La recente sanzione inflitta dal Garante Privacy all’INPS – ben 50mila euro – rappresenta un caso emblematico di come la trasparenza amministrativa non possa e non debba travalicare i confini imposti dalla normativa sulla protezione dei dati personali. Il provvedimento, che segue una precedente multa di 20mila euro per la diffusione impropria di atti intermedi del medesimo concorso, evidenzia una reiterazione di condotte non conformi al GDPR da parte dell’Istituto previdenziale e una sottovalutazione delle conseguenze della pubblicazione di dati personali online. Per approfondimenti si consiglia: Formulario commentato della privacy
Indice
1. La sanzione del Garante
L’ INPS è stato sanzionato per aver pubblicato sul proprio sito web i dati personali di migliaia di partecipanti ad un concorso. Tra i dati oggetto della violazione, ci sono il nome e cognome dei candidati, la data di nascita, il punteggio derivante dalla media dei voti conseguiti nelle prove scritte e orali, il punteggio dei titoli, l’indicazione dell’ammissione con riserva comprensiva anche delle causali relative alla salute, di oltre 5mila interessati tra vincitori e idonei.
Gli ulteriori accertamenti dell’Autorità hanno evidenziato che anche le graduatorie finali diffuse online contenevano numerose informazioni di dettaglio relative a vicende personali e familiari dei partecipanti, esponendo le persone a possibili danni sul piano reputazionale. Ad alcuni nomi, infatti, era associato il riferimento a giudizi pendenti, che seppur relativo al contenzioso con l’amministrazione, ingenerava l’equivoco della sussistenza di precedenti penali. Per approfondimenti si consiglia: Formulario commentato della privacy
Formulario commentato della privacy
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022
60.80 €
2. Trasparenza e protezione dei dati
Ogni titolare del trattamento, pubblico o privato, deve trattare i dati degli interessati nel rispetto dei principi sanciti dal Regolamento (UE) 2016/679.
1. Principio di minimizzazione dei dati
Il GDPR stabilisce che i dati personali trattati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono raccolti e trattati (art. 5, par. 1, lett. c). Nel caso in esame, la pubblicazione online di dati relativi ai partecipanti del concorso, inclusi dettagli altamente sensibili come informazioni sulle riserve di salute e riferimenti a giudizi pendenti, è risultata palesemente eccedente rispetto alla finalità di garantire trasparenza e pubblicità del procedimento.
La pubblicazione delle graduatorie avrebbe dovuto limitarsi ai soli dati essenziali, quali nome, cognome e punteggio dei vincitori, come più volte ricordato dal Garante. Diffondere ulteriori informazioni personali rappresenta una chiara violazione del principio di minimizzazione, con un impatto diretto sulla privacy e sulla dignità delle persone coinvolte.
2. Principio di liceità, correttezza e trasparenza
Ogni trattamento di dati personali deve essere svolto in modo lecito, corretto e trasparente (art. 5, par. 1, lett. a). L’INPS, rendendo accessibili informazioni personali dettagliate tramite il proprio sito web e permettendone la diffusione incontrollata anche sui social media, ha esposto i partecipanti a rischi significativi, tra cui danni reputazionali e uso improprio delle informazioni. Inoltre, l’indicizzazione dei dati tramite motori di ricerca ha aggravato la situazione, consentendo a chiunque di reperire tali informazioni, spesso senza alcun controllo temporale o contestuale.
Questo caso sottolinea come la trasparenza amministrativa, pur essendo una finalità legittima, debba essere bilanciata con il diritto fondamentale alla protezione dei dati personali, evitando pratiche che possono generare confusione, se non veri e propri fraintendimenti, come l’associazione tra giudizi pendenti e presunti precedenti penali.
3. Principio di integrità e riservatezza
Il principio sancisce che i dati personali devono essere trattati in modo da garantirne una sicurezza adeguata, inclusa la protezione contro trattamenti non autorizzati o illeciti e contro la perdita, distruzione o danno accidentale (art. 5, par. 1, lett. f). La pubblicazione online di dati sensibili senza adottare misure tecniche o organizzative idonee a limitarne l’accesso costituisce una violazione di questo principio.
È importante ricordare che, una volta indicizzati, i dati pubblicati sul web possono rimanere accessibili per un periodo indeterminato, sfuggendo al controllo del titolare del trattamento. In questo contesto, il Garante ha più volte richiamato l’importanza di implementare sistemi che proteggano i dati personali dalla diffusione non autorizzata, ad esempio limitando l’indicizzazione da parte dei motori di ricerca.
4. Principio di accountability
Il GDPR introduce il principio di responsabilizzazione, imponendo al titolare del trattamento l’obbligo di dimostrare la conformità alle disposizioni del Regolamento. La condotta dell’INPS rivela una mancanza di consapevolezza e controllo sui rischi connessi al trattamento dei dati personali, soprattutto in un contesto sensibile come quello di un concorso pubblico.
L’assenza di un’adeguata valutazione del rischio, accompagnata dalla mancata adozione di politiche che garantiscano il rispetto dei diritti degli interessati, ha portato a una reiterazione delle violazioni. Il caso evidenzia la necessità di una formazione continua del personale e dell’adozione di misure proattive per la protezione dei dati.
Potrebbero interessarti anche:
3. Lezione appresa: bilanciare trasparenza e protezione dei dati
La sanzione inflitta all’INPS è un monito per tutte le amministrazioni pubbliche e le organizzazioni che operano nel trattamento di dati personali. La trasparenza, pur essendo un principio cardine nell’agire della Pubblica Amministrazione, non può mai giustificare una compressione ingiustificata dei diritti alla riservatezza e alla protezione dei dati personali.
La corretta applicazione del GDPR richiede un approccio equilibrato, che parta da una chiara comprensione delle finalità del trattamento, dalla minimizzazione dei dati trattati e dalla garanzia di una sicurezza adeguata. Inoltre, è fondamentale ricordare che una violazione della privacy non si limita a danni economici: essa può avere impatti profondi sulla reputazione e sulla dignità delle persone.
In conclusione, il caso INPS rappresenta un’occasione per ribadire che la conformità al GDPR non è solo un obbligo normativo, ma anche un segno di rispetto per i diritti fondamentali degli individui. E per evitare ulteriori sanzioni, sarebbe opportuno che tutte le amministrazioni pubbliche investissero non solo in tecnologia, ma anche in cultura della protezione dei dati.
Scrivi un commento
Accedi per poter inserire un commento