Il presente articolo analizza un caso relativo alla pubblicazione di dati personali da parte dell’Istituto Nazionale di Previdenza Sociale (d’ora in avanti anche “INPS” o “Istituto”) nell’ambito di un concorso pubblico per la selezione di 1858 consulenti per la protezione sociale. A seguito di un reclamo, il Garante per la protezione dei dati personali (d’ora in avanti anche “Garante”) ha avviato un’indagine su come l’INPS abbia gestito la pubblicazione delle graduatorie finali e dei dati degli oltre 5000, tra vincitori e idonei, attraverso il proprio sito web. La questione riguarda principalmente la pubblicazione di dati personali, la correttezza e la trasparenza del trattamento e la conformità alle normative europee sulla protezione dei dati.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy
Indice
1. Il fatto: la pubblicazione dei dati dei candidati al concorso
Il Garante Privacy sanziona con 50mila euro INPS per aver pubblicato sul proprio sito web i dati personali di migliaia di partecipanti ad un concorso bandito dall’Istituto. Tra i dati oggetto della violazione, oltre all’indicazione del nome e cognome dei candidati e alla data di nascita, il punteggio derivante dalla media dei voti conseguiti nelle prove scritte e orali, il punteggio dei titoli, l’indicazione dell’ammissione con riserva comprensiva anche delle causali relative alla salute, di oltre 5mila interessati tra vincitori e idonei.
L’istruttoria ha avuto origine dalle verifiche effettuate in occasione di un primo procedimento[1] che il Garante aveva definito irrogando all’Istituto una sanzione di 20mila euro per aver diffuso gli atti intermedi del medesimo concorso, poi finiti anche sui social ad opera di terzi.
Gli ulteriori accertamenti dell’Autorità hanno evidenziato che anche le graduatorie finali diffuse online contenevano numerose informazioni di dettaglio relative a vicende personali e familiari dei partecipanti, esponendo le persone a possibili danni sul piano reputazionale. A taluni nominativi era infatti associato il riferimento a giudizi pendenti, che seppur relativo al contenzioso con l’amministrazione, ingenerava l’equivoco della sussistenza di precedenti penali.
Potrebbero interessarti anche:
2. La pubblicazione delle graduatorie e le violazioni contestate
Nel procedimento, il Garante ha riscontrato che, oltre agli atti intermedi (elenchi degli ammessi e non ammessi), l’INPS aveva pubblicato due file contenenti la “graduatoria finale” e quella dei “graduatoria finale-vincitori” del concorso, con informazioni dettagliate relative ai candidati. Tali dati includevano nome e cognome dei vincitori e degli idonei, la data di nascita, il punteggio derivante dalla media dei voti conseguiti nelle prove scritte, il punteggio derivante dalla valutazione dei titoli, il punteggio conseguito nella prova orale, il punteggio totale nonché il riferimento all’eventuale presenza di titoli di precedenza, a quelli di preferenza e la specifica indicazione dell’ammissione con riserva. La pubblicazione di questi dati, tra cui anche informazioni che potrebbero essere considerate eccessivamente personali (ad esempio relative a titoli di preferenza per disabilità o altri criteri), è stata contestata per la violazione dei principi di minimizzazione e proporzionalità dei dati, come previsto dal Regolamento UE 2016/679 (GDPR).
Il Garante ha contestato specificamente la diffusione di dati personali in assenza di una base giuridica adeguata e ha rilevato la mancata adozione di misure per garantire che i dati pubblicati fossero pertinenti e limitati a quanto strettamente necessario per raggiungere lo scopo di trasparenza e informazione del pubblico.
La disciplina di protezione dei dati personali prevede che i soggetti pubblici, anche quando operino nello svolgimento di procedure concorsuali, selettive o comunque valutative, prodromiche all’instaurazione del rapporto di lavoro, possono trattare i dati personali degli interessati[2] se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento”[3] oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”[4]. Tali trattamenti devono, comunque, trovare fondamento nel diritto dell’Unione o dello Stato membro che deve perseguire un obiettivo di interesse pubblico ed essere proporzionato al perseguimento dello stesso. La finalità del trattamento deve essere necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento[5].
L’INPS ha presentato una memoria difensiva in cui ha argomentato, in sostanza, che la pubblicazione delle graduatorie era conforme agli obblighi di trasparenza previsti dalla normativa italiana ed europea, sottolineando che la pubblicazione dei vincitori e degli idonei è un atto obbligatorio per legge, come stabilito dal D.P.R. 487/1994 e dal D.Lgs. 165/2001. Secondo l’INPS, in aggiunta, la pubblicazione dei dati dei candidati non viola il GDPR, in quanto è finalizzata a garantire la trasparenza e a consentire ai candidati di esercitare il proprio diritto di impugnazione nei confronti dei risultati del concorso.
L’Istituto ha evidenziato che la pubblicazione dei dati personali, tra cui i punteggi, era necessaria per consentire la valutazione del concorso e la protezione dei diritti dei candidati. Inoltre, ha sostenuto che l’asterisco indicante il “titolo di preferenza” non rivelava informazioni sensibili, come lo stato di disabilità, ma solo la presenza di determinate condizioni che potevano influire sul punteggio finale, come l’essere genitori di figli a carico o altre categorie di preferenza stabilite dalla legge. L’INPS ha anche puntualizzato che l’acronimo “AMM. RIS.” si riferiva a candidati “Ammessi con riserva per giudizi pendenti”, non legati a procedimenti penali o a giudizi pendenti, ma riferendosi semplicemente al normale contenzioso amministrativo che può insorgere nell’espletamento di un concorso pubblico per i più svariati motivi. Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | Maggioli Editore 2022
23.75 €
3. Conclusioni: la necessità di maggiore attenzione alla privacy nei concorsi pubblici
Nonostante la difesa dell’INPS, il Garante ha ritenuto che la pubblicazione integrale delle graduatorie, comprensiva di dati dettagliati su ogni candidato, non fosse completamente giustificata in termini di protezione della privacy. Il Garante ha sottolineato che, sebbene la trasparenza fosse un principio fondamentale, l’INPS avrebbe dovuto applicare un maggiore rigore nel trattamento dei dati sensibili, come previsto dal GDPR, riducendo al minimo le informazioni pubblicate. L’obiettivo del Regolamento è infatti quello di garantire che i dati personali siano trattati in modo lecito, corretto e trasparente, ma anche che vengano limitati a quanto strettamente necessario.
Il caso evidenzia un importante tema relativo alla gestione dei dati personali nel contesto dei concorsi pubblici. Da un lato, la trasparenza è un principio essenziale per garantire l’affidabilità delle selezioni pubbliche e prevenire il rischio di corruzione. Dall’altro, il trattamento dei dati personali deve rispettare il diritto alla privacy degli individui, in particolare quando si trattano informazioni sensibili. L’esempio dell’INPS dimostra la necessità di un equilibrio tra la trasparenza delle procedure amministrative e la protezione dei diritti individuali, applicando i principi del GDPR in modo rigoroso.
Il caso solleva anche interrogativi su come le amministrazioni pubbliche debbano adattare le proprie pratiche di pubblicazione dei dati alle normative vigenti, assicurando che le informazioni personali siano trattate con il massimo rispetto della privacy, senza compromettere la necessaria trasparenza.
Il Garante, in conclusione, ha rilevato l’illiceità del trattamento di dati personali effettuato dall’INPS, per aver pubblicato, sul proprio sito web istituzionale, due file, denominati “graduatoria finale” e “graduatoria finale-vincitori” contenenti oltre all’indicazione del nome e cognome dei candidati e alla data di nascita, il punteggio derivante dalla media dei voti conseguiti nelle prove scritte, il punteggio derivante dalla valutazione dei titoli, il punteggio conseguito nella prova orale, il punteggio totale nonché il riferimento all’eventuale presenza di titoli di precedenza, a quelli di preferenza e la specifica indicazione dell’ammissione con riserva, di molteplici interessati e precisamente di 5384 tra vincitori e idonei della predetta procedura, in violazione degli artt. 5, 6, 9 del Regolamento, nonché 2-ter e 2-septies comma 8 del Codice.
Il Garante ha ritenuto necessario, in ragione dell’illiceità del trattamento effettuato disporre come misure correttive[6] la limitazione del trattamento in corso vietando al titolare del trattamento ogni ulteriore diffusione illecita, in quanto non prevista dalla legge e in contrasto con i principi di protezione dei dati degli interessati. Inoltre, INPS dovrà provvedere a comunicare Al Garante le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato.
Per ultimo, Il Garante[7] ha ordinato all’INPS, di pagare la somma di euro 50.000 (cinquantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni commesse.
Note
[1] Pellegrino A., Concorsi della P.A.: online solo le graduatorie definitive dei vincitori, www.diritto.it, 2024.
[2] art. 4, n. 1, del Regolamento.
[3] si pensi a specifici obblighi previsti dalla normativa nazionale “per finalità di assunzione”, artt. 6, par. 1, lett. c), 9, parr. 2, lett. b) e 4; 88 del Regolamento.
[4] art. 6, par. 1, lett. c) ed e) del Regolamento e art. 2-ter del Codice.
[5] cfr. art. 6, par. 3, del Regolamento e 2-ter del Codice.
[6] art. 58, par. 2, lett. f) del Regolamento.
[7] ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice.
Scrivi un commento
Accedi per poter inserire un commento