Lo ha stabilito il Garante privacy, sanzionando il Comune di Villasimius per aver pubblicato i dati personali della reclamante nonché i nominativi dei membri della commissione e della verbalizzatrice. Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy
Indice
1. Il provvedimento del Garante privacy
Con provvedimento doc. web n. 10050145 del 4 luglio 2024, il Garante privacy torna sulla annosa questione della pubblicazione degli atti su amministrazione trasparente.
La disciplina di protezione dei dati personali prevede che i soggetti pubblici, anche quando operino nello svolgimento di procedure concorsuali, selettive o comunque valutative, prodromiche all’instaurazione del rapporto di lavoro, possono trattare i dati personali degli interessati (art. 4, n. 1, del Regolamento europeo n. 679/2016 “GDPR”) se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (si pensi a specifici obblighi previsti dalla normativa nazionale “per finalità di assunzione”, artt. 6, par. 1, lett. c), 9, parr. 2, lett. b) e 4; 88 GDPR) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) GDPR e art. 2-ter del Codice).
Tali trattamenti devono, comunque, trovare fondamento nel diritto dell’Unione europea o dello Stato membro, che deve perseguire un obiettivo di interesse pubblico ed essere proporzionato al perseguimento dello stesso. La finalità del trattamento deve essere necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento (cfr. art. 6, par. 3 GDPR e 2-ter del Codice).
La disciplina nazionale ha introdotto disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando con maggiore precisione requisiti specifici per il trattamento, nonché altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2 GDPR) e, in tale ambito, ha previsto che la base giuridica prevista dall’art. 6, par. 3, lett. b) GDPR, è costituita esclusivamente dalle fonti normative indicate dall’art. 2-ter del Codice. (2-ter del Codice).
Il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, paragrafo 1, lett. a) e c) GDPR). Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | Maggioli Editore 2022
23.75 €
2. Il ritardato riscontro alla richiesta di esercizio del diritto di cui all’art. 17 GDPR.
Dagli elementi acquisiti nell’ambito dell’attività istruttoria, risulta accertato che il Comune di Villasimius ha fornito riscontro alla richiesta di esercizio del diritto di cancellazione e deindicizzazione formulata dalla reclamante, provvedendo alla rimozione del predetto verbale dal proprio sito web istituzionale e alla relativa deindicizzazione dai motori di ricerca, solo dopo l’invito ad aderire trasmesso dal Garante privacy, senza dunque assicurare l’osservanza dei termini previsti dal GDPR per il riscontro all’interessato.
Il trasgressore, nel ribadire il carattere colposo dell’accaduto, ha chiarito che, nel corso del riscontro ad una richiesta di informazioni trasmessa ai sensi dell’art. 157 del Codice privacy, la richiesta originaria di esercizio dei diritti dell’interessato è pervenuta non all’indirizzo di posta elettronica certificata del protocollo o del DPO né, in un’ottica di piena agevolazione dei diritti dell’interessata, alle rispettive mail ordinarie ma all’indirizzo di posta elettronica ordinaria del Segretario comunale in un periodo in cui la Segreteria comunale era peraltro vacante e l’indirizzo non stabilmente presidiato, con i conseguenti problemi di notifica (e prova della relativa notifica) determinati dal mezzo prescelto dalla reclamante.
Potrebbero interessarti anche:
3. L’illecita pubblicazione dei dati personali della reclamante nonché dei nominativi dei membri della commissione e della verbalizzatrice
Dagli elementi acquisiti e dei fatti emersi nell’ambito dell’attività istruttoria, risulta accertato che il Comune di Villasimius ha pubblicato sul proprio sito web istituzionale un verbale relativo ad una procedura selettiva indetta dal Comune medesimo e contenente dati personali della reclamante – quali la data di nascita, il voto di laurea e la valutazione nell’ambito di tale procedura – nonché i nominativi dei membri della commissione e della verbalizzatrice.
Il documento in questione, secondo quanto accertato nell’istruttoria e confermato dal Comune, risultava altresì indicizzato dai motori di ricerca generalisti.
Chiarisce il Garante privacy che le disposizioni in materia di trasparenza amministrativa prevedono specifici obblighi di pubblicazione nella sezione “Amministrazione Trasparente” del sito web istituzionale delle amministrazioni. Infatti, in base a quanto previsto dal d.lgs. 14 marzo 2013, n. 33, “fermi restando gli altri obblighi di pubblicità legale, le pubbliche amministrazioni pubblicano i bandi di concorso per il reclutamento, a qualsiasi titolo, di personale presso l’amministrazione, nonché i criteri di valutazione della Commissione, le tracce delle prove e le graduatorie finali, aggiornate con l’eventuale scorrimento degli idonei non vincitori. Le pubbliche amministrazioni pubblicano e tengono costantemente aggiornati i dati di cui al comma 1” (art. 19, commi 1 e 2; v. Memoria del Presidente dell’Autorità garante per la protezione dei dati personali sul disegno di legge di bilancio 2020 commissione 5°, Bilancio, del Senato della Repubblica, del 12 novembre 2019, doc. web 9184376; cfr., da ultimo, provv. dell’11 aprile 2024 n. 235, doc. web n. 10019523 nonché provv.ti 23 marzo 2023, n. 83, doc. web n. 9888096, e 28 aprile 2022, n. 151, doc. web n. 9778996, e i precedenti provvedimenti in essi richiamati, tra cui, in particolare, il provv. 25 novembre 2021 n. 407, doc. web n. 9732406).
Tali disposizioni definiscono, sotto il profilo della protezione dei dati, l’ambito del trattamento consentito e ne costituiscono la base giuridica stabilendo limiti, condizioni e presupposti della pubblicazione online di dati personali nell’ambito delle procedure concorsuali. Le stesse dispongono tuttavia che siano pubblicate le sole graduatorie definitive dei vincitori di concorso e non anche gli atti intermedi o endoprocedimentali relativi alla complessiva procedura concorsuale (cfr. art. 15, comma 6, del d.P.R. cit.), come invece avvenuto nel caso di specie con la pubblicazione del verbale n. 1 del 19 dicembre 2019.
In tale quadro il Garante ha, nel tempo, fornito specifiche indicazioni di carattere generale alle pubbliche amministrazioni in ordine alle cautele da adottare per la diffusione di dati personali in Internet per finalità di trasparenza e pubblicità dell’azione amministrativa, in particolare, nel 2014, con le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” (provv. n. 243 del 15 maggio 2014, doc. web n. 3134436, parte I e II, spec. par. 3.b) e, con decisioni su singoli casi, ha ritenuto illecita la pubblicazione, nell’ambito di procedure selettive e concorsi, di atti e documenti diversi dalle graduatorie finali di merito (cfr. provv. ti 17 maggio 2023, n. 195, doc. web n. 9908484; 25 novembre 2021, n. 407, doc. web n. 9732406; 11 marzo 2021, n. 89, doc. web n. 9581028).
L’Ente comunale, nelle sue difese rendeva noto che la pubblicazione del verbale suddetto deriva da un errore dal carattere assolutamente colposo, determinato dal sovrabbondante carico di lavoro in periodo pandemico che, unitamente alla contestuale esiguità delle risorse umane, ha fatto sì che l’Ente abbia commesso un errore di analisi come quello verificatosi su quanto fosse da pubblicare, che la pubblicazione ha riguardato solo dati generici (non anche dati particolari o giudiziari) e che non si sono verificate conseguenze pregiudizievoli in capo alla reclamante.
Si è provveduto alla cancellazione immediata del documento e dei dati segnalati dalla reclamante, ivi compresa la correlata deindicizzazione dai motori di ricerca. Inoltre, l’Ente ha successivamente provveduto ad effettuare specifici corsi in materia di rapporti tra la trasparenza e la privacy, per meglio sensibilizzare i dipendenti affinché non si verifichino ulteriori episodi come quello di specie ed ha modificato le proprie procedure per la pubblicazione di dati e informazioni, sottoponendo a un più attento controllo interno i documenti.
4. Conclusioni
Il provvedimento in commento, seppure ripercorre argomentazioni già note relative al rapporto tra riservatezza dei dati personali e trasparenza, risulta di assoluto interesse sia perché ribadisce che nel caso di procedure concorsuali devono essere pubblicate le sole graduatorie definitive dei vincitori di concorso e non anche gli atti intermedi o endoprocedimentali relativi alla complessiva procedura concorsuale, sia perché chiarisce che a non poter essere pubblicati sono anche i nominativi dei membri della commissione esaminatrice e del verbalizzante.
Tenuto conto che non risultano precedenti violazioni a carico del Comune di Villasimius, considerato che si tratta di un Comune di modeste dimensioni e che ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria, l’Autorità amministrativa ha comminato una sanzione di € 4.000,00 (di cui € 1.000 per il mancato riscontro alla richiesta di esercizio dei diritti dell’interessato ed € 3.000,00 per la pubblicazione del verbale di gara).
Scrivi un commento
Accedi per poter inserire un commento