo scopo che si intendeva perseguire, dando luogo ad un trattamento di dati non necessario in relazione alla finalità in concreto perseguita in violazione degli artt. 5, par. 1, lett. a) e b), e 6 del Regolamento, nonché 2-ter del Codice.

3.3 La trasparenza nei confronti degli interessati.

Nel rispetto del principio di “liceità, correttezza e trasparenza”, il titolare del trattamento deve adottare misure appropriate per fornire all'interessato, prima di iniziare il trattamento, tutte le informazioni richieste dal Regolamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (artt. 5, par. 1, lett. a), 12, 13 e 14 del Regolamento).

Da quanto emerso nel corso dell’istruttoria risulta, altresì, che l’Istituto non ha fornito agli interessati una specifica informativa sul trattamento dei dati personali effettuato ai fini della promozione delle iniziative formative promosse dal Ministero per la Pubblica Amministrazione, in aggiunta a quella già fornita al momento della raccolta dei dati in relazione al perseguimento delle proprie ordinarie finalità istituzionali. Ciò sia con riguardo al trattamento dei dati personali conferiti dagli utenti al momento della registrazione all’area “MyInsp” (cfr. art. 13 del Regolamento) sia ai dati personali ottenuti dall’Inps non già presso gli interessati ma dalle denunce retributive UNIEMENS-ListaPosPA (cfr. art. 14 del Regolamento). 

Non può essere, infatti, accolto l’argomento difensivo avanzato dall’Istituto in merito alla circostanza che nell’informativa sul trattamento dei dati personali presente sul proprio sito web istituzionale e in quella presente all’interno dell’area “MyInps” sia indicato che gli utenti possono ricevere comunicazioni in merito ad eventuali servizi di interesse dell’utente e che il trattamento dei dati è effettuato nel rispetto di quanto previsto dalla legge e per il perseguimento di finalità istituzionali o connesse. Ciò in quanto si tratta di formule estremamente generiche, che non possono considerarsi idonee a rendere edotti gli interessati dello specifico trattamento di dati personali posto in essere dall’Istituto e dal Dipartimento ai fini dell’invio della lettera in questione.
Pertanto, l’Istituto ha trattato i predetti dati personali in maniera non conforme al principio di “liceità, correttezza e trasparenza”, in violazione degli artt. 5, par. 1, lett. a), 12, 13 e 14 del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Istituto per aver posto in essere il trattamento di dati personali sopra illustrato, in qualità di contitolare del trattamento, in violazione degli artt. 5, par. 1, lett. a) e b), 6, 12, 13, 14 e 26, parr. 1 e 2, del Regolamento, nonché 2-ter del Codice

Ciò premesso, occorre, tuttavia, tenere in considerazione taluni elementi, anche di contesto, emersi nel corso dell’istruttoria, che risultano indispensabili ai fini della valutazione in concreto dell’entità delle violazioni riscontrate e della lesività della complessiva condotta (v. cons. 148 del Regolamento).

In particolare, tenuto conto che:

il trattamento non ha avuto ad oggetto dati appartenenti a categorie particolari (cfr. art. 9 del Regolamento);

la violazione non riveste particolare gravità, tenuto conto che il contenuto della lettera veicolata agli interessati aveva natura istituzionale e la stessa è stata inviata per finalità rivolte all’interesse collettivo, comunque meritevoli di considerazione;

non risulta in atti che alcuno degli interessati abbia subito uno specifico danno in considerazione del trattamento posto in essere; 

la violazione, verificatasi in una sola occasione, ha carattere colposo, avendo l’Istituto agito in buona fede, nella convinzione che l’invio della lettera in questione costituisse un atto dovuto nel quadro delle iniziative di attuazione del c.d. PNRR, al fine di assicurare la necessaria formazione e riqualificazione professionale del personale pubblico;

l’Istituto ha collaborato in maniera proattiva con l’Autorità nel corso dell’istruttoria;

le precedenti violazioni commesse dal titolare del trattamento non possono essere considerate pertinenti rispetto al caso di specie;

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.

Alla luce di tutto quanto sopra rappresentato, e dei termini complessivi della vicenda in esame, si ritiene, pertanto, sufficiente ammonire l’Istituto per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento (cfr. anche cons. 148 del Regolamento).

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

a) dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento dei dati personali effettuato dall’Istituto Nazionale Previdenza Sociale (INPS), in persona del legale rappresentante pro-tempore, con sede legale in Via Ciro il Grande, 21 - 00144 Roma (RM), C.F. 80078750587, per violazione degli artt. 5, par. 1, lett. a) e b), 6, 12, 13, 14 e 26, parr. 1 e 2, del Regolamento, nonché 2-ter del Codice, nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce l’Istituto, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a) e b), 6, 12, 13, 14 e 26, parr. 1 e 2, del Regolamento, nonché 2-ter del Codice, come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 24 gennaio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei