[doc. web n. 10223803]

Provvedimento del 29 gennaio 2026

Registro dei provvedimenti
n. 44 del 29 gennaio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento il sig. XX ha lamentato la pubblicazione di propri dati personali sul sito web della Federazione Nazionale degli Ordini delle Professioni Infermieristiche (di seguito “Federazione”) e indicizzati sui motori di ricerca, contenuti in atti riguardanti il “Concorso pubblico per esami per la copertura di n. 1 posto a tempo pieno e indeterminato di categoria “C” con profilo professionale di “Collaboratore addetto al processo di amministrazione” presso gli uffici della Federazione, per l’anno XX, a cui l’interessato aveva partecipato.

Il reclamante ha, inoltre, rappresentato che con nota del XX esercitava i diritti in materia di protezione dei dati personali, ai sensi degli artt. 15-22 del Regolamento, chiedendo la “cancellazione ovvero rimozione dei dati personali dal sito web dell’ente e dal motore di ricerca Google”. Con nota del XX la Federazione “riscontrava positivamente la ridetta istanza d’esercizio dei diritti in materia di protezione dei dati personali […] comunicando […di aver] provveduto alla rimozione dei link relativi alle predette informazioni”. Tuttavia i dati personali del reclamante, al momento della presentazione del reclamo, risultavano ancora indicizzati e rinvenibili in rete.

2. L’attività istruttoria.

In riscontro a una richiesta di informazioni di questa Autorità la Federazione, ha dichiarato, con nota del XX, in particolare che:

- “in merito […] alle ragioni per le quali gli atti contenenti dati personali dei partecipanti al concorso pubblico in argomento siano stati pubblicati sul sito web della FNOPI, preme evidenziare come – nel rispetto della normativa privacy – il trattamento si sia reso necessario per adempiere ad un precipuo obbligo di legge previsto dal Decreto Legislativo n. 33/2013 (si veda l’art. 19 del D. Lgs. 33/2013)”;

- “ricevuta, in data XX, la richiesta di rimozione dei dati da parte del segnalante, la FNOPI, al fine di contemperare le esigenze di tutela della privacy con gli adempimenti previsti dalla normativa in materia di trasparenza, ha provveduto all’eliminazione dal proprio sito istituzionale dei provvedimenti relativi al concorso in argomento contenti i dati personali dei concorrenti (sul punto si precisa che i dati dei candidati pubblicati sul sito istituzionale erano esclusivamente il nome ed il cognome; nessun altro dato sensibile è stato pubblicato)”;

- “solo a seguito della segnalazione da parte di questo Garante, l’amministrazione ha avuto modo di verificare, tuttavia, che i dati, pur non essendo più accessibili sul proprio sito istituzionale, erano ancora raggiungibili attraverso l’indicizzazione ai motori di ricerca”;

- “per ovviare a tale inconveniente tecnico, la Federazione ha segnalato prontamente la circostanza alla società fornitrice, la quale ha provveduto ad eliminare in maniera definitiva qualsiasi collegamento di indicizzazione ai predetti dati”;

- “gli atti relativi al concorso pubblico in oggetto sono stati pubblicati [sul proprio sito istituzionale] a partire dal XX (data pubblicazione del bando di concorso) e sono stati eliminati in data XX (data di eliminazione di tutti i provvedimenti relativi alla procedura di concorso contenenti dati personali)”.

Con nota del XX, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato alla Federazione, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento sul presupposto che il trattamento in questione fosse stato posto in essere in violazione degli artt. 5, par. 1, lett. a), 6, par.1, lett. c) ed e) e parr. 2 e 3, lett. b) del Regolamento, nonché dell’art. 2-ter del Codice.

Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del XX, la Federazione ha presentato una memoria difensiva, dichiarando, in particolare, che:

- per garantire […] la massima trasparenza nelle comunicazioni ai candidati inerenti alla procedura concorsuale […] la Federazione ha previsto, al successivo art. 6, co. 2 del bando che “Tutte le informazioni inerenti alla presente procedura concorsuale, pubblicate sul sito istituzionale, assolvono ad ogni obbligo di comunicazione dell’Amministrazione nei confronti dei candidati ed hanno valore di notifica a tutti gli effetti di legge”;

- “l’amministrazione ha operato con assoluta buona fede e nella piena convinzione di agire nel rispetto delle regole indicate nella lex specialis della procedura e di quelle imposte dalla normativa in materia di trasparenza amministrativa e di protezione dei dati personali”;

- “questa amministrazione ha provveduto alla eliminazione definitiva dei dati richiesti dal proprio sito istituzionale, eseguendo, in data XX, [tramite] la procedura di rimozione dettata dalla società fornitrice del servizio di hosting del sito istituzionale della Federazione. Tale procedura avrebbe dovuto portare alla eliminazione anche dell’indicizzazione dei dati presenti sui motori di ricerca”;

- “in data XX, il sig. XX ha inviato una nuova richiesta di rimozione dei dati già precedentemente segnalati evidenziando come questi ancora persistessero in quanto indicizzati ed attivi nel motore di ricerca Google. A seguito di tale ulteriore segnalazione, il DPO della FNOPI ha sollecitato telefonicamente il personale FNOPI per dare seguito alla richiesta dell’interessato; a tale sollecito sono seguite le richieste di aggiornamento tramite mail del DPO dell’XX e del XX”;

- “la Federazione, non riuscendo, tuttavia, a risolvere il problema con il proprio personale interno, ha provveduto, con mail del XX a richiedere l’intervento diretto della società manutentrice del proprio sito istituzionale […che ha riscontrato in data XX] che “tutti i pdf richiesti sono stati rimossi”.

In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data XX, la Federazione ha dichiarato, in particolare:

- “all’epoca dei fatti lamentati dal reclamante, la Federazione disponeva di un numero di dipendenti che non le consentiva di avere adeguate competenze tecniche e sufficienti risorse per assicurarsi della non definitività degli interventi assunti in una prima fase a fronte delle istanze del reclamante; in ogni caso, a seguito dei fatti oggetto di reclamo e già nelle more dell’istruttoria oggetto del presente procedimento, la Federazione ha assunto specifiche iniziative per migliorare l’approccio al rispetto della normativa in materia di protezione dei dati personali, rafforzando l’ufficio privacy nonché implementando specifiche linee guida interne e procedure in merito alla pubblicazione di atti e documenti contenenti dati personali per finalità di trasparenza amministrativa; inoltre, la Federazione, annualmente e in occasione di particolari novità normative, svolge attività formative e di sensibilizzazione per tutto il personale dipendente”.

3. Esito dell’attività istruttoria. La normativa applicabile.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, anche quando operino nello svolgimento di procedure concorsuali, selettive o comunque valutative, prodromiche all’instaurazione del rapporto di lavoro, possono trattare i dati personali degli interessati (art. 4, n. 1, del Regolamento) se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (si pensi a specifici obblighi previsti dalla normativa nazionale “per finalità di assunzione”, artt. 6, par. 1, lett. c), 9, parr. 2, lett. b) e 4, e 88 del Regolamento) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento e art. 2-ter del Codice).

Tali trattamenti devono, comunque, trovare fondamento nel diritto dell’Unione o dello Stato membro che deve perseguire un obiettivo di interesse pubblico ed essere proporzionato al perseguimento dello stesso. La finalità del trattamento deve essere necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (cfr. art. 6, par. 3, del Regolamento e 2-ter del Codice).

Il titolare del trattamento è tenuto a rispettare i principi di “liceità, correttezza e trasparenza”, “limitazione delle finalità”, “minimizzazione” nonché “integrità e riservatezza” dei dati e “responsabilizzazione” (art. 5 del Regolamento).

3.1. La diffusione online di dati personali.

Dagli elementi acquisiti e dei fatti emersi nell’ambito dell’attività istruttoria, risulta accertato che la Federazione ha pubblicato sul proprio sito web istituzionale nel corso del XX fino al XX gli atti riguardanti il “Concorso pubblico per esami per la copertura di n. 1 posto a tempo pieno e indeterminato di categoria “C” con profilo professionale di “Collaboratore addetto al processo di amministrazione”, tra cui l’elenco dei candidati ammessi, le date di convocazione alle prove scritte e successivamente anche l’elenco dei candidati ammessi e non ammessi alle prove orali, contenenti i dati personali del reclamante e degli altri partecipanti a detta procedura. Tale documentazione risultava, inoltre, indicizzata sui motori di ricerca generalisti. Sebbene la Federazione abbia dato riscontro nei termini di legge alle istanze di esercizio dei diritti effettuate in tempi diversi dal reclamante, impegnandosi a rimuovere i dati, tuttavia, a causa di un “inconveniente tecnico”, tali dati personali sono rimasti indicizzati sui motori di ricerca generalisti (Google).

Solo a seguito del ricevimento, in data XX, della richiesta di informazioni da parte dell’Autorità, la Federazione, avendo verificato che la predetta documentazione, pur non essendo più accessibile sul proprio sito istituzionale, era ancora raggiungibile tramite i motori di ricerca generalisti, ha provveduto, con la collaborazione del proprio fornitore, alla eliminazione definitiva della predetta documentazione anche dalla rete.

Ciò premesso, si osserva che, in una cornice normativa caratterizzata da norme stratificatesi nel tempo, le disposizioni normative che stabiliscono, in generale, la pubblicità delle graduatorie di concorsi e prove selettive, svolgono la funzione di consentire agli interessati, partecipanti alle procedure concorsuali o selettive, l’attivazione delle forme di tutela dei propri diritti e di controllo della legittimità dell’azione amministrativa e dispongono, in primo luogo, che siano pubblicate le sole graduatorie definitive dei vincitori di concorso e non anche l’elenco dei candidati ammessi, le date di convocazione alle prove scritte e l’elenco dei candidati ammessi e non ammessi alle prove orali (cfr. art. 35 e ss d. lgs. 30 marzo 2001, n. 165 come da ultimo modificati dal d.l.14 marzo 2025, n. 25 convertito con modificazioni dalla l. 9 maggio 2025, n. 69; v. anche art. 7, d.P.R. 10 gennaio 1957, n. 3; nonché d.P.R. 9 maggio 1994, n. 487). Come noto, il Garante ha fornito, da sempre, specifiche indicazioni alle pubbliche amministrazioni in ordine alle cautele da adottare per la diffusione di dati personali in Internet per finalità di trasparenza e pubblicità dell’azione amministrativa nelle specifiche “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” (provv. n. 243 del 15 maggio 2014, doc. web n. 3134436, spec. parte I e II, par. 3.b; cfr anche le “Linee guida in materia di trattamento di dati personali, di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico”, provv. del 14 giugno 2007, n.161, doc web n.1417809) nonché in numerosi provvedimenti aventi ad oggetto i trattamenti di dati nell’ambito delle procedure concorsuali, in cui ha rilevato la diffusione illecita di dati personali dei candidati contenuti negli atti intermedi delle stesse (cfr., da ultimo, provv. n. 235 dell’11 aprile 2024, doc. web n. 10019523; v. anche Newsletter del 6 giugno 2024, doc. web n. 10022928).

Anche i generali obblighi di trasparenza gravanti in capo ai soggetti pubblici o che svolgono compiti di interesse pubblico, prevedono la pubblicazione delle sole “graduatorie finali, aggiornate con l'eventuale scorrimento degli idonei non vincitori” (art. 19, comma 1, del d.lgs. 14 marzo 2013, n. 33).
Pertanto, le disposizioni in materia di trasparenza dell’azione amministrativa, invocate dalla Federazione, non consentono la pubblicazione di atti e documenti diversi dalle graduatorie finali, come, nel caso di specie, l’elenco dei candidati ammessi, le date di convocazione alle prove scritte e l’elenco dei candidati ammessi e non ammessi alle prove orali (v. le indicazioni fornite al riguardo dal Garante con le Linee guida citate).

Tali disposizioni definiscono, sotto il profilo della protezione dei dati, l’ambito del trattamento consentito e ne costituiscono la base giuridica stabilendo limiti, condizioni e presupposti della pubblicazione online di dati personali nell’ambito delle procedure concorsuali.

A tale riguardo si osserva, infatti, che la diffusione online costituisce un trattamento particolarmente invasivo poiché consente a chiunque, per effetto dei comuni motori di ricerca esterni ai siti, di reperire indiscriminatamente e in tempo reale un insieme consistente di informazioni personali rese disponibili in rete, non sempre aggiornate e di natura differente. Una volta pubblicati, i dati rischiano di rimanere in rete per un tempo indefinito, come nel caso di specie, e pertanto possono essere utilizzati, anche incrociandoli con altre informazioni presenti sul web, da chiunque.

Né può considerarsi pertinente il richiamo alle disposizioni contenute nel bando di concorso ritenendo la Federazione “di agire nel rispetto delle regole indicate nella lex specialis della procedura” in quanto, come in più occasioni ricordato dal Garante, tale atto non può contravvenire ovvero modificare le norme sovraordinate di riferimento, avendo un mero effetto integrativo dell’ordinamento. Il criterio gerarchico delle fonti del diritto sancisce, invero, la prevalenza della fonte di rango superiore rispetto a quella di livello inferiore, precludendo a quest’ultima di derogarvi o di porsi in contrasto con il contenuto della fonte sovraordinata; pertanto, non si rinviene nell’atto amministrativo generale l’attitudine ad apportare modifiche nell’ordinamento– quali sarebbero la pubblicazione non prevista dei dati personali dei candidati partecipanti alla procedura concorsuale – in relazione al trattamento dei dati personali, non potendo tale atto assorbire interamente la disciplina vigente, le cui caratteristiche essenziali devono essere e rimangono delineate dalle norme di rango ad esso sovraordinate (v. provv. n.135 del 13 marzo 2025, doc web n.10128005 e provv. n. 235 dell’11 aprile 2024, doc. web n. 10019523 citato).

Alla luce delle considerazioni che precedono, sebbene la Federazione abbia sempre tempestivamente dato riscontro alle diverse istanze del reclamante, attivandosi per ottenere la rimozione dal web dei dati personali in questione sin dalla presentazione della prima istanza da parte del reclamante, nonché successivamente per ottenerne la deindicizzazione dai motori di ricerca generalisti, si deve concludere che la pubblicazione online dell’elenco dei candidati ammessi, delle date di convocazione alle prove scritte e successivamente anche dell’elenco dei candidati ammessi e non ammessi alle prove orali, riferiti al reclamante e agli altri partecipanti alla predetta procedura, avvenuta sul sito web istituzionale fino al XX, nonché l’indicizzazione sui motori di ricerca generalisti rimasta, per “un inconveniente tecnico”, fino al XX, ha dato luogo a una diffusione di dati personali in assenza di un idoneo presupposto di liceità, in violazione degli artt. 5 par. 1, lett. a), 6, par.1, lett. c) ed e) e parr.2 e 3 lett. b) del Regolamento, nonché dell’art. 2-ter del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla Federazione per aver diffuso i dati personali del reclamante e degli altri interessati contenuti nella predetta documentazione, in violazione degli artt. 5, par. 1, lett. a), 6, par.1, lett. c) ed e) e parr.2 e 3 lett. b) del Regolamento, nonché 2-ter del Codice.

Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni sono tutte soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

In ogni caso, considerando che la condotta ha esaurito i relativi effetti - atteso che la Federazione, ha provveduto a rimuovere, sin dal XX, dal proprio sito web istituzionale i predetti dati personali e ad ottenere la deindicizzazione degli stessi dall’XX - non ricorrono i presupposti per l’adozione di misure correttive, di cui all'art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto che:

il trattamento in questione si è protratto dal XX fino alla completa deindicizzazione dei dati personali, avvenuta in data XX e ha riguardato i dati personali (nome e cognome) di soli dieci partecipanti alla predetta procedura (art. 83, par. 2, lett. a), del Regolamento);

la pubblicazione è avvenuta in buona fede nella erronea convinzione di agire conformemente alla disciplina di settore applicabile (art. 83, par. 2, lett. b), del Regolamento);

la diffusione non ha riguardato informazioni idonee a rivelare dati sullo stato di salute o altre condizioni soggettive particolarmente delicate relative agli interessati (cfr. art. 83, par. 2, lett. g), del Regolamento),

si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso si ritiene, che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze attenuanti:

la Federazione ha adottato specifiche misure nel corso dell’istruttoria e, a seguito di quanto occorso, ha dichiarato di aver assunto iniziative, anche sul piano organizzativo, finalizzate a conformarsi alla normativa applicabile e alle indicazioni del Garante (art. 83, par. 2, lett. c) del Regolamento);

la Federazione ha offerto piena collaborazione con l’Autorità nel corso dell’istruttoria (art. 83, par. 2, lett. f), del Regolamento);

non risultano precedenti violazioni pertinenti commesse dal titolare in materia di trattamenti di dati personali per finalità di pubblicità e trasparenza delle graduatorie (art. 83, par. 2, lett. e), del Regolamento);

la Federazione ha bandito la predetta procedura concorsuale nel marzo del XX e, pertanto, in un periodo caratterizzato da numerose difficoltà sul piano organizzativo, anche in ragione delle proprie prerogative e dei propri compiti connessi alle problematiche del periodo emergenziale caratterizzato dalla diffusione del virus SARS CoV 2 (art. 83, par. 2, lett. k), del Regolamento);

la Federazione ha inoltre riscontrato alcune difficoltà ai fini della rimozione dei dati personali dal web anche in ragione del fatto che, nel periodo e nel contesto di riferimento, disponeva di un numero di dipendenti non adeguato (art. 83, par. 2, lett. k), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 2.000/00 (duemila/00) per la violazione degli artt. 5, par. 1, lett. a) e 6, par.1, lett. c) ed e) e parr.2 e 3, lett. b) del Regolamento, nonché 2-ter del Codice e, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione del fatto che il trattamento ha riguardato la diffusione, nonché la conseguente indicizzazione di dati personali dei partecipanti a una procedura concorsuale.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dall’Istituto per violazione degli artt. 5, par. 1, lett. a), 6, par.1, lett. c) ed e) e parr.2 e 3, lett. b) del Regolamento, nonché 2-ter del Codice, nei termini di cui in motivazione;

ORDINA

alla Federazione Nazionale Ordini Professioni Infermieristiche (FNOPI), in persona del legale rappresentante pro-tempore, con sede legale Via Agostino Depretis 70 – 00184 Roma (RM)), C.F. 80186470581, di pagare la somma di euro 2.000/00 (duemila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Federazione, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 2.000/00 (duemila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 gennaio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori