Il Garante della Privacy ha disposto il blocco dell’app PA-IO

Reading Time: 13 minutes

 371 total views,  14 views today

Il Garante della privacy ha ordinato in via d’urgenza alla società PagoPA di bloccare provvisoriamente alcuni trattamenti di dati effettuati mediante la predetta app che prevedono l’interazione con i servizi di Google e Mixpanel, e che comportano quindi un trasferimento verso Paesi terzi (es. Usa, India, Australia) di dati particolarmente delicati (es. transazioni cashback, strumenti di pagamento, bonus vacanze), effettuato senza che gli utenti ne siano stati adeguatamente informati e abbiano espresso il loro consenso. (Vedere qui)

Ecco il testo del Provvedimento:


Provvedimento correttivo nei confronti di PagoPA sul funzionamento dell’App IO – 9 giugno 2021

Registro dei provvedimenti
n. 230 del 9 giugno 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito, Codice);

VISTO l’art. 64-bis del decreto legislativo 7 marzo 2005, n. 82, (di seguito, CAD), che, al comma 1, prevede le pubbliche amministrazioni “rendono fruibili i propri servizi in rete, in conformità alle Linee guida, tramite il punto di accesso telematico attivato presso la Presidenza del Consiglio dei ministri”;

VISTO l’art. 8, comma 3, del decreto legge 14 dicembre 2018, n. 135, convertito, con modificazioni, dalla legge 11 febbraio 2019, n. 12, che prevede che, per la progettazione, lo sviluppo, la gestione e l’implementazione del punto di accesso telematico di cui al predetto art. 64-bis del CAD, la Presidenza del Consiglio dei Ministri si avvale della società PagoPA S.p.a., istituita con d.P.C.M. 19 giugno 2019, ai sensi del comma 1 del medesimo art. 8 del d.l. 135/2018 (di seguito, PagoPA o Società);

VISTI lo schema di Linee guida di cui all’art. 64-bis del CAD, trasmesso al Garante dall’Agenzia per l’Italia digitale (di seguito, AgID) per il parere previsto dall’art. 71 del CAD – in una prima versione in corso di aggiornamento – il 3 maggio 2021, e la valutazione di impatto sulla protezione dei dati, trasmessa dalla Società il 26 giugno 2020, relativa alle caratteristiche dei trattamenti illo tempore effettuati, in fase di sperimentazione;

RILEVATO che il predetto punto di accesso telematico è costituito dall’App IO per dispositivi mobili (scaricabile gratuitamente dagli app store di Apple e Google) e dall’insieme dei sistemi e delle componenti tecnologiche messe a disposizione da PagoPA (di seguito, nel loro complesso, Piattaforma IO), ed è integrato con la piattaforma di cui all’art. 5, comma 2, del CAD (c.d. “Piattaforma PagoPA”);

VISTO il provvedimento n. 102 del 12 giugno 2020 (doc. web n. 9367375), con il quale il Garante, oltre a rilasciare il parere sullo schema di provvedimento del Direttore dell’Agenzia delle entrate adottato ai sensi dell’art. 176 del decreto legge 19 maggio 2020, n. 34 – convertito, con modificazioni, dalla legge 17 luglio 2020, n. 77, in materia di “tax credit vacanze” (c.d. bonus vacanze) – ha altresì autorizzato l’Agenzia delle entrate ad utilizzare la Piattaforma IO, ai sensi degli artt. 58, par. 3, lett. c), del Regolamento e 2-quinquiesdecies del Codice, nel rispetto delle seguenti prescrizioni:

l’utente deve essere informato della possibilità di disattivare le notifiche push e anche sui trattamenti effettuati in caso di attivazione delle stesse, assicurando, in ogni caso, che il contenuto delle notifiche si limiti ad avvisare l’utente della necessità di consultare l’App, senza fornire indicazioni di dettaglio relative al mittente e al contenuto del messaggio oggetto della notifica (punto 5.2 del provvedimento);

occorre garantire che la predetta App non preveda l’adesione automatica a tutti i servizi ivi disponibili e alla relativa messaggistica, adottando misure tecniche e organizzative necessarie a garantire agli utenti la possibilità di scegliere gli Enti erogatori da cui ricevere la predetta messaggistica (c.d. modalità opt-in), anche nella fase sperimentale (punto 5.3 del provvedimento);

deve essere assicurata la legittimità del trasferimento dei dati personali verso Paesi terzi, considerato che, per la gestione della Piattaforma IO, PagoPA si avvale di alcuni fornitori (tra cui Microsoft, Google, Instabug e Mixpanel) che effettuano trattamenti al di fuori dell’Unione europea (punto 5.4 del provvedimento);

VISTO, inoltre, il provvedimento n. 232 del 26 novembre 2020 (doc. web n. 9492345), con il quale il Garante si è espresso, ai sensi degli artt. 58, par. 3, lett. c), del Regolamento e 2-quinquiesdecies del Codice, in merito all’utilizzo dell’App IO per l’attuazione del Programma infrannuale di rimborso in denaro (c.d. cashback) di cui all’art. 1, commi da 288 a 290, della legge 27 dicembre 2019, n. 160, da parte del Ministero dell’economia e delle finanze, richiamando le predette prescrizioni e riservandosi ogni ulteriore valutazione all’esito della complessiva istruttoria in merito ai trattamenti effettuati nell’ambito dell’App IO quale punto di accesso telematico di cui all’art. 64-bis del CAD;

RILEVATO, altresì, che, da ultimo, l’art. 42, comma 2, del decreto legge 31 maggio 2021, n. 77, ha previsto che “le certificazioni verdi COVID-19 di cui all’articolo 9 del decreto-legge 22 n. 52 del 2021, sono rese disponibili all’interessato […] anche tramite il punto di accesso telematico di cui all’articolo 64-bis del decreto legislativo 7 marzo 2005, n. 82”, e che il Garante, nel rendere il parere con il provvedimento adottato in data odierna, sullo schema di decreto del Presidente del Consiglio dei Ministri di attuazione, che disciplina i trattamenti connessi all’attivazione della Piattaforma nazionale-DGC per l’emissione, il rilascio e la verifica delle certificazioni verdi Covid-19, si è riservato di effettuare ulteriori approfondimenti sull’utilizzo dell’App IO;

CONSIDERATO che il predetto punto di accesso telematico rappresenta una delle c.d. piattaforme abilitanti al centro delle politiche di trasformazione digitale della pubblica amministrazione e che l’App IO, allo stato scaricata da circa 11,5 milioni di utenti, attualmente rende disponibili oltre 12 mila servizi erogati da più di 5 mila enti a livello nazionale e locale;

RITENUTO, pertanto, necessario assicurare che, nelle more dell’adozione delle citate Linee guida attuative dell’art. 64-bis del CAD e della valutazione complessiva del Garante sui trattamenti che si intendono effettuare attraverso il predetto punto di accesso telematico, i trattamenti di dati personali attualmente in essere, o che si intendono a breve avviare, attraverso la Piattaforma IO, avvengano comunque nel rispetto del Regolamento e del Codice;

CONSIDERATI i recenti approfondimenti istruttori di carattere tecnico-giuridico effettuati d’ufficio, per tali ragioni, sulla base dell’analisi del codice sorgente dell’App IO, della documentazione disponibile in rete, relativa anche alle librerie software richiamate all’interno dell’App, nonché dell’osservazione del comportamento tenuto dalla stessa durante la sua esecuzione su un dispositivo mobile, con particolare riguardo alle sue interazioni con i servizi di Google LLC (di seguito, Google), Mixpanel Inc. (di seguito, Mixpanel) e Instabug Inc. (di seguito, Instabug), società stabilite negli Stati Uniti, responsabili del trattamento di PagoPA, che si avvalgono anche di sistemi informatici (risorse elaborative e di memorizzazione) ivi ubicati e di ulteriori fornitori anch’essi stabiliti in Paesi terzi;

RILEVATI i gravi elementi di criticità emersi nel corso dei predetti approfondimenti istruttori, che richiedono un immediato esame dell’Autorità, in ragione dei rischi di elevata probabilità e gravità che presentano per i diritti e le libertà degli interessati di seguito illustrati:

A) le interazioni dell’App IO con i servizi di Google e Mixpanel: l’App IO, all’atto del primo avvio e durante la sua esecuzione sul dispositivo di un utente, archivia talune informazioni sullo stesso e, in alcuni casi, accede a informazioni già archiviate, per trasmetterle a Google e Mixpanel. In particolare:

con riferimento all’utilizzo delle librerie software di Google, è emerso che l’App IO, al suo primo avvio su un dispositivo Android, effettua in modo automatico l’inizializzazione dei servizi Firebase di Google, creando così un identificativo univoco associato all’installazione dell’App, che sarebbe necessario, nel caso in esame, solo ai fini dell’invio di notifiche push da parte di Google. Tale identificativo viene, invece, generato, per impostazione predefinita, in relazione ai dispositivi di tutti gli utenti dell’App IO, a prescindere dalla volontà di ciascuno di avvalersi di tale servizio di notifica, e viene utilizzato anche nell’ambito di alcune interazioni dell’App con i servizi Firebase Analytics di Google che consentono, quantomeno, di monitorare le installazioni dell’App IO sui dispositivi degli utenti. Ciò, senza che sia chiara la finalità di tale trattamento e, peraltro, senza che l’utente ne sia adeguatamente informato e sia messo nelle condizioni di esprimere, in modo consapevole, il consenso previsto dall’art. 122 del Codice;

con riguardo, invece, alle librerie software di Mixpanel, si osserva che, come anche evidenziato da PagoPA nella determinazione di acquisto di tale servizio, disponibile sul sito della Società, queste rappresentano uno “strumento di analisi dei prodotti tecnologici volto a comprendere il comportamento degli utenti dei singoli prodotti, a visualizzarne, segmentarne ed analizzarne i dati, al fine di misurarne il successo e la diffusione e individuarne, per questa strada, aree di miglioramento” ed “è in grado di offrire informazioni dettagliate e in tempo reale su come le persone interagiscono con l’App in modo da potersi concentrare sulle funzionalità di maggior impatto e innovare più velocemente i servizi digitali resi disponibili al cittadino sull’App”. Gli accertamenti tecnici effettuati hanno evidenziato che le librerie di tracciamento di Mixpanel, presenti all’interno dell’App IO, sono state configurate per inviare automaticamente e sistematicamente i dati relativi a una pluralità di eventi (generati nel corso dell’utilizzo dell’app da parte dell’utente) ai sistemi di Mixpanel, unitamente a un identificativo unico dell’utente. Ciò, senza che l’utente, anche in questo caso, ne sia adeguatamente informato e sia posto nelle condizioni di esprimere il consenso di cui all’art. 122 del Codice. Le informazioni inviate a Mixpanel riguardano, tra le altre, il bonus vacanze dell’Agenzia delle entrate (es. eventi relativi alla verifica dei requisiti per la richiesta del bonus e alla generazione dello stesso), il programma cashback del Ministero dell’economa e finanze (es. l’elenco delle transazioni che partecipano al programma cashback e i c.d. hashpan degli strumenti di pagamento elettronico degli utenti, ), nonché l’utilizzo della Piattaforma PagoPA (es. gli eventi relativi all’aggiunta di strumenti di pagamento al portafoglio dell’utente e all’esecuzione di pagamenti a favore di pubbliche amministrazioni e gestori di pubblici servizi). Al riguardo, occorre tener presente che l’identificativo univoco utilizzato, in base alle sue caratteristiche, è qualificabile come dato personale e può essere utilizzato per creare profili degli utenti dell’App IO e identificarli, essendo generato mediante una funzione deterministica, peraltro resa pubblica (cfr. repository GitHub dell’App IO), che, a partire dal codice fiscale di un utente, produce sempre lo stesso identificativo, anche in caso di utilizzo di un diverso dispositivo mobile, consentendo così la reidentificazione degli interessati. Ciò, in quanto tale identificativo presenta un elevato grado di associabilità al codice fiscale dell’utente, tenuto anche conto che, nel caso in esame, l’identificativo è trasmesso dall’App IO ai sistemi di Mixpanel unitamente all’indirizzo IP del dispositivo dell’utente e ad altre informazioni relative al suo dispositivo e agli eventi oggetto di tracciamento;

B) l’attivazione automatica dei servizi offerti all’interno dell’App IO: risulta accertato che, contrariamente a quanto già prescritto dal Garante con il citato provvedimento del 12 giugno 2020, all’atto del primo accesso da parte dell’utente, tutti i servizi resi disponibili da ogni ente presente nell’App IO, sia a livello nazionale che locale, e quelli che progressivamente diverranno disponibili, sono già attivi, per impostazione predefinita, e spetta all’utente provvedere a disattivare, in modo puntuale, i servizi non di interesse (c.d. modalità opt-out), il cui numero, di recente aumentato esponenzialmente, è pari, a oggi, a oltre 12 mila servizi riferibili a più di 5 mila enti. Non è stata, peraltro, implementata una funzionalità per consentire all’interessato di disattivare in blocco tutti i servizi presenti nell’App, né per disattivare tutti i servizi offerti da un singolo ente;

C) l’utilizzo delle notifiche push: l’utilizzo di tali notifiche per informare gli utenti della ricezione di un messaggio all’interno dell’App IO comporta inevitabilmente il trattamento di dati personali da parte dei gestori dei sistemi operativi dei dispositivi utilizzati (Apple e Google). Inoltre, è stato accertato che, per ciascun servizio attivo, risultano abilitate, per impostazione predefinita, oltre all’inoltro dei messaggi via e-mail, anche le funzionalità relative all’invio delle predette notifiche, con la conseguenza che l’identificativo univoco attribuito da Google agli utenti con dispositivi Android (cfr. lett. A), punto 1) viene generato anche laddove l’interessato decida di non avvalersi di tale modalità di notifica;

RITENUTO, alla luce di quanto sopra esposto, che, in particolare:

l’utilizzo delle librerie di Google e Mixpanel comporti, seppur in misura differente tra loro, un tracciamento che consente di ricondurre, a soggetti determinati identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso dei diversi servizi offerti all’interno dell’App IO, che non risulta strettamente necessario per erogare i servizi esplicitamente richiesti da un utente nell’ambito dell’App IO, né, con riferimento a Mixpanel, è necessario per il perseguimento delle finalità di “assistenza, debug e miglioramento dell’App IO” dichiarate da PagoPA (nell’informativa resa agli utenti e nella documentazione fornita al Garante). Ciò, peraltro, senza che siano chiare le finalità dei trattamenti effettuati attraverso tali strumenti e senza che l’utente sia adeguatamente informato e possa esprimere quindi con piena consapevolezza il consenso, previsto dall’art. 122 del Codice, per l’archiviazione di informazioni sul proprio dispositivo e per l’accesso a quelle già archiviate;

la sistematica raccolta e i successivi trattamenti delle sopraccitate informazioni, aventi carattere estremamente personale (es. transazioni economiche e hashpan degli strumenti di pagamento degli utenti, trattati da PagoPA nell’ambito del programma cashback in qualità di responsabile del trattamento per conto del Ministero dell’economia e delle finanze) e riferite a milioni di interessati, sui sistemi di Mixpanel, non risultino conformi, oltreché ai principi di liceità, correttezza e trasparenza e di limitazione della finalità, anche ai principi di minimizzazione e di integrità e riservatezza (quest’ultimo con particolare riguardo alla mancata adozione di misure adeguate a garantire la riservatezza degli hashpan degli strumenti di pagamento degli utenti) di cui all’art. 5, par. 1, del Regolamento;

il ricorso ai servizi offerti da Google, Mixpanel e Instabug, che a loro volta si avvalgono di numerosi fornitori stabiliti fuori dall’Unione europea, comporta inevitabilmente il trasferimento dei dati sopra descritti verso Paesi terzi (es. Stati Uniti, India, Australia), in relazione ai quali non è stata comprovata, allo stato, l’adozione di garanzie adeguate ai sensi degli artt. 44 e ss. del Regolamento. Ciò, tenuto conto anche che, indipendentemente dal luogo in cui sono ubicati i sistemi informatici su cui conservati i dati personali degli utenti dell’App IO, l’accesso remoto a tali sistemi di trattamento, da parte di soggetti stabiliti al di fuori dell’Unione europea, configura comunque un trasferimento di dati verso Paesi terzi (cfr., sul punto, le “Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati”, adottate dal Comitato europeo per la protezione dei dati il 10 novembre 2020, spec. note 22 e 27);

l’attivazione, per impostazione predefinita, di tutti i servizi disponibili all’interno dell’App IO (oltre 12 mila), con la descritta abilitazione automatica della ricezione di notifiche push e di inoltro via e-mail, non consente agli utenti la possibilità di scegliere gli enti e i servizi per i quali ricevere le predette notifiche e i messaggi in modalità opt-in, elemento che deve ritenersi necessario, nel caso di specie, anche in considerazione della mancata adozione di modalità semplificate per la disattivazione degli stessi da parte degli utenti, in contrasto, quindi, con i principi di proporzionalità e di privacy by design e by default;

CONSIDERATA, su tale base, la necessità di intervenire urgentemente su tali aspetti per tutelare i diritti e le libertà degli interessati, nelle more della conclusione degli accertamenti in corso, in ragione del fatto che, come sopra rappresentato, i trattamenti in esame coinvolgono milioni di interessati e sono riferibili a sempre più numerosi servizi offerti da pubbliche amministrazioni e gestori di pubblici servizi attraverso l’App IO, che riguardano anche dati particolarmente delicati (es. transazioni economiche e strumenti di pagamento) e sulla salute, tenuto conto che è stato recentemente prospettato anche l’utilizzo dell’App IO per la messa a disposizione degli utenti delle certificazioni verdi Covid-19;

RITENUTO, dunque, in via d’urgenza – essendo la notifica di cui all’art. 166, comma 5, del Codice incompatibile con la natura e le finalità del presente provvedimento – di dover adottare le seguenti misure:

1) imporre a PagoPA, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, la limitazione provvisoria – da rendere operativa senza ingiustificato ritardo, e comunque non oltre sette giorni dalla ricezione del presente provvedimento – dei trattamenti effettuati mediante l’App IO che prevedono l’interazione con:

a) i servizi di Google, consentendo esclusivamente i trattamenti necessari all’invio di notifiche push agli utenti dell’App IO che hanno esplicitamente e liberamente attivato tale funzionalità;

b) i servizi di Mixpanel, sospendendo l’archiviazione dei dati sui dispositivi degli utenti, l’accesso a tali dati e la raccolta degli stessi sui sistemi di Mixpanel, nonché interrompendo ogni altro ulteriore trattamento dei dati, già inviati a Mixpanel, effettuato per finalità diverse dalla mera conservazione degli stessi;

2) ingiungere a PagoPA, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di adottare, entro trenta giorni dalla ricezione del presente provvedimento, misure tecniche e organizzative necessarie a modificare le modalità di attivazione dei servizi disponibili all’interno dell’App IO e delle relative funzionalità di notifica push e di inoltro via e-mail dei messaggi, garantendo a tutti gli interessati la possibilità di una scelta libera, esplicita e specifica in relazione a ciascun servizio o ai servizi offerti da uno determinato ente (c.d. modalità opt-in), nonché quelle necessarie ad assicurare le medesime garanzie nei confronti di coloro che risultano già utenti dell’App in relazione ai servizi attivati automaticamente;

3) ingiungere a PagoPA, ai sensi dell’art. 157 del Codice, di fornire all’Autorità:

a) entro trenta giorni dalla ricezione del presente provvedimento, un riscontro adeguatamente documentato in merito alle misure che intende adottare al fine di rendere conformi alla disciplina in materia di protezione dei dati personali i trattamenti effettuati mediante l’App IO che prevedono le interazioni di cui al precedente punto 1), lett. a) e b);

b) entro quaranta giorni dalla ricezione del presente provvedimento, un riscontro adeguatamente documentato in merito alle iniziative intraprese al fine di dare attuazione a quanto ingiunto al precedente punto 2);

RISERVATA ogni altra determinazione, anche sanzionatoria, da adottarsi nei confronti dei soggetti a vario titolo coinvolti nei trattamenti di dati personali effettuati mediante la Piattaforma IO, sulla base di successivi approfondimenti e di interlocuzioni con la Società;

TENUTO CONTO che: l’inosservanza di un ordine di limitazione provvisoria del trattamento adottato dal Garante è soggetta alla sanzione penale di cui all’art. 170 del Codice e alla sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. e), del Regolamento; l’inosservanza di un ordine adottato dal Garante ai sensi dell’art. 58, par. 2, del Regolamento è soggetta alla sanzione amministrativa pecuniaria prevista dall’art. 83, par. 6, del Regolamento; il mancato riscontro a una richiesta di informazioni di cui all’art. 157 del Codice, è soggetto, ai sensi dell’art. 166, comma 2, del Codice, alla sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento;

RITENUTO che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 del Garante concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

TUTTO CIÒ PREMESSO, IL GARANTE

1) ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, impone a PagoPA S.p.A. (CF/P.IVA 15376371009) la limitazione provvisoria – da rendere operativa senza ingiustificato ritardo, e comunque non oltre sette giorni dalla ricezione del presente provvedimento – dei trattamenti effettuati mediante l’App IO che prevedono l’interazione con:

a) i servizi di Google LLC, consentendo esclusivamente i trattamenti necessari all’invio di notifiche push agli utenti dell’App IO che hanno esplicitamente e liberamente attivato tale funzionalità per taluni servizi;

b) i servizi di Mixpanel Inc., sospendendo l’archiviazione dei dati sui dispositivi degli utenti, l’accesso a tali dati e la raccolta degli stessi sui sistemi di Mixpanel, nonché interrompendo ogni altro ulteriore trattamento dei dati già inviati a Mixpanel effettuato, anche da parte di altri soggetti, per finalità diverse dalla mera conservazione degli stessi;

2) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge a PagoPA S.p.A. di adottare, entro trenta giorni dalla ricezione del presente provvedimento, misure tecniche e organizzative necessarie a modificare le modalità di attivazione dei servizi disponibili all’interno dell’App IO e delle relative funzionalità di notifica push e di inoltro via e-mail dei messaggi, garantendo a tutti gli interessati la possibilità di una scelta libera, esplicita e specifica in relazione a ciascun servizio o ai servizi offerti da uno determinato ente (c.d. modalità opt-in), nonché ad assicurare le medesime garanzie nei confronti di coloro per i quali, essendo già utenti dell’App IO, sono stati attivati automaticamente servizi non richiesti in modo libero, esplicito e specifico;

3) ai sensi dell’art. 157 del Codice, ingiungere a PagoPA S.p.A., di fornire all’Autorità:

a) entro trenta giorni dalla ricezione del presente provvedimento, un riscontro, adeguatamente documentato, in merito alle misure che intende adottare al fine di rendere conformi alla disciplina in materia di protezione dei dati personali i trattamenti effettuati mediante l’App IO che prevedono le interazioni di cui al precedente punto 1), lett. a) e b);

b) entro quaranta giorni dalla ricezione del presente provvedimento, un riscontro adeguatamente documentato in merito alle iniziative intraprese al fine di dare attuazione a quanto ingiunto al precedente punto 2);

4) dispone la trasmissione del presente provvedimento anche alla Presidenza del Consiglio dei Ministri, al Ministero dell’economia e delle finanze, al Ministero della salute, all’Agenzia delle entrate e all’AgID per le valutazioni di competenza;

5) dispone l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all’art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del decreto legislativo 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 9 giugno 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei