Categorie principali
Altre categorie
Network Maggioli
    Registrarsi conviene

    Tanti vantaggi subito accessibili

  • 1

    Download gratuito dei tuoi articoli preferiti in formato PDF

  • 2

    Possibilità di sospendere la pubblicità dagli articoli del portale

  • 3

    Iscrizione al network dei professionisti

  • 4

    Ricevi le newsletter con le nostre Rassegne fiscali

Diritto amministrativo

Concorsi della P.A.: online solo le graduatorie definitive dei vincitori

Armando Pellegrino 11/06/24
Scarica PDF Stampa

Sanzione del Garante all’INPS in merito alla pubblicazione online dei vincitori dei concorsi della P.A.

Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy

Indice

1. Introduzione

Ai sensi dell’articolo 77 del GDPR è stato presentato un reclamo al Garante da parte di un partecipante al “concorso pubblico per titoli ed esami, a 1858 posti di consulente protezione sociale nei ruoli del personale dell’INPS, area C, posizione economica C1” ha lamentato la pubblicazione, sul sito web dell’Istituto Nazionale di Previdenza Sociale (di seguito “INPS”)”. Il reclamante, in particolare, lamentava la pubblicazione di numerosi atti e documenti, tra cui gli elenchi degli ammessi e non ammessi alle prove e, inoltre, l’elenco dei partecipanti alla procedura di selezione comprensivo della valutazione dei titoli e, quindi, con l’indicazione del punteggio attribuito a ciascun candidato, comprensivi dei loro dati personali.
Il Garante (di seguito anche “Autorità”), con provvedimento dell’11 aprile 2024, si è espresso in merito alla pubblicazione sul sito istituzionale dell’INPS degli esiti delle prove intermedie o dei dati personali dei concorrenti non vincitori o non ammessi al concorso indicando che tale forma di pubblicazione è una violazione del trattamento dei dati personali e sanzionando l’ente colpevole di tale violazione con l’importo di 20.000 euro.
Tale circostanza ha portato al rischio che, come previsto dal quadro normativo, deve essere attentamente valutato ex ante alla pubblicazione nel rispetto del principio di accountability e dei principi di privacy by design e privacy by default, di diffusione dei predetti documenti, rischio che poi in realtà si è manifestato con la condivisione anche nei social network ad opera di terzi.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni:

FORMATO CARTACEO

I ricorsi al Garante della privacy

Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.

Michele Iaselli | Maggioli Editore 2022

23.75 €

Scopri di più

2. Attività istruttoria

L’Autorità, dopo aver verificato l’effettiva pubblicazione della documentazione contenente dati personali di migliaia di interessati partecipanti alla procedura di selezione e indicizzati sui motori di ricerca generalisti, ha trasmesso una richiesta di informazioni all’INPS. Tale richiesta di informazioni è stata riscontrata dallo stesso Istituto dichiarando che si era provveduto, nel medesimo giorno del ricevimento da parte del Garante della richiesta di informazioni, a rimuovere dal sito istituzionale dell’istituto e specificando che, comunque, la pubblicazione dei documenti contenenti esclusivamente nome e cognome dei candidati, nonché nei casi di omonimia anche la data di nascita, è stata operata perché ritenuta strumento di massima trasparenza in una procedura concorsuale pubblica dichiarando, inoltre, che nessun altro dato personale è stato diffuso.
Successivamente, con apposita nota, il Garante ha notificato all’INPS, ai sensi dell’art. 166, comma 5, del Codice della Privacy, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, 6 del Regolamento, nonché 2-ter del Codice, invitando il predetto titolare del trattamento a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità [1].
L’INPS, riscontrando tale ulteriore nota, ha prodotto una memoria difensiva, dichiarando che l’istituto ha provveduto all’immediata rimozione dal sito istituzionale dei documenti in questione, sostituendoli mediante ID di domanda randomizzato. La risposta dell’Istituto contiene, inoltre, un riferimento all’articolo 70, comma 13, del decreto legislativo del 30 marzo 2001, n. 165, il quale indica che è fatto salvo alle pubbliche amministrazioni, nell’ambito dei rispettivi ordinamenti, di poter adottare propri regolamenti per il reclutamento del personale. L’Istituto, in materia di reclutamento del personale non dirigente, ha adottato il proprio Regolamento [2]. Invocando tale Regolamento, l’INPS ha indicato che all’articolo 6 del bando viene stabilito che “l’elenco dei candidati ammessi a partecipare alle prove scritte è pubblicato con valore di notifica a tutti gli effetti sul sito internet dell’INPS all’indirizzo www.inps.it”.
Nelle memorie difensive prodotte dall’Istituto, si fa anche riferimento all’indicazione, sempre nel Regolamento citato, che “con la domanda di partecipazione, il candidato esprime il proprio “consenso alla trattazione dei dati personali”, anche per esigenze successive all’espletamento del concorso relative all’instaurazione del rapporto di lavoro”. Posto ciò, l’art. 2-ter del Codice, come modificato dall’art. 9 del decreto-legge n. 139/2021, convertito con modificazioni dalla legge n. 205/2021, prevede che la base giuridica del trattamento possa consistere nella legge, nel regolamento ed anche in atti amministrativi generali. Inoltre, secondo l’orientamento univoco della giurisprudenza, i bandi di concorso sono atti amministrativi a carattere generale con i quali viene resa nota l’esistenza di una procedura e se ne regola lo svolgimento, rappresentando la lex specialis del procedimento. L’Adunanza Plenaria del Consiglio di Stato ha chiarito che i bandi sono “atti amministrativi a carattere generale, destinati alla cura concreta di interessi pubblici[3].
Nel caso di specie, sempre secondo l’Istituto, in base al quadro giuridico di riferimento, la pubblicazione sul sito web istituzionale degli atti e documenti del concorso, trova il suo fondamento proprio nel “Regolamento per il reclutamento del personale dell’INPS” e nel bando di concorso approvato con deliberazione del Consiglio di Amministrazione e, inoltre, l’INPS indica che “la pubblicazione degli atti e documenti in questione, ha riguardato soltanto dati comuni necessari al fine del perseguimento di un legittimo interesse dell’amministrazione”.
L’INPS, inoltre, nel corso dell’audizione ai sensi dell’art. 166, comma 6, del Codice della Privacy, ha rappresentato, tra l’altro, che l’impatto sui diritti degli interessati può considerarsi in concreto trascurabile, se non addirittura nullo, se si considera che, nel lasso di tempo di espletamento della procedura concorsuale e nel periodo successivo, è pervenuta una sola segnalazione di presunta violazione della riservatezza.

3. Concorsi della P.A. e privacy: il quadro normativo

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, anche quando operino nello svolgimento di procedure concorsuali, selettive o comunque valutative, prodromiche all’instaurazione del rapporto di lavoro, possono trattare i dati personali degli interessati se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento oppure per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”.
Tali trattamenti devono, comunque, trovare fondamento nel diritto dell’Unione o dello Stato membro che deve perseguire un obiettivo di interesse pubblico ed essere proporzionato al perseguimento dello stesso.
La disciplina nazionale ha introdotto disposizioni più specifiche per adeguare l’applicazione delle norme del GDPR, determinando con maggiore precisione requisiti specifici per il trattamento, nonché altre misure atte a garantire un trattamento lecito e corretto.
Il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.

4. Conclusione

Con specifico riferimento alla pubblicità delle graduatorie, come più volte rappresentato dal Garante, le disposizioni normative che stabiliscono, in generale, la pubblicità delle graduatorie di concorsi e prove selettive, svolgono la funzione di consentire agli interessati, partecipanti alle procedure concorsuali o selettive, l’attivazione delle forme di tutela dei propri diritti e di controllo della legittimità dell’azione amministrativa. Tali norme dispongono, tuttavia, che siano pubblicate le sole graduatorie definitive dei vincitori di concorso e non anche gli esiti delle prove intermedie o dei dati personali dei concorrenti non vincitori o non ammessi.
Tali disposizioni definiscono, sotto il profilo della protezione dei dati, l’ambito del trattamento consentito e ne costituiscono la base giuridica stabilendo limiti, condizioni e presupposti della pubblicazione online di dati personali nell’ambito delle procedure concorsuali.
In tale quadro il Garante ha, nel tempo, fornito specifiche indicazioni alle pubbliche amministrazioni in ordine alle cautele da adottare per la diffusione di dati personali in Internet per finalità di trasparenza e pubblicità dell’azione amministrativa, in particolare, nel 2014, con le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”.
Inoltre, in secondo luogo, non può considerarsi pertinente il richiamo alle disposizioni contenute nel “Regolamento delle procedure di reclutamento per l’assunzione all’Inps del personale non dirigente a tempo indeterminato” approvato da INPS e a quelle contenute nel bando di concorso.
Seppure il bando di concorso pubblico, quale atto amministrativo generale, è fonte idonea a legittimare il trattamento dei dati personali dei candidati a ricoprire una determinata qualifica ai sensi dell’art. 2-ter del Codice della Privacy, tale atto non può contravvenire ovvero modificare le norme sovraordinate di riferimento, avendo un mero effetto integrativo dell’ordinamento.
L’art. 2-ter del Codice prevede effettivamente che la base giuridica del trattamento può consistere nella legge, nel regolamento ed anche in atti amministrativi generali. Nel caso di specie, tuttavia, le disposizioni del bando di concorso pubblico non possono essere richiamate dall’INPS come base giuridica per diffondere online i dati personali dei partecipanti alla procedura concorsuale, in quanto un atto amministrativo per quanto generale non può tuttavia derogare, contravvenire o modificare le norme di settore sopra richiamate, peraltro, di rango primario.
Alla luce delle considerazioni che precedono, secondo l’Autorità, la diffusione online di numerosi dati personali di migliaia di partecipanti (oltre 5000) alla predetta procedura concorsuale indetta dall’INPS, contenuti negli elenchi degli ammessi e non ammessi alla prova scritta e alla prova orale e nell’elenco dei partecipanti contenente la valutazione dei titoli ad opera della Commissione di concorso, recante l’indicazione del punteggio attribuito a ciascun candidato, è avvenuta in assenza di una idonea base giuridica.
I soggetti pubblici, ha ricordato il Garante, quando operano nello svolgimento di procedure concorsuali devono trattare i dati personali degli interessati nel rispetto delle norme di settore applicabili, e quindi non è possibile pubblicare online dati dei partecipanti ai concorsi non previsti dalla legge. Non sono infatti consentiti livelli differenziati di tutela della protezione dei dati personali, né su base territoriale né a livello di singola amministrazione, specie quando la materia sia già stata oggetto di bilanciamento e regolazione dal legislatore con disposizioni uniformi a livello nazionale.
A parere dello scrivente, inoltre, la pubblicazione della graduatoria finale, come previsto dall’articolo 19 del decreto legislativo del 14 marzo 2013, n. 33, c.d. Decreto Trasparenza, contenente i nominativi dei vincitori, è legittima in quanto si rinviene la finalità di pubblico interesse, perché i vincitori saranno assunti dall’amministrazione e, pertanto, retribuiti con soldi pubblici, per questo è giusto che la collettività conosca i nominativi di chi ha vinto la procedura di selezione. Un discorso diverso, invece, va affrontato in merito agli idonei non vincitori, in quanto gli stessi potrebbero non essere assunti dall’amministrazione e, solo in caso di scorrimento graduatoria, va resa pubblica la loro identità, sempre nel rispetto, in particolare, del principio di privacy by default e, quindi, limitandosi al solo nome e cognome. Non vi è una norma, inoltre, che legittima la pubblicazione degli elenchi degli ammessi alle prove, se non la finalità di “comunicazione” ai candidati partecipanti al concorso, che può essere comunque garantita tramite la pubblicazione di tali elenchi degli ammessi con l’inserimento di un ID di domanda conosciuto solo dal candidato, oppure tramite un accesso personale del candidato finalizzato a verificare il risultato della sua prova.
Nel quantificare l’importo della sanzione all’INPS in 20.000 euro l’Autorità ha considerato la natura, la durata e la gravità della violazione, nonché l’elevato numero degli interessati e l’atteggiamento collaborativo dell’Istituto, che ha rimosso nell’immediato gli elenchi in questione, seppur a seguito della richiesta di informazioni del Garante

Note

  1. [1]

    Art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689.

  2. [2]

    Regolamento delle procedure di reclutamento per l’assunzione all’Inps del personale non dirigente a tempo indeterminato

  3. [3]

    Cons. St., Ad. Plen., 29 gennaio 2003, n. 1.

Armando Pellegrino

Scrivi un commento

Accedi per poter inserire un commento

Leggi anche
Diritto amministrativo
Ministero del lavoro: nuove linee guida assegno di inclusione
Lorena Papini 28/06/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Termini ambigui per usufruire di un servizio nell’informativa privacy: uso illecito
Pier Paolo Muià 27/06/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Diritto amministrativo
Contratti a titolo gratuito: gli adempimenti che spettano alle stazioni appaltanti
Armando Pellegrino 26/06/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
AI&Legaltech
NIS2: approvata in via preliminare la bozza del recepimento
Luisa Di Giacomo 25/06/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;