g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento del 29 gennaio 2026 [10221968]

Provvedimento del 29 gennaio 2026 [10221968]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10221968]

Provvedimento del 29 gennaio 2026

Registro dei provvedimenti
n. 64 del 29 gennaio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo.

Con il reclamo presentato all’Autorità dalla sig.ra XX, è stato lamentato che l’Istituto tecnico industriale statale “Stanislao Cannizzaro” di Catania (di seguito, l’Istituto) avrebbe pubblicato sul sito web istituzionale e, in particolare, all’indirizzo https://...,  la  circolare n. XX del XX, liberamente accessibile online e indicizzata dai motori di ricerca, contenente i nominativi di 51 studenti con disabilità, associati alle rispettive classi e agli orari dei Gruppi di Lavoro Operativo per l’inclusione scolastica (GLO), tra i quali compare anche il figlio.

Dall’accertamento preliminare effettuato dall’Ufficio in data XX (prot. n. XX), è emerso che la predetta circolare risultava visibile e liberamente scaricabile all’indirizzo web sopra riportato.

2. L’attività istruttoria.

Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del XX (prot. n. XX), all’Istituto, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto la pubblicazione sul sito web istituzionale della citata circolare, contenente i nominativi di 51 studenti con disabilità, incluso il nominativo del figlio della reclamante, associati alle rispettive classi e agli orari dei GLO, nonché al nominativo dell’insegnante di sostegno di riferimento dei singoli alunni, ha dato luogo a una diffusione illecita di dati personali in violazione degli artt. 5, par. 1, lett. a), 6, parr. 1, lett. c) ed e), 2 e 3 e 9, parr. 1, 2, lett. g) e 4 del Regolamento e 2-ter, commi 1 e 3, e 2 sexies, commi 1 e 2, lett. bb) e 2-septies, comma 8, del Codice.

Pertanto, l’Ufficio ha invitato il predetto titolare a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

La dirigente scolastica dell’Istituto ha fatto pervenire le proprie memorie difensive, alle quali si rinvia integralmente, con nota del XX (prot. n. XX), rappresentando, in particolare, che:

- “in data XX, la Referente per l’orario […] ha predisposto il calendario degli incontri del Gruppo di Lavoro Operativo (GLO), utilizzando il format di circolare predisposto dall’Istituto”;

- “la Referente ha trasmesso la … circolare [recante il calendario degli incontri del Gruppo di Lavoro Operativo-GLO] all’indirizzo di posta elettronica pubblicazioni.cannizzaro@gmail.com, in conformità alla prassi interna relativa alla pubblicazione delle circolari. Nell’oggetto della comunicazione, la Referente aveva indicato che la circolare doveva essere inviata ai soli docenti, ma, successivamente, si è resa conto che nel documento era presente anche l’indicazione “al sito web”, riferita alla pubblicazione online”;

- “accortasi dell’equivoco, la Referente ha tempestivamente informato il soggetto addetto alla pubblicazione delle circolari sul sito WEB di Istituto (di seguito denominato “Addetto”), di non procedere alla pubblicazione sul sito istituzionale. Tuttavia l’Addetto, per mero errore materiale ed ingannato dalla dicitura “al sito web” presente tra i destinatari della circolare, aveva già provveduto a pubblicarla sul sito web dell’Istituto con il progressivo n. 107”;

- “la circolare […] erroneamente pubblicata sul sito web istituzionale dell’Istituto per un lasso di tempo limitato, conteneva i seguenti dati personali riferibili a n. 51 studenti con disabilità: - nome e cognome, - classe di appartenenza, - orario di convocazione del GLO, -nome del docente di sostegno di riferimento. Non erano riportati ulteriori dati particolari ai sensi dell’art. 9 GDPR (es. diagnosi, codici sanitari o specifiche indicazioni sulla tipologia di disabilità)”;

- “la circolare è rimasta pubblicamente accessibile sul sito web nella sezione “Circolari” solo dal XX al XX, quando è stata rimossa”;

- “tuttavia, il relativo file PDF allegato è rimasto archiviato nell’area “media” del sistema WordPress, risultando ancora indicizzabile e rintracciabile con link diretto individuabile solo attraverso tramite motori di ricerca esterni (es. Google), pur essendo stato rimosso dalla navigazione del sito”;

- “tale file PDF che, si sottolinea, restava ancora disponibile esclusivamente su ricerca specifica, è stato prontamente rimosso a seguito del reclamo”;

- “la violazione è da attribuirsi infatti ad un errore materiale derivante da una comunicazione incompleta interna e da un successivo errore tecnico nell’utilizzo del sistema WordPress, il quale non collega automaticamente la rimozione di un contenuto dalla pagina web con la cancellazione fisica del documento allegato”;

- “l’atto autorizzativo e le istruzioni operative impartite al personale incaricato della pubblicazione sul sito web sono stati rivisti con il supporto del DPO, al fine di rafforzare le indicazioni relative all’attenzione da prestare ai dati personali, e in particolare ai dati appartenenti a categorie particolari, in fase di pubblicazione online”;

- “sul piano organizzativo attua periodicamente corsi di formazione per la Privacy al personale tutto tenuti dal DPOagli “interessati” (studenti, famiglie, docenti...) come vengono trattati i dati personali”.

3. Normativa applicabile.

3.1 Il quadro normativo.

Il quadro normativo in materia di protezione dei dati previsto dal Regolamento prevede che il trattamento di dati personali da parte di soggetti pubblici, come l’Istituto, è lecito se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri” (art. 6, paragrafo 1, lett. c) ed e), paragrafi 2 e 3 del Regolamento; art 2-ter del Codice.

La base giuridica dei predetti trattamenti deve essere stabilita dal diritto dell’Unione o dello Stato membro, che deve perseguire “un obiettivo di interesse pubblico [e deve essere] proporzionato all'obiettivo” (art. 6, par. 3, del Regolamento).

In tale contesto, è sancito che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento).

Il Codice ha stabilito che “la base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del Regolamento è costituita da una norma di legge o di regolamento o da atti amministrativi generali” (art. 2-ter, comma 1).

In particolare, le operazioni di trattamento che consistono nella “diffusione” e “comunicazione” di dati personali sono ammesse solo quando previste da una norma di legge, regolamento o atti amministrativi generali (art. 2-ter, comma 3 del Codice).

Con riguardo alle categorie particolari di dati personali, il trattamento è, di regola, consentito ove “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento), a condizione che i trattamenti siano “previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato” (art. 2-sexies, comma 1, del Codice).

In ogni caso, i dati relativi alla salute, ossia quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15, del Regolamento; cfr. anche cons. 35 del Regolamento), in ragione della loro particolare delicatezza, “non possono essere diffusi” (art. 2-septies, comma 8 del Codice).

Il titolare del trattamento è in ogni caso tenuto a rispettare i principi in materia di protezione dei dati, tra cui quello di “liceità, correttezza e trasparenza” in base al quale i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato (art. 5, par. 1, lett. a) del Regolamento).

3.2 Il trattamento di dati personali effettuato dall’Istituto.

Da quanto emerge dal reclamo in oggetto, nonché dall’accertamento compiuto sulla base degli elementi acquisiti a seguito dell’attività istruttoria e dalle successive valutazioni di questo Dipartimento, risulta che l’Istituto ha pubblicato sul sito web istituzionale la circolare n. XX del XX relativa alle convocazioni del Gruppo di Lavoro Operativo per l’inclusione scolastica (GLO) organizzate dall’Istituto, contenente il nome e cognome, la classe di appartenenza, l’orario di convocazione del GLO e il nome del docente di sostegno di riferimento in relazione a 51 alunni con disabilità.

La circolare è rimasta pubblicamente accessibile sul sito web dell’Istituto dal XX al XX, anche se il relativo file PDF allegato è rimasto archiviato nell’area “media” del sistema WordPress, risultando ancora indicizzabile e rintracciabile con link diretto individuabile solo attraverso motori di ricerca esterni (es. Google), per poi essere rimosso e non più consultabile una volta pervenuto il reclamo.

In via preliminare si osserva che, ai sensi dell’art. 4 par. 1, n. 7, il “titolare del trattamento” è “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.

Le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR” dell’EDPB del 7 luglio 2021, prevedono che “è solitamente l’organizzazione in quanto tale e non una persona fisica all’interno dell’organizzazione (come l’amministratore delegato, un dipendente o un membro del consiglio di amministrazione) ad agire in qualità di titolare del trattamento ai sensi del GDPR” (par. 17).

Al riguardo, anche nella sentenza della Corte di Giustizia del caso C-741/21, dell’11 aprile 2024, si è affermato che “un dipendente del titolare del trattamento è effettivamente una persona fisica che agisce sotto l’autorità di tale titolare. Pertanto, spetta a detto titolare assicurarsi che le sue istruzioni siano correttamente applicate dai propri dipendenti. Di conseguenza, il titolare del trattamento non può sottrarsi alla propria responsabilità ai sensi dell’articolo 82, paragrafo 3, del RGPD semplicemente invocando una negligenza o un inadempimento di una persona che agisce sotto la sua autorità”.

Pertanto, il titolare del trattamento è sempre la persona giuridica nel suo complesso, anche quando una violazione del Regolamento si sia verificata per negligenza o inadempimento di un autorizzato. 
Per quanto riguarda gli interessati si evidenzia che i minori, in quanto “persone fisiche vulnerabili” meritano “una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali” (cons. n. 38 del Regolamento).

Circa la natura dei dati personali diffusi, si rileva inoltre che, ai sensi dell’art. 4 par. 1, n. 15, del Regolamento sono considerati dati relativi alla salute “i dati personali attinenti alla salute fisica e mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute”.

Stante la definizione di dato personale e di dato relativo alla salute (art. 4, punti 1 e 15, del Regolamento), si ritiene che la convocazione di una riunione del Gruppo di Lavoro Operativo per l’inclusione scolastica, prevista dalla normativa di settore in materia di disabilità, rappresenti di per sé una informazione relativa allo stato di salute dell’alunno per il quale viene convocata.

Le informazioni relative alla convocazione del richiamato gruppo di lavoro, recanti in chiaro l’indicazione del nominativo dell’alunno per il quale è stata organizzata, possono essere comunicate solo ai genitori dello studente interessato, ai docenti della classe di appartenenza di quest’ultimo e ai soggetti individuati dalla normativa di settore, coinvolti nell’intervento terapeutico e formativo seguito dall’alunno stesso (cfr. art. 9, comma 10, d.lgs. 13 aprile 2017, n. 66; cfr. Provvedimento 28 aprile 2022, n. 148, doc. web 9777156). v. provv. 27 novembre 2024, n. 728, doc. web n. 10097324; provv. 12 dicembre 2024, n. 767, doc. web n. 10099052; provv. 27 febbraio 2025, n. 117, doc. web n. 10118264; provv.  10 aprile 2025, n. 203, doc. web n. 10144156; provv. 10 luglio 2025 n. 385, doc. web n. 10162203).

Alla luce delle considerazioni che precedono, stante la definizione di “titolare del trattamento”, l’Istituto scolastico, pubblicando sul sito web le convocazioni delle riunioni del Gruppo di lavoro Operativo per l’inclusione scolastica contenenti dati personali relativi alla salute degli alunni ivi riportati, ha di fatto reso nota la condizione di disabilità dei suddetti alunni a soggetti non tenuti ed esserne informati, dando in tal modo luogo a una “diffusione” di dati personali in violazione degli artt. 5, par. 1, lett. a), 6, parr. 1, lett. c) ed e), 2 e 3 e 9, parr. 1, 2, lett. g) e 4 del Regolamento e 2-ter, commi 1 e 3, e 2 sexies, commi 1 e 2, lett. bb) e 2-septies, comma 8, del Codice).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dall’Istituto, avvenuto in assenza di condizioni di liceità, in violazione degli artt. 5, par. 1, lett. a), 6, parr. 1, lett. c) ed e), 2 e 3 e 9, parr. 1, 2, lett. g) e 4 del Regolamento e 2-ter, commi 1 e 3, e 2 sexies, commi 1 e 2, lett. bb) e 2-septies, comma 8, del Codice).

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

Considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, avendo l’Istituto scolastico rimosso la circolare, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Tenuto conto che la violazione delle disposizioni sopra citate da parte dell’Istituto ha avuto luogo in conseguenza di un’unica condotta, trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l’importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, tutte le violazioni accertate - degli artt. 5, par. 1, lett. a), 6, parr. 1, lett. c) ed e), 2 e 3 e 9, parr. 1, 2, lett. g) e 4 del Regolamento e 2-ter, commi 1 e 3, e 2 sexies, commi 1 e 2, lett. bb) e 2-septies, comma 8, del Codice) - sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000 (ventimilioni/00).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto che:

- con specifico riguardo alla natura, alla gravità e alla durata della violazione, occorre considerare che la pubblicazione dei dati ha riguardato 51 interessati per lo più minorenni (cfr. art. 83, par. 2, lett. a), del Regolamento);

- con specifico riguardo al profilo soggettivo della violazione la stessa è avvenuta a causa di un mero errore materiale (art. 83, par. 2, lett. b), del Regolamento);

- la pubblicazione ha riguardato anche categorie particolari di dati (art.83, par. 2, lett. g) del Regolamento).

Alla luce di tale specifica circostanza, si ritiene che, nel caso di specie, il livello di gravità di tale violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Nel premettere che il titolare del trattamento è un Istituto scolastico e, pertanto, un soggetto di ridotte dimensioni, dotato di limitate risorse economiche, si devono considerare, altresì, le seguenti circostanze attenuanti:

- la diffusione si è protratta per un periodo temporale ridotto in quanto il titolare del trattamento ha provveduto a rimuovere la circolare non appena rilevata l’erronea pubblicazione (art. 83, par. 2, lett. c), del Regolamento);

- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento);

- l’Istituto ha adottato misure per attenuare il danno subito dagli interessati tra cui la modifica del format per le circolari di convocazione del GLO, assicurando la mancanza della dicitura "al sito web" tra i destinatari”;

- il grado di cooperazione manifestato dal titolare con l'autorità di controllo (art. 83, par. 2, lett. f) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 10.000,00 (diecimila/00) per la violazione degli artt. 5, par. 1, lett. a), 6, parr. 1, lett. c) ed e), 2 e 3 e 9, parr. 1, 2, lett. g) e 4 del Regolamento e 2-ter, commi 1 e 3, e 2 sexies, commi 1 e 2, lett. bb) e 2-septies, comma 8, del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva. 
In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante.

Ciò in considerazione delle specifiche circostanze del caso concreto, riguardanti la diffusione di dati personali, incluse categorie particolari di dati di numerosi alunni in assenza di una condizione di liceità.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f), e 83 del Regolamento, l’illiceità del trattamento effettuato dall’Istituto tecnico industriale statale “Stanislao Cannizzaro” di Catania, nei termini di cui in motivazione, degli artt. 5, par. 1, lett. a), 6, parr. 1, lett. c) ed e), 2 e 3 e 9, parr. 1, 2, lett. g) e 4 del Regolamento e 2-ter, commi 1 e 3, e 2 sexies, commi 1 e 2, lett. bb) e 2-septies, comma 8, del Codice;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Istituto tecnico industriale statale “Stanislao Cannizzaro” con sede in via Carlo Pisacane, 1 - 95122 Catania (CT) - Codice Fiscale: 80008210876, di pagare la complessiva somma di euro 10.000,00 (diecimila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

all’Istituto dall’Istituto tecnico industriale statale “Stanislao Cannizzaro” di Catania:

- di pagare la complessiva somma di euro 10.000,00 (diecimila/00) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- ai sensi dell'art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell'ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero. 

Roma, 29 gennaio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori

Scheda

Doc-Web
10221968
Data
29/01/26

Argomenti

Minori Dati sanitari Scuola Studenti

Tipologie

Ordinanza ingiunzione o revoca