A quanto pare non è bastata all’INPS la sanzione di aprile con la quale il Garante per la Protezione dei dati personali irrogava all’Ente stesso una sanzione di 20mila euro per aver pubblicato sul web gli esiti delle prove (intermedie) con tanto di dati personali di concorrenti non vincitori o non ammessi al concorso.
Così ne è arrivata un’altra più corposa di 50mila euro. Scendiamo nel merito del provvedimento, significando i passaggi più salienti.
Indice degli argomenti
Sanzione INPS: concorsi pubblici, occhio a cosa si pubblica
Con nota del 3 dicembre 2024, il GPDP rende pubblica la nuova sanzione irrogata all’INPS per aver diffuso dati personali, anche particolari, di oltre 5000 candidati.
Si legge testualmente che “tra i dati oggetto della violazione oltre all’indicazione del nome e cognome dei candidati e alla data di nascita, il punteggio derivante dalla media dei voti conseguiti nelle prove scritte e orali, il punteggio dei titoli, l’indicazione dell’ammissione con riserva comprensiva anche delle causali relative alla salute, di oltre 5mila interessati tra vincitori e idonei”.
Insomma, un bel pot-pourri di dati personali in spregio degli arcinoti principi di necessità, liceità, correttezza, trasparenza e minimizzazione. Ma andiamo per gradi.
Il precedente
Come anticipato non è la prima sanzione che l’INPS riceve sul tema. Infatti, lo scorso aprile (2024) a seguito di un reclamo presentato da un interessato/concorrente al concorso pubblico, “a 1.858 posti di consulente protezione sociale nei ruoli del personale dell’INPS”, con riferimento al quale tale reclamante aveva lamentato “la pubblicazione sul sito web dell’Istituto di numerosi atti e documenti, tra cui gli elenchi degli ammessi e non ammessi alla prova scritta e prova orale e l’elenco dei partecipanti, contenente la valutazione dei titoli da parte della Commissione di concorso, con l’indicazione del punteggio attribuito a ciascun candidato. Tali documenti sarebbero poi finiti anche sui social network ad opera di terzi”.
In quell’occasione, il GPDP, rammentava che “i soggetti pubblici […] quando operano nello svolgimento di procedure concorsuali devono trattare i dati personali degli interessati nel rispetto delle norme di settore applicabili, e quindi non è possibile pubblicare online dati dei partecipanti ai concorsi non previsti dalla legge”.
Per tali motivi cui si rinvia, l’Autorità considerando natura/durata/gravità della violazione ed elevato numero degli interessati, pur apprezzando già allora, l’atteggiamento collaborativo dell’INPS, il quale si impegnava a rimuovere gli elenchi in questione, irrogava la sanzione di 20mila euro.
Tuttavia, a distanza di mesi, nonostante i buoni propositi manifestati, quegli elenchi ricchi di dati personali, anche particolari, eccedenti rispetto alle finalità (di assunzione e di interesse pubblico) sono ancora lì, visibili on line. Così il Garante torna a sanzionare l’Ente in questione.
Il provvedimento attuale
A seguito di ulteriori accertamenti fatti dal GDPD, è emerso che anche le graduatorie finali diffuse online contengono pure “numerose informazioni di dettaglio relative a vicende personali e familiari dei partecipanti, esponendo le persone a possibili danni sul piano reputazionale”.
Come si ha, infatti, modo di leggere nel provvedimento attuale, a taluni nominativi era persino associato il riferimento “a giudizi pendenti”, che seppur relativo al contenzioso con l’Amministrazione, è palese l’equivoco ingenerato con richiamo ai cd “carichi pendenti” penalmente rilevanti.
Ecco che il Garante ha ribadito, come “la pubblicazione delle graduatorie deve avvenire nel rispetto delle norme di settore applicabili con riguardo ai soli dati dei vincitori necessari ad assicurare la pubblicità e la trasparenza”.
Nuova sanzione INPS: l’analisi del provvedimento
Con il provvedimento in parola, il GPDP argomenta bene nell’istruttoria quella che è la normativa applicabile in materia di concorsi pubblici e soprattutto come va gestita la diffusione dei dati personali nel medesimo contesto.
Andiamo con ordine.
La normativa applicabile: il corretto bilanciamento
Il GPDP inizia dalla normativa applicabile per mettere in risalto il corretto bilanciamento da effettuarsi in questi casi, e testualmente afferma che “la disciplina di protezione dei dati personali prevede che i soggetti pubblici, anche quando operino nello svolgimento di procedure concorsuali, selettive o comunque valutative, prodromiche all’instaurazione del rapporto di lavoro, possono trattare i dati personali degli interessati (art. 4, n. 1, del Regolamento) se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (si pensi a specifici obblighi previsti dalla normativa nazionale “per finalità di assunzione”, artt. 6, par. 1, lett. c), 9, parr. 2, lett. b) e 4; 88 del Regolamento) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento e art. 2-ter del Codice)”.
Di qui, rammenta che “tali trattamenti devono, comunque, trovare fondamento nel diritto dell’Unione o dello Stato membro che deve perseguire un obiettivo di interesse pubblico ed essere proporzionato al perseguimento dello stesso”.
D’altronde la base giuridica dalla quale su ricava la finalità del trattamento (o viceversa) “deve essere necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento (cfr. art. 6, par. 3, del Regolamento e 2-ter del Codice)”.
A maggior ragione se si tratta di dati particolari (art. 9) ovvero di dati relativi a condanne penali (art. 10).
In ogni caso, conclude il GPDP “il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c) GDPR).
Nulla di nuovo, naturalmente.
Come gestire la diffusione di dati personali nelle graduatorie
Veniamo ora al secondo e più ampiamente argomentato motivo che ci rammenta come sia importante, in qualunque contesto, trattare/pubblicare dati personali in modo corretto.
Ci soffermeremo soltanto sui passaggi che riteniamo essere maggiormente significativi, rinviando come di consueto alla lettura integrale del provvedimento.
Qui, ai fini che ci occupano, merita segnalare come il GPDP richiami le disposizioni in materia di trasparenza amministrativa (D.lgs. 33/2013) e segnatamente le norme relative alla “pubblicità legale” e afferma che “Come tradizionalmente evidenziato dal Garante proprio con riguardo alla pubblicità di graduatorie, in una cornice normativa assai risalente e caratterizzata da norme stratificatesi nel tempo, la pubblicazione di dati personali online, a differenza delle tradizionali forme di pubblicità, costituisce una forma di diffusione di dati particolarmente invasiva poiché consente a chiunque, per effetto dei comuni motori di ricerca esterni ai siti, di reperire indiscriminatamente e in tempo reale un insieme consistente di informazioni personali rese disponibili in rete, non sempre aggiornate e di natura differente”.
Una volta pubblicati, infatti, i dati in rete rischiano di rimanere per sempre ben potendo essere utilizzati (indicizzati), anche incrociandoli con altre informazioni online, da chiunque. Ecco che, conclude il GPDP, “nell’utilizzare tale strumento di diffusione occorre, quindi, prevedere forme adeguate di selezione delle informazioni che potrebbero essere altrimenti aggregate massivamente mediante un comune motore di ricerca esterno ai siti e suscettibile di utilizzi ulteriori”.
È chiaro ed evidente che tali forme di pubblicazione “non autorizzano, di per sé, a trasporre tutti i documenti contenenti dati personali sul sito web istituzionale”.
Ma non è tutto, il Garante poi ricorda che ha fornito e più volte ribadito nel tempo, le “specifiche indicazioni alle pubbliche amministrazioni in ordine alle cautele da adottare per la diffusione di dati personali in Internet per finalità di trasparenza e pubblicità dell’azione amministrativa” (cfr. “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”) chiarendo che “la presenza di un regime di pubblicità non può comportare alcun automatismo rispetto alla diffusione online dei dati e informazioni personali, né una deroga ai principi in materia di protezione dei dati personali”, specie in ottica di accountability.
L’annosa querelle tra trasparenza ANAC e trasparenza privacy
Ritorna puntuale l’annosa questione tra le due ratio fondanti la “trasparenza”. Sul punto, anche in questo provvedimento, il GPDP ribadisce che “anche le disposizioni in materia di trasparenza amministrativa, nel fare salve le citate disposizioni relative alla pubblicità legale, prevedono specifici obblighi di pubblicazione nella sezione “Amministrazione Trasparente” del sito web istituzionale delle amministrazioni.
In base a quanto previsto dal d.lgs. 14 marzo 2013, n. 33, “fermi restando gli altri obblighi di pubblicità legale, le pubbliche amministrazioni pubblicano i bandi di concorso per il reclutamento, a qualsiasi titolo, di personale presso l’amministrazione, nonché i criteri di valutazione della Commissione, le tracce delle prove e le graduatorie finali, aggiornate con l’eventuale scorrimento degli idonei non vincitori. Le pubbliche amministrazioni pubblicano e tengono costantemente aggiornati i dati di cui al comma 1” e che “le richiamate disposizioni definiscono, sotto il profilo della protezione dei dati, l’ambito del trattamento consentito dall’ordinamento e ne costituiscono la base giuridica, stabilendo limiti, condizioni e presupposti della pubblicazione online di dati personali identificativi degli interessati nell’ambito dell’assolvimento degli obblighi di pubblicazione delle graduatorie finali delle procedure concorsuali”.
Di qui, il GPDP sottolinea ancora una volta, l’importanza del corretto “bilanciamento operato dal legislatore tra concorrenti valori costituzionalmente rilevanti nel sistema normativo che regola la pubblicità delle procedure di reclutamento del personale pubblico e, in particolare, ai rischi per gli interessati in caso di diffusione online dei dati relativi agli idonei non vincitori, chiarendo nello specifico che “la partecipazione a una selezione concorsuale (e il relativo esito), eventualmente anche in costanza di altro rapporto di lavoro, costituisce un dato che merita adeguata protezione (omissis), secondo modalità che possano coniugare, in maniera equilibrata, il principio di trasparenza amministrativa e il diritto alla protezione dei dati personali”.
Il che rileva non di meno in termini o meglio in presenza dell’indicizzazione e riutilizzabilità dei dati e, in generale, in ragione dei rischi connessi alla maggiore esposizione delle informazioni sul web.
L’importanza della minimizzazione dei dati
L’importanza della minimizzazione dei dati, specie nella pubblicazione online di una graduatoria (concorsuale) è fondamentale.
Nel ribadirlo, il Garante afferma testualmente che “Tale impostazione è stata ulteriormente confermata dal Garante nelle osservazioni contenute nel parere sugli schemi standard di pubblicazione predisposti da ANAC – riguardanti fra l’altro proprio l’art. 19, del d. lgs. n. 33/2013 – ai sensi dell’art. 48, commi 1 e 3, del medesimo decreto in cui è stato precisato che, anche nell’adempimento degli obblighi di pubblicazione, con riferimento ai soli vincitori di concorsi pubblici e degli idonei vincitori a seguito di scorrimento della graduatoria, devono essere indicati il nome e cognome, ed eventualmente la data di nascita (ad esempio, in caso di omonimia), nonché la posizione in graduatoria”. Ovvero nel quasi “sacro” rispetto del principio di minimizzazione dei dati (art. 5, par. 2, lett. c, RGDP).
L’importanza della gerarchia delle fonti
Riportiamo ancora un passaggio che riteniamo essere decisamente importante, ponendo il focus sulla gerarchia delle fonti e in particolare, il GPDP afferma testualmente come “in materia di reclutamento del personale le pubbliche amministrazioni [queste] sono tenute a rispettare le richiamate disposizioni nazionali che, come detto, costituiscono la base giuridica di tutti i trattamenti, compresa la diffusione, nell’ambito delle procedure concorsuali” (art. 2 ter Cod. Privacy).
Ma attenzione, tale passaggio di cui al citato art. 2-ter del rinovellato Codice “sebbene preveda che la base giuridica del trattamento [possa] consistere oltre che nella legge e nel regolamento, anche in atti amministrativi generali, tuttavia le disposizioni del bando di concorso pubblico non possono essere richiamate dall’INPS come base giuridica per diffondere online i dati personali dei partecipanti alla procedura concorsuale, in quanto un atto amministrativo per quanto generale non può tuttavia derogare, contravvenire o modificare le norme di settore sopra richiamate, peraltro, di rango primario (cfr., le disposizioni di settore sopra richiamate in materia di trasparenza dei pubblici concorsi). E tanto basta.
Conclusioni
Il Garante nel rassegnare le conclusioni e indicare le misure correttive imponendo una “limitazione provvisoria/definitiva (salva l’eccezione in frontespizio provvedimento)” e quindi il divieto del (prosieguo di) trattamento in ordine alle graduatorie in parola.
La sanzione di 50mila euro per un ente pubblico non è poco. La sanzione accessoria della pubblicazione pure, quindi speriamo una volta per tutte che le PA comprendano come la pubblicazione online, a differenza delle tradizionali forme di pubblicità consentendo a chiunque, grazie ai motori di ricerca, di reperire un insieme consistente di informazioni personali (disponibili) in rete, non sempre aggiornate e di natura differente.
Il tutto non può che non andare in sfregio al diritto della protezione dei dati. Infatti, una volta che i dati personali – di qualunque natura vieppiù se particolari – vengono pubblicati e indicizzati sui siti web, ecco che perdono ogni forma di controllo, rischiando di essere utilizzati anche per fini ulteriori, spesso illeciti.
