Il Garante privacy sanziona l’INPS per aver pubblicato sul proprio sito web gli esiti delle prove dei partecipanti ad una procedura di selezione del personale.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy
Indice
1. I fatti
Un reclamante segnalava al Garante per la protezione dei dati personali di aver partecipato da un concorso pubblico per titoli ed esami per l’assunzione di circa 1.800 persone presso l’INPS e che detto ultimo ente aveva pubblicato sul proprio sito web, alla pagina dedicata alla predetta procedura di selezione del personale, numerosi atti e documenti tra cui gli elenchi degli ammessi e dei non ammessi alla prova scritta e alla prova orale nonché l’elenco dei partecipanti contenente la valutazione dei titoli ad opera della Commissione di concorso con l’indicazione del punteggio attribuito a ciascun candidato.
Preso atto del reclamo, il Garante, in primo luogo, verificava d’ufficio che sul sito web dell’INPS (all’URL indicato nel reclamo) fossero stati pubblicati gli elenchi e i documenti di cui sopra; in secondo luogo, invitava il predetto ente pubblico a prendere posizione sui fatti denunciati nel reclamo.
In proposito, l’INPS dichiarava che i documenti in questione contenevano esclusivamente il nome e il cognome dei candidati al concorso per la selezione del personale (nonché nei casi di omonimia anche la data di nascita) e che la loro pubblicazione era avvenuta soltanto perché ritenuta strumento di massima trasparenza per la procedura concorsuale pubblica.
Dal punto di vista della base giuridica del trattamento, l’ente pubblico evidenziava che la pubblicazione dei documenti in questione era da ritenersi legittima in quanto la legge fa salva la possibilità per le pubbliche amministrazioni di adottare propri regolamenti per il reclutamento del personale e, nel caso di specie, l’INPS aveva disposto un regolamento generale per il reclutamento del personale e uno specifico bando per il concorso oggetto di reclamo che prevedevano la pubblicazione sul sito web istituzionale dell’elenco dei candidati ammessi e dei risultati delle prove di selezione, come strumento per notificare ai candidati gli esiti del concorso e permettere loro di tutelare i propri diritti eventualmente lesi. Pertanto, il motivo della pubblicazione dei documenti in questione era da ricondursi all’esigenza dell’ente pubblico di far decorrere per i candidati i termini per proporre impugnazione per avere prima possibile una graduatoria finale definitiva.
In proposito, l’INPS evidenziava che ai sensi dello stesso codice privacy la base giuridica che legittima un trattamento dati può consistere anche in atti amministrativi generali e che, secondo l’orientamento della giurisprudenza, i bandi di concorso sono sicuramente degli atti amministrativi a carattere generale con cui si rende noto l’esistenza di una procedura amministrativa e se ne regola lo svolgimento.
In secondo luogo, l’ente pubblico faceva presente che con la domanda di partecipazione, il candidato esprime il proprio “consenso alla trattazione dei dati personali”, anche per esigenze successive all’espletamento del concorso relative all’instaurazione del rapporto di lavoro.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni:
2. Pubblicazione degli esiti della selezione del personale: la valutazione del Garante
Il Garante per la protezione dei dati personali ha evidenziato che la disciplina di protezione dei dati personali prevede che i soggetti pubblici, anche quando operino nello svolgimento di procedure concorsuali, selettive o comunque valutative, prodromiche all’instaurazione del rapporto di lavoro, possono trattare i dati personali degli interessati se il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento oppure per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tali trattamenti devono, comunque, trovare fondamento nel diritto dell’Unione o dello Stato membro che deve perseguire un obiettivo di interesse pubblico ed essere proporzionato al perseguimento dello stesso.
In particolare, lo Stato italiano ha previsto che la base giuridica che legittima il trattamento dati dei soggetti pubblici di cui sopra, è costituita soltanto da una norma di legge o, nei casi previsti dalla legge, di regolamento o da atti amministrativi generali, nel cui novero sono ricompresi i bandi di concorso pubblico.
Nel caso di specie, il Garante ha accertato che l’INPS ha pubblicato sul proprio sito web istituzionale dati personali di oltre 5.000 partecipanti alla predetta procedura concorsuale contenuti negli elenchi degli ammessi e non ammessi alla prova scritta e alla prova orale e nell’elenco nominativo riguardante la valutazione dei titoli ad opera della Commissione di concorso con l’indicazione del punteggio attribuito a ciascun candidato.
Ebbene, le nazionali norme che disciplinano i concorsi pubblici stabiliscono in generale la pubblicità delle graduatorie di detti concorsi e delle prove selettive per consentire agli interessati (partecipanti a dette procedure) di poter attivare forme di tutela dei propri diritti e di controllo della legittimità dell’azione amministrativa, ma prevedono che siano pubblicate soltanto le graduatorie definitive dei vincitori di concorso e non anche gli esiti delle prove intermedie o dei dati personali dei concorrenti non vincitori o non ammessi.
Inoltre, anche le disposizioni in materia di trasparenza amministrativa prevedono specifici obblighi di pubblicazione, nella sezione “Amministrazione Trasparente” del sito web istituzionale delle amministrazioni, dei bandi di concorso per il reclutamento, a qualsiasi titolo, di personale presso l’amministrazione, nonché i criteri di valutazione della Commissione, le tracce delle prove e le graduatorie finali, aggiornate con l’eventuale scorrimento degli idonei non vincitori.
Tuttavia, le richiamate disposizioni normative prevedono altresì l’ambito del trattamento dei dati personali dei candidati che è consentito e stabiliscono i limiti, le condizioni e i presupposti della pubblicazione online dei predetti dati personali: in altri termini, costituiscono la base giuridica del trattamento.
Inoltre, il Garante ha aggiunto che l’esigenza di consentire la consultazione degli elenchi agli interessati per l’esercizio dei propri diritti, avrebbe potuto essere raggiunta tramite la messa a disposizione dei predetti elenchi in un’area riservata così da garantire la consultabilità degli stessi tramite accesso selettivo, con proprie credenziali, ai soli candidati della procedura, non già invece tramite la pubblicazione online accessibile da chiunque.
Infine, il Garante ha ritenuto che il richiamo a quanto previsto nel regolamento INPS delle procedure di reclutamento del personale e a quanto previsto nel bando del concorso quale base giuridica legittimante la pubblicazione on line dei documenti in questione non è pertinente.
Infatti, seppure astrattamente il bando, in quanto atto amministrativo generale, è idoneo a legittimare un trattamento dati, tale atto però non può comunque contravvenire o modificare le norme che sono previste da fonti sovraordinate all’atto amministrativo: ciò in quanto il criterio gerarchico delle fonti stabilisce che le fonti di rango superiore prevalgono su quelle di rango inferiore.
In considerazione di ciò, un atto amministrativo generale, come il bando di un concorso, non può modificare le regole sulla pubblicazione dei dati personali dei candidati ai concorsi che sono previste dalle norme di legge nazionale.
Per quanto riguarda la circostanza che i candidati alla procedura di selezione in questione avessero espresso il proprio consenso alla trattazione dei dati personali, al momento della sottoscrizione della domanda di partecipazione al concorso, il Garante l’ha ritenuta altresì irrilevante.
Infatti, secondo l’Autorità di controllo il trattamento di dati, finalizzato all’assunzione di personale da parte di un soggetto pubblico, trova la propria base giuridica nella specifica disciplina di settore che regola l’accesso agli impieghi nelle pubbliche amministrazioni e le modalità di svolgimento dei pubblici concorsi e non, invece, nel consenso degli interessati, in ragione dello squilibrio nel rapporto tra titolare e interessato.
3. La decisione del Garante
In considerazione di tutto quanto sopra, il Garante ha ritenuto che la diffusione online dei dati personali di oltre 5.000 partecipanti ad una procedura concorsuale indetta dall’INPS, contenuti negli elenchi degli ammessi e non ammessi alla prova scritta e alla prova orale e nell’elenco dei partecipanti contenente la valutazione dei titoli ad opera della Commissione di concorso recante l’indicazione del punteggio attribuito a ciascun candidato, sostanzia una violazione della normativa in materia di privacy in quanto si tratta di un trattamento avvenuto in assenza di una idonea base giuridica.
A tal proposito, il Garante, considerando che la condotta di cui sopra ha esaurito i suoi effetti in quanto l’INPS ha rimosso gli elenchi contenenti i dati personali dei partecipanti, ha ritenuto che non ricorrono i presupposti per l’adozione di ulteriori misure correttive; tuttavia, l’autorità ha ritenuto di poter applicare una sanzione amministrativa pecuniaria a carico dell’INPS per la condotta di cui sopra.
Per quanto concerne la quantificazione della predetta sanzione, il Garante ha tenuto in considerazione l’elevato numero di soggetti coinvolti e il fatto che l’INPS non ha tenuto conto del vigente quadro normativo e delle indicazioni già fornite sul tema dal Garante nonché la presenza di altri precedenti violazioni del titolare del trattamento (anche se in contesti diversi). Dal punto di vista delle attenuanti, il Garante ha valutato la durata della violazione, avvenuta per pochi mesi, e la cooperazione offerta dal titolare durante la procedura nonché la natura di dati personali semplici dei dati che sono stati diffusi. Conseguentemente, il Garante ha ritenuto di quantificare la sanzione amministrativa pecuniaria in €. 20.000 (ventimila).
Scrivi un commento
Accedi per poter inserire un commento