[doc. web n. 10259336]

Provvedimento del 14 maggio 2026

Registro dei provvedimenti
n. 343 del 14 maggio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”); 

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento, il Sig. XX ha rappresentato di aver rivolto all’Università degli Studi di Genova (di seguito, l’“Ateneo”), in base gli artt. 22 e ss. della l. n. 241/1990, un’istanza di accesso a documentazione amministrativa relativa alla prova orale di un concorso per ricercatore universitario a tempo determinato, di aver ricevuto un provvedimento di diniego e di aver presentato un ricorso avverso lo stesso dinnanzi alla Commissione per l'accesso ai documenti amministrativi istituita presso la Presidenza del Consiglio dei Ministri (di seguito, “CADA”). In tale contesto, l’interessato ha lamentato che, nell’ambito del procedimento avviato dalla CADA, l’Ateneo avrebbe prodotto in atti una memoria difensiva, contenente propri dati personali relativi a condanne penali e reati, del tutto inconferenti rispetto all’oggetto del ricorso. 

2. L’attività istruttoria.

In riscontro a una richiesta d’informazioni dell’Autorità (v. nota prot. n. 0105384 del 28 luglio 2025), formulata ai sensi dell’art. 157 del Codice, l’Ateneo, con nota del 17 settembre 2025 (prot. n. 2025-USGEUNI-0097548), ha dichiarato, in particolare, che:

- “[la] comunicazione [dei predetti dati] aveva il mero scopo di offrire una rappresentazione generale del contesto, […] richiamando l’attenzione sul fatto che il [reclamante] già in passato era stato coinvolto in procedimenti penali, per evidenziare la natura dei reati per quali lo stesso aveva subito le condanne […], e ciò anche al fine di avvalorare le deduzioni riportate nella memoria difensiva […]”;

- “si voleva [… quindi] mettere in risalto la non attendibilità della persona in questione, al mero scopo di tutelare l’immagine dell’Ateneo e del personale che in esso opera […]”;

- “l’Ateneo ha ritenuto di poter operare nel senso sopra descritto in considerazione di quanto previsto dall’art. 2-octies, comma 2, lett. e) e f) del [Codice], il quale legittima il trattamento dei dati, tra l’altro, quando ciò sia necessario per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria […];

- “sebbene infatti la [CADA] non si configuri come un’autorità giurisdizionale, essa svolge funzioni giustiziali, sostanzialmente alternative al ricorso al TAR […]”;

- “[…] in ogni caso [l’Ateneo] non ha trasmesso alla […] Commissione il certificato del casellario giudiziale […] ma esclusivamente le dichiarazioni sostitutive rese dal [reclamante] nell’ambito della domanda di concorso”.

Con nota del 9 gennaio 2026 (prot. n. 0002282), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Ateneo, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver lo stesso posto in essere una comunicazione a un soggetto terzo di dati personali relativi a condanne penale e reati in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. c) ed e), e parr. 2 e 3, e 10 del Regolamento, nonché 2-ter e 2-octies del Codice. Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del 15 gennaio 2026 (prot. n. 0003526), l’Ateneo ha presentato una memoria difensiva, dichiarando, in particolare, che:

- esso ha agito secondo “buona fede […] al fine di difendere l’operato in merito al procedimento di accesso”;

- “la non conforme comunicazione, con oggetto una sola tipologia di dati, [ha riguardato un] unico interessato”;

- “saranno ottimizzate le procedure interne per ulteriormente garantire che casi come questo non si ripresentino in futuro”.

3. Esito dell’attività istruttoria.

I soggetti pubblici possono, di regola, trattare dati personali se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento).

La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di “comunicazione” di dati personali a soggetti terzi (v. art. 2-ter, comma 4, lett. a), del Codice), da parte di soggetti pubblici, è ammessa solo al ricorrere delle condizioni previste dall’art. 2-ter, commi 1, 1-bis e 3, del Codice.

Con specifico riguardo al trattamento dei dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza, si evidenzia che esso può avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati (v. artt. 10 del Regolamento e 2-octies del Codice, il cui comma 5 specifica che “quando il trattamento dei dati di cui al presente articolo avviene sotto il controllo dell'autorità pubblica si applicano le disposizioni previste dall'articolo 2-sexies”).

Ciò premesso, nel caso di specie risulta accertato che, nel presentare la propria memoria difensiva in relazione a un ricorso presentato dall’interessato alla CADA avverso un provvedimento in materia di accesso documentale, l’Ateneo ha trasmesso alla CADA dati personali del reclamante relativi a condanne penali e reati. 

Al riguardo deve preliminarmente osservarsi che, di regola, con riferimento ai procedimenti di competenza della CADA, non spetta al Garante sindacare la rilevanza di atti e documenti che l’Amministrazione parte del procedimento ritenga di depositare nell’ambito dello stesso al fine di difendere proprie determinazioni in merito alle istanze d’accesso pervenutele e tutelare la propria posizione nel procedimento dinnanzi alla CADA. Infatti, posto che la disciplina in materia di protezione dei dati personali ammette il trattamento di dati personali, anche se appartenenti a categorie particolari o a condanne penali e reati, allorquando esso sia necessario per accertare o difendere un diritto in sede giudiziale, amministrativa o stragiudiziale (v. cons. n. 51 e artt. 10 del Regolamento e 2-octies, par. 3, lett. e), del Codice), la valutazione in merito alla necessità del trattamento per tale finalità spetta di regola all’organo adito. Ciò al fine di assicurare effettività al diritto alla difesa, costituzionalmente garantito (art. 24 Cost.), anche in un procedimento, come quello davanti alla CADA, che costituisce uno strumento alternativo alla tutela giurisdizionale.

Tuttavia, nel caso oggetto di reclamo, l’Ateneo, pur avendo invocato il richiamato art. 2-octies, par. 3, lett. e), del Codice, ha espressamente dichiarato che la comunicazione dei dati dell’interessato relativi a condanne penali e reati era volta a “mettere in risalto la non attendibilità della persona in questione”. Pertanto, la comunicazione di tali dati non poteva considerarsi strettamente funzionale alla trattazione della questione oggetto di ricorso alla CADA e alla giustificazione delle determinazioni assunte dall’Ateneo con riguardo all’istanza di accesso documentale presentata dall’interessato, bensì era volta a prospettare alla CADA la ritenuta “non attendibilità” del ricorrente, alla luce di talune pregresse e vicende di rilevanza penale che avevano riguardato lo stesso ma del tutto inconferenti rispetto all’oggetto del ricorso presentata alla CADA e all’ambito di cognizione della stessa.

Conseguentemente, poiché le informazioni relative a tali pregresse vicende non avevano diretta attinenza rispetto ai fatti oggetto del procedimento dinnanzi alla CADA e non erano idonee a far venir meno la legittimazione ad agire in capo al ricorrente, la comunicazione alla CADA di dette informazioni deve ritenersi esorbitante rispetto all’esigenza di difendere o esercitare i diritti dell’Ateneo nel procedimento in questione, non potendosi quindi, in concreto, ritenersi integrato il requisito della necessità del trattamento ai fini dell’esercizio del diritto di difesa.

Né il trattamento poteva considerarsi necessario, come affermato dall’Ateneo, per “tutelare la propria immagine ed onorabilità”, non avendo la CADA alcuna competenza al riguardo e prevedendo l’ordinamento specifici rimedi giuridici per tutelare i soggetti offesi dalla condotta altrui. 

Alla luce delle considerazioni che precedono, deve concludersi che l’Ateneo ha posto in essere una comunicazione di dati personali del reclamante relativi a condanne penale e reati in maniera non conforme al principio di “liceità, corretta e trasparenza” e in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. c) ed e), e parr. 2 e 3, e 10 del Regolamento, nonché 2-ter e 2-octies del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva la violazione, da parte dell’Ateneo, degli artt. 5, par. 1, lett. a), 6, par. 1, lett. c) ed e), e parr. 2 e 3, e 10 del Regolamento, nonché 2-ter e 2-octies del Codice. 

Ciò premesso, considerato che il titolare del trattamento è un Ateneo che conta circa 32.000 iscritti, nonché, tenuto conto che:

- la violazione, cha ha carattere episodico, ha riguardato i dati personali di un solo interessato (cfr. art. 83, par. 2, lett. a), del Regolamento);

- la violazione ha carattere colposo (cfr. art. 83, par. 2, lett. b), del Regolamento);

- ancorché la violazione abbia avuto ad oggetto dati particolarmente delicati, quali quelli relativi a condanne penali e reati, tali dati sono stati comunicati a un solo soggetto, avente natura pubblica e tenuto ad obblighi di confidenzialità nello svolgimento dei procedimenti di propria competenza (cfr. art. 83, par. 2, lett. g), del Regolamento); 

- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento);

- l’Ateneo ha offerto un buon livello di cooperazione con l’Autorità nel corso dell’istruttoria, offrendo anche rassicurazioni sulle misure che esso intende adottare per evitare il ripetersi di simili eventi in futuro (art. 83, par. 2, lett. f), del Regolamento); 

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi dell’art. 83, par. 2, e del cons. 148 del Regolamento, nonché delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.

Alla luce di tutto quanto sopra rappresentato, e dei termini complessivi della vicenda in esame, si ritiene sufficiente ammonire l’Ateneo per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti - non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

a) dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento dei dati personali effettuato dall’Università degli Studi di Genova, in persona del legale rappresentante pro-tempore, con sede legale in Via Balbi, 5 - 16126 Genova (GE), C.F. 00754150100, per violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. c) ed e), e parr. 2 e 3, e 10 del Regolamento, nonché 2-ter e 2-octies del Codice, nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce l’Università degli Studi di Genova, per aver violato gli artt. 5, par. 1, lett. a), 6, par. 1, lett. c) ed e), e parr. 2 e 3, e 10 del Regolamento, nonché 2-ter e 2-octies del Codice, come sopra descritto;

c) dispone, ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

d) dispone, ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero. 

Roma, 14 maggio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Montuori