[doc. web n. 10234571]

Provvedimento del 26 febbraio 2026

Registro dei provvedimenti
n. 115 del 26 febbraio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, e il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il Prof. Pasquale Stanzione;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento, la sig.ra XX ha rappresentato che, a seguito di presentazione della domanda di partecipazione al “concorso pubblico, per titoli ed esami, per il reclutamento di complessive 38 unità, a tempo indeterminato, di personale dirigenziale di seconda fascia, in prova, nel ruolo dei dirigenti del Ministero dell’economia e delle finanze”, trasmessa compilando l’apposito modulo elettronico sul sistema «Step-One 2019», “raggiungibile sulla rete internet all’indirizzo https://ripam.cloud/ sul sito Formez PA”, formulava “istanza di esonero dall’eventuale prova preselettiva ai sensi dell’art. 20 della legge 104 del 1992, e, a tal fine, come previsto nel bando, trasmetteva all’indirizzo pec di Formez PA, responsabile del trattamento dei dati ex art. 28 del Regolamento UE 2016/679, la documentazione attestante il proprio stato di invalidità superiore all’80%”.

A seguito dell’espletamento delle prove preselettive della predetta procedura, il Ministero dell’economia e delle finanze (di seguito “Ministero”) provvedeva a pubblicare il link di rinvio al sito web istituzionale di Formez PA - Centro servizi, assistenza, studi e formazione per l’ammodernamento delle P.A. (di seguito “Formez PA”), che conteneva l’elenco degli ammessi alle prove scritte per superamento della prova preselettiva e non di coloro che, come la reclamante, erano esonerati per legge dallo svolgimento della stessa.

A fronte delle richieste di chiarimento da parte dell’interessata, Formez PA riscontrava con e-mail del XX precisando che “nel momento in cui sarà pubblicato il calendario delle prove scritte […] si farà riferimento anche ai candidati che accedono ai sensi di legge”, circostanza che ha indotto la reclamante a ipotizzare che “la pubblicazione in un momento successivo (quale quello della pubblicazione del calendario della prova scritta) del proprio nominativo quale "candidato esonerato ai sensi di legge" [avrebbe comportato] inevitabilmente la rivelazione del proprio stato di salute”.

A seguito delle verifiche effettuate dall’Ufficio, acquisite in atti, è stato accertato che attraverso l’accesso al predetto link, indicato dalla reclamante, era possibile aprire un collegamento al sito web di Formez PA, contenente in allegato due file.pdf denominati “ELENCO IDONEI PROFILO A” e “ELENCO IDONEI PROFILO B” contenenti il nome e cognome degli ammessi alla prova scritta della predetta procedura concorsuale (circa 180 candidati nell’elenco profilo A e circa 160 candidati nell’elenco profilo B).

2. L’attività istruttoria.

Nell’ambito dell’istruttoria, Formez PA, con nota del XX, ha dichiarato, in particolare, che:

- “ai sensi del D. lgs. 25 gennaio 2010, n. 6, “Formez PA – Centro Servizi, assistenza, studi e formazione per l’ammodernamento delle PA”, è un’associazione riconosciuta, con personalità giuridica di diritto privato, sottoposta al controllo, alla vigilanza, ai poteri ispettivi della Presidenza del Consiglio dei ministri – Dipartimento della funzione pubblica […]”;

- “in data XX, il Ministero dell’economia e delle finanze, (MEF) […] sigla con il Centro apposita convenzione […] al fine di disciplinare lo svolgimento delle prove concorsuali” di cui al predetto bando;

- “la normativa in materia di protezione dei dati personali è richiamata nel bando di concorso, all’art. 15, “Dati personali”, in cui è stabilito che “Il titolare del trattamento dei dati personali è il Ministero dell’economia e delle finanze – Dipartimento dell'amministrazione generale del personale e dei servizi, Direzione del personale. Formez PA agisce per conto del MEF in qualità di responsabile del trattamento ai sensi dell'art. 28 del regolamento UE 2016/679 per i trattamenti necessari allo svolgimento delle attività ad esso affidate per lo svolgimento della procedura concorsuale” nonché nella convenzione all’art. 10 “Trattamento dati personali” […] e nel relativo atto di nomina”;

- “la pubblicazione dell’esito della prova preselettiva […] è stata effettuata in adempimento all’art. 7 del bando, lex specialis, ai fini di valore di notifica a tutti gli effetti, come prescritto dall’art. 19 del D. lgs n. 33/2013 […]”;

- “più nello specifico, nel caso sollevato innanzi [all’] Autorità […] il nominativo della candidata de quo non risultando mai inserito in alcuna delle pubblicazioni non poteva essere identificata quale “candidato esonerato ai sensi di legge”;

- “i candidati, presentando la domanda ed eventualmente compilando il modulo per l’istanza di esonero dalla prova preselettiva, prestano il consenso al trattamento dei propri dati [invocando sul punto] il Consiglio di Stato, da ultimo con sentenza n. 587/2021”;

- “per quanto concerne la pubblicazione dell’esito delle prove scritte, l’Istituto ha dato seguito alle richieste pervenute dal Ministero dell’economia e delle finanze, Titolare del trattamento dei dati”;

- “i candidati hanno a disposizione un’area riservata […] in cui possono visualizzare l’esito delle proprie prove concorsuali con la relativa votazione; nonché [una pagina web in cui] attraverso proprie credenziali possono visualizzare e aggiornare i propri dati personali”;

- “in conclusione, Formez PA: 1. ha prontamente rimosso dall’area dedicata sul sito i due elenchi che, quindi, non risultano più accessibili; 2. sta provvedendo all’aggiornamento di tutte le misure tecniche ed organizzative ai fini della protezione dei dati personali anche attraverso la definizione di Linee guida specifiche per le procedure concorsuali, secondo le indicazioni del Garante, da condividere con le Amministrazioni committenti, titolari dei trattamenti, le commissioni d’esame e tutti i soggetti a vario titolo coinvolti nel complesso processo selettivo”.

Nell’ambito della medesima istruttoria, sono stati acquisiti specifici elementi anche dal Ministero, titolare del trattamento, nei cui confronti è stato avviato autonomo e separato procedimento per i profili riconducibili alla relativa responsabilità. In particolare il Ministero, con nota del XX, ha rappresentato di non aver mai “richiesto la pubblicazione specifica degli elenchi in discorso, per come posta in essere dal Formez PA, bensì la sola pubblicazione della notizia riguardante l’esito della prova preselettiva;[… inoltre], laddove ciò fosse avvenuto - e non è mai avvenuto - il Formez PA, in qualità di Responsabile del trattamento dei dati, avrebbe senz’altro dovuto evidenziare a questa Amministrazione le criticità insite in una pubblicazione del tipo di quella successivamente effettuata (anche questa circostanza non si è mai concretizzata, a conferma della esclusiva riferibilità al predetto ente - si ribadisce, titolare di specifiche competenze relative alla propria area di attività, nelle quali anche questo Ministero riponeva un legittimo affidamento - dell’intendimento di porre in essere la condotta contestata). In altri termini, il trattamento dei dati personali contestato non è stato determinato - per quanto attiene alla scrivente Amministrazione - dalla mancata conoscenza della disciplina in materia, né dalla volontà di arrecare alcun nocumento ai partecipanti alla procedura concorsuale, bensì a causa di un fraintendimento delle intenzioni di questo Ministero da parte del Formez PA, cui è seguita una (in)colpevole omissione dell’attività di controllo da parte del titolare del trattamento stesso”.

Con nota del XX, l’Autorità, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato a Formez PA, in qualità di responsabile del trattamento ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver pubblicato, sul proprio sito web istituzionale, per conto del Ministero, in un’area accessibile a chiunque, gli elenchi dei nominativi (nome e cognome) dei candidati ammessi alla prova scritta della procedura concorsuale oggetto del reclamo, in violazione dell’art. 28 par. 3 del Regolamento.

Con la medesima nota, Formez PA è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del XX, Formez PA ha presentato una memoria difensiva, dichiarando, in particolare, che:

- “a seguito dell’espletamento delle prove preselettive, svolte in data XX, Formez Pa ha […] garant[ito] la consultabilità del punteggio conseguito e della prova svolta, tramite accesso selettivo in area riservata ai soli candidati partecipanti”;

- “tale attività […] è stata previamente comunicata da Formez Pa al Ministero [… che] ha rilasciato il nulla osta […]”;

- in data XX, Formez Pa, sulla base di una interpretazione letterale dell’art. 7, comma 12, del bando di concorso, ha pubblicato, con valore di notifica a tutti gli effetti, l’elenco degli ammessi alle prove scritte sul sito istituzionale […];

- “a conferma di ciò, lo stesso Ministero […] ha provveduto a pubblicare sulla propria pagina istituzionale, nella sezione appositamente dedicata, il link di rinvio al sito http://riqualificazione.formez.it/ riportante la pubblicazione degli elenchi dei candidati ammessi alle prove scritte oggetto di contestazione nel presente procedimento”;

- “ad ogni buon conto, in relazione ai rapporti tra titolare e responsabile del trattamento, anche in virtù dell’art. 9 dell’atto di nomina di Formez Pa a responsabile del trattamento dei dati, ex art. 28 del Regolamento (UE) 2016/679, appare opportuno sottolineare che, a seguito della comunicazione da parte di Formez Pa in merito alla pubblicazione degli atti concorsuali e degli elenchi dei candidati, il Ministero […] si è limitato ad evidenziare dei refusi con riferimento ad uno degli elenchi da pubblicare […]”.

In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data XX, (cfr. verbale del XX, formalizzatosi con la relativa accettazione da parte del titolare del trattamento, pervenuta in data XX) Formez PA ha dichiarato, in particolare, che:

- “il bando ha efficacia erga omnes e, quello in questione, prevedeva che la pubblicazione dell’elenco dei candidati che avessero superato le prove preselettive scritte dovesse essere effettuata con funzione di notifica agli interessati (art. 32 della legge n. 69 del 2009, espressamente richiamato nel bando)”;

- “Formez ha quindi operato nel pieno rispetto delle istruzioni ricevute e in aderenza a quanto stabilito dal bando; nella copiosa corrispondenza con il committente, già fornita in atti, il titolare del trattamento stesso ha validato le operazioni effettuate, in relazione alla pubblicazione sul sito web dell’elenco dei candidati che avevano superato la prova preselettiva; né il titolare ha mai contestato le prestazioni rese da Formez e oggetto della convenzione, effettuando altresì i relativi pagamenti”;

- “Formez ha già avviato un processo di rivisitazione delle proprie procedure, anche alla luce delle indicazioni del Garante e in ragione delle novità normative legate all’implementazione del Portale unico del reclutamento (inPA)”.

3. Esito dell’attività istruttoria: la diffusione online di dati personali e il rapporto tra titolare e responsabile del trattamento.

Nel premettere che, alla luce delle evidenze in atti e stanti le dichiarazioni acquisite nel corso del procedimento, la reclamante - non essendo il relativo nominativo stato mai contenuto non solo nei predetti elenchi, ma anche in alcuno dei documenti successivamente pubblicati - non poteva essere identificata, neanche indirettamente, quale “candidato esonerato ai sensi di legge”, si deve rilevare che non risulta comprovata l’avvenuta pubblicazione dei dati personali relativi alla salute dell’interessata, avendo la stessa solo ipotizzato il predetto trattamento.

Come risulta, invece, dagli atti e dalle dichiarazioni rese dal responsabile e dal titolare del trattamento nel corso dell’istruttoria nonché dall’accertamento compiuto sulla base degli elementi acquisiti, nell’ambito della procedura concorsuale sopra richiamata Formez PA, operando in base a una specifica convenzione come responsabile del trattamento ai sensi dell’art. 28 del Regolamento nell’interesse e per conto del Ministero, titolare del trattamento, ha pubblicato online, con le modalità sopra descritte, i nominativi di oltre trecento candidati che, avendo superato la prova preselettiva, erano stati ammessi alla prova scritta del predetto concorso; ciò, peraltro, diversamente da quanto indicato nelle istruzioni contenute nel bando di concorso e nella convenzione che regolava i rapporti con il Ministero, titolare del trattamento, in violazione dell’art. 28 par.3 del Regolamento.

Al riguardo, la disciplina di protezione dei dati personali prevede che i soggetti pubblici, anche quando operino nello svolgimento di procedure concorsuali, selettive o comunque valutative, prodromiche all’instaurazione del rapporto di lavoro, possono trattare i dati personali degli interessati (art. 4, n. 1, del Regolamento) se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (si pensi a specifici obblighi previsti dalla normativa nazionale “per finalità di assunzione”, artt. 6, par. 1, lett. c), 9, parr. 2, lett. b) e 4; 88 del Regolamento) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. e) del Regolamento e art. 2-ter del Codice).

Tali trattamenti devono, comunque, trovare fondamento nel diritto dell’Unione o dello Stato membro che deve perseguire un obiettivo di interesse pubblico ed essere proporzionato al perseguimento dello stesso. La finalità del trattamento deve essere necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (cfr. art. 6, par. 3, del Regolamento e 2-ter del Codice).

Tanto premesso, nel far presente in via preliminare che i trattamenti materialmente effettuati da Formez PA in qualità di responsabile del trattamento ai sensi dell’art. 28 del Regolamento risultano in ogni caso complessivamente imputabili al Ministero, quale titolare del trattamento, posto che su quest’ultimo ricade una “responsabilità generale” per i trattamenti posti in essere (v. art. 5, par. 2, c.d. “accountability”, e 24 del Regolamento) anche quando questi siano effettuati da altri soggetti “per suo conto” (v. cons. 81, artt. 4, punto 8), e 28 del Regolamento; cfr. “Linee guida 07/2020 sui concetti di titolare e responsabile del trattamento nel GDPR”, adottate il 7 luglio 2021 dal Comitato europeo per la protezione dei dati personali, spec. parr. 76 e ss.), si rileva quanto segue.

In una cornice normativa caratterizzata da norme stratificatesi nel tempo, le disposizioni normative che stabiliscono, in generale, la pubblicità delle graduatorie di concorsi e prove selettive, svolgono la funzione di consentire agli interessati, partecipanti alle procedure concorsuali o selettive, l’attivazione delle forme di tutela dei propri diritti e di controllo della legittimità dell’azione amministrativa e dispongono, in primo luogo, che siano pubblicate le sole graduatorie definitive dei vincitori di concorso e non anche gli esiti delle prove intermedie o dei dati personali dei concorrenti non vincitori o non ammessi (cfr. art. 35 e ss d. lgs. 30 marzo 2001, n. 165 come da ultimo modificati dal d.l.14 marzo 2025, n. 25 convertito con modificazioni dalla l. 9 maggio 2025, n. 69; v. anche art. 7, d.P.R. 10 gennaio 1957, n. 3; nonché d.P.R. 9 maggio 1994, n. 487). Come noto, il Garante ha fornito, da sempre, specifiche indicazioni alle pubbliche amministrazioni in ordine alle cautele da adottare per la diffusione di dati personali in Internet per finalità di trasparenza e pubblicità dell’azione amministrativa nelle specifiche Linee guida (provv. n. 243 del 15 maggio 2014, doc. web n. 3134436, spec. parte I e II, par. 3.b; cfr anche le “Linee guida in materia di trattamento di dati personali, di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico”, provv. del 14 giugno 2007, n.161, doc web n.1417809) nonché in numerosi provvedimenti aventi ad oggetto i trattamenti di dati nell’ambito delle procedure concorsuali, in cui ha rilevato la diffusione illecita di dati personali dei candidati contenuti negli atti intermedi delle stesse (cfr., da ultimo, provv.  n. 235 dell’11 aprile 2024, doc. web n. 10019523; v. anche Newsletter del 6 giugno 2024, doc. web n. 10022928).

Anche le disposizioni in materia di trasparenza amministrativa prevedono specifici obblighi di pubblicazione nella sezione “Amministrazione Trasparente” del sito web istituzionale delle amministrazioni, in particolare, in base a quanto previsto dal d.lgs. 14 marzo 2013, n. 33, “Fermi restando gli altri obblighi di pubblicità legale, le pubbliche amministrazioni pubblicano i bandi di concorso per il reclutamento, a qualsiasi titolo, di personale presso l’amministrazione, nonché i criteri di valutazione della Commissione, le tracce delle prove e le graduatorie finali, aggiornate con l'eventuale scorrimento degli idonei non vincitori. Le pubbliche amministrazioni pubblicano e tengono costantemente aggiornati i dati di cui al comma 1” (art. 19, commi 1 e 2).

Tali disposizioni definiscono, sotto il profilo della protezione dei dati, l’ambito del trattamento consentito e ne costituiscono la base giuridica stabilendo limiti, condizioni e presupposti della pubblicazione online di dati personali nell’ambito delle procedure concorsuali.

Con riferimento a eventuali obblighi di pubblicità legale in merito agli atti in questione, contrariamente a quanto sostenuto da Formez PA, non sono state specificatamente indicate dalle parti, nel corso dell’istruttoria, ulteriori disposizioni normative in tal senso, non potendo, a tal fine, essere utilmente invocato il bando di concorso, quale lex specialis. In disparte dalle valutazioni sul piano generale in merito alla inidoneità di un bando di concorso a innovare o derogare al richiamato quadro normativo nazionale di settore applicabile (cfr. considerando 41 del Regolamento, nonché Corte Cost. sent. n. 271/2005; v. anche provv. n. 235 dell’11 aprile 2024, sopra richiamato e provv.ti n.125 del 13 aprile 2023 doc web 9907846, n. 287 del 6 luglio 2023 doc web 9920145, n.286 del 6 luglio 2023, doc web 9920116), si rileva peraltro che neppure l’articolo del bando di concorso, invocato espressamente da Formez PA (art. 7), disponeva la pubblicazione online degli elenchi degli ammessi alla prova scritta ma esclusivamente, come evidenziato dal Ministero, “la pubblicazione della notizia dell’avvenuta correzione delle prove preselettive, nonché della consultabilità dei risultati conseguiti dai candidati sul portale “Step-One 2019” (cfr. nota del Ministero del XX).

Si osserva, inoltre, che la specifica normativa in materia di pubblicità degli atti amministrativi invocata da Formez PA (v. art. 32, comma l, della L. n. 69 del 18 giugno 2009), si limita a prevedere che gli obblighi di pubblicazione di atti e provvedimenti amministrativi aventi effetto di pubblicità legale si intendono assolti con la pubblicazione nei propri siti informatici da parte delle amministrazioni e degli enti pubblici obbligati, ma nulla prevede riguardo alla diffusione dei dati personali dei partecipanti alla procedure concorsuali che abbiano superato le prove intermedie, tra cui, come nel caso di specie, la prova preselettiva – ipotesi peraltro non prevista, come sopra evidenziato, neanche dalla specifica normativa di settore che regola le forme di pubblicità delle graduatorie nell’ambito dei pubblici concorsi.

Anche il riferimento al consenso prestato dai candidati, pure richiamato da Formez PA, non appare pertinente rispetto al caso di specie, atteso che lo stesso non può, di regola, costituire un valido presupposto di liceità per il trattamento dei dati personali quando sussista “un evidente squilibrio tra l’interessato e il titolare” (cfr. considerando 43 del Regolamento), specie quando questo sia un soggetto che agisce nell’esecuzione di un “compito di interesse pubblico o connesso all’esercizio di pubblici poteri” (art. 6, par.1, lett. e) del Regolamento o nell’ambito di attività comunque riconducibili alla instaurazione e gestione di rapporti di lavoro (es. “per finalità di assunzione”, art. 88 del Regolamento). Per tali ragioni, il trattamento di dati nell’ambito delle attività riguardanti la gestione di procedure concorsuali trova la propria base giuridica nella specifica disciplina di settore che regola l’accesso agli impieghi nelle pubbliche amministrazioni e le modalità di svolgimento dei pubblici concorsi (cfr., in particolare, d.lgs. 30 marzo 2001, n. 165 e d.P.R. 9 maggio 1994, n. 487) e non nel consenso degli interessati.

Si evidenzia, altresì, che l’esigenza deflattiva rispetto alle eventuali istanze di accesso agli atti amministrativi, che avrebbero potuto essere presentate al titolare del trattamento, non può essere utilmente invocata per legittimare la diffusione online dei predetti dati personali. A fronte di specifiche istanze di accesso ai documenti amministrativi, spetta all’amministrazione valutare, caso per caso, la sussistenza di un interesse diretto, concreto ed attuale in capo al singolo richiedente, non prevedendo il quadro normativo di riferimento alcuna pubblicazione dei dati dei partecipanti alle procedure concorsuali, fatta eccezione per le graduatorie finali. Non risulta, pertanto, pertinente il richiamo alla giurisprudenza del Consiglio di Stato che fa riferimento esclusivamente a un eventuale legittimo riscontro fornito al partecipante a una procedura concorsuale, in relazione a una istanza di accesso ai documenti amministrativi, riscontro che, nell’ambito del procedimento di accesso documentale previsto dalla legge n. 241/1990, non dà luogo, comunque, ad una diffusione online di dati personali.

Si osserva, peraltro, a tale riguardo, che la diffusione online costituisce un trattamento particolarmente invasivo poiché consente a chiunque, per effetto dei comuni motori di ricerca esterni ai siti, di reperire indiscriminatamente e in tempo reale un insieme consistente di informazioni personali rese disponibili in rete, non sempre aggiornate e di natura differente. Una volta pubblicati, i dati rischiano di rimanere in rete per un tempo indefinito e possono essere utilizzati, anche incrociandoli con altre informazioni presenti sul web, da chiunque.

Da ultimo e in via generale in merito alla possibilità di rendere disponibile in un’area ad accesso riservato i nominativi dei candidati che hanno superato le prove intermedie, si rappresenta che il d.l.14 marzo 2025, n. 25 convertito con modificazioni dalla l. 9 maggio 2025, n. 69 ha stabilito, modificando l’art. 35-ter, comma 2, del d. lgs. 165/2001 che “[…] Il diario delle prove, il punteggio conseguito, l'eventuale convocazione alle prove e l'elenco dei candidati che hanno superato la prova, con i relativi punteggi, sono pubblicati e messi a disposizione dei partecipanti in un'area ad accesso riservato […]” assicurando, in tal modo, livelli differenziati di pubblicità e trasparenza tali da modulare la conoscibilità delle informazioni a seconda dello specifico interesse sotteso in modo da evitare sproporzionate interferenze nella vita privata degli interessati (artt. 7 e 8 della Carta di Nizza; cfr. anche considerando 156 del Regolamento e Linee guida del 15 maggio 2014, sopra richiamate) e mantenendo solo per la graduatoria finale l’obbligo di pubblicazione online secondo quanto disposto dall'articolo 19 del decreto legislativo 14 marzo 2013, n. 33 (v. art. 35 comma 5-quater, del d. lgs.165 del 2001). Tali principi sono stati evidenziati dal Garante in numerose occasioni (v., in particolare la Memoria del Presidente del Garante per la protezione dei dati personali sul disegno di legge di bilancio 2020 commissione 5°, Bilancio, del Senato della Repubblica, del 12 novembre 2019, doc. web n. 9184376, par. 4).

In linea di continuità con gli orientamenti dell’Autorità in tale ambito di trattamento e nella prospettiva di richiamare l’attenzione delle amministrazioni al rigoroso rispetto dei principi di protezione dei dati e della normativa di settore, anche alla luce del recente intervento del legislatore (v. il citato d.l.14 marzo 2025, n. 25, convertito in legge 9 maggio 2025, n. 69), si fa presente che sul sito web del Garante sono disponibili specifiche FAQ, condivise con il Dipartimento della Funzione Pubblica, volte a fornire indicazioni e chiarimenti finalizzati a prevenire iniziative e trattamenti di dati personali non conformi in tale specifico contesto, nell’ottica di un efficace bilanciamento tra la protezione dei dati e la trasparenza e la pubblicità delle procedure concorsuali (v. “FAQ in materia di trattamento di dati personali dei partecipanti alle procedure concorsuali per finalità di pubblicità e trasparenza alla luce delle recenti disposizioni normative”, doc. web n. 10187304).

Nel rilevare, pertanto, che, alla luce delle considerazioni che precedono, la pubblicazione dei predetti dati personali, riferiti ad oltre trecento partecipanti alla predetta procedura, risulta essere stata effettuata da marzo a XX in assenza di un’idonea base giuridica e in modo non conforme ai principi di “liceità, correttezza e trasparenza”, in violazione degli artt. 5, par.1, lett. a), e 6, par. 1, lett. c) ed e) del Regolamento e art. 2-ter del Codice, si fa presente quanto segue con riferimento al trattamento posto in essere da Formez PA nel caso di specie, in qualità di responsabile del trattamento ai sensi dell’art. 28 del Regolamento, nell’interesse e per conto del Ministero, titolare del trattamento. Restano, in tale quadro, impregiudicate le valutazioni in ordine alle specifiche responsabilità imputabili al Ministero medesimo nell’ambito della vicenda in esame, nei cui confronti è stato – come detto - avviato autonomo e separato procedimento.

In termini generali, sebbene sul titolare del trattamento, che determina le finalità e le modalità del trattamento dei dati, ricada una “responsabilità generale” per i trattamenti posti in essere (v. art. 5, par. 2, cd. “accountability”, e 24 del Regolamento), anche quando questi siano effettuati da altri soggetti “per suo conto” (cons. 81, artt. 4, punto 8), e 28 del Regolamento), il Regolamento ha disciplinato gli obblighi e le altre forme di cooperazione cui è tenuto il responsabile del trattamento e l’ambito delle relative responsabilità (v. artt. 28, 30, 32, 33, par. 2, 82 e 83 del Regolamento).

In particolare, il rapporto tra titolare e responsabile è regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare e del responsabile.

In tale quadro, il responsabile del trattamento è legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 3, lett. a), del Regolamento), dovendo peraltro mettere “a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi” e contribuire alle “attività di revisione comprese le ispezioni” realizzate dal titolare del trattamento (art. 28, par. 3, lett. h), del Regolamento). Al responsabile del trattamento è altresì richiesto di “informa[re] immediatamente il titolare del trattamento qualora, a suo parere, un'istruzione violi il presente regolamento o altre disposizioni, nazionali o dell'Unione, relative alla protezione dei dati” (art. 28, par. 3, ult. prop., del Regolamento; cfr. anche, al riguardo, Linee guida 07/2020 sui concetti di titolare del trattamento di responsabile del trattamento ai sensi del GDPR” del Comitato europeo per la protezione dei dati del 7 luglio 2021, spec. par. 146 e ss.).

Come chiarito dal Comitato europeo per la protezione dei dati, “il responsabile del trattamento può essere ritenuto responsabile o sanzionato [… anche] qualora agisca al di fuori o in contrasto con le istruzioni legittime del titolare del trattamento”, configurandosi in tal senso come un autonomo centro di imputazione di sanzioni amministrative ai sensi dell’art. 83 del Regolamento anche sul presupposto dell’inosservanza delle istruzioni documentate impartite dal titolare del trattamento (v. Linee Guida cit., par. 74).

Si rileva che la convenzione stipulata da Formez PA e il Ministero ai sensi dell’art. 28 del Regolamento, oltre a vincolare reciprocamente le due figure, conteneva le specifiche istruzioni documentate riguardo alle attività di supporto alla gestione della procedura concorsuale cui Formez PA, quale responsabile del trattamento dei dati personali, avrebbe dovuto conformarsi (art. 28, par. 3, lett. a), del Regolamento), prevedendo in particolare, anche con riferimento alla prova preselettiva, l’obbligo, in capo a Formez PA, della “predisposizione di un applicativo che [avrebbe consentito] ai candidati di verificare il proprio punteggio nonché la prova svolta” e la “pubblicazione degli atti concorsuali online accessibili mediante password personale” (v. Allegato A, lett. C, punto 7 della convenzione).

A tal riguardo, la pubblicazione dei predetti elenchi in “un’area dedicata” del sito web non può ritenersi sufficiente, atteso che, nel rispetto del quadro normativo in materia di protezione dei dati e della disciplina di settore, come risulta in atti, il responsabile del trattamento avrebbe dovuto garantire la consultabilità degli esiti tramite accesso selettivo in un’area riservata ai soli candidati della procedura, con proprie credenziali, non già invece tramite la pubblicazione in una diversa sezione del sito web, seppure “non di accesso immediato ma collocata a piè di pagina” e comunque accessibile a chiunque (cfr. art. 7 del bando di concorso e Allegato A, lett. C, punti 6 e 7 della convenzione).

Il predetto accordo stipulato ai sensi dell’art. 28 del Regolamento, come anche il bando di concorso, infatti, richiedevano che il trattamento avvenisse nell’osservanza dei principi di liceità e nel rispetto delle disposizioni di settore applicabili, che, come sopra rappresentato, ne costituiscono la base giuridica, con la conseguenza che anche Formez PA doveva ritenersi tenuto ad operare, pur sempre nell’interesse e per conto del titolare, nel pieno rispetto del predetto quadro e della disciplina di protezione dei dati (cfr. in particolare art. 15 del bando di concorso).

Ciò tenuto conto, in particolare, della circostanza che Formez PA, in ragione dei propri compiti istituzionali nonché alla luce della documentazione in atti, rappresenta un soggetto qualificato anche nel settore del reclutamento attraverso procedure selettive e concorsuali per conto delle pubbliche amministrazioni e che ciò ha ingenerato nel Ministero un ragionevole affidamento circa l’osservanza di elevati standard di diligenza nello svolgimento degli adempimenti connessi alla pubblicità e alla trasparenza della procedura concorsuale in questione, anche sotto il profilo della protezione dei dati (cfr. art. 2 del d. lgs. 25 gennaio 2010, n. 6, per cui tra le finalità per le quali è previsto il ricorso a Formez PA si annovera anche e in particolare, nel “settore reclutamento e formazione”, quella di “predisporre e organizzare, su richiesta delle amministrazioni, procedure concorsuali e di reclutamento nel pubblico impiego, secondo le direttive del Dipartimento della funzione pubblica, provvedendo agli adempimenti necessari per lo svolgimento delle procedure medesime”; v. anche art. 2, comma 3, per cui “nell’espletamento dei suddetti compiti, le attività affidate direttamente dalle amministrazioni centrali e associate a Formez PA sono considerate attività istituzionali”; v. anche art. 35 comma 5 del d.lgs. 30 marzo 2001 n.165).

Né può, pertanto, ritenersi sufficiente nel caso di specie, al fine di escludere la responsabilità di Formez PA riguardo alla pubblicazione online dei predetti dati personali, quanto rappresentato nel corso dell’audizione riguardo alla circostanza che il Ministero abbia “validato le operazioni effettuate, in relazione alla pubblicazione sul sito web dell’elenco dei candidati che avevano superato la prova preselettiva; né […che abbia] mai contestato le prestazioni rese da Formez […], effettuando altresì i relativi pagamenti”. In tale quadro, pertanto, impregiudicate le valutazioni in ordine al livello di accuratezza dell’attività di vigilanza da parte del titolare sull’operato del responsabile (cfr. nota del Ministero del XX), Formez PA, proprio in ragione della natura dei suoi compiti istituzionali e del conseguente livello qualificato di diligenza concretamente esigibile, non avrebbe dovuto intraprendere un’iniziativa non conforme al quadro normativo vigente (anche art. 1176, comma 2, c.c.).

Alla luce delle considerazioni che precedono, deve quindi concludersi che la diffusione, da parte di Formez PA, responsabile del trattamento, sul proprio sito web istituzionale, in un’area accessibile a chiunque, dei dati personali degli elenchi contenenti i dati personali (nome e cognome) di oltre trecento candidati ammessi alla prova scritta, a seguito del superamento della prova preselettiva, è stata effettuata in violazione dell’art. 28, par. 3, del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal responsabile del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento ai sensi del combinato disposto di cui agli artt. 11 e 14  del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento in relazione alla diffusione sul proprio sito web istituzionale dei dati personali di oltre trecento partecipanti alla procedura concorsuale nell’inosservanza delle istruzioni contenute nel bando di concorso e nella convenzione che regolava i rapporti con il Ministero, titolare del trattamento, in violazione dell’art. 28 par.3 del Regolamento.

Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta, trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, la violazione relativa all’art.28, par.3 del Regolamento, è soggetta alla sanzione prevista dall’art. 83, par. 4, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 10.000.000.

In ogni caso, considerando che la condotta ha esaurito i relativi effetti, atteso che Formez PA ha provveduto a rimuovere dal proprio sito web istituzionale i predetti elenchi contenenti i nominativi degli oltre trecento candidati ammessi alla prova scritta, così come richiesto dal Ministero appena ricevuta la comunicazione dell’avvio dell’istruttoria e che la piattaforma “Step-One 2019” è stata interamente dismessa, anche tenuto conto delle recenti modifiche legislative che hanno istituito, fra l’altro, il “Portale InPA”, non ricorrono i presupposti per l’adozione di misure correttive, di cui all'art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 4, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Si ritiene che, nel caso di specie, il livello di gravità di tale violazione commessa dal responsabile del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60), tenuto conto che:   

il trattamento in questione, che si è protratto da XX a XX2, ha riguardato la pubblicazione di dati personali di circa 300 partecipanti alla predetta procedura (art. 83, par. 2, lett. a), del Regolamento);

con specifico riguardo al profilo soggettivo della violazione, Formez PA, ha ritenuto, erroneamente, di essersi attenuto alle istruzioni impartite dal Ministero, contravvenendo invece a quanto stabilito nel bando di concorso e nella convenzione stipulata con il Ministero stesso (art. 83, par. 2, lett. b), del Regolamento);

la pubblicazione non ha riguardato dati personali appartenenti alle categorie particolari di cui all’art. 9 del Regolamento o dati relativi a condanne penali o reati avendo avuto ad oggetto esclusivamente il nome e cognome dei partecipanti ammessi alla prova scritta della procedura (cfr. art. 83, par. 2, lett. g), del Regolamento).

Ciò premesso, si devono considerare, le seguenti circostanze attenuanti:

- Formez PA, che ha adottato specifiche misure per attenuare il danno subito dagli interessati rimuovendo i predetti dati personali dal proprio sito web istituzionale, ha offerto una piena cooperazione con l’Autorità (art. 83, par. 2, lett. c) e f), del Regolamento);

- non risultano precedenti violazioni pertinenti commesse dal responsabile del trattamento, aventi la medesima natura di quelle accertate in relazione ai fatti di reclamo (cfr. art. 83, par. 2, lett. e), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 12.000,00 (dodicimila) per la violazione dell’art.28, par.3 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione del fatto che il trattamento in concreto effettuato da Formez PA in qualità di responsabile del trattamento - ente che, in ragione dei propri compiti istituzionali, deve ritenersi altamente qualificato in materia - ha riguardato la pubblicazione dei dati personali (nome e cognome) di circa trecento interessati che hanno sostenuto la prova preselettiva della predetta procedura concorsuale, in violazione di quanto indicato dal Ministero, titolare del trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 57, par. 1, lett. f) e 83, del Regolamento, rileva l’illiceità del trattamento effettuato da Formez PA nei termini di cui in motivazione, per la violazione dell’art. 28, par.3 del Regolamento.

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Formez PA - Centro Servizi, Assistenza, Studi e Formazione per L'Ammodernamento Delle P.A. in persona del legale rappresentante pro-tempore, con sede legale in Viale Marx 15 - 00137 Roma (RM), C.F. 80048080636, di pagare la somma di euro 12.000,00 (dodicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi a Formez PA di pagare la predetta somma di euro 12.000,00 (dodicimila) secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall'art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento - sempre secondo le modalità indicate in allegato- di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato;

DISPONE

a) ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

b) ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

c) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero. 

Roma, 26 febbraio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori