La pubblicazione delle graduatorie dei concorsi pubblici deve rispettare regole molto precise: non tutto può essere reso visibile online. A chiarirlo è il Garante per la protezione dei dati personali con il provvedimento 117/2026, che segna un punto fermo nel rapporto tra trasparenza amministrativa e tutela della privacy.
Vediamo in estrema sintesi la vicenda che ha portato all’intervento dell’Authority e quali sono i diritti dei singoli partecipanti a selezioni, per lavorare nella Pubblica Amministrazione.
Indice
Il caso concreto in breve e la sanzione inflitta dal Garante
In una procedura concorsuale del Ministero delle Imprese e del Made in Italy, gestita da Formez PA, erano state pubblicate graduatorie contenenti dati personali ritenuti eccedenti la sfera della riservatezza, tra cui i codici fiscali e i dettagli analitici dei punteggi.
Dopo il reclamo di alcuni partecipanti alla selezione e le opportune verifiche, il Garante ha valutato illecita la diffusione e ha inflitto a Formez PA una multa di 15mila euro.
La sanzione pecuniaria del Garante ha importanza generale perché chiarisce il sistema delle responsabilità. La PA che bandisce il concorso rimane titolare del trattamento e deve vigilare sulla correttezza della gestione dei dati. Mentre i soggetti esterni coinvolti (come enti o società incaricate della gestione delle selezioni) sono responsabili del trattamento e sono tenuti a verificare che le attività siano conformi alla normativa. E non è sufficiente eseguire le istruzioni ricevute: è richiesto un controllo attivo sulla correttezza delle operazioni.
È un segnale chiaro: la violazione delle regole sulla privacy, anche in nome della trasparenza, comporta conseguenze economiche concrete.
Concorsi pubblici, sì alla trasparenza ma temperata e senza eccessi
Pilastro della legge 241/1990 e rafforzato dal d. lgs. 33/2013 sull’accesso civico, il principio di trasparenza è fondamentale negli enti pubblici perché serve a garantire controllabilità, imparzialità e fiducia da parte dei cittadini.
È un elemento chiave dell’azione amministrativa, inteso come accessibilità ampia a dati e documenti allo scopo di favorire controlli diffusi, prevenire la corruzione e garantire il buon andamento nel rispetto dell’art. 97 Costituzione.
Attenzione però, se da un lato per i cittadini la PA è una “casa di vetro”, dall’altro non può sempre e comunque diffondere indiscriminatamente dati personali e informazioni riservate.
Ecco perché il Garante ha ribadito che anche nei concorsi pubblici devono essere rispettate le regole previste dal quadro normativo vigente, in particolare il Regolamento UE 2016/679 (GDPR), il Codice della privacy e il menzionato d. lgs. 33/2013. La trasparenza va sempre contemperata con i diritti individuali.
Dati pubblicabili e non pubblicabili sul web
Secondo il Garante, le graduatorie online devono contenere esclusivamente le informazioni essenziali per garantire la trasparenza della procedura. In particolare, è legittimo pubblicare:
- nome e cognome dei vincitori;
- punteggio finale;
- posizione in graduatoria.
Questi elementi sono sufficienti a consentire il controllo pubblico sull’esito del concorso, senza incidere eccessivamente sulla sfera privata dei partecipanti.
Tuttavia può succedere che nelle graduatorie pubblicate online compaiano informazioni ulteriori. Il provvedimento 117/2026 del Garante chiarisce che vari dati sono da considerarsi eccedenti e, quindi, non pubblicabili. Tra questi:
- il codice fiscale;
- il dettaglio dei punteggi (ad es. per singole prove);
- i titoli di preferenza o precedenza.
Sono certamente dati utili per la formazione della graduatoria, ma non sono necessari per soddisfare gli obblighi di trasparenza. La loro diffusione online, quindi, è illegittima e se pubblicati, vanno cancellati.
Il caso degli idonei non vincitori
Uno degli aspetti più delicati riguarda i candidati idonei ma non vincitori. L’Authority ha però adottato una linea chiara: i loro dati non devono essere diffusi sul web, a meno che non si proceda allo scorrimento della graduatoria.
Questo orientamento è aderente alla giurisprudenza amministrativa del Tar Lazio: di per sé l’idoneità non giustifica la diffusione dei dati personali. Serve un interesse concreto, come l’effettiva possibilità di firmare un contratto di lavoro.
I tre criteri guida nei concorsi pubblici
Da questo insieme di norme derivano tre principi chiave richiamati dall’Authority nel provvedimento 117/2026. Vediamoli in sintesi.
Minimizzazione dei dati
È pubblicabile online solo ciò che è strettamente necessario, selezionando i dati indispensabili a garantire trasparenza e correttezza della procedura. Per questo, piattaforme digitali e atti amministrativi devono essere progettati “a monte” secondo una logica di riduzione dei dati.
La trasparenza, infatti, non richiede un’esposizione totale del candidato, ma solo quanto serve a verificare il corretto svolgimento della selezione.
Pertinenza
I dati diffusi devono essere coerenti con la finalità di trasparenza e controllo sull’operato della PA, con un nesso diretto con l’esito della selezione. Devono cioè consentire di capire chi ha vinto e con quale risultato, senza ricostruire l’intero profilo personale.
In sostanza, ogni informazione deve rispondere alla domanda: serve davvero alla trasparenza? Il punteggio finale, ad esempio, è pertinente; il dettaglio di titoli o preferenze, di norma, no.
Non eccedenza
Impone di evitare informazioni superflue o sproporzionate e la sovraesposizione dei dati. Anche un dato pertinente può diventare illecito se diffuso in modo eccessivo. Nei concorsi ciò significa:
- non pubblicare dati “di contorno” (come codici fiscali o punteggi analitici);
- evitare informazioni che rivelano aspetti sensibili, anche indirettamente (ad es. titoli legati a condizioni familiari o disabilità dei singoli candidati);
- limitare la diffusione quando manca un interesse pubblico concreto (come per gli idonei non vincitori).
In sintesi, anche se un dato è corretto e usato nella procedura, non è detto che debba essere pubblicato online.
Nei concorsi pubblici, questi tre criteri non sono formule astratte. Guidano o devono guidare le amministrazioni nella pubblicazione delle graduatorie e, più in generale, nella gestione dei dati dei candidati.
Che cosa cambia per tutti i concorsi pubblici
L’Authority è sempre rigorosa in tema di accesso al lavoro e tutele dell’occupazione. Basti pensare ad esempio alla decisione secondo cui il datore non deve mai diffondere i motivi di assenza di un suo dipendente. Ora, le indicazioni fornite dal Garante con il provvedimento 117/2026 vanno oltre il caso esaminato. Tutte le amministrazioni pubbliche devono adeguarsi ai suddetti criteri nei concorsi ministeriali, nelle selezioni negli enti locali o nei concorsi scolastici. Per evitare contestazioni e possibili sanzioni, le graduatorie dovranno quindi essere pubblicate in modo più selettivo, limitandosi ai soli dati essenziali.
Il messaggio finale è chiaro: la trasparenza resta pilastro dell’azione amministrativa, ma deve sempre convivere con la tutela dei dati personali. Deve essere una trasparenza “virtuosa”, aprendo al controllo pubblico senza esporre inutilmente le informazioni personali dei cittadini.
Per le amministrazioni questo significa rivedere o ricontrollare le prassi di reclutamento, aggiornare le piattaforme digitali e prestare la massima attenzione alla gestione dei dati. Dal lato dei cittadini, invece, si rafforza una significativa protezione: quella della propria privacy, anche quando si partecipa a un concorso.
