[doc. web n. 9924438]

Provvedimento dell'8 giugno 2023

Registro dei provvedimenti
n. 245 dell'8 giugno 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento dal sig. XX nei confronti di Marcozzi Brand s.r.l. (già Marcozzi Gabriele & C. s.n.c.);

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. Il reclamo nei confronti della Società e l’attività istruttoria.

Con reclamo presentato il 23 settembre 2019, ai sensi dell’art. 77 del Regolamento, il sig. XX ha lamentato presunte violazioni del Regolamento da parte di Marcozzi Brand s.r.l. (già Marcozzi Gabriele & C. s.n.c., di seguito, la Società), in quanto la Società non avrebbe indicato all’interessato il nominativo del medico competente che aveva adottato il giudizio di inidoneità allo svolgimento dell’attività lavorativa per il quale il reclamante si era candidato, né il motivo specifico alla base di tale giudizio negativo, nonostante fosse stata presentata una specifica istanza di accesso ai dati in data 26 gennaio 2018 con riferimento al nominativo del medico competente “per sapere le motivazioni della sua decisione”, nonché una il 15 maggio 2018 volta a conoscere “le motivazioni per le quali veniva esclusa la […] candidatura [del reclamante] al tirocinio”. 

A seguito di una richiesta di informazioni inviata dall’Autorità il 5 luglio 2019 e poi, considerata l’assenza di riscontro, il 10 ottobre 2019, la Società con nota del 21 ottobre 2019 ha dichiarato che:

il ritardo nel riscontro all’Autorità è dovuto alla “fase di riorganizzazione societaria” nella quale si trovano le società del Gruppo, tra cui rientra la Società Marcozzi s.r.l. in qualità di capogruppo (nota 21.10.2019 cit., p.1);

“medico competente dell’azienda [è il] dott. Doriano Duca” (nota cit., p.1);

“in data 06.10.2017 nell’incontro tra le parti ([Società]-[reclamante]) era chiaro che il gruppo Marcozzi stava selezionando una persona con invalidità in collaborazione con l’ufficio per l’impiego di Fermo” (nota cit., p.2);

“la regione Marche a dicembre 2017 aveva pubblicato un bando per l’assegnazione di borse di studio L 68/99 […] era chiaro che il [reclamante] avesse dato ai sensi dell’art. 13 del Regolamento adesione al progetto regionale […] a seguito di iscrizione volontaria” (nota cit., p.2);

“in data 22.01.2018 […] si riceve la documentazione medica dal [reclamante] e la si girava sempre per mail al dott. Duca Doriano. In data 23.01.2018 […] si riceve dal dott. Duca Doriano [la risposta] in relazione alla selezione dei tre candidati” (nota cit., p.2);

“in data 24.01.2018 [la referente commerciale del gruppo] scrive alle referenti regionali e al [reclamante] per l’esclusione dello stesso [reclamante] (usando la parola resoconto), si sono succedute poi molte telefonate tra le parti e il [reclamante] si è candidato al progetto regionale con altre aziende del territorio” (nota cit., p.3);

“in data 24.04.2018 riceviamo con sorpresa la pec [del reclamante] tramite il suo avv[ocato] nella quale non si fa riferimento a nessuna violazione della privacy, nessuna richiesta di danni quantificati o quantificabili, ma solo nell’ultima riga della lettera all’interruzione dei termini di prescrizione” (nota cit., p.3);

“confermiamo che la visita medica non è mai avvenuta” (nota cit., p.3);

“Duca Doriano è […] il solo detentore delle cartelle sanitarie” (nota cit., p.3);

“la Marcozzi non conserva e non ha conservato nessun documento medico di provenienza [del reclamante] e i suoi dati generici (nome, cognome, telefono, mail, data di nascita, residenza) sono stati raccolti perché il suo nominativo apparteneva a una lista pubblica di soggetti aderenti al bando Legge 68, fornitaci dai funzionari della regione Marche” (nota cit., p.3);

“il candidato ha espresso il consenso al trattamento dei suoi dati sia nel curriculum sia nel documento del centro dell’impiego del 07.06.2017 (art. 2 d.lgs. 297/2002 Modelli dei dati contenuti nella scheda anagrafica e nella scheda professionale dei lavoratori e soppressione di liste di collocamento)” (nota cit., p. 3);

“il medico del lavoro Duca Doriano (che ovviamente per legge è soggetto al segreto professionale nei confronti dell’azienda) ha trattato i dati relativi alla salute del [reclamante] ai fini della medicina preventiva e del lavoro. Non esistono cartelle cliniche e/o riguardanti dati sensibili in azienda” (nota cit., p. 4);

“è vero non siamo in grado di dimostrare di aver fornito al [reclamante] informazioni sul contatto titolare del trattamento della privacy, ossia [il] legale rappresentante” (nota cit., p. 4);

“le aziende Marcozzi ogni 6 mesi fanno visite mediche rotative al proprio personale e in quella stessa data abbinano in programmazione le visite pre-assuntive” (nota cit., p. 4);

“il dott. Duca Doriano prevede con le nostre aziende e per i candidati con limitazioni [che], dopo che l’azienda propone un candidato in visita medica, il dott. Duca lo chiama telefonicamente per un primo colloquio conoscitivo e per la preparazione della documentazione completa del caso medico, avviene un pre-esame della documentazione medica fornita dal candidato da svolgere pre-visita preventiva al fine di non dover trattare con superficialità il caso in esame (mail 23.01.2018), poi al superamento dell’analisi della documentazione medica fornitagli dal candidato, che avviene in base e in considerazione al nostro DVR sulla sicurezza e alle mansioni possibili e libere nel momento storico, lo stesso decide in autonomia di chiamare o non chiamare il candidato a visita (generalmente in azienda di semestre in semestre) o in autonomia di avviarlo a visite generali o specifiche presso la sua struttura sita in Jesi […] anche con test e prove necessari alla valutazione caso per caso” (nota cit., p. 4);

“in entrambi i casi e per tutte le tipologie di personale, il [medico competente] tratta in esclusiva i dati medici e sanitari e in pre visita fa firmare in maniera elettronica sul suo tablet per la marcatura temporale (data ed ora) la richiesta di fornitura di dati personali e la ricezione di certificati medici e/o altra documentazione per la quale ne rilascia ricevuta, questo documento viene stampato in due copie una per il lavoratore e una per l’archivio del dottore. Solo successivamente alla visita il dottore rilascia il certificato di idoneità alla mansione (d.lgs. 82 art 41) in tre copie (lavoratore, archivio dottore, azienda) nel quale certificato come azienda possiamo leggere l’autorizzazione classica sulla privacy e le mansioni che il lavoratore può fare e/o non può fare – null’altro” (nota cit., p. 4);

“non siamo in grado di dimostrare cosa sia avvenuto tra il dott. Duca e [il reclamante] per telefono, mentre riteniamo di poter affermare con certezza che l’azienda non tratta i dati medici dei lavoratori [né] di quelli di categorie protette […] le mail del 22.01.2018 e 23.01.2018 dimostrano che un servizio professionale è stato appaltato al medico del lavoro per la sorveglianza sanitaria” (nota cit., p. 4);

“riteniamo che la nostra collaboratrice abbia sbagliato a svolgere l’intermediazione di sola mail tra il dott. Duca e il [reclamante]” (nota cit., p. 4).

Il 17 febbraio 2020, a seguito di una richiesta di ulteriori chiarimenti inviata da questo Dipartimento in data 17 gennaio 2020, la Società ha dichiarato che:

- “la Società è disponibile a comunicare immediatamente il nominativo del medico competente, comunicando contestualmente la ragione rappresentata dal medico circa l’incompatibilità del lavoratore con l’opportunità lavorativa disponibile” (nota 17.2.2020 cit., p.1);

- “la procedura seguita dall’azienda per la selezione del personale è la seguente: una volta ottenuto il nominativo del soggetto interessato alla posizione lavorativa, lo stesso viene chiamato ad un colloquio, se il colloquio è positivo lo stesso viene messo in contatto con il medico competente al fine di una prima valutazione della compatibilità delle condizioni di salute del candidato con l’opportunità lavorativa. Se il giudizio del medico è positivo l’azienda comunica al lavoratore la sua partecipazione al bando regionale/assunzione in prova. Se il giudizio è negativo, viene comunicata al candidato la non fattibilità della collocazione, senza spiegazioni delle motivazioni” (nota 17.02.2020 cit., p.1).

Il 27 febbraio 2021, il reclamante ha inviato le proprie controdeduzioni.

In data 3 marzo 2021, in riscontro alla richiesta di ulteriori chiarimenti inviata dall’Autorità l’11 febbraio 2021, la Società ha dichiarato:

- “di non aver provveduto alla comunicazione del nominativo del medico competente e delle motivazioni dallo stesso fornite circa l’incompatibilità con l’opportunità lavorativa del [reclamante], ritenendo che fosse un’operazione spettante allo stesso medico competente e che, comunque, avendo fornito detti dati al Garante, la comunicazione fosse stata comunque effettuata” (nota 3.3.3031 cit., p. 1);

- “preso atto del fatto che la comunicazione non era stata effettuata, […] ha provveduto ad inviare quanto sopra […] con raccomandata A/R che si allega” (nota cit. p. 1).
In data 1° marzo 2022, in riscontro alla richiesta di ulteriori chiarimenti inviata dall’Autorità l’1° febbraio 2022, la Società ha dichiarato ancora che:

- “la presente procedura nasce a seguito della pubblicazione di un Bando da parte della Regione Marche, atto a favorire l’occupazione di disabili per mezzo dell’utilizzo del fondo regionale appositamente dedicato, in base a quanto previsto dall’art.26 della L.R. 25.1.2005. L’Avviso è stato emanato in attuazione della D.G.R. n.1.386 del 27.11.2017 (pubblicato nel sito della Regione Marche […]” (v. nota 1.3.2022, cit., p. 1);

- “nell’Avviso in questione l’art. 14 già si preoccupava delle questioni relative alla tutela della privacy, individuando nel Dirigente della P.F. Istruzione, Formazione, Orientamento e Servizi Territoriali per la formazione e servizi per il mercato del lavoro (Centri Impiego) della Regione Marche, il Responsabile dei trattamenti dati” (v. nota cit., p. 1, 2);

- “il reale soggetto responsabile del trattamento dei dati forniti dai «destinatari», vale a dire dai soggetti con disabilità interessati all’iniziativa, [deve essere] individuato nel Dirigente della P.F., il quale al fine del raccordo tra impresa e persona fisica, per mezzo dei Centri per l’Impiego, ha già raccolto il consenso al trattamento dei dati per mezzo del modulo presente nello stesso Avviso regionale” (v. nota cit., p. 2);

- “l’azienda che ha ricevuto la candidatura del [reclamante], per il tramite del Centro per l’Impiego incaricato, ha necessariamente dovuto effettuare una pre-analisi circa la compatibilità delle condizioni psicofisiche del candidato con la posizione lavorativa disponibile” (v. nota cit., p. 2);

- “il [reclamante] ha avuto un colloquio in azienda con la [referente commerciale del gruppo], la quale ha debitamente informato l’interessato del fatto che, al fine di valutare la compatibilità delle problematiche presentate dall’interessato con i requisiti richiesti per la copertura dell’incarico disponibile, i dati sanitari sarebbero stati trattati dal medico competente ed evidenziando che l’informativa relativa alla selezione dei candidati era appesa nei locali dell’azienda ove il colloquio aveva luogo; non vi è documentazione agli atti, avendo provveduto l’azienda, per mera cortesia a favore del candidato, a girare la mail ricevuta al medico responsabile senza provvedere all’apertura di eventuali allegati” (v. nota cit., p. 2);

- “la base giuridica di tale comportamento va individuata, in primis, nella lettera h) dell’art.9, Reg. UE 679 del 2016 […]. Nell’ambito della normativa nazionale, il principio sancito dalla lettera h) […], si poggia su due obblighi cardine del sistema civilistico italiano: da un lato l’art. 2087 c.c. relativo alla tutela delle condizioni di lavoro […] Dall’altro lato l’art. 18 del D. Lgs. 81/08, concernente gli obblighi del datore di lavoro e del dirigente” (v. nota cit., p. 2, 3);

- “la base giuridica in base alla quale procedere ad una doverosa valutazione dell’interessato è individuabile anche nelle lettere a) e b) dell’art. 9 del Reg. UE 679 del 2016. In relazione alla lettera a) (consenso esplicito), emerge con chiarezza come la partecipazione al Bando pubblico da parte del [reclamante], con necessaria sottoscrizione dei moduli previsti dal Bando stesso, costituisse consenso esplicito al trattamento dei dati personali per la specifica finalità ivi prevista. Inoltre (art.9 lett. b), il trattamento in questione era […] necessario per assolvere gli obblighi ed esercitare i diritti specifici sia del titolare del trattamento che dell’interessato nella specifica materia trattata (si ricorda che l’azienda ospitante aveva già all’epoca sottoscritto quelle che il Bando definisce come “convenzioni di tirocinio”), trovando detta necessità la sua fonte diretta sia nel Bando sopra descritto che nella Legge Regionale che ne disciplina il funzionamento (L.R. n.2 del 25.1.2005), nonché nel complesso normativo del diritto amministrativo che disciplina lo specifico settore di interesse e, nuovamente nelle norme dettate dai sopra richiamati art. 2087 c.c. e 18 D.Lgs. 81/2008” (v. nota cit., p. 3).

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società.

In data 11 aprile 2022, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. a), 9 (anche in relazione a specifiche discipline di settore applicabili, in particolare d. lgs. n. 81/2008 e l. n. 68/1999), art. 5, par. 1, lett. b), 12, 13, 15 del Regolamento.

Con gli scritti difensivi inviati in data 6 maggio 2022, la Società ha dichiarato che:

- “in base ad una approfondita analisi dell’accaduto [è] emerso [che] la comunicazione a mezzo mail sarebbe avvenuta con specifiche modalità che dovrebbero condurre il presente procedimento ad una auspicata archiviazione, perlomeno in relazione agli aspetti strettamente connessi all’ipotizzato trattamento dei dati, non essendo i dati dell’interessato stati trattati dal presunto titolare del trattamento” (v. nota 6.5.2022 cit.);

- “nello specifico […] il [reclamante] sembrerebbe aver inviato alla mail acquisti@marcozzi.eu, in data 22.1.2018, una comunicazione non contenente i documenti relativi alla invalidità civile dell’interessato, ma un mero link creato dal [reclamante] attraverso il sito «wetransfer», link per mezzo del quale era possibile scaricare la documentazione oggetto di trasmissione. Il link in questione […] non è stato assolutamente aperto da alcun membro dello staff aziendale, né alcun documento risulta essere stato downloadato; il link in questione è stato girato, così come ricevuto, al medico competente per le opportune valutazioni” (v. nota cit.);

- “il riferimento al nome dei file contenuto nella mail, al di sotto del link wetransfer (“ACCERTAMENTO INVALIDITA’ CIVILE 2017.pdf, INVALIDITA’ CIVILE.pdf, ACCERTAMENTO INVALIDITA’ CIVILE 2016 (4).pdf, ACCERTAMENTO INVALIDITA’ CIVILE 2017 (2).pdf, ACCERTAMENTO INVALIDITA’ CIVILE 2016 (3).pdf+3), non evidenzia la presenza dei file nella comunicazione, ma è solamente un modo con cui WeTransfer elenca il nome dei file contenuti nel link inviato dall’interessato con la modalità «invia l’e-mail per il trasferimento»” (v. nota cit., p. 1);

- “la comunicazione effettuata dal [reclamante] ha, dunque, come contenuto un mero link e niente altro” (v. nota cit.);

- “la condotta tenuta dal presunto titolare del trattamento dei dati della società Marcozzi Gabriele snc è stata effettuata solo per una mera ed unica cortesia fatta dall’azienda all’interessato, al fine di agevolare le procedure prodromiche alla potenziale assunzione prevista dal Bando Regionale” (v. nota cit.);

- “[con riferimento all’] art. 83, par.2 lett. a): si evidenzia che le eventuali violazioni che l’Autorità potrà riscontrare hanno avuto origine per un’unica situazione, quella appunto relativa al [reclamante]; il trattamento dei dati dell’interessato era funzionale alla valutazione della compatibilità delle condizioni psico-fisiche del potenziale lavoratore con la posizione lavorativa da occupare e doveva essere operato direttamente, solo ed esclusivamente dal medico competente dell’azienda.” (v. nota cit.);

- “sono state fornite all’interessato tutte le informazioni relative alle caratteristiche essenziali del trattamento e le finalità per cui i dati avrebbero dovuto essere comunicati. Nell’occasione (primo colloquio con l’interessato) è stata ovviamente anche menzionata la necessità di inviare la documentazione al medico competente che collaborava all’epoca con l’azienda. […] L’azienda credeva, inoltre, che tutte le necessarie informazioni e raccolta del consenso al trattamento sarebbero state effettuate dal medico competente essendo egli l’effettivo titolare del trattamento dei dati. Ha ritenuto, l’Azienda, di non essere titolata a comunicare il nominativo del medico titolare del trattamento poiché ella non aveva operato un effettivo trattamento dei dati del [reclamante]; a seguito di invito del Garante, l’azienda ha dato corso immediato alla comunicazione del nominativo” (v. nota cit.);

- “ritiene l’azienda, comunque, di aver lecitamente agito poiché, quand’anche fosse ritenuto sussistente un ipotetico trattamento di dati del [reclamante], l’operazione è stata posta in essere su basi giuridiche specifiche” (v. nota cit.);

- “il dato del [reclamante] è stato comunque, trattato per una finalità allo stesso nota (avendo egli partecipato al Bando Regionale di interesse ed avendo ricevuto specifiche informazioni a riguardo nell’ambito del colloquio aziendale), specifica e legittima (la valutazione dell’idoneità delle condizioni psico-fisiche con la posizione lavorativa da ricoprire, come emerge dallo scambio epistolare del 23.1.2018 tra azienda e medico competente […]” (v. nota cit.);

- “manchevole è stata la condotta dell’azienda circa le comunicazioni fornite al [reclamante] in relazione alla «forma concisa, trasparente, intellegibile e facilmente accessibile» delle stesse. Tale manchevolezza si è verificata proprio perché la società riteneva (e ancora oggi ritiene) di non essere la titolare del trattamento del dato sanitario fornito, non avendo alcun soggetto aziendale trattato i dati del [reclamante]” (v. nota cit.);

-  “l’elemento soggettivo della condotta posta in essere dal[la Società] è caratterizzata da mera colpa. […] Anche per la situazione del [reclamante], la procedura avrebbe dovuto essere quella di favorire il contatto diretto tra l’interessato e il medico […]. Non vi è mai stata intenzione di danneggiare in alcun modo i diritti e gli interessi del [reclamante], in relazione alle prerogative riconosciute allo stesso dal Regolamento” (v. nota cit.);

- “la mancata comunicazione al [reclamante] del nominativo del medico competente è stata colmata con una raccomandata inviata immediatamente dopo aver ricevuto l’indicazione in merito da parte del Garante (invio del 3.3.2021)” (v. nota cit.);

- “dalla data dell’accaduto il personale aziendale è stato appositamente istruito in relazione alle procedure da seguire nel caso di trattamento di dati personali; in particolare ogni situazione deve ora necessariamente confluire nelle mani del titolare [della Società], il quale ha una adeguata preparazione nello specifico settore ed ha anche ricevuto aggiornate istruzioni e formazione in merito. Tale procedura era presente in azienda anche anteriormente all’accaduto, ma essa non era ancora percepita come ineludibile; l’azienda ha posto rimedio a ciò” (v. nota cit.);

- “l’azienda ha fornito al Garante tutte le informazioni a sua disposizione” (v. nota cit.);

- “i dati interessati dal reclamo sono dati particolari” (v. nota cit.);

- “l’Autorità ha preso conoscenza della presunta violazione sulla base del reclamo formulato dal [reclamante]” (v. nota cit.);

- “l’azienda ha provveduto […] a conferire incarico ad un professionista esterno con cui collaborare anche al fine della gestione delle problematiche relative alla privacy aziendale” (v. nota cit.).

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento, nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento riferite al reclamante che risultano non conformi alla disciplina in materia di protezione dei dati personali.

In particolare, è emerso che la Società, durante la procedura di selezione nell’ambito di tirocini formativi finalizzati all’assunzione ai sensi della L. 68/1999, ha trattato dati personali del reclamante appartenenti alla categoria dei dati sensibili (oggi dati appartenenti a categorie particolari di dati di cui all’art. 9 del Regolamento): infatti, ha richiesto allo stesso di inviare alla Società medesima la “documentazione relativa al foglio visita/relazione conclusiva predisposta dalla commissione medica integrata […] richiesta dal medico del lavoro ai fini della visita preassuntiva” e successivamente ha comunicato tali dati al medico competente.

Inoltre, a seguito di una richiesta di accesso del reclamante al nominativo del medico competente e del motivo alla base del parere espresso in merito alla inidoneità formulato da quest’ultimo, del quale il reclamante ha avuto notizia da parte della Società, non ha consentito l’accesso ai dati richiesti.
Si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

3.1. Trattamenti di dati in assenza di base giuridica.

La condotta posta in essere dalla Società è consistita nel trattare dati sensibili (ovvero rientranti nelle categorie particolari di dati) del reclamante, in qualità di titolare del trattamento, durante una procedura di selezione, per valutare l’inserimento nella stessa di un soggetto con disabilità; in particolare la Società, dopo avere ricevuto il nominativo del reclamante dall’ufficio di collocamento competente, e dopo avere invitato lo stesso a colloquio con la referente commerciale del gruppo societario di cui fa parte la Società, ha ritenuto che, per valutare l’effettivo inserimento, sarebbe stata necessaria una “pre-analisi” della documentazione medica da parte del medico competente.

A tal fine ha chiesto, tramite e-mail, al reclamante di inviare la “documentazione relativa al foglio visita/relazione conclusiva predisposta dalla commissione medica integrata […] richiesta dal medico del lavoro ai fini della visita preassuntiva” (e-mail del 19.1.2018, in atti) e, una volta ricevuta dal reclamante la comunicazione tramite e-mail (22.1.2018, in atti) contenente il link dal quale poter scaricare i documenti medici (in particolare, tra gli altri, i dati sanitari contenuti nella relazione della Commissione medica per l’accertamento dell’invalidità, anche nella versione priva di omissis), ha provveduto a inoltrare al medico competente la predetta comunicazione elettronica in data 23 gennaio 2018.

La Società ha dichiarato che “non esistono cartelle cliniche e/o riguardanti dati sensibili in azienda” (v. nota 21.10.2019).

La condotta posta in essere dalla Società ha determinato pertanto un trattamento di dati sensibili (oggi dati appartenenti a categorie particolari di dati) del reclamante in assenza di idonea base giuridica.

In proposito non può considerarsi elemento sufficiente a escludere la violazione la mera dichiarazione della Società di non aver effettuato alcun trattamento di dati particolari del reclamante, in particolare della documentazione inviata, considerato che si sarebbe limitata a ricevere e inoltrare, al medico competente, il link ricevuto dal reclamante, senza procedere allo “scaricamento” dei documenti ivi contenuti.

In proposito, considerata la definizione di trattamento data dall’art. 4, comma 1, lett. a) del Codice nella versione precedente alle modifiche introdotte con d. lgs. n. 101 del 2018 (“«trattamento», qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati”), riproposta ora nell’art. 4 punto 2 del Regolamento (“«trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione”), si osserva come la Società abbia effettuato un trattamento di dati sensibili del reclamante in qualità di titolare del trattamento (decidendo le finalità del trattamento nonché le modalità e gli strumenti utilizzati), tanto che, dopo avere chiesto espressamente al reclamante di inviare la “documentazione relativa al foglio visita/relazione conclusiva predisposta dalla commissione medica integrata […] richiesta dal medico del lavoro ai fini della visita preassuntiva”, avendo la materiale disponibilità dei documenti contenenti dati particolari del reclamante, ha inviato quanto ricevuto al medico competente per consentirgli di effettuare, come precisato dalla Società, la “valutazione della compatibilità delle condizioni psico-fisiche del potenziale lavoratore con la posizione lavorativa da occupare”.

Tanto che, a seguito del “parere” espresso dal medico competente e comunicato solo alla Società, quest’ultima ha deciso di non procedere alla selezione del reclamante.

Le modalità di trattamento in concreto adottate dalla Società, tra l’altro, non risultano corrispondenti alle procedure adottate per la selezione del personale descritte nei riscontri inviati all’Autorità in data 21 ottobre 2019 e 17 febbraio 2020.

Non si ritiene elemento idoneo a fare venire meno il carattere illecito del trattamento la precisazione della Società, secondo la quale il trattamento sarebbe avvenuto in presenza del consenso del reclamante ex art. 9, par. 2, lett. a), del Regolamento posto che nell’ambito del rapporto di lavoro, così come nell’ambito di procedure di selezione, non può considerarsi idonea condizione di liceità per il trattamento il consenso del candidato, men che meno nel caso di dati relativi alla salute, considerata l’asimmetria che caratterizza il lavoratore (e il candidato per un posto di lavoro) rispetto al datore di lavoro.

Si osserva, inoltre, come l’art. 9, par. 2, lett. h) del Regolamento individui una specifica condizione di liceità che può essere fatta valere dal medico competente, nello svolgimento della propria attività, ma che non copre quindi i trattamenti effettuati dalla Società che avrebbe dovuto invece limitarsi a chiedere all’interessato di trasmettere la propria documentazione medica direttamente al medico competente per le valutazioni del caso.

La Società ha, quindi, trattato dati sanitari del reclamante in assenza di base giuridica.

Si rileva al riguardo che tale condotta illecita, verificatasi a partire dal 22.1 2018 (data di ricezione della e-mail contenente il link alla documentazione), è stata accertata, nel corso del procedimento, con l’atto di notifica della violazione del 11 aprile 2022, prima cioè che fosse decorso il termine prescrizionale di cinque anni, previsto dall’art. 28 della L. 689/81, che ha dunque interrotto la prescrizione del diritto a riscuotere le somme dovute per la violazione (Cass. civ., I sez., 12 agosto 1992, n. 9545; Cass., sez. I, 27 aprile 1999, n. 4201).

Si rileva inoltre che la violazione è avvenuta in una data antecedente alla piena efficacia del Regolamento e che le norme interessate dalla violazione, vigenti all’epoca del fatto, sono identiche, quanto a contenuto, a quelle oggi previste dal Regolamento.

Pertanto risulta accertato che la Società ha violato gli artt. 11 e 26 del Codice, nella versione precedente alle modifiche apportate dal d.lgs. 101 del 2018 (in base al citato art. 11 comma 1 lett. a) “i dati personali oggetto di trattamento sono […] trattati in modo lecito”; in base al citato art. 26, comma 1, “i dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell’interessato e previa autorizzazione del Garante, nell’osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai regolamenti”, comma 4, “i dati sensibili possono essere oggetto di trattamento anche senza consenso, previa autorizzazione del Garante […] d) quando è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza, nei limiti previsti dall’autorizzazione e ferme restando le disposizioni del codice di deontologia e buona condotta di cui all’art. 11”), disposizioni che corrispondono all’art. 9 del Regolamento (par. 1 “è vietato trattare […] dati relativi alla salute”, par. 2 “il paragrafi 1 non si applica se […] il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato”) che costituisce espressione del principio di liceità del trattamento (art. 5, par. 1, lett. a) del Regolamento, “i dati personali sono […] trattati in modo lecito”).

Ciò anche in relazione a specifiche discipline di settore applicabili, in particolare d. lgs. n. 81/2008 e l. n. 68/1999.

3.2. Omessa informativa.

Il trattamento dei dati predetti da parte della Società è, inoltre, stato effettuato senza fornire un’idonea informativa all’interessato, ai sensi dell’art. 13 del Codice, nella versione precedente alle modifiche apportate dal d. lgs. n. 101 del 2018, ora riprodotto dall’art. 13 del Regolamento, - che costituisce diretta espressione del principio di trasparenza (v. art. 5, par. 1, lett. a) del Regolamento) -; in particolare non sono stati comunicati chiaramente le finalità del trattamento né i soggetti destinatari dei dati raccolti. Il titolare è obbligato a fornire, prima dell’inizio dei trattamenti, tutte le informazioni relative alle caratteristiche essenziali del trattamento.

La Società, infatti, non ha fornito evidenze idonee a dimostrare l’adempimento di quanto previsto dall’art. 13 del Codice nella versione precedente alle modifiche apportate con il d. lgs. n. 101 del 2018 (l’interessato è previamente informato, tra l’altro, circa “a) le finalità e le modalità del trattamento cui sono destinati i dati; […] d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi”), oggi art. 13 del Regolamento (, posto che si è limitata a dichiarare che durante il “colloquio in azienda con la [referente commerciale del gruppo societario], [quest’ultima] ha debitamente informato l’interessato del fatto che, al fine di valutare la compatibilità delle problematiche presentate dall’interessato con i requisiti richiesti per la copertura dell’incarico disponibile, i dati sanitari sarebbero stati trattati dal medico competente ed evidenziando che l’informativa relativa alla selezione dei candidati era appesa nei locali dell’azienda ove il colloquio aveva luogo” e che in proposito “non vi è documentazione agli atti”.

Risulta violato anche il principio di correttezza, previsto dall’art. 11 comma 1 lett. a) del Codice, nella versione precedente alle modifiche apportate con il d. lgs. n. 101 del 2018 (“i dati personali oggetto di trattamento sono […] trattati […] secondo correttezza”), oggi corrispondente all’art. 5, par. 1, lett. a) del Regolamento (“i dati personali sono […] trattati in modo […] corretto”), considerato che l’obbligo di informare il candidato all’inserimento in un contesto lavorativo nell’ambito di tirocini formativi finalizzati all’assunzione ai sensi della L. n. 68/1999 è espressione del principio generale di correttezza.

La Società ha, quindi, trattato dati del reclamante in modo non corretto e in assenza di informativa.

Tale condotta illecita è, stata accertata nel corso del procedimento ed è avvenuta in una data antecedente alla piena efficacia del Regolamento; le norme interessate dalla violazione, vigenti all’epoca, sono tuttavia identiche, quanto al contenuto, a quelle introdotte successivamente con il Regolamento.

Pertanto la Società ha violato l’art. 13 del Codice nella versione antecedente alle modifiche apportate dal d.lgs. 101 del 2018, disposizione che corrisponde all’art. 13 del Regolamento e che costituisce espressione del principio di trasparenza (art. 5, par. 1, lett. a) del Regolamento).

La condotta è stata posta in essere anche in violazione del principio di correttezza, oggi previsto dall’art. 5, par. 1, lett. a) del Regolamento, e, all’epoca dei fatti, rinvenibile nell’art. 11 comma 1 lett. a) del Codice nella versione antecedente alle modifiche apportate dal d.lgs. 101 del 2018.

3.3. violazione del diritto di accesso.

La condotta tenuta dalla Società, con riferimento alle istanze di esercizio del diritto di accesso, risulta, altresì, in contrasto con gli obblighi che gravano sul titolare del trattamento di “agevola[re] l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22” (v. art. 12, par. 2, del Regolamento), di, nel caso di inottemperanza, “informa[re] l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale” (art. 12, par. 4 del Regolamento), nonché di consentire il diritto di accesso ai sensi dell’art. 15 del Regolamento ai propri dati personali.

Tutto ciò considerato che, a seguito di una prima istanza di accesso (26.1.2018) la Società si è limitata a comunicare al reclamante di non poter indicare il nominativo del medico competente, che “prima di ogni inserimento procede alla verifica della sussistenza delle condizioni idonee dei possibili candidati in relazione alle mansioni per le quali sono stati selezionati” e di non avere la possibilità di “contestare le disposizioni del medico competente […] che ha espresso il proprio parere medico valutando la documentazione da Lei fornita in relazione alle mansioni che avrebbe dovuto svolgere concretamente” (2.2.2018).

A seguito della seconda istanza di accesso presentata dal reclamante (24.4.2018, reiterata il 15.5.2018) la Società non ha fornito riscontro alcuno. Solo a seguito dell’intervento del Garante, in data 3 marzo 2021, tramite raccomandata ricevuta dall’interessato il 20 marzo 2021, la Società ha inviato un riscontro effettivo al reclamante con l’indicazione del nominativo del medico competente nonché il parere rilasciato dallo stesso.

Il primo riscontro della Società non può considerarsi idoneo tenuto conto che, in base all’art. 15 del Regolamento, il titolare del trattamento è tenuto a comunicare, qualora venga richiesto dall’interessato, tra l’atro, “i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati”.

Nel negare l’esercizio del diritto di accesso la Società, limitandosi a fare riferimento, senza ulteriori spiegazioni, alla “procedura aziendale”, non ha in ogni caso riferito al reclamante della possibilità, proprio a fronte del diniego, di presentare ricorso all’autorità giudiziaria o reclamo al Garante, come prescritto dall’art. 12, par. 4, del Regolamento. Alla seconda istanza (tra l’altro, reiterata), con la quale è stato precisato il contenuto della richiesta, alcun riscontro è stato fornito, fino, come detto, all’apertura dell’istruttoria davanti all’Autorità.

La condotta della Società, cominciata prima della piena efficacia del Regolamento e proseguita anche successivamente (tenuto conto che, solo in data 3 marzo 2021, la Società ha inviato il riscontro al reclamante), viola gli artt. 12 e 15 del Regolamento.

3.4. Violazione del principio di limitazione delle finalità.

La Società, in data 19 gennaio 2018, ha chiesto al reclamante di inviare la documentazione relativa al foglio visita/relazione conclusiva della commissione per l’accertamento dell’invalidità civile, in proposito limitandosi a precisare all’interessato che era stata chiesta “dal medico del lavoro ai fini della visita preassuntiva”; in seguito ha però comunicato i dati contenuti nella predetta documentazione al medico competente per elaborare un “parere” preliminare in assenza di visita medica preassuntiva. Ciò peraltro senza che ne fosse stata data informativa alcuna al reclamante, come emerso dall’istruttoria.

La condotta della Società è stata pertanto posta in essere in modo non conforme a quanto previsto dall’art. 11 comma 1, lett. b) del Codice, nella versione antecedente alle modifiche apportate dal d. lgs. n. 101 del 2018 (“i dati personali oggetto di trattamento sono […] raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzabili in altre operazioni del trattamento in termini compatibili con tali scopi”), cui oggi corrisponde l’art. 5, par. 1, lett. b) del Regolamento (“i dati personali sono […] raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità”, principio di limitazione della finalità).

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società, e segnatamente l’inidoneo riscontro alle istanze di accesso, il trattamento di dati relativi alla salute del reclamante in assenza di base giuridica e di informativa nonché per finalità diverse dagli scopi per il quale sono stati raccolti, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 11, 13 e 26 del Codice nella versione antecedente alle modifiche apportate dal d. l.gs n. 101 del 2018 (oggi corrispondenti agli artt. 5, par. 1, lett. a) e b), 9, 13 del Regolamento) e agli artt. 12 e 15 del Regolamento.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura e della gravità della violazione stessa, del grado di responsabilità, della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. Considerando 148 del Regolamento).

Alla luce delle considerazioni sopra formulate, tenuto conto che l’illiceità del trattamento in questione è stata accertata in vigenza delle disposizioni del Regolamento e del d.lgs. n. 196/2003 come novellato dal d.lgs. 101/2018, alle stesse deve farsi riferimento per i profili procedurali del presente procedimento, per effetto dell’avvenuta abrogazione dei riferimenti normativi antecedenti.

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, alla luce del caso concreto si dispone l’applicazione di una sanzione amministrativa pecuniaria, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento), mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689).

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento risulta che Marcozzi Brand s.r.l. ha violato gli artt. 11, 13 e 26 del Codice nella versione antecedente alle modifiche apportate dal d. l.gs n. 101 del 2018 (oggi corrispondenti agli artt. 5, par. 1, lett. a) e b), 9, 13 del Regolamento) e agli artt. 12 e 15 del Regolamento.

Per quanto riguarda la violazione degli artt. 13 e 26 del Codice nella versione precedente alle modifiche apportate con il d. l.gs. n. 101 del 2018, avendo accertato che la condotta illecita si è perfezionata prima della piena efficacia del Regolamento, e che anche nell’attuale contesto normativo per le corrispondenti norme è prevista l’applicazione di una sanzione amministrativa pecuniaria, in base al principio di legalità (art. 1 l. n. 689 del 1981) occorre fare riferimento alle norme sanzionatorie di cui agli artt. 161 e 162 comma 2-bis del Codice, nella versione antecedente alle modifiche apportate dal d. lgs. n. 101 del 2018 (in base all’art. 161 citato “la violazione delle disposizioni di cui all’articolo 13 è punita con la sanzione amministrativa del pagamento di una sanzione da seimila euro a trentaseimila euro”; in base all’art. 162 comma 2-bis citato “in caso di trattamento di dati personali effettuato in violazione […] delle disposizioni indicate nell’art. 167 è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da diecimila euro a centoventimila euro”).

Visto l’art. 164-bis comma 1 del Codice nella versione precedente alle modifiche apportate con il d. lgs. n. 101 del 2018 (“se taluna delle violazioni di cui agli articoli 161, 162 […] è di minore gravità, avuto altresì riguardo alla natura economica o sociale dell’attività svolta, i limiti minimi e massimi stabiliti dai medesimi articoli sono applicati in misura pari a due quinti”) e visto altresì l’art. 11 della l. n. 689 del 1981 (considerato in particolare che la condotta ha riguardato un interessato e che, precedentemente alla variazione della forma giuridica, la Società era una società in nome collettivo), si ritiene che le sanzioni applicabili possano essere quantificate in 2.400 euro, per la violazione dell’art. 13 del Codice, e in 4.000 euro per la violazione dell’art. 26 del Codice.

Con riferimento alla violazione dell’art. 11 del Codice nella versione antecedente alle modifiche apportate dal d. lgs. n. 101 del 2018, considerato che nel precedente sistema regolatorio non vi era una norma sanzionatoria corrispondente, ferma restando l’illiceità della condotta, non viene applicata alcuna sanzione amministrativa pecuniaria.

Per quanto riguarda la condotta consistente nel mancato idoneo riscontro alle istanze di accesso, condotta cominciata prima della piena efficacia del Regolamento, ma continuata anche successivamente in quanto solo a seguito dell’intervento del Garante, in data 3 marzo 2021, tramite raccomandata ricevuta dall’interessato il 20 marzo 2021, la Società ha inviato un riscontro effettivo al reclamante con l’indicazione del nominativo del medico competente nonché il parere rilasciato dallo stesso, la stessa ha violato gli artt. 12 e 15 del Regolamento. È prevista in proposito l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. b) del Regolamento.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato le norme in materia di esercizio dei diritti e il periodo di tempo nel quale la violazione si è protratta;

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la condotta della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;

c) a favore della Società si è tenuto conto della cooperazione con l’Autorità di controllo dimostrata nel corso del procedimento e il fatto che il trattamento abbia riguardato un solo interessato.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base alla dichiarazione di imposta per l’anno 2021 (tenuto conto della variazione della forma giuridica avvenuta in data 12.1.2022). Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare, per quanto riguarda la violazione degli artt. 12 e 15 del Regolamento, nei confronti di Marcozzi Brand s.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 2.000 (duemila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali del trattamento, le norme in materia di esercizio dei diritti e che i dati oggetto di trattamento sono dati appartenenti a categorie particolari di dati, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Marcozzi Brand s.r.l. (già Marcozzi Gabriele & C. s.n.c.), in persona del legale rappresentante, con sede legale in Contrada Valdaso 47/A, Campofilone (FM), C.F.01589860442, ai sensi dell’art. 143 del Codice, per la violazione degli artt. artt. 11, 13 e 26 del Codice nella versione antecedente alle modifiche apportate dal d. l.gs n. 101 del 2018 (oggi corrispondenti agli artt. 5, par. 1, lett. a) e b), 9, 13 del Regolamento) e agli artt. 12 e 15 del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Marcozzi Brand s.r.l., di pagare la somma complessiva di euro 8.400 (ottomilaquattrocento) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi a Marcozzi Brand s.r.l. di pagare la predetta somma di euro 8.400 (ottomilaquattrocento), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 8 giugno 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei