INUTILE E FUORVIANTE PER UNA PA ACQUISIRE DALLE PERSONE FISICHE AUTORIZZAZIONI DI STILE AL TRATTAMENTO DI DATI PERSONALI CONFERITI NELL’AMBITO DI PROCEDIMENTI AMMINISTRATIVI AVVIATI SU ISTANZA
INUTILE E FUORVIANTE PER UNA PA ACQUISIRE DALLE PERSONE FISICHE AUTORIZZAZIONI DI STILE AL TRATTAMENTO DI DATI PERSONALI CONFERITI NELL’AMBITO DI PROCEDIMENTI AMMINISTRATIVI AVVIATI SU ISTANZA
Commento a provvedimento del Garante Privacy n. 381/2026
08 Luglio 2026
Quante volte interagendo formalmente con una PA ci si è trovati e ci si trova tutt’ora, quali utenti-cittadini, dinanzi al necessario utilizzo di modelli standard predisposti dalla PA stessa (che sovente li indica quale unica modalità di formulazione di una data istanza, domanda, segnalazione, etc.), recanti essi stessi ed i relativi allegati richiesti (si pensi al CV, copia del Documento di identità) dati personali del cittadino (interessato) che una volta forniti e depositato materialmente/inoltrato informaticamente presso/alla PA entrano in possesso della PA? Sovente i modelli perfetti recano anche (in calce) l’informativa[1] ex art. 13 del GDPR (Reg. UE 679/2016), atteso che si stanno acquisendo dati personali presso l’interessato. Beninteso: trattasi di dati personali il cui conferimento alla PA è direttamente o indirettamente (=implicitamente) IMPOSTO DALLA LEGGE CHE DISCIPLINA IL PROCEDIMENTO e che quindi ove non conferiti renderebbero l’istanza presentata alla PA (ma incompleta: ad es. si pensi alla sottoscrizione, digitale o elettronica) benché ricevibile (ma poi) i-n-a-m-m-i-s-s-i-b-i-l-e, con conseguente frustrazione dell’interesse legittimo dell’istante che si vedrebbe legittimamente escluso dalla PA procedente ‘ai sensi i legge’ dal procedimento (es. v. domanda di concorso pubblico; v. istanza di accesso civico generalizzato; etc.). E sovente tali moduli recano la seguente dicitura finale standard prima della chiusura/della firma “Autorizzo la PA ricevente a trattare i dati personali conferiti con la compilazione del presente modello e recati dai suoi allegati….”Sic et simpliciter, cioè senza alcuna limitazione espressa di tale ‘trattamento’ dei dati personali conferiti.
Insomma, trattasi in tali casi evidentemente di trattamenti di dati personali da parte della PA--titolare del trattamento medesimo - che hanno la loro base giuridica semplicemente nella legge (osservata) che disciplina il procedimento stesso, di cui la PA di volta in volta si occupa, applicandola in modo pedissequo: insomma è esattamente il caso - previsto dall’art. 6 comma del GDPR, articolo che norma in maniera chiara e tassativa i CASI DI LECITO (=LEGITTIMO) TRATTAMENTO DEI DATI PERSONALI- o meglio i casi di cui alle lettere c) ed e) dell’art. 6 del GDPR: c) in generale ma anche e soprattutto la e) atteso che la PA esercita pubblici poteri e deve applicare la legge che regola qualunque procedimento che si conclude con un provvedimento amministrativo:
“1.Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b)il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;
e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.”
Vista la suddetta situazione dall’interno della PA possiamo, invece, chiederci: il Funzionario Responsabile del procedimento attivato dal suddetto modello utilizzato dagli interessati-istanti, recante anche dati personali, una volta ricevuti tali dati personali, davvero grazie al CONSENSO ACQUISTO DAGLI INTERESSATI A QUALUNQUE TRATTAMENTO DEGLI STESSI può su di essi compiere qualunque trattamento ? Il che equivale anche a chiedersi più in generale: il caso di trattamento lecito previsto dalla lettera a) dell’art. 6 del GDPR vale/può essere invocato per/da una PA ?
La risposta a tale ultimo quesito è assolutamente NO ! Il che equivale a dire che certe chiusure di (mero) stile di simili modelli che la PA propina ai cittadini-istanti recanti simili AUTORIZZAZIONI AL TRATTAMENTO DI DATI PERSONALI sono ….tamquam non essent (= come se non esistessero sul piano giuridico) per la PA titolare del trattamento che troppo incautamente sulle stesse invece confida, …pare stando alla frequenza con cui si rinvengono ancora simili AUTORIZZAZIONI sulla modulistica che la PA propone al cittadino anche dopo il 2016 anno di entrata in vigore del chiaro art. 6 del GDPR !).
Di tutto quanto sopra dovrebbero saperne qualcosa i colleghi addetti alla tutela della Privacy dell’all’Università degli studi di Bari Aldo Moro che sono stati interessati da un reclamo che il Garante della Privacy ha affrontato e risolto, dopo accurata interlocuzione con detto Ateneo, con il provvedimento di cui al titolo del presente scritto [esattamente:doc. web n. 10259894 - Provvedimento del 28 maggio 2026 - Registro dei provvedimentin. 381 del 28 maggio 2026: v. https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10259894].
Cosa è accaduto? Ce lo dice lo stesso Garante nel provvedimento in commento:
FATTO (= TRATTAMENTO):
“Con reclamo presentato all’Autorità dal sig. XX, è stato lamentato che, facendo seguito ad una istanza di accesso civico generalizzatopresentata all’Università degli studi di Bari Aldo Moro (di seguito, l’Università), è stata inviata, al soggetto controinteressato,“l’integrale istanza completa di tutti i dati personali dell’[…] istante compresi l’indirizzo di residenza e il numero di telefono cellulare”.”.
AUTODIFESA DELLA PA (pro liceità del suddetto trattamento):
“Con nota del XX, a cui si rinvia integralmente, rispondendo alla richiesta di informazioni formulata da questa Autorità in data XX (prot. n. XX), l’Università ha rappresentato, in particolare che “in calce all’istanza, il dott. XX, in grassetto e sottolineato, ha riportato la dicitura “autorizzo il trattamento dei miei dati personali per le finalità connesse alla richiesta”senza indicare alcuna limitazione. E poiché rientra in tale finalità anche il sub procedimento caratterizzato dall’obbligo di notiziare il controinteressato della richiesta di accesso, producendo copia della stessa, come previsto dalla normativa nazionale e dal Regolamento Uniba, vigenti in materia, si ritiene che nessuna violazione si sia configurata in merito alla vicenda che ci occupa. […] l’esplicita ed incondizionata autorizzazione al trattamento dei dati personali da parte del richiedente sembra da un lato consentire l’ostensione della copia integrale della richiesta al controinteressato, e dall’altro esimere il funzionario dall’operare un bilanciamento degli interessi in campo”.”
RILIEVI / CONSIDERAZIONI DEL GARANTE DELLA PRIVACY ( A CONFERMA DELLA RISPOSTA NEGATIVA – NO – DI CUI AL QUESITO OPERATIVO DI CUI IN APERTURA):
A) “Il Regolamento definisce “dato personale”, “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato"); si considera identificabile la persona...








