[doc. web n. 10234213]

Provvedimento del 26 febbraio 2026

Registro dei provvedimenti
n. 117 del 26 febbraio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, e il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Introduzione.

Con reclamo del XX come successivamente integrato l’XX, e con reclamo del XX, presentati nei confronti del Ministero delle Imprese e del Made in Italy (di seguito, anche “Ministero” o “MIMIT”), il Sig. XX e il Sig. XX, nel rappresentare di aver partecipato al “Concorso pubblico, per titoli ed esami, per la copertura di complessivi duecentoventicinque posti di personale non dirigenziale di area terza, a tempo pieno ed indeterminato, da inquadrare nei ruoli del Ministero dello sviluppo economico” per il profilo di funzionario statistico (cfr. bando pubblicato in G.U. – 4a Serie speciale «Concorsi ed esami» del 31 dicembre 2021, n. 104), indetto dal MIMIT, e di essere poi risultati idonei all’esito di tale procedura concorsuale, hanno lamentato una presunta violazione della normativa in materia di protezione dei dati personali con riferimento alla pubblicazione online, nell’ambito del sito web di Formez PA - Centro servizi, assistenza, studi e formazione per l’ammodernamento delle P.A. (di seguito “Formez PA”), della relativa graduatoria, contenente dati personali asseritamente eccedenti, tra cui in particolare il codice fiscale dei partecipanti.

2. L’attività istruttoria.

A fronte dei predetti reclami, l’Ufficio, avviando specifici accertamenti istruttori, ha verificato che la predetta graduatoria risultava ancora effettivamente raggiungibile selezionando uno tra i collegamenti web indicati dal reclamanti nonché che la stessa recava, in particolare, non solo i dati dei partecipanti risultati vincitori ma anche quelli dei partecipanti risultati idonei, e includeva, oltre all’indicazione del posizionamento, del nome, del cognome e del codice fiscale del vincitore o dell’idoneo nonché del punteggio totale dallo stesso conseguito, anche il dettaglio del punteggio conseguito nella prova scritta e nella valutazione dei titoli nonché il riferimento alla eventuale sussistenza di cause di “preferenza/precedenza”. In seguito a ulteriori approfondimenti, è stato accertato che tale graduatoria - originariamente pubblicata sul sito web istituzionale di Formez PA per conto e nell’interesse del MIMIT e successivamente rimossa, anche a fronte di una specifica richiesta di cancellazione ai sensi dell’art. 17 del Regolamento rivolta dal reclamante al MIMIT - era stata resa disponibile da parte di enti terzi anche su un diverso sito web, del tutto estraneo tanto a Formez PA quanto al MIMIT.

Nell’ambito degli accertamenti istruttori di cui sopra, l’Ufficio ha, altresì, verificato che risultava pubblicata online sul sito web di Formez PA un’altra versione della predetta graduatoria, la quale, pur non recando più l’evidenza del codice fiscale dei partecipanti al concorso, in ottemperanza alla predetta richiesta di cancellazione formulata dal reclamante, tuttavia conteneva ancora tutti gli altri elementi sopra elencati tra i quali, in particolare, l’informazione relativa alla sussistenza o meno di cause di “preferenza/precedenza” in corrispondenza del nominativo di ciascun partecipante.

In tale contesto, con nota del XX, Formez PA ha dichiarato, in particolare, quanto segue:

- “il Ministero dello Sviluppo economico ha investito Formez PA del ruolo di Responsabile esterno del trattamento dei dati personali con atto di nomina del XX”;

- “l’Istituto si è attivato per richiedere al citato ente [… terzo] la rimozione dal proprio database, con effetto immediato, del citato link alla graduatoria in questione e di ogni altro link riferibile a documenti concorsuali pubblicati sul sito internet http://riqualificazione.formez.it”;

- “Formez PA ha prontamente rimosso dal proprio sito internet anche l’altra versione, senza i codici fiscali, della predetta graduatoria”;

- “la pubblicazione della graduatoria finale del concorso con l’indicazione anche del punteggio conseguito nella prova scritta e nella valutazione dei titoli, anziché del solo punteggio totale conseguito dai candidati, non appare in contrasto con quanto previsto […dall’] art. 19 del d.lgs. 33/2013 […e] appare pertinente e in nessun modo eccedente rispetto alle finalità di trasparenza perseguite dal citato dettato normativo”;

- “per quanto concerne poi la pubblicazione della graduatoria finale con l’indicazione dell’applicazione dei soli titoli di preferenza/precedenza attraverso la generica apposizione del “SI”, si rileva che la stessa non è idonea a rivelare informazioni di carattere personale, tanto meno dei dati concernenti lo stato di salute, dal momento che non si palesa in alcun modo l’effettivo titolo posseduto dal candidato (diverso sarebbe stato per i requisiti atti a garantire una riserva di posti). L’art. 5, comma 4, del DPR n.487/1994, contempla attualmente ben n.14 differenti categorie di titoli, estremamente eterogenee, da applicare a parità di merito; a questi si aggiungano gli ulteriori titoli di preferenza a parità di merito previsti dal bando, “avere svolto, con esito positivo, l'ulteriore periodo di perfezionamento presso l'ufficio per il processo, … avere completato, con esito positivo, il tirocinio formativo presso gli uffici giudiziari”. L’indicazione in questione costituisce, quindi, solo una utilità valutabile in termini di trasparenza, quale giustificazione del miglior posizionamento di un candidato rispetto ad altri con punteggio ex aequo, apparendo assolutamente pertinente e proporzionale rispetto alle finalità di trasparenza sottese alla normativa di riferimento”;

- “in ogni caso, in considerazione del […] processo di miglioramento continuo [che Formez PA ha sta portando avanti], si evidenzia che tutte le pubblicazioni poste in atto a decorrere dal 2023 contengono “nome, cognome e punteggio finale””.

Successivamente, con nota del XX, Formez PA ha fatto pervenire ulteriori elementi, tra i quali copia della convenzione stipulata con il MIMIT in data XX – che prevedeva in via generica, tra le altre cose, in capo a Formez PA, la “pubblicazione online di tutti gli atti concorsuali” - e del contratto stipulato ai sensi dell’art. 28 del Regolamento con il Ministero -  che prevedeva, in particolare, quali istruzioni documentate ai sensi dell’art. 28, par. 3, del Regolamento, le seguenti:

- “i dati devono essere trattati in modo lecito e secondo correttezza, per scopi determinati, espliciti e legittimi […]”;

- “l’utilizzazione di Dati Personali e di dati identificativi dovrà essere ridotta al minimo, in modo da escludere il Trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi, ovvero adottando modalità che permettano di identificare gli Interessati solo in caso di necessità”;

- i dati personali trattati “dovranno essere pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti e successivamente trattati” (art. 5).

Al riguardo, Formez PA ha inoltre dichiarato, in particolare, che:

- “con riferimento […] alle istruzioni ricevute da Formez PA, in qualità di Responsabile esterno al trattamento dei dati, in merito alla pubblicazione della graduatoria finale di merito per il profilo di funzionario statistico (codice STAT), […] Formez PA non ha mai agito in contrasto con le indicazioni del Titolare del trattamento”;

- “soltanto il XX [… XX] il Titolare ha richiesto la modifica delle pubblicazioni delle graduatorie finali di merito così come precedentemente pubblicate al solo fine di uniformarle a quanto indicato dal Garante nella richiesta di informazioni del XX. Le tempistiche e la circostanza che il Titolare del trattamento fosse a conoscenza delle pubblicazioni effettuate […] denota che l’Istituto si è attenuto al rispetto delle istruzioni fornite dal Ministero delle Imprese e del Made in Italy”.

Con nota del XX, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato, ai sensi dell’art. 166, comma 5, del Codice, a Formez PA, in qualità di responsabile del trattamento, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver effettuato il trattamento in questione in violazione dell’art. 28, par. 3, del Regolamento.

Con la medesima nota, Formez PA è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del XX, Formez PA, che non ha richiesto di essere audito, ha presentato una memoria difensiva, dichiarando, in particolare, che:

“la situazione che si è venuta a creare ha una connotazione eventualmente colposa, in quanto Formez PA, basandosi sulle istruzioni del Titolare del trattamento, ha presunto (errando) che quest’ultimo avesse già sviscerato l’argomento e quanto ad esso correlato, anche in termini di protezione dei dati”;

“Formez PA sta predisponendo un documento standard da condividere con i prossimi committenti, in cui verrà comunicato (a prescindere dalle conoscenze degli interlocutori) che Formez si atterrà a quanto previsto negli schemi standard di pubblicazione predisposti da ANAC, con riferimento all’art.19 del d.lgs. n.33/2013. Si prevede di inserire tale specifico richiamo nel testo delle convenzioni che Formez sottoscriverà con ciascun committente fermo restando quanto previsto dall’art 7 del DM INPA e la posizione in house del Centro”;

“per quanto concerne le categorie di dati interessati dalla violazione, si può asserire che si riducano al codice fiscale del soggetto (dato identificativo), voti delle prove intermedie (dato personale) dei vincitori ed idonei, nonché eventuale riferimento anche indiretto alle preferenze, precedenze (solo “eventualmente” riconducibili all’Art. 9, dati particolari)”;

“con riferimento al segmento temporale in cui vi è stata la pubblicazione della graduatoria finale di merito contenente i dati identificativi dei codici fiscali dei candidati vincitori ed idonei, si sottolinea che lo stesso è ricompreso dal XX al XX, date di pubblicazione del documento e di rimozione dello stesso”.

Nell’ambito della medesima istruttoria, sono stati acquisiti specifici elementi anche dal MIMIT, titolare del trattamento, nei cui confronti è stato avviato autonomo e separato procedimento per i profili riconducibili alla responsabilità del medesimo. Restano, altresì, impregiudicate le valutazioni e le iniziative, anche sul piano istruttorio, che l’Autorità si riserva di assumere nei confronti dell’ente terzo che nel caso di specie ha reso disponibile sul proprio sito web evidenza della prima versione della predetta graduatoria, quale iniziativa in alcun modo riconducibile alla volontà del Ministero e di Formaz PA, posta in essere al di fuori di qualsivoglia tipo di relazione tra questi ultimi e l’ente stesso.

3. Esito dell’attività istruttoria: la diffusione online di dati personali e il rapporto tra titolare e responsabile del trattamento.

All’esito dell’attività istruttoria è stato accertato che, in data XX, nell’ambito della procedura concorsuale sopra richiamata, Formez PA, operando in base ad una specifica convenzione come responsabile del trattamento ai sensi dell’art. 28 del Regolamento nell’interesse e per conto del MIMIT, titolare del trattamento, ha pubblicato, sul proprio sito web istituzionale, una graduatoria finale recante sia i dati dei vincitori sia quelli dei partecipanti risultati idonei, e contenente, oltre all’indicazione del posizionamento, del nome e del cognome dei predetti interessati, anche il rispettivo codice fiscale, l’indicazione del punteggio totale, dei punteggi conseguiti nella prova scritta e nella valutazione dei titoli nonché il riferimento alla eventuale sussistenza di cause di preferenza o precedenza.

Risulta altresì che, anche a fronte della richiesta di cancellazione del codice fiscale rivolta dal reclamante al Ministero ai sensi degli artt. 15-22 del Regolamento, Formez PA, su indicazione del Ministero, ha rimosso in data XX la predetta graduatoria, provvedendo contestualmente a pubblicarne una seconda versione priva dei riferimenti ai codici fiscali degli idonei e dei vincitori. Tale seconda versione della graduatoria è stata successivamente rimossa da Formez PA, su indicazione del Ministero, il XX, a fronte dell’avvio da parte dell’Autorità dell’istruttoria preliminare e, in particolare, a seguito dell’invio di una richiesta di informazioni ai sensi dell’art. 157 del Codice in merito ai fatti lamentati dal reclamante.

L’ultima versione della graduatoria della procedura concorsuale che è stata oggetto di pubblicazione online, anche a seguito degli scorrimenti disposti dal Ministero, reca unicamente evidenza del nome, del cognome e del punteggio totale conseguito dai vincitori.

Al riguardo, la disciplina di protezione dei dati personali prevede che i soggetti pubblici, anche quando operino nello svolgimento di procedure concorsuali, selettive o comunque valutative, prodromiche all’instaurazione del rapporto di lavoro, possono trattare i dati personali degli interessati (art. 4, n. 1, del Regolamento) se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (si pensi a specifici obblighi previsti dalla normativa nazionale “per finalità di assunzione”, artt. 6, par. 1, lett. c), 9, parr. 2, lett. b) e 4, e 88 del Regolamento) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento e art. 2-ter del Codice).

Con riguardo alle categorie particolari di dati personali, inclusi quelli relativi alla salute (in merito ai quali è previsto un generale divieto di trattamento, ad eccezione dei casi indicati all’art. 9, par. 2 del Regolamento e, comunque un regime di maggiore garanzia rispetto alle altre tipologie di dati - cfr., art. 9, par. 4, nonché dell’art. 2-septies del Codice), il trattamento è consentito ove “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento).

In ogni caso, i dati relativi alla salute, ossia quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15, considerando 35), in ragione della particolare delicatezza di tale categoria di dati, “non possono essere diffusi” (art. 2-septies, comma 8, e art. 166, comma 2, del Codice e art. 9, parr. 1, 2, 4, del Regolamento).

Tanto premesso, nel far presente via preliminare che i trattamenti materialmente effettuati da Formez PA in qualità di responsabile del trattamento ai sensi dell’art. 28 del Regolamento risultano in ogni caso complessivamente imputabili al MIMIT, quale titolare del trattamento, posto che su quest’ultimo ricade una “responsabilità generale” per i trattamenti posti in essere (v. art. 5, par. 2, c.d. “accountability”, e 24 del Regolamento) anche quando questi siano effettuati da altri soggetti “per suo conto” (v. cons. 81, artt. 4, punto 8), e 28 del Regolamento; cfr. “Linee guida 07/2020 sui concetti di titolare e responsabile del trattamento nel GDPR”, adottate il 7 luglio 2021 dal Comitato europeo per la protezione dei dati personali, spec. parr. 76 e ss.), si rileva quanto segue.

In una cornice normativa caratterizzata da norme stratificatesi nel tempo, le disposizioni normative che stabiliscono, in generale, la pubblicità delle graduatorie di concorsi e prove selettive, svolgono la funzione di consentire agli interessati, partecipanti alle procedure concorsuali o selettive, l’attivazione delle forme di tutela dei propri diritti e di controllo della legittimità dell’azione amministrativa e dispongono, in primo luogo, che siano pubblicate le sole graduatorie definitive dei vincitori di concorso. In particolare, in base alla disciplina applicabile al caso di specie, l’assolvimento dell’obbligo di dare notizia dell’adozione e della pubblicazione delle graduatorie finali veniva effettuato attraverso i bollettini ufficiali dei rispettivi enti e mediante avviso nella Gazzetta Ufficiale della Repubblica (art. 7 del d.P.R. 10 gennaio 1957, n. 3, nonché art. 15 del d.P.R. 9 maggio 1994, n. 487, anteriormente alle modifiche apportate dal d.P.R. 16 giugno 2023, n. 82; artt. 35 e ss d. lgs. 30 marzo 2001, n. 165 anteriormente alle modifiche disposte dal d.l.14 marzo 2025, n. 25 convertito con modificazioni dalla l. 9 maggio 2025, n. 69).

Anche le disposizioni in materia di trasparenza amministrativa, nel fare salve le citate disposizioni relative alla pubblicità legale, prevedono specifici obblighi di pubblicazione in capo alle pubbliche amministrazioni, in particolare con riguardo alla sezione “Amministrazione Trasparente” del relativo sito web istituzionale. In base a quanto previsto dal d.lgs. 14 marzo 2013, n. 33, “fermi restando gli altri obblighi di pubblicità legale, le pubbliche amministrazioni pubblicano i bandi di concorso per il reclutamento, a qualsiasi titolo, di personale presso l’amministrazione, nonché i criteri di valutazione della Commissione, le tracce delle prove e le graduatorie finali, aggiornate con l'eventuale scorrimento degli idonei non vincitori. Le pubbliche amministrazioni pubblicano e tengono costantemente aggiornati i dati di cui al comma 1” (art. 19, commi 1 e 2; cfr., da ultimo, provv. 26 settembre 2024, n. 588, doc. web n. 10076453; provv. 11 aprile 2024 n. 235, doc. web n. 10019523; nonché provv.ti 23 marzo 2023, n. 83, doc. web n. 9888096, e 28 aprile 2022, n. 151, doc. web n. 9778996, e i precedenti provvedimenti in essi richiamati, tra cui, in particolare, il provv. 25 novembre 2021 n. 407, doc. web n. 9732406).

Tali disposizioni definiscono, sotto il profilo della protezione dei dati, l’ambito del trattamento consentito e ne costituiscono la base giuridica stabilendo limiti, condizioni e presupposti della pubblicazione online di dati personali nell’ambito delle procedure concorsuali.

In tale quadro il Garante ha, nel tempo, fornito specifiche indicazioni alle pubbliche amministrazioni in ordine alle cautele da adottare per la diffusione di dati personali in Internet per finalità di trasparenza e pubblicità dell’azione amministrativa, in particolare, nel 2014, con le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” (provv. n. 243 del 15 maggio 2014, doc. web n. 3134436, parte I e II, spec. par. 3.b) chiarendo, anche attraverso numerose decisioni su singoli casi adottate nei confronti di specifiche amministrazioni, che la presenza di un regime di pubblicità non può comportare alcun automatismo rispetto alla diffusione online dei dati e informazioni personali, né una deroga ai principi in materia di protezione dei dati personali, come confermato dal sistema di protezione dei dati personali contenuto nel Regolamento, alla luce del quale è previsto che il titolare del trattamento deve mettere “in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” e deve essere “in grado di dimostrare” – alla luce del principio di “responsabilizzazione” – di averlo fatto ai sensi degli artt. 5, par. 2, 24 e 25, par. 2, del Regolamento (cfr., tra i tanti, provv. 26 settembre 2024, n. 588, doc. web n. 10076453, e provv. 6 luglio 2023, n. 287, doc. web n. 9920145 e provvedimenti in esso citati).

In senso analogo, con specifico riferimento alla diffusione online dei dati dei partecipanti alla procedura risultati idonei, si è pronunciato di recente anche il T.A.R. Lazio, affermando che “la pubblicazione della graduatoria finale di un concorso pubblico, con oscuramento dei nominativi dei candidati idonei non vincitori, è conforme all'art. 19 del D.Lgs. n. 33 del 2013, in quanto il dovere di trasparenza si estende anche a tali dati personali solo in caso di effettivo scorrimento della graduatoria” (cfr. T.A.R. Lazio Roma, Sez. IV ter, sent. 16 dicembre 2024, n. 22604)

Al riguardo è utile evidenziare, altresì, quanto rappresentato dal Garante al Parlamento proprio con riferimento al bilanciamento operato dal legislatore tra concorrenti valori costituzionalmente rilevanti nel sistema normativo che regola la pubblicità delle procedure di reclutamento del personale pubblico e, in particolare,  ai rischi per gli interessati in caso di diffusione online dei dati relativi agli idonei non vincitori, chiarendo nello specifico che “la partecipazione a una selezione concorsuale (e il relativo esito), eventualmente anche in costanza di altro rapporto di lavoro, costituisce un dato che merita adeguata protezione (anche ai fini di cui agli artt. 8 St. lav. e 10 d. lgs. n. 276/2003), secondo modalità che possano coniugare, in maniera equilibrata, il principio di trasparenza amministrativa e il diritto alla protezione dei dati personali” (v. Memoria del Presidente del Garante per la protezione dei dati personali sul disegno di legge di bilancio 2020 commissione 5°, Bilancio, del Senato della Repubblica, del 12 novembre 2019, doc. web n. 9184376, par. 4). Ciò specie in presenza dell’indicizzazione e riutilizzabilità dei dati e, in generale, in ragione dei rischi connessi alla maggiore esposizione delle informazioni sul web.

In tale quadro, l’Autorità Nazionale Anticorruzione (di seguito, “ANAC”) ha evidenziato la necessità che la pubblicazione abbia ad oggetto dati identificativi degli interessati “vincitori” - atteso che i dati relativi agli idonei non vincitori dovranno essere pubblicati, in base alla legge, solo allorquando l’amministrazione, con separato atto, proceda all’aggiornamento delle graduatorie con lo scorrimento degli idonei -  chiarendo peraltro che una eventuale “pubblicazione dei vincitori identificati solamente attraverso un codice numerico ID non è conforme alle prescrizioni normative in materia di obblighi di trasparenza” (v. delibera ANAC n. 525 del 15 novembre 2023, v. anche, da ultimo, ANAC “Schemi di pubblicazione dei dati per la standardizzazione ai sensi dell’art. 48 d.lgs 33/2013, Schema art. 19”, disponibili dal sul sito istituzionale di ANAC).

Tali principi sono stati ulteriormente confermati dal Garante nelle osservazioni contenute nel parere sugli schemi standard di pubblicazione predisposti da ANAC – riguardanti fra l’altro proprio l’art. 19, del d. lgs. n. 33/2013 – ai sensi dell’art. 48, commi 1 e 3, del medesimo decreto in cui è stato precisato che, anche nell’adempimento degli obblighi di pubblicazione, con riferimento ai soli vincitori di concorsi pubblici e degli idonei vincitori a seguito di scorrimento della graduatoria, devono essere indicati il nome e cognome, ed eventualmente la data di nascita (ad esempio, in caso di omonimia), nonché la posizione in graduatoria (cfr. provv. 22 febbraio 2024, n. 92, doc. web n. 9996090 ove si legge: “secondo il principio di minimizzazione dei dati (art. 5, par. 2, lett. c, RGDP) e delle Linee guida del Garante in materia – con riferimento alla pubblicazione dei dati previsti dallo schema riferito all’art. 19 dei soggetti vincitori di concorsi pubblici (e degli idonei vincitori a seguito di scorrimento della graduatoria) il nome e cognome, ed eventualmente la data di nascita (ad esempio, in caso di omonimia), nonché la posizione in graduatoria (escludendo quindi altre informazioni non necessarie come il luogo di nascita, il codice fiscale, la residenza, ecc.)”).

Tale impostazione trova altresì conferma nelle più recenti disposizioni che, nel quadro di riforme di più ampio respiro per la pubblica amministrazione, hanno da ultimo previsto, nel segno di una sostanziale continuità con il quadro normativo previgente, applicabile al caso di specie, che “la graduatoria di merito, quella risultante dall'applicazione dei titoli sulla graduatoria di merito e quella finale sulla quale si applicano le riserve previste dal bando” sono assoggettate ad un regime di conoscibilità che deve essere limitato ai soli partecipanti alla procedura concorsuale o selettiva – dovendo le stesse essere “pubblicate contestualmente, anche in un unico documento, sul Portale unico del reclutamento di cui all'articolo 35-ter e sul sito dell’amministrazione procedente, anche tramite apposito collegamento ipertestuale, in un'area ad accesso riservato ai partecipanti, utilizzando le specifiche funzionalità previste dal predetto Portale” (art. 35, comma 5-quater, del d. lgs. 165/2001). Diversamente, per espressa previsione normativa, la graduatoria finale dei vincitori recante l’indicazione dei rispettivi nomi e cognomi nonché dei punteggi finali da essi conseguiti deve essere oggetto di pubblicazione online nella sezione “Amministrazione Trasparente” conformemente a quanto previsto dal regime di trasparenza di cui all’art. 19 del d. lgs. 33/2013, a cui il citato art. 35, comma 5-quater, del d. lgs. 165/2001 fa esplicito rinvio.

Con riguardo, poi, alla indicazione all’interno della graduatoria oggetto di pubblicazione della ricorrenza o meno di cause di preferenza o precedenza per ciascun candidato, seppure – come rappresentato da Formez PA – la graduatoria non desse esplicita evidenza della specifica causa di preferenza o precedenza applicata, tale indicazione produce comunque l’effetto di associare a una persona fisica una o più condizioni soggettive tra quelle enumerate dalla legge (a titolo meramente esemplificativo, numero dei figli a carico, lodevole servizio presso amministrazioni, età anagrafica, disabilità/ invalidità…).

Le predette informazioni, non  tutte riconducibili a categorie particolari di dati, riferite alle specifiche condizioni soggettive riguardanti i candidati o i loro familiari, devono senza dubbio essere trattate dall’amministrazione, in base alle norme applicabili, per la stesura o l’aggiornamento della graduatoria finale e devono essere valutate dall’amministrazione per la verifica dei requisiti professionali previsti dalla legge (cfr. art. 5 del d.P.R. n. 487/1994) ma, alla luce del quadro normativo di settore, non ricorrono i presupposti per la loro diffusione mediante pubblicazione online (v. anche i numerosi casi di pubblicazione di graduatorie docenti in cui comparivano acronimi relativi ai titoli di preferenza - es. «S» categoria di invalidi e mutilati civili, provv. ti 27 gennaio 2021, n. 28, doc. web n. 9576756; 11 febbraio 2021, n. 51, doc. web n. 957226; 21 aprile 2021, n. 153, doc. web n. 9685245; v. inoltre, il già citato art. 2-septies, comma 8, del Codice, che espressamente prevede, tra l’altro, il divieto di diffondere dati relativi alla salute).

La predetta annotazione, accanto ai nominativi di specifici candidati, contiene, in ogni caso, un’informazione comunque non necessaria ed eccedente rispetto alle finalità del trattamento (cfr., in particolare, provv. 26 settembre 2024, n. 588, doc. web n. 10076453; provv. 24 marzo 2022, n. 97, doc. web n. 9760883), come peraltro confermato nel corso dell’istruttoria anche dallo stesso Ministero, il quale ha dichiarato che, proprio allo scopo di “evitare la diffusione, tramite la pubblicazione sul sito istituzionale, di dati personali non necessari rispetto alla finalità di pubblicità e trasparenza nell’ambito delle pubbliche procedure concorsuali gestite interamente dal MIMIT”, lo stesso ha di regola proceduto alla pubblicazione di graduatorie finali recanti “esclusivamente nome, cognome e punteggio finale” (cfr. nota del XX).

La circostanza per cui, inoltre, talune  di tali condizioni siano particolarmente delicate - come, tra le altre, quella di appartenere “alla categoria di cui alla legge n. 68 del 1999”, di essere “mutilato o invalido civile o per servizio”, “orfan[o] dei caduti o  figli[o] dei mutilati, degli invalidi e degli inabili permanenti al lavoro per ragioni di servizio nel settore pubblico e privato” oppure “figli[o] degli esercenti le professioni sanitarie […] deceduti in seguito all'infezione da SarsCov-2 contratta nell'esercizio della propria attività” (cfr. art. 5 del d.P.R. n. 487/1994) - può comportare altresì la possibilità di ricavare informazioni relative anche allo stato di salute di una persona (candidato o suoi familiari - art. 4 par.1, n. 15 del Regolamento).

Numerosi sono stati in questi anni i provvedimenti del Garante che hanno chiarito, ad esempio, che anche il riferimento a corpi normativi che notoriamente sono riferiti a benefici e garanzie per l’assistenza, l’integrazione sociale e lavorativa di persone disabili o di loro familiari (come la legge n. 104 del 1992 “Legge quadro per l’assistenza, l’integrazione sociale e i diritti delle persone handicappate” o la legge n. 68 del 1999 “Norme per il diritto al lavoro dei disabili”), possono rilevare informazioni sullo stato di salute di una persona (v. al riguardo, provv. 19 dicembre 2024, n. 796, doc. web n. 10102504; provv. 11 gennaio 2023, n.3 doc web n. 9857610; provv. del 27 aprile 2023, n.168, doc. web n. 9896845; provv. 1° settembre 2022, n. 290 doc. web n. 9811361, provv. 28 aprile 2022, n. 150, doc. web n. 9777200 e provv. 28 maggio 2020, n. 92, doc. web n. 9434609).

In linea di continuità con gli orientamenti dell’Autorità in tale ambito di trattamento e nella prospettiva di richiamare l’attenzione delle amministrazioni al rigoroso rispetto dei principi di protezione dei dati e della normativa di settore, anche alla luce del recente intervento del legislatore (v. il citato d.l. 14 marzo 2025, n. 25, convertito in legge 9 maggio 2025, n. 69), si fa presente che sul sito web del Garante sono disponibili specifiche FAQ, condivise con il Dipartimento della Funzione Pubblica, volte a fornire indicazioni e chiarimenti finalizzati a prevenire iniziative e trattamenti di dati personali non conformi in tale specifico contesto, nell’ottica di un efficace bilanciamento tra la protezione dei dati e la trasparenza e la pubblicità delle procedure concorsuali (v. “FAQ in materia di trattamento di dati personali dei partecipanti alle procedure concorsuali per finalità di pubblicità e trasparenza alla luce delle recenti disposizioni normative”, doc. web n. 10187304).

Nel rilevare, pertanto, che, alla luce delle considerazioni che precedono, la pubblicazione della predetta graduatoria, recante numerosi dati personali riferiti ad oltre un centinaio di persone (133 partecipanti alla predetta procedura, di cui 10 vincitori e 123 idonei), ivi incluso anche il codice fiscale (rimosso nella versione della graduatoria pubblicata il XX), risulta essere stata effettuata dal XX al XX in assenza di un’idonea base giuridica e in modo non conforme ai principi di “liceità, correttezza e trasparenza”, nonché di “minimizzazione dei dati”, in violazione degli artt. 5, 6, 9 del Regolamento, nonché 2-ter e 2-septies, comma 8, del Codice (profili imputabili al titolare del trattamento), si fa presente quanto segue con riferimento al trattamento posto in essere da Formez PA nel caso di specie, in qualità di responsabile del trattamento ai sensi dell’art. 28 del Regolamento, nell’interesse e per conto del MIMIT, titolare del trattamento. Restano, in tale quadro, impregiudicate le valutazioni in ordine alle specifiche responsabilità imputabili al Ministero medesimo nell’ambito della vicenda in esame, nei cui confronti è stato – come detto - avviato autonomo e separato procedimento.

In termini generali, sebbene sul titolare del trattamento, che determina le finalità e le modalità del trattamento dei dati, ricada una “responsabilità generale” per i trattamenti posti in essere (v. art. 5, par. 2, cd. “accountability”, e 24 del Regolamento), anche quando questi siano effettuati da altri soggetti “per suo conto” (cons. 81, artt. 4, punto 8), e 28 del Regolamento), il Regolamento ha disciplinato gli obblighi e le altre forme di cooperazione cui è tenuto il responsabile del trattamento e l’ambito delle relative responsabilità (v. artt. 28, 30, 32, 33, par. 2, 82 e 83 del Regolamento).

In particolare, il rapporto tra titolare e responsabile è regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare e del responsabile

In tale quadro, il responsabile del trattamento è legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 3, lett. a), del Regolamento), dovendo peraltro mettere “a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi” e contribuire alle “attività di revisione comprese le ispezioni” realizzate dal titolare del trattamento (art. 28, par. 3, lett. h), del Regolamento). Al responsabile del trattamento è altresì richiesto di “informa[re] immediatamente il titolare del trattamento qualora, a suo parere, un'istruzione violi il presente regolamento o altre disposizioni, nazionali o dell'Unione, relative alla protezione dei dati” (art. 28, par. 3, ult. prop., del Regolamento; cfr. anche, al riguardo, Linee guida 07/2020 sui concetti di titolare del trattamento di responsabile del trattamento ai sensi del GDPR” del Comitato europeo per la protezione dei dati del 7 luglio 2021, spec. par. 146 e ss.).

In tale quadro, come chiarito dal Comitato europeo per la protezione dei dati, “il responsabile del trattamento può essere ritenuto responsabile o sanzionato [… anche] qualora agisca al di fuori o in contrasto con le istruzioni legittime del titolare del trattamento”, configurandosi in tal senso come un autonomo centro di imputazione di sanzioni amministrative ai sensi dell’art. 83 del Regolamento anche sul presupposto dell’inosservanza delle istruzioni documentate impartire dal titolare del trattamento (v. Linee Guida cit., par. 74).

Quanto al caso di specie, si rileva che il contratto stipulato da Formez PA e il MIMIT ai sensi dell’art. 28 del Regolamento, oltre a vincolare reciprocamente le due figure, conteneva le specifiche istruzioni documentate cui Formez PA, quale responsabile del trattamento dei dati personali, avrebbe dovuto conformarsi (art. 28, par. 3, lett. a), del Regolamento), prevedendo tra l’altro anche l’obbligo in capo a Formez PA di ridurre “al minimo” l’utilizzo di dati personali e di trattare i soli dati “pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti e successivamente trattati”. Il predetto accordo stipulato ai sensi dell’art. 28 del Regolamento richiedeva, quindi, che il trattamento avvenisse nell’osservanza dei principi di liceità e minimizzazione, dunque nel rispetto delle disposizioni di settore applicabili, che, come sopra rappresentato, ne costituiscono la base giuridica, con la conseguenza che anche Formez PA doveva ritenersi tenuto ad operare, pur sempre nell’interesse e per conto del titolare, nel pieno rispetto del predetto quadro di settore e della disciplina di protezione dei dati (cfr. art. 5 del citato accordo; v. anche art. 12 della convenzione stipulata tra le parti).

Ciò tenuto conto, in particolare, della circostanza che Formez PA, in ragione dei propri compiti istituzionali nonché alla luce della documentazione contrattuale sottoscritta dalle parti, rappresenta un soggetto qualificato anche nel settore del reclutamento attraverso procedure selettive e concorsuali per conto delle pubbliche amministrazioni e che ciò ha ingenerato nel MIMIT un ragionevole affidamento circa l’osservanza di elevati standard di diligenza nello svolgimento degli adempimenti connessi alla pubblicità e alla trasparenza della procedura concorsuale in questione, anche sotto il profilo della protezione dei dati (cfr. art. 2 del d. lgs. 25 gennaio 2010, n. 6, per cui tra le finalità per le quali è previsto il ricorso a Formez PA si annovera anche e in particolare, nel “settore reclutamento e formazione”, quella di “predisporre e organizzare, su richiesta delle amministrazioni, procedure concorsuali e di reclutamento nel pubblico impiego, secondo le direttive del Dipartimento della funzione pubblica, provvedendo agli adempimenti necessari per lo svolgimento delle procedure medesime”; v. anche art. 2, comma 3, per cui “nell’espletamento dei suddetti compiti, le attività affidate direttamente dalle amministrazioni centrali e associate a Formez PA sono considerate attività istituzionali”; v. anche art. 35, comma 5, del d. lgs. 30 marzo 2001, n. 165).

Non può, pertanto, ritenersi che nel caso di specie Formez PA non abbia “mai agito in contrasto con le indicazioni del Titolare del trattamento”, né che la circostanza che “il Titolare del trattamento fosse a conoscenza delle pubblicazioni effettuate” denotasse secondo Formez PA “che l’Istituto si [… era] attenuto al rispetto delle istruzioni fornite dal Ministero delle Imprese e del Made in Italy” (v. nota del XX). L’asserita inerzia da parte del Ministero non può, infatti, essere ritenuta sufficiente ad escludere ogni responsabilità in capo a Formez PA, anche tenuto conto che, proprio in ragione della natura dei suoi compiti istituzionali e del conseguente livello qualificato di diligenza concretamente esigibile, lo stesso avrebbe piuttosto dovuto assumere ogni necessaria iniziativa per informare il Ministero del fatto che il trattamento posto in essere non fosse conforme alla disciplina di protezione dei dati (art. 28, par. 3, lett. h), e ult. prop., del Regolamento; v. anche art. 1176, comma 2, c.c.).

In tale quadro, si dà atto che, peraltro, Formez PA, nel corso dell’istruttoria, ha manifestato l’intendimento di conformare il proprio operato al quadro normativo vigente e a quello di protezione dei dati, predisponendo in particolare “un documento standard da condividere con i prossimi committenti, in cui verrà comunicato (a prescindere dalle conoscenze degli interlocutori) che Formez si atterrà a quanto previsto negli schemi standard di pubblicazione predisposti da ANAC” nonché dichiarando “di inserire tale specifico richiamo nel testo delle convenzioni che Formez sottoscriverà con ciascun committente” (v. memorie difensive del XX).

Alla luce delle considerazioni che precedono, deve quindi concludersi che la diffusione, da parte di Formez PA, responsabile del trattamento, in un’area accessibile a chiunque, dei dati personali (in particolare, il codice fiscale, il punteggio conseguito nella prova scritta e nella valutazione dei titoli nonché il riferimento alla eventuale sussistenza di cause di preferenza e precedenza) dei reclamanti e degli altri numerosi partecipanti al concorso, sia vincitori che idonei, è stata effettuata in violazione dell’art. 28, par. 3, del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal responsabile del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato da Formez PA, per aver trattato i dati personali dei reclamanti e degli altri partecipanti alla predetta procedura concorsuale in violazione dell’art. 28, par. 3, del Regolamento. 
Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, la violazione è soggetta alla sanzione prevista dall’art. 83, par. 4, del Regolamento, l’importo totale della sanzione è da quantificarsi fino a euro 10.000.000.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti - atteso che la graduatoria della procedura concorsuale che allo stato risulta reperibile online, anche a seguito degli scorrimenti disposti dal Ministero, reca unicamente evidenza del nome, del cognome e del punteggio totale conseguito dai vincitori - non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 4, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto che:

il trattamento in questione, che si è protratto per circa un anno, ha riguardato 133 persone fisiche (art. 83, par. 2, lett. a), del Regolamento);

anche tenuto conto degli elevati standard di diligenza esigibili da Formez PA, il quale, in ragione dei propri compiti istituzionali nonché alla luce della documentazione contrattuale sottoscritta dalle parti, costituisce un soggetto altamente qualificato in materia di gestione degli adempimenti connessi allo svolgimento delle procedure concorsuali, la violazione presenta carattere colposo (art. 83, par. 2, lett. b), del Regolamento);

il trattamento ha riguardato anche informazioni idonee a rivelare informazioni sulla salute (art. 4, n. 15), e 9 del Regolamento) o altre condizioni soggettive particolarmente delicate relative ai partecipanti alla procedura o a loro famigliari nonché, ancorché per un arco temporale ristretto, il codice fiscale dei partecipanti alla procedura (cfr. art. 83, par. 2, lett. g), del Regolamento),

si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze attenuanti:

Formez PA, che, su indicazione del Ministero, titolare del trattamento, ha adottato in qualità di responsabile del trattamento specifiche misure per attenuare il danno subito dagli interessati rimuovendo dal proprio sito web le versioni della graduatoria recanti dati non necessari, ha offerto una piena cooperazione con l’Autorità nel corso dell’istruttoria (art. 83, par. 2, lett. c) ed f), del Regolamento);

non risultano precedenti violazioni pertinenti commesse dal responsabile (art. 83, par. 2, lett. e), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 15.000,00 (quindicimila/00) per la violazione dell’art. 28, par. 3, del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione del fatto che il trattamento in concreto effettuato da Formez PA in qualità di responsabile del trattamento - ente che, in ragione dei propri compiti istituzionali, deve ritenersi altamente qualificato in materia - ha riguardato dati eccedenti e comunque non necessari in rapporto alla finalità di pubblicità e trasparenza perseguita dal Ministero, titolare del trattamento, nonché idonei a rivelare anche informazioni particolarmente delicate di oltre un centinaio di interessati.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato da Formez PA per violazione dell’art. 28, par. 3, del Regolamento, nei termini di cui in motivazione;

ORDINA

a Formez PA - Centro Servizi, Assistenza, Studi e Formazione per L'Ammodernamento Delle P.A. in persona del legale rappresentante pro-tempore, con sede legale in Viale Marx 15 - 00137 Roma (RM), C.F. 80048080636, di pagare la somma di euro 15.000,00 (quindicimila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Formez PA, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 15.000,00 (quindicimila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 26 febbraio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Montuori