[doc. web n. 9972788]

Provvedimento del 7 dicembre 2023

Registro dei provvedimenti
n. 583 del 7 dicembre 2023

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato dal sig. XX ai sensi dell’art. 77 del Regolamento, con cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte di Sirio S.p.A.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. Il reclamo e l’avvio dell’istruttoria preliminare.

Con il reclamo presentato a questa Autorità in data 15/07/2021, il sig. XX ha lamentato una violazione della disciplina in materia di protezione dei dati personali posta in essere da Sirio S.p.A. (di seguito “la Società”), in qualità di suo datore di lavoro.

In particolare, il reclamante rappresentava di rivestire la qualifica di Assistant Manager presso il XX, gestito dalla predetta Società, e di occuparsi, tra l’altro, del versamento degli incassi del punto vendita sul conto corrente della Società. Per tale motivo, era intestatario di due tessere bancarie attivate, previo suo consenso, dalla Società presso due istituti di credito.

Tuttavia, in data 07/07/2021, riceveva da parte di un istituto di credito un modulo di emissione di una nuova carta cd. Deposit, precompilata con i suoi dati anagrafici, che erano stati precedentemente comunicati alla Banca dalla Società. Con il reclamo, pertanto, lamentava l’illecito trattamento dei suoi dati personali, in quanto comunicati in assenza del consenso e di ogni informativa al riguardo.

Pertanto, l’Ufficio avviava l’istruttoria preliminare, invitando la Società a fornire osservazioni in ordine ai fatti oggetto di reclamo, con la richiesta di informazioni formulata ai sensi dell’art. 157 del Codice (nota del 20/12/2021).

La Società forniva riscontro con la nota del 19/01/2022, con la quale dichiarava che:

- “In ragione del ruolo e delle mansioni rivestite, il [reclamante] svolgeva, nel rispetto delle istruzioni ricevute da personale direttivo del punto vendita, attività di responsabile del punto ristoro XX, occupandosi in condizioni  di autonomia operativa di mansioni di concetto nonché del coordinamento tecnico - funzionale di altri lavoratori”;

- “In particolare, a seguito dell’attribuzione di tale ruolo, il [reclamante] era incaricato di effettuare i versamenti degli incassi in contante registrati nel punto vendita sul conto corrente dell’Azienda, mediante l’utilizzo di tessere bancarie a questi intestate in via esclusiva”;

- a seguito dell’avvio della procedura di concordato preventivo dinanzi al Tribunale territorialmente competente, “tutti i precedenti conti corrente sono stati bloccati ed è stato aperto in data 21/06/2021 un nuovo conto corrente presso (…) con prevista emissione di nuove carte di versamento”;

- pertanto, “la Società, in data 07/07/2021, ha inoltrato al dipendente il modulo bancario per l’emissione della nuova “carta Deposit” in sostituzione delle precedenti così da garantire all’Assistant Manager del nuovo punto vendita l’adempimento dei propri compiti quanto al versamento del denaro contante”.

Quanto ai presupposti di legittimità alla base della comunicazione dei dati a un terzo e alle modalità con cui era stata fornita al reclamante l’informativa, la Società dichiarava che:

- “La base giuridica che ha legittimato tale trattamento si rinviene in primis nell’esecuzione del contratto di lavoro subordinato di cui il [reclamante] è parte ai sensi dell’art. 6, comma 1, lett. b) del GDPR (…), nonché nell’adempimento dei conseguenti obblighi di legge ai quali è soggetta la società Sirio spa titolare del trattamento ex art. 6, comma 1, lett. c) del GDPR (…)”;

- infatti, “nell’ambito del rapporto di lavoro subordinato in essere la società datrice è legittimata (nonché tenuta) all’utilizzo dei dati personali forniti dai dipendenti per l’adempimento dei propri doveri contrattuali, nonché per il legittimo esercizio delle proprie prerogative nell’organizzazione della prestazione lavorativa dei dipendenti”;

- “la Sirio spa ha quindi legittimamente trattato i dati del [reclamante] (nello specifico l’indirizzo di residenza  e il numero di telefono mobile personale) in forza del contratto di lavoro subordinato in essere tra le parti, comunicando all’Istituto di credito coinvolto quanto strettamente necessario per l’attivazione della carta di versamento del contante e consentire al[lo stesso] il regolare svolgimento delle proprie attribuzioni”;

- “(…) il rapporto di lavoro subordinato in essere (…) integra gli estremi di una relazione giuridica qualificata tra le parti tale da legittimare l’interesse dalla società datrice al trattamento dei dati dei dipendenti ove rispondenti alla risoluzione di esigenze aziendali di natura tecnica, organizzativa e produttiva”.   
Alla luce delle dichiarazioni rese, l’Ufficio invitava la Società a fornire ulteriori elementi di valutazione nonché a produrre idonea documentazione afferente alle modalità con cui il reclamante era stato informato dalla Società sull’utilizzo dei dati personali per l’emissione delle carte di versamento a suo nome (nota del 14/04/2022).

La Società, con la nota del 13/05/2022, inviava le proprie osservazioni con cui trasmetteva:

- copia dell’informativa resa ai propri dipendenti ai sensi dell’art. 13 del Regolamento;

- documentazione relativa alla Contrattazione collettiva di riferimento (CCNL Turismo – P.E. Confcommercio Fipe), utile all’individuazione delle mansioni e delle attribuzioni assegnate al reclamante che rientrano in quelle proprie del “responsabile del servizio di ristorazione commerciale a catena”;

- modulo di acquisizione del consenso al trattamento dei dati personali, sottoscritto dal reclamante al momento dell’attivazione della prima carta di versamento del contante.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società.

Sulla base delle dichiarazioni rese e della documentazione prodotta nel corso dell’attività istruttoria, l’Ufficio provvedeva a notificare alla Società l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice in relazione alla violazione degli artt. 5, par. 1, lett. a), 6  e 13 del Regolamento (nota del 21/09/2022).

Con le memorie difensive inviate il 21/10/2022, ai sensi dell’art. 18 della legge n. 689/1981, la Società confermava quanto già precedentemente comunicato, dichiarando che:

- sulla base di quanto previsto dal CCNL applicabile al settore di appartenenza, la mansione rivestita dal reclamante rientra in quella prevista e disciplinata dall’art. 54, 3°  livello, in cui vengono ricomprese “professionalità con elevato grado di specializzazione e competenza maturata sul campo, in grado di svolgere mansioni ‹‹di concetto o prevalentemente tali›› (…) anche in condizioni di ‹‹autonomia operativa››, tra cui appunto viene ricompreso il ‹‹responsabile del servizio di ristorazione commerciale a catena››”;

- sebbene la disposizione normativa non faccia espresso riferimento alle operazioni di gestione cassa e versamento del contante, “la richiesta di assolvimento di tali incombenze appare a ben vedere legittimamente esigibile da parte di un lavoratore che per ricoprire tale ruolo è tenuto ad operare nel rispetto delle istruzioni e direttive impartite dalla direzione del punto vendita ‹‹in condizioni di autonomia operativa››”, tanto che tale funzione era regolarmente svolta dal reclamante sin dal 2019;

- nel caso di specie deve tenersi particolarmente conto dell’interesse legittimo del titolare di cui all’art. 6, par. 1, lett. f), del Regolamento, che giustifica l’attività di trattamento posta in essere in quanto realizzata “in occasione della sussistenza di una relazione pertinente e appropriata tra l’interessato e il titolare” (Cons. 47) e per il perseguimento di finalità “compatibili con quelle per cui i dati personali sono stati inizialmente raccolti” (Cons. 50);

- a seguito del rifiuto dell’interessato al trattamento dei dati ai fini dell’attivazione della carta Deposit, “la società ha immediatamente interrotto il trattamento”.

Con la nota inviata in data 23/10/2023, la Società ha comunicato l’intenzione di rinunciare all’audizione precedentemente richiesta, ritenendo non sussistenti ulteriori elementi da portare all’attenzione dell’Autorità, oltre a quelli già esposti nelle memorie difensive.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi.

All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese dalla parte nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, è emerso che la Società, in qualità di titolare del trattamento, ha effettuato un trattamento di dati personali, riferito al reclamante, che non risulta conforme alla disciplina in materia di protezione dei dati personali.

In modo particolare, all’esito dell’istruttoria svolta, è emerso che la Società ha comunicato i dati personali del reclamante a un Istituto di credito al fine di consentire l’emissione e l’intestazione di una carta deposit; tale operazione di trattamento è avvenuta senza avere fornito all’interessato un’idonea informativa, ai sensi dell’art. 13 del Regolamento, in base alla quale l’interessato potesse avere contezza delle informazioni principali relative al trattamento in concreto svolto, nonché in assenza di un’idonea base giuridica, tra quelle individuate all’art. 6 del Regolamento.

3.1. Violazione degli artt. 5, par. 1, lett. a), e 13 del Regolamento.

In disparte la verifica della corretta attribuzione al dipendente qualificato come Assistant Manager della mansione specifica, consistente nelle operazioni di cassa, occorre porre l’attenzione sulla circostanza che la comunicazione dei dati personali del reclamante a un terzo (nello specifico l’istituto di credito), che la Società ha ritenuto necessaria proprio per l’adempimento della mansione specifica, non è stata adeguatamente portata a conoscenza dell’interessato stante l’assenza di un’idonea informativa.

A fronte di una specifica richiesta formulata dall’Autorità (nota del 14/04/2022) di ottenere copia dell’informativa resa al reclamante nonché di conoscere le modalità con cui sia stato informato dalla Società circa l’utilizzo dei suoi dati personali per l’emissione delle carte di versamento a suo nome, infatti, non è stata prodotta in atti alcuna evidenza che comprovi l’assolvimento dell’obbligo di fornire l’informativa.

Infatti, il modello di informativa che è stato allegato alla nota del 19/01/2022 (all. 16, recante “Informativa sul trattamento dei dati personali DIPENDENTI E COLLABORATORI) è stato predisposto successivamente all’instaurazione del rapporto di lavoro con il reclamante (avvenuta il 19/01/2016) ed è stato distribuito a tutti i dipendenti tramite il portale Busta Paga nel mese di Aprile 2021 (all. 17 alla citata nota del 19/01/2022). Non vi è dunque alcuna documentazione utile a dimostrare che, in tale arco temporale (ovvero dalla data di assunzione del reclamante a quella della predisposizione dell’informativa predetta), il reclamante sia stato informato in merito al trattamento dei dati personali necessario alla costituzione e alla gestione del rapporto di lavoro e, nello specifico, alla comunicazione dei dati a terzi per la dichiarata finalità dell’adempimento dei suoi compiti.

Sotto questo profilo, si rileva come anche nel documento informativo di Aprile 2021 si legge che “I dati potranno essere comunicati a (…) tutte le persone fisiche e/o giuridiche, pubbliche e/o private, quando la comunicazione risulti necessaria o funzionale alla costituzione e gestione del rapporto di lavoro o di collaborazione professionale”. La formulazione risulta assai generica e, comunque, inidonea a informare adeguatamente gli interessati riguardo ai soggetti o categorie di soggetti a cui i dati possono essere comunicati, alla tipologia di dati oggetto della comunicazione, alle finalità e ai presupposti di legittimità alla base del relativo trattamento (art. 13, par. 1, lett. c) ed e) del Regolamento).

Inoltre, sempre con riferimento all’esecuzione del compito assegnato al reclamante in qualità di Assistant Manager di procedere al versamento del contante sul conto corrente della Società, si osserva che non vi è alcun riferimento nemmeno nella documentazione contrattuale fornita in sede di istruttoria, che possa chiarire le modalità e l’ambito della comunicazione dei dati dell’interessato a un terzo, nello specifico a un istituto di credito.

Va altresì rilevato che, diversamente da quanto ritenuto dalla Società, il modulo di acquisizione del consenso predisposto dalla banca e prodotto in atti, sottoscritto dal reclamante in data 07/01/2019 (all. 20 alla nota del 13/05/2022), non può considerarsi un valido documento informativo, in quanto trattasi di un modulo riferito a una diversa operazione di trattamento.

A ulteriore conferma della estraneità del reclamante all’avvenuta comunicazione dei dati all’istituto di credito, si richiama lo scambio di e-mail prodotto sub all. 27 agli scritti difensivi del 21/10/2022 tra il reclamante e altri dipendenti della Società.

In tale corrispondenza viene evidenziata la necessità di chiedere alla banca un nuovo PIN per l’utilizzo della carta deposit, in quanto “il dipendente (unico possessore di una tessera di versamento su XX) non ha risposto al messaggio della banca pensando fosse spam” e che “nessuno a prescindere ci aveva avvertito che ci sarebbe arrivato un messaggio per l’attivazione delle carte (…)”.

Pertanto, deve confermarsi il rilievo notificato alla parte in base al quale il titolare del trattamento non ha adempiuto a quanto prescritto dall’art. 13 del Regolamento, ovvero all’obbligo di fornire all’interessato, nel momento in cui i dati personali sono raccolti, un’idonea informativa che descriva le caratteristiche principali del trattamento che intende effettuare, indicando le finalità del trattamento, i destinatari o le categorie di destinatari dei dati personali, la base giuridica e i tempi di conservazione dei dati trattati. Tale obbligo è espressione dei principi di liceità, trasparenza e correttezza, sanciti dall’art. 5, par. 1, lett. a), del Regolamento.

3.2. Violazione dell’art. 6 del Regolamento.

Per quanto concerne l’ulteriore profilo di illiceità, riguardante l’assenza di un valido presupposto di legittimità alla base della lamentata comunicazione dei dati del reclamante, si osserva che né l’esecuzione del contratto né il legittimo interesse del titolare, entrambi richiamati dalla Società, possono assurgere a idonee basi giuridiche.

Per quel che concerne il presupposto di legittimità di cui all’art. 6, par. 1, lett. b), del Regolamento, si osserva, in via generale, che affinché questo possa essere validamente riconosciuto, occorre che il trattamento sia oggettivamente “necessario” all’esecuzione del contratto. La valutazione circa la necessità del trattamento deve essere fatta tenendo conto delle finalità che il titolare intende perseguire nel rispetto dei principi di limitazione delle finalità e di trasparenza nei confronti dell’interessato. 

Nel caso in esame, posto che l’interessato non è stato preventivamente informato del trattamento svolto, non emerge in nessuno dei documenti forniti dalla Società nel corso dell’istruttoria che sia stata disciplinata nello specifico la mansione dell’Assistant Manager, che avrebbe legittimato la comunicazione dei dati a un terzo.

In primo luogo, l’art. 54 del CCNL Pubblici servizi Confcommercio, richiamato più volte dalla Società come norma contenente la disciplina generale di riferimento, nell’indicare le mansioni proprie dei lavoratori appartenenti al 3° livello, stabilisce che il responsabile del servizio ristorazione commerciale a catena “(caratterizzata da pluralità di locali con identità di logo e standardizzazione di prodotto e di processi operativi) (…) [è] colui che in subordine alla direzione del punto vendita, direttamente interessato alla fase lavorativa, opera secondo istruzioni specifiche, in condizioni di autonomia operativa e di coordinamento tecnico funzionale di altri lavoratori”.

Aldilà della questione relativa all’attribuzione all’Assistant Manager di procedere alle operazioni di cassa (questione tra l’altro su cui l’Autorità non è competente a esprimere valutazioni), resta fermo che, alla luce della richiamata disciplina, la direzione del punto vendita debba fornire al proprio dipendente “istruzioni specifiche” a cui attenersi nello svolgimento della mansione lavorativa. Sulla base della documentazione in atti, invece, non risulta che siano state fornite all’interessato istruzioni specifiche inerenti alla particolare attività.

In ultimo, su questo specifico aspetto, si osserva che, sulla base di quanto dichiarato dalla società, il reclamante ha continuato a svolgere la funzione di Assistant Manager anche dopo il rifiuto all’intestazione della carta.

Per quanto concerne l’ulteriore base giuridica individuata dalla Società nell’art. 6, par. 1, lett. f), del Regolamento, si rappresenta, in via generale, che l’interesse legittimo può costituire un’idonea base giuridica, laddove “non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato”. Il titolare del trattamento deve procedere a un’attenta valutazione sull’impatto che il trattamento può portare agli interessi e ai diritti degli interessati e sulla possibilità che esso comporti violazioni o conseguenze negative ai loro diritti. Ciò si traduce in un bilanciamento di interessi che, sulla base dell’art. 6, par. 1, lett. f), è di fatto obbligatorio. Il titolare del trattamento deve, cioè, effettuare un test comparativo per valutare la possibilità di porre in essere il trattamento di dati personali in presenza di un interesse legittimo. Non risulta, allo stato degli atti, che la Società abbia provveduto in tal senso.

Il considerando 47 del Regolamento, richiamato dalla Società a fondamento della propria argomentazione, laddove riconosce la sussistenza di un legittimo interesse del titolare “quando esista una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento, ad esempio quando l’interessato (…) è alle dipendenze del titolare”, non esonera il titolare dall’obbligo di effettuare una valutazione comparativa volta a verificare che i diritti dell’interessato non prevalgano sui propri legittimi interessi.

Alla luce di quanto sopra, si rileva come il titolare abbia effettuato un trattamento di dati personali riferito al proprio dipendente in assenza di un’idonea base giuridica e, dunque, in violazione dell’art. 6 del Regolamento.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali posto in essere dalla Società risulta illecito in quanto, per i motivi su esposti, effettuato in violazione degli artt. 5, par. 1, lett. a), 6 e 13 del Regolamento.

5. Ordinanza ingiunzione.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali riferiti al reclamante, di cui è stata accertata l’illiceità, nei termini sopra esposti.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:

- con riguardo alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato la comunicazione a terzi di dati personali;

- l’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento;

- la circostanza che la violazione ha riguardato un solo interessato;

In considerazione dei richiamati principi di effettività, proporzionalità e dissuasività (art. 83, par. 1, del Regolamento) ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione, sono state prese in considerazione le condizioni economiche del contravventore come rilevate dai bilanci riferiti agli anni 2021e 2022.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 1.000,00 (mille) per la violazione degli artt. 5, par. 1, lett. a),  6 e 13 del Regolamento.

In tale quadro, anche in considerazione della tipologia di violazione accertata, che ha riguardato i diritti dell’interessato, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Sirio S.p.A., in persona del legale rappresentante pro tempore, con sede legale in Ravenna, Via Filippo Re n. 43-45, C.F. 04142890377, ai sensi dell’art. 143 del Codice, per la violazione degli artt. artt. 5, par. 1, lett. a), 6 e 13, del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento a Sirio S.p.A., di pagare la somma di euro 1.000,00 (mille) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di conformare il trattamento alle disposizioni in materia di protezione dei dai personali, provvedendo a redigere una informativa idonea ai sensi dell’art. 13 del Regolamento e a darne comunicazione all’Autorità entro 60 giorni dalla data di notifica del presente provvedimento.

INGIUNGE

alla medesima Società di pagare la predetta somma di euro 1.000,00 (mille), secondo le secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Richiede alla società di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto con il presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 60 giorni dalla data di notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 7 dicembre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei