Provvedimento del 26 febbraio 2026 [10234960]
Provvedimento del 26 febbraio 2026 [10234960]
Condividi[doc. web n. 10234960]
Provvedimento del 26 febbraio 2026
Registro dei provvedimenti
n. 114 del 26 febbraio 2026
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, e il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore il Prof. Pasquale Stanzione;
PREMESSO
1. Introduzione.
Con reclamo presentato ai sensi dell’art. 77 del Regolamento, la sig.ra XX ha rappresentato che, in occasione della presentazione della domanda di partecipazione al “concorso pubblico, per titoli ed esami, per il reclutamento di complessive 38 unità, a tempo indeterminato, di personale dirigenziale di seconda fascia, in prova, nel ruolo dei dirigenti del Ministero dell’economia e delle finanze” - trasmessa compilando l’apposito modulo elettronico sul sistema «Step-One 2019», “raggiungibile sulla rete internet all’indirizzo https://ripam.cloud/ sul sito Formez PA” - formulava “istanza di esonero dall’eventuale prova preselettiva ai sensi dell’art. 20 della legge 104 del 1992, e, a tal fine, come previsto nel bando, trasmetteva all’indirizzo pec di Formez PA, responsabile del trattamento dei dati ex art. 28 del Regolamento UE 2016/679, la documentazione attestante il proprio stato di invalidità superiore all’80%”.
A seguito dell’espletamento delle prove preselettive della predetta procedura, il Ministero dell’economia e delle finanze (di seguito “Ministero”) provvedeva a pubblicare il link di rinvio al sito web istituzionale di Formez PA che conteneva l’elenco degli ammessi alle prove scritte per superamento della prova preselettiva e non di coloro che, come la reclamante, erano esonerati per legge dallo svolgimento della stessa.
A fronte delle richieste di chiarimento da parte dell’interessata, Formez PA riscontrava con e-mail del XX precisando che “nel momento in cui sarà pubblicato il calendario delle prove scritte […] si farà riferimento anche ai candidati che accedono ai sensi di legge”, circostanza che ha indotto la reclamante a ipotizzare che “la pubblicazione in un momento successivo (quale quello della pubblicazione del calendario della prova scritta) del proprio nominativo quale "candidato esonerato ai sensi di legge" [avrebbe comportato] inevitabilmente la rivelazione del proprio stato di salute”.
A seguito delle verifiche effettuate dall’Ufficio, acquisite in atti, è stato accertato che attraverso l’accesso al predetto link, indicato dalla reclamante, era possibile aprire un collegamento al sito web di Formez PA, contenente in allegato due file.pdf denominati “ELENCO IDONEI PROFILO A” e “ELENCO IDONEI PROFILO B” contenenti il nome e cognome degli ammessi alla prova scritta della predetta procedura concorsuale (circa 180 candidati nell’elenco profilo A e circa 160 candidati nell’elenco profilo B).
2. L’attività istruttoria.
Nell’ambito dell’istruttoria, il Ministero, con nota del XX, ha dichiarato, in particolare, che:
- “in data XX veniva stipulata una Convenzione […] tra […il] Ministero e Formez PA - Centro assistenza, studi e formazione per l’ammodernamento delle P.A., associazione riconosciuta con personalità giuridica di diritto privato, in house alla Presidenza del Consiglio, avente ad oggetto (art. 2) “l’organizzazione e la realizzazione delle attività direttamente connesse alla procedura concorsuale per il reclutamento di n. 38 dirigenti di seconda fascia. Tale attività si sostanzia nel supporto tecnico e organizzativo per l’acquisizione delle candidature, lo svolgimento della prova preselettiva e delle prove scritte, il supporto logistico ivi compresa l’individuazione e la messa a disposizione dei locali per lo svolgimento delle prove e dei supporti informatici necessari, nonché per la predisposizione di un applicativo per l’accesso agli atti delle prove da parte dei candidati”;
- “ai sensi dell’art. 10 (rubricato “Trattamento dei dati personali”) della predetta Convenzione, “1. Formez P.A. si impegna al rispetto del Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e del D.Lgs. n. 196/2003, come modificato dal D.Lgs. n. 101/2018. 2. Nell’ambito delle attività svolte da Formez PA in base alla presente Convenzione, lo stesso assume il ruolo di Responsabile esterno nel trattamento dei dati personali per conto del Ministero dell’economia e delle finanze, e resta vincolato alle istruzioni che verranno fornite da quest’ultimo con separati atti, ai sensi dell’art. 28 del Regolamento UE 679/2016. 3. Formez PA, proprietario della piattaforma Step-One 2019, utilizzerà specifici fornitori di servizi dedicati a questa attività e, in considerazione della natura del contratto dei suindicati servizi, è tenuta a garantire che il fornitore specifico, quale sub-Responsabile del trattamento dati con riferimento a tutte le attività rientranti negli aspetti informatici dell’intera procedura concorsuale, sia in possesso di tutti i requisiti previsti dall’art. 28 del GDPR, fornendo allo stesso specifiche istruzioni”;
- “in data XX […] si svolgeva la prova preselettiva di cui all’art. 7 del Bando di concorso in oggetto […e] in data XX veniva pubblicata sul sito http://riqualificazione.formez.it la notizia dell’avvenuta correzione delle prove preselettive […], unitamente agli elenchi dei candidati ammessi a sostenere le prove scritte di cui all’art. 8 del Bando di concorso in oggetto, denominati, rispettivamente, ELENCO IDONEI PROFILO A […] e ELENCO IDONEI PROFILO B […], ed in pari data lo scrivente Ministero provvedeva a pubblicare sulla propria pagina - appositamente dedicata - il link di rinvio al predetto sito del Formez PA”;
- “invero, la pubblicazione degli elenchi indicati, contenenti i nominativi dei candidati ammessi alle prove scritte del concorso in oggetto, veniva effettuata dal Formez PA sulla base della non felicissima indicazione letterale fornita dal Bando di concorso in oggetto. Detta norma, in effetti, non prescrive espressamente la pubblicazione degli elenchi dei nominativi idonei, bensì - correttamente - la pubblicazione della notizia dell’avvenuta correzione delle prove preselettive, nonché della consultabilità dei risultati conseguiti dai candidati sul portale “Step-One 2019”;
- “la pubblicazione degli elenchi dei nominativi ammessi alle prove scritte [è] stata incidentalmente disposta dal Formez PA per eccesso di zelo in relazione alle esigenze di trasparenza e pubblicità caratterizzanti la procedura concorsuale in oggetto”;
- “a riprova della buona fede della scrivente Amministrazione, corre sottolineare come questo Ministero - non appena ricevuta la comunicazione in oggetto […] abbia da un lato immediatamente provveduto alla rimozione del link di rinvio presente sulla propria pagina web, dall’altro tempestivamente invitato il Formez PA a rimuovere - in via cautelare ed urgente - i predetti elenchi dal proprio sito istituzionale […]: circostanze che hanno comportato la limitatezza temporale del trattamento dei dati personali indicati, nei descritti termini di microffensività”;
- “tanto premesso, l’avvenuta pubblicazione - nei termini descritti - dei file denominati, rispettivamente, ELENCO IDONEI PROFILO A e ELENCO IDONEI PROFILO B non si poneva quale alternativa all’adozione di misure - come quella indicata nel punto che precede - tecniche e organizzative […] per evitare la diffusione dei dati personali degli interessati, bensì quale modalità di comunicazione dei nominativi ammessi alle prove scritte ulteriore, non espressamente prevista e disposta per mero eccesso di zelo dal Formez PA in relazione alle esigenze di trasparenza e pubblicità caratterizzanti la procedura concorsuale in oggetto e indotta dall’infelice formulazione/interpretazione del bando”.
Con nota del XX l’Autorità, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Ministero ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver determinato la diffusione online, mediante la pubblicazione sul proprio sito web istituzionale del link che consentiva il collegamento con il sito di Formez PA, degli elenchi dei nominativi (nome e cognome) dei candidati ammessi alla prova scritta della procedura concorsuale oggetto del reclamo, in violazione degli artt. 5, par.1, lett. a), e 6, par. 1, lett. c) ed e) del Regolamento nonché dell’art. 2-ter del Codice. Ciò anche in ragione della carenza/inadeguatezza delle specifiche misure di controllo nei confronti del responsabile del trattamento, in violazione dell’art. 28, par.3 del Regolamento.
Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).
Con nota del XX, il Ministero ha presentato una memoria difensiva, dichiarando, in particolare, che:
- “la condotta contestata a questo Ministero, pur attenendo alla vigilanza sull’operato del responsabile del trattamento, con particolare riferimento all’osservanza delle istruzioni a questo impartite (art. 28 del Regolamento cit.), dal punto di vista dell’elemento soggettivo vada senz’altro inquadrata entro i confini della responsabilità per colpa (art. 83, par. 2, lett. b) del Regolamento cit.)”;
- “si contesta, in particolare, quanto affermato dal Formez PA, a detta del quale, con riferimento alla vicenda in oggetto, “l’Istituto ha dato seguito alle richieste pervenute dal Ministero dell’economia e delle finanze, Titolare del trattamento dei dati…”: in primo luogo, in quanto questo Ministero non ha mai richiesto la pubblicazione specifica degli elenchi in discorso, per come posta in essere dal Formez PA, bensì la sola pubblicazione della notizia riguardante l’esito della prova preselettiva; in secondo luogo, in quanto, laddove ciò fosse avvenuto - e non è mai avvenuto - il Formez PA, in qualità di Responsabile del trattamento dei dati, avrebbe senz’altro dovuto evidenziare a questa Amministrazione le criticità insite in una pubblicazione del tipo di quella successivamente effettuata (anche questa circostanza non si è mai concretizzata, a conferma della esclusiva riferibilità al predetto ente - si ribadisce, titolare di specifiche competenze relative alla propria area di attività, nelle quali anche questo Ministero riponeva un legittimo affidamento - dell’intendimento di porre in essere la condotta contestata). In altri termini, il trattamento dei dati personali contestato non è stato determinato - per quanto attiene alla scrivente Amministrazione - dalla mancata conoscenza della disciplina in materia, né dalla volontà di arrecare alcun nocumento ai partecipanti alla procedura concorsuale, bensì a causa di un fraintendimento delle intenzioni di questo Ministero da parte del Formez PA, cui è seguita una (in)colpevole omissione dell’attività di controllo da parte del titolare del trattamento stesso”.
In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data XX, (cfr. verbale del XX, formalizzatosi con la relativa accettazione da parte del titolare del trattamento, pervenuta in data XX) il Ministero ha dichiarato, in particolare, che:
- “Formez ha pubblicato online l’elenco degli ammessi alla prova scritta senza aver ricevuto indicazioni in tal senso da parte del Ministero, in quanto titolare del trattamento, tanto che, una volta avuta notizia dell’avvio dell’istruttoria da parte dell’Autorità, il Ministero si è attivato prontamente per chiedere a Formez di rimuovere i dati in questione dal proprio sito web”;
- “il Ministero non ha dunque mai chiesto a Formez la pubblicazione dell’elenco in questione ma solo della notizia relativa all’esito delle prove preselettive e dell’avvenuta individuazione degli ammessi alle prove scritte”;
- “il Ministero non ha, peraltro, mai ricevuto notizia da parte del Formez della pubblicazione di tale elenco, circostanza che ha impedito al Ministero di venire a conoscenza di tale iniziativa del Formez e impedire la pubblicazione in questione”;
- “il Ministero ha sempre osservato scrupolosamente la normativa in materia di protezione dei dati personali nell’ambito delle procedure concorsuali, trattandosi dunque del primo caso in cui il Ministero ha ricevuto una contestazione di violazione da parte dell’Autorità”.
Nell’ambito della medesima istruttoria, sono stati acquisiti specifici elementi anche da FormezPA (v. in particolare nota Formez PA del XX) nei cui confronti è stato avviato autonomo e separato procedimento per i profili riconducibili alla relativa responsabilità.
3. Esito dell’attività istruttoria. La normativa applicabile.
La disciplina di protezione dei dati personali prevede che i soggetti pubblici, anche quando operino nello svolgimento di procedure concorsuali, selettive o comunque valutative, prodromiche all’instaurazione del rapporto di lavoro, possono trattare i dati personali degli interessati (art. 4, n. 1, del Regolamento) se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (si pensi a specifici obblighi previsti dalla normativa nazionale “per finalità di assunzione”, artt. 6, par. 1, lett. c), 9, parr. 2, lett. b) e 4; 88 del Regolamento) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento e art. 2-ter del Codice).
Tali trattamenti devono, comunque, trovare fondamento nel diritto dell’Unione o dello Stato membro che deve perseguire un obiettivo di interesse pubblico ed essere proporzionato al perseguimento dello stesso. La finalità del trattamento deve essere necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (cfr. art. 6, par. 3, del Regolamento e 2-ter del Codice).
Il titolare del trattamento è tenuto a rispettare i principi di “liceità, correttezza e trasparenza”, “limitazione delle finalità”, “minimizzazione” nonché “integrità e riservatezza” dei dati e “responsabilizzazione” (art. 5 del Regolamento).
Il titolare, nell’ambito della predisposizione delle misure tecniche e organizzative che soddisfino i requisiti stabiliti dal Regolamento, può avvalersi di un responsabile per lo svolgimento di alcune attività di trattamento, cui impartisce specifiche istruzioni (cfr. considerando n. 81 del Regolamento). In tal caso il titolare “ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto [le predette misure] adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti degli interessati” (art. 28, par. 1, del Regolamento).
3.1. La diffusione online di dati personali dei candidati relativi al superamento della prova preselettiva.
Nel premettere che, alla luce delle evidenze in atti e stanti le dichiarazioni acquisite nel corso del procedimento, la reclamante - non essendo il relativo nominativo stato mai contenuto non solo nei predetti elenchi, ma anche in alcuno dei documenti successivamente pubblicati - non poteva essere identificata, neanche indirettamente, quale “candidato esonerato ai sensi di legge”, si deve rilevare che non risulta comprovata l’avvenuta pubblicazione dei dati personali relativi alla salute dell’interessata, avendo la stessa solo ipotizzato il predetto trattamento (cfr. nota Formez PA del XX).
Tanto premesso, come risulta, invece, dagli atti e dalle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria nonché dall’accertamento compiuto sulla base degli elementi acquisiti, nell’ambito della procedura concorsuale sopra richiamata, Formez PA, operando in base a una specifica convenzione come responsabile del trattamento ai sensi dell’art. 28 del Regolamento nell’interesse e per conto del Ministero, titolare del trattamento, ha pubblicato online, con le modalità sopra descritte, i nominativi di oltre trecento candidati che, avendo superato la prova preselettiva, erano stati ammessi alla prova scritta del predetto concorso. A propria volta il Ministero ha pubblicato, da XX a XX, sul proprio sito web istituzionale il link che consentiva il collegamento con il sito di Formez PA e che conteneva i nominativi degli oltre trecento candidati ammessi alla prova scritta.
Al riguardo, la normativa in materia di protezione dei dati personali prevede che, in ambito pubblico, il titolare del trattamento, anche quando operi nello svolgimento di procedure concorsuali, selettive o comunque valutative, prodromiche all’instaurazione del rapporto di lavoro, possa trattare i dati personali degli interessati per adempiere obblighi legali e perseguire interessi pubblici, nel rispetto dei principi generali di protezione dei dati, nel quadro delle disposizioni normative di settore che regolano l’accesso agli impieghi nelle pubbliche amministrazioni e le modalità di svolgimento dei pubblici concorsi e che costituiscono la base giuridica dei relativi trattamenti (artt. 5, 6, par. 1, lett. c) ed e), 9, parr. 2, lett. b) e g), e 4; 88 del Regolamento; 2-ter e 2-sexies del Codice).
In una cornice normativa caratterizzata da norme stratificatesi nel tempo, le disposizioni normative che stabiliscono, in generale, la pubblicità delle graduatorie di concorsi e prove selettive, svolgono la funzione di consentire agli interessati, partecipanti alle procedure concorsuali o selettive, l’attivazione delle forme di tutela dei propri diritti e di controllo della legittimità dell’azione amministrativa e dispongono, in primo luogo, che siano pubblicate le sole graduatorie definitive dei vincitori di concorso e non anche gli esiti delle prove intermedie o dei dati personali dei concorrenti non vincitori o non ammessi (cfr. art. 35 e ss d. lgs. 30 marzo 2001, n. 165 come da ultimo modificati dal d.l.14 marzo 2025, n. 25 convertito con modificazioni dalla l. 9 maggio 2025, n. 69; v. anche art. 7, d.P.R. 10 gennaio 1957, n. 3; nonché d.P.R. 9 maggio 1994, n. 487). Come noto, il Garante ha fornito, da sempre, specifiche indicazioni alle pubbliche amministrazioni in ordine alle cautele da adottare per la diffusione di dati personali in Internet per finalità di trasparenza e pubblicità dell’azione amministrativa nelle specifiche Linee guida (provv. n. 243 del 15 maggio 2014, doc. web n. 3134436, spec. parte I e II, par. 3.b; cfr anche le “Linee guida in materia di trattamento di dati personali, di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico”, provv. del 14 giugno 2007, n.161, doc web n.1417809) nonché in numerosi provvedimenti aventi ad oggetto i trattamenti di dati nell’ambito delle procedure concorsuali, in cui ha rilevato la diffusione illecita di dati personali dei candidati contenuti negli atti intermedi delle stesse (cfr., da ultimo, provv. n. 235 dell’11 aprile 2024, doc. web n. 10019523; v. anche Newsletter del 6 giugno 2024, doc. web n. 10022928).
Anche le disposizioni in materia di trasparenza amministrativa prevedono specifici obblighi di pubblicazione nella sezione “Amministrazione Trasparente” del sito web istituzionale delle amministrazioni, in particolare, in base a quanto previsto dal d.lgs. 14 marzo 2013, n. 33, “Fermi restando gli altri obblighi di pubblicità legale, le pubbliche amministrazioni pubblicano i bandi di concorso per il reclutamento, a qualsiasi titolo, di personale presso l’amministrazione, nonché i criteri di valutazione della Commissione, le tracce delle prove e le graduatorie finali, aggiornate con l'eventuale scorrimento degli idonei non vincitori. Le pubbliche amministrazioni pubblicano e tengono costantemente aggiornati i dati di cui al comma 1” (art. 19, commi 1 e 2).
Tali disposizioni definiscono, sotto il profilo della protezione dei dati, l’ambito del trattamento consentito e ne costituiscono la base giuridica stabilendo limiti, condizioni e presupposti della pubblicazione online di dati personali nell’ambito delle procedure concorsuali.
Né al riguardo si può ritenere sufficiente - per giustificare la pubblicazione online dei nominativi dei candidati che avendo superato la prova preselettiva risultavano ammessi alla prova scritta della predetta procedura concorsuale - quanto evidenziato nel corso dell’istruttoria in merito alla pubblicazione dei predetti elenchi in “un’area dedicata”, conformemente alle indicazioni del bando di concorso e della convenzione che prevedevano la consultabilità degli esiti delle prove preselettive tramite accesso selettivo ad area riservata ai soli candidati della procedura mediante proprie credenziali. La pubblicazione dei predetti elenchi, invece, è avvenuta in una sezione del sito web comunque accessibile a chiunque (cfr. art.7 del bando di concorso e Allegato A, lett. C, punti 6 e 7 della convenzione).
In disparte dalle valutazioni sul piano generale in merito alla inidoneità di un bando di concorso a innovare o derogare al richiamato quadro normativo nazionale di settore applicabile (cfr. considerando 41 del Regolamento, nonché Corte Cost. sent. n. 271/2005; v. anche provv. n. 235 dell’11 aprile 2024, sopra richiamato e provv.ti n. 125 del 13 aprile 2023 doc. web 9907846, n. 287 del 6 luglio 2023 doc. web 9920145, n. 286 del 6 luglio 2023, doc. web 9920116), in ogni caso i dati personali dei partecipanti alla procedura concorsuale che avevano superato la prova preselettiva, e dunque ammessi alla prova scritta sono stati pubblicati online e consultabili da chiunque tramite il sito di Formez PA, a cui peraltro rinviava il link pubblicato dal Ministero sul proprio sito web istituzionale.
Seppure stando a quanto dichiarato la pubblicazione degli elenchi in questione non sia stata oggetto di una esplicita richiesta del Ministero, impregiudicate le valutazioni in ordine alle specifiche condotte e conseguenti responsabilità imputabili al responsabile del trattamento nel caso di specie - nei cui confronti è stato, come detto, avviato autonomo e separato procedimento - nel sistema di protezione dei dati il titolare del trattamento, essendo responsabile dell’attuazione delle misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento venga effettuato in conformità al Regolamento (artt. 5, par. 2 e 24 del Regolamento), ha altresì l’obbligo di vigilare sull’operato del soggetto che, per proprio conto e interesse, svolge determinate operazioni di trattamento.
Per tali ragioni, sebbene il Ministero abbia evidenziato la scarsa rilevanza e “microffensività” del trattamento in questione, si osserva che la diffusione online costituisce un trattamento particolarmente invasivo poiché consente a chiunque, per effetto dei comuni motori di ricerca esterni ai siti, di reperire indiscriminatamente e in tempo reale un insieme consistente di informazioni personali rese disponibili in rete, non sempre aggiornate e di natura differente. Una volta pubblicati, i dati rischiano di rimanere in rete per un tempo indefinito e possono essere utilizzati, anche incrociandoli con altre informazioni presenti sul web, da chiunque.
In linea di continuità con gli orientamenti dell’Autorità in tale ambito di trattamento e nella prospettiva di richiamare l’attenzione delle amministrazioni al rigoroso rispetto dei principi di protezione dei dati e della normativa di settore, anche alla luce del recente intervento del legislatore (v. il citato d.l.14 marzo 2025, n. 25, convertito in legge 9 maggio 2025, n. 69), si fa presente che sul sito web del Garante sono disponibili specifiche FAQ, condivise con il Dipartimento della Funzione Pubblica, volte a fornire indicazioni e chiarimenti finalizzati a prevenire iniziative e trattamenti di dati personali non conformi in tale specifico contesto, nell’ottica di un efficace bilanciamento tra la protezione dei dati e la trasparenza e la pubblicità delle procedure concorsuali (v. “FAQ in materia di trattamento di dati personali dei partecipanti alle procedure concorsuali per finalità di pubblicità e trasparenza alla luce delle recenti disposizioni normative”, doc. web n. 10187304).
Alla luce delle considerazioni che precedono la pubblicazione sul sito web del responsabile del trattamento Formez PA, cui rinviava un apposito link pubblicato sul sito web istituzionale del Ministero, dei predetti elenchi contenenti i dati personali (nome e cognome) di oltre trecento candidati ammessi alla prova scritta della predetta procedura concorsuale a seguito di superamento della prova preselettiva, ha determinato una diffusione online di dati personali non prevista dalle norme di settore applicabili al caso di specie, in violazione degli artt. 5, par.1, lett. a), e 6, par. 1, lett. c) ed e) del Regolamento nonché dell’ art. 2-ter del Codice.
Da ultimo e in via generale, in merito alla possibilità di rendere disponibile in un’area ad accesso riservato i nominativi dei candidati che hanno superato le prove intermedie, si rappresenta che il d.l.14 marzo 2025, n. 25 convertito con modificazioni dalla l. 9 maggio 2025, n. 69 ha stabilito, modificando l’art. 35-ter, comma 2, del d. lgs. 165/2001 che “[…] Il diario delle prove, il punteggio conseguito, l'eventuale convocazione alle prove e l'elenco dei candidati che hanno superato la prova, con i relativi punteggi, sono pubblicati e messi a disposizione dei partecipanti in un'area ad accesso riservato […]” assicurando, in tal modo, livelli differenziati di pubblicità e trasparenza tali da modulare la conoscibilità delle informazioni a seconda dello specifico interesse sotteso in modo da evitare sproporzionate interferenze nella vita privata degli interessati (artt. 7 e 8 della Carta di Nizza; cfr. anche considerando 156 del Regolamento e Linee guida del 15 maggio 2014, sopra richiamate). Tali principi sono stati evidenziati dal Garante in numerose occasioni (v., in particolare la Memoria del Presidente del Garante per la protezione dei dati personali sul disegno di legge di bilancio 2020 commissione 5°, Bilancio, del Senato della Repubblica, del 12 novembre 2019, doc. web n. 9184376, par. 4).
3.2. Mancato controllo nei confronti del responsabile del trattamento (Formez PA).
Relativamente alla ripartizione della responsabilità tra titolare e responsabile è necessario evidenziare che il titolare del trattamento è tenuto a “mettere in atto misure adeguate ed efficaci [e a …] dimostrare la conformità delle attività di trattamento con il […] Regolamento, compresa l’efficacia delle misure” adottate (considerando 74 del Regolamento) e, in tale ambito, ai fini della predisposizione delle misure tecniche e organizzative che soddisfino i requisiti stabiliti dal Regolamento, può ricorrere anche a un responsabile per lo svolgimento di alcune attività di trattamento, al quale impartisce specifiche istruzioni, anche sotto il profilo della sicurezza (v. considerando 81 del Regolamento).
In ogni caso, impregiudicate le valutazioni in ordine alle specifiche condotte imputabili al responsabile del trattamento, il titolare rimane, di regola, responsabile dell’attuazione delle misure tecniche e organizzative adeguate per garantire, e deve essere in grado di dimostrare che il trattamento è effettuato in conformità al Regolamento (artt. 5, par. 2, e 24 del Regolamento), anche con riguardo alla vigilanza sull’operato del responsabile del trattamento con particolare riferimento all’osservanza delle istruzioni a questo impartite (art. 28 del Regolamento).
Nel caso di specie risulta che il Ministero ha regolamentato, ai sensi dell’art. 28 del Regolamento, il rapporto con Formez PA, cui erano state demandate le attività di supporto alla gestione della procedura concorsuale prevedendo, tra l’altro, quanto allo svolgimento della prova preselettiva, la “predisposizione di un applicativo che [avrebbe consentito] ai candidati di verificare il proprio punteggio nonché la prova svolta” e la “pubblicazione degli atti concorsuali online accessibili mediante password personale” (v. Allegato A, lett. C, punti 6 e 7 della convenzione).
Più in generale la convenzione prevedeva che il Ministero dovesse effettuare “ogni controllo in itinere ritenuto opportuno delle attività oggetto della presente Convenzione, anche in vista di eventuali riprogrammazioni” (cfr. art.4 par. 4 della convenzione); ciò in linea con quanto disciplinato dalla normativa in materia di protezione dei dati personali, considerato che il rispetto degli obblighi derivanti dall’atto giuridico di cui all’art. 28 del Regolamento è soggetto all’attività di revisione e verifica da parte del titolare del trattamento, anche in vista della tempestiva attivazione con correttivi e/o nuove istruzioni rispetto alle attività effettuate dal responsabile per proprio conto (cfr. art. 28, par. 3) del Regolamento; al riguardo cfr. “Linee guida 07/2020 sui concetti di titolare del trattamento di responsabile del trattamento ai sensi del GDPR” dell’ European Data Protection Board del 7 luglio 2021, par.144: “Il contratto deve prevedere ulteriori disposizioni per quanto concerne la facoltà del titolare o di un altro revisore da questi incaricato di svolgere ispezioni e attività di revisione e gli obblighi di contribuire a tali attività […]. L’obiettivo di dette attività di revisione è garantire che il titolare disponga di tutte le informazioni relative all’attività di trattamento svolta per suo conto e alle garanzie fornite dal responsabile del trattamento. […] In seguito ai risultati dell’ispezione, il titolare del trattamento dovrebbe avere la facoltà di chiedere al responsabile di adottare misure successive, ad esempio per rimediare alle carenze e alle lacune individuate”).
Il Ministero, dunque, avrebbe dovuto mettere in atto le necessarie attività al fine di controllare che il responsabile del trattamento seguisse le istruzioni impartite in tal senso, intervenendo ai fini dell’immediata rimozione dal web dei dati personali in questione (circostanza verificatasi solo a seguito dell’avvio della presente istruttoria), come peraltro confermato nelle dichiarazioni dello stesso nel corso dell’istruttoria (cfr. nota del XX ove si legge “la condotta contestata a questo Ministero, pur attenendo alla vigilanza sull’operato del responsabile del trattamento, con particolare riferimento all’osservanza delle istruzioni a questo impartite (art. 28 del Regolamento cit.), dal punto di vista dell’elemento soggettivo vada senz’altro inquadrata entro i confini della responsabilità per colpa”). Né può essere sufficiente ad escludere la colpa del Ministero il fatto che l’iniziativa assunta dal responsabile del trattamento, in merito alla pubblicazione di tali elenchi, fosse dipesa da “un eccesso di zelo” dello stesso, considerate le inevitabili implicazioni di tale scelta, nel caso di specie, sulla liceità del complessivo trattamento, posto in essere per conto e nell’interesse del titolare del trattamento.
Alla luce delle considerazioni che precedono, deve concludersi che l’insufficienza dell’attività di vigilanza nonché l’inadeguatezza delle misure di revisione e verifica dell’operato del responsabile del trattamento, in relazione alle operazioni di trattamento a questi delegate dal Ministero, hanno comportato la violazione dell’art. 28, par. 3 del Regolamento.
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento ai sensi del combinato disposto di cui agli artt. 11 e 14 del Regolamento del Garante n. 1/2019.
Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento in relazione alla diffusione dei dati personali di oltre trecento partecipanti alla procedura concorsuale in violazione degli artt. 5, par.1, lett. a), e 6, par. 1, lett. c) ed e) del Regolamento e dell’art. 2-ter del Codice, nonché dell’art.28, par.3 del Regolamento.
Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni più gravi, relative agli artt. 5, 6 del Regolamento, nonché 2-ter del Codice, sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.
In ogni caso, considerando che la condotta ha esaurito i relativi effetti - atteso che il Ministero, appena ricevuta la comunicazione dell’avvio dell’istruttoria, ha provveduto a rimuovere dal proprio sito web istituzionale il link che consentiva il collegamento con il sito di Formez PA contenente i nominativi degli oltre trecento candidati ammessi alla prova scritta, invitando tempestivamente anche Formez PA a rimuovere i predetti dati personali dal proprio sito web istituzionale - non ricorrono i presupposti per l’adozione di misure correttive, di cui all'art. 58, par. 2, del Regolamento.
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).
Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.
Si ritiene che, nel caso di specie, il livello di gravità di tale violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60), tenuto conto che:
- il trattamento in questione, che si è protratto da XX a XX, ha riguardato la pubblicazione di dati personali di circa 300 partecipanti alla predetta procedura (art. 83, par. 2, lett. a), del Regolamento);
- con specifico riguardo al profilo soggettivo della violazione, il Ministero ha dichiarato che “la condotta contestata […], pur attenendo alla vigilanza sull’operato del responsabile del trattamento, con particolare riferimento all’osservanza delle istruzioni a questo impartite (art. 28 del Regolamento cit.), dal punto di vista dell’elemento soggettivo vada senz’altro inquadrata entro i confini della responsabilità per colpa” (art. 83, par. 2, lett. b), del Regolamento);
- la pubblicazione non ha riguardato dati personali appartenenti alle categorie particolari di cui all’art. 9 del Regolamento o dati relativi a condanne penali o reati avendo avuto ad oggetto esclusivamente il nome e cognome dei partecipanti ammessi alla prova scritta della procedura (cfr. art. 83, par. 2, lett. g), del Regolamento).
Ciò premesso, si devono considerare, le seguenti circostanze attenuanti:
- il Ministero, che ha adottato specifiche misure per attenuare il danno subito dagli interessati richiedendo a Formez Pa, quale responsabile del trattamento, di rimuovere i predetti dati personali dal relativo sito web istituzionale, ha offerto una piena cooperazione con l’Autorità (art. 83, par. 2, lett. c) e f), del Regolamento);
- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento, aventi la medesima natura di quelle accertate in relazione ai fatti di reclamo (cfr. art. 83, par. 2, lett. e), del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 12.000,00 (dodicimila) per la violazione degli artt. 5, par. 1, lett. a), e 6, par. 1, lett. c) ed e) del Regolamento e art. 2-ter del Codice, nonché dell’art. 28, par. 3 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione dei numerosi dati personali (nome e cognome di circa trecento interessati) che sono stati pubblicati online in riferimento alla prova preselettiva della predetta procedura concorsuale.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
ai sensi degli artt. 57, par. 1, lett. f) e 83, del Regolamento, rileva l’illiceità del trattamento effettuato dal Ministero nei termini di cui in motivazione, per la violazione degli artt. 5, par.1, lett. a), e 6, par. 1, lett. c) ed e) del Regolamento e art. 2-ter del Codice, nonché dell’art.28, par.3 del Regolamento;
ORDINA
ai sensi dell’art. 58, par. 2, lett. i) del Regolamento al Ministero dell’Economia e delle Finanze, in persona del legale rappresentante pro-tempore, con sede in Via XX Settembre, 97 - 00187 Roma (RM), C.F.80415740580, di pagare la somma di euro 12.000,00 (dodicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;
INGIUNGE
quindi al Ministero di pagare la predetta somma di euro 12.000,00 (dodicimila) secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall'art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento -sempre secondo le modalità indicate in allegato- di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato;
DISPONE
a) ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;
b) ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;
c) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 26 febbraio 2026
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE
Montuori
