La tutela dei dati personali nelle pubblicazioni concorsuali

L’Avvocato Maurizio Lucca approfondisce il tema della tutela dei dati personali nelle pubblicazioni concorsuali.

In termini generali, la disciplina comunitaria (ex Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE) e nazionale (ex d.lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali) impongono alle PA di osservare specifiche precauzioni (misure) a tutela dei dati personali, secondo modelli della c.d. privacy by design e by default, con lo scopo di prevenire il rischio da una parte, di diffusione illecita dei dati personali, dall’altra parte, garantire l’utilizzo (trattamento) in piena armonia (nel principio responsabilizzazione o accountability) con una serie di principi (ex art. 5, Principi applicabili al trattamento di dati personali, del GDPR), posti a presidio delle libertà individuali (la protezione del singolo alla sua riservatezza).

Indice dei contenuti

Fonte

Si richiama una prima fonte di riferimento sugli obblighi di pubblicazione, dove il comma 1, dell’art. 19, Bandi di concorso, del d.lgs. n. 33/2013 (c.d. Decreto Trasparenza) [1], dopo aver stabilito «Fermi restando gli altri obblighi di pubblicità legale», riferiti alle diverse discipline speciali ove operano regole diverse, impone alle Pubbliche Amministrazioni di pubblicare, nella sez. del sito denominata “Amministrazione Trasparente”, «i bandi di concorso per il reclutamento, a qualsiasi titolo, di personale presso l’amministrazione, nonché i criteri di valutazione della Commissione, le tracce delle prove», assolvendo un obbligo di rendere conoscibile – a chiunque – (c.d. accesso civico) sia l’intenzione di assumere del personale [2], nonché le modalità con le quali verrà esercitata l’attività discrezionale valutativa del collegio esaminatore, che comprende la stesura dei temi a cui i candidati sono stati sottoposti per la selezione.

La parte finale del cit. comma, conclude l’opera di trasparenza, imponendo la pubblicazione delle «graduatorie finali, aggiornate con l’eventuale scorrimento degli idonei non vincitori», manifestando una volontà espressa di rendere pubbliche le graduatorie, collegando il suo utilizzo (c.d. scorrimento) [3], da parte dell’Amministrazione o di altra PA, nel “pescare” i nominativi dei vincitori e gli idonei, assolvendo un ulteriore aspetto informativo, riferito da una parte, all’individuazione delle persone immesse in ruolo, dall’altra parte, rendendo disponibile la graduatoria per coloro che ancora non sono state assunte (tutti dati, quelli del primo comma, che oltre a essere oggetto di pubblicazione obbligatoria devono essere «costantemente aggiornati», con collegamento ipertestuale con la FP, ai sensi dei commi successivi) [4].

Gli idonei non vincitori vanno inseriti quando si procede all’aggiornamento effettivo che avviene in caso di scorrimento (l’ulteriore fonte si riscontra nel DPR n. 3/1957).

Gli obblighi di pubblicità, di cui all’art. 19 del d.lgs. n. 33/2013, non sono imposti a tutela di singole posizioni individuali, bensì per finalità di tutela generale del principio di trasparenza, allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche, nonché per concorrere ad attuare il principio democratico e i principi costituzionali di eguaglianza, imparzialità, buon andamento, responsabilità, efficacia ed efficienza, integrità e lealtà nel servizio alla nazione (ex art. 1 del d.lgs. n. 33/2013) [5].

Le linee guida ANAC n. 1310/2016, punto 5.3. Art. 19 – Bandi di concorso, fornisce delle indicazioni sui termini di pubblicazione dei bandi espletati, i quali devono «rimanere rintracciabile sul sito per cinque anni, a partire dal primo gennaio dell’anno successivo a quello in cui occorre procedere alla pubblicazione», ai sensi dell’art. 8, comma 3, del d.lgs. n. 33 del 2013 [6].

La sanzione del Garante privacy

Il Garante per la protezione dei dati personali, con Provvedimento del 4 luglio 2024, Registro dei provvedimenti n. 404 del 4 luglio 2024 (doc. web n. 10050145), sanziona un Ente locale (di piccole dimensioni) per la non conforme pubblicazione di alcuni dati personali riferiti ad una procedura concorsuale:

i dati personali (in eccedenza) sono stati pubblicati oltre i termini di legge e senza il rispetto del principio di minimizzazione;
un’eccedenza di dati del tutto disfunzionali con le esigenze di trasparenza e pubblicità.

Nello specifico, il reclamo (che ha dato corso al procedimento del Garante) si riferiva alla mancata:

cancellazione dal sito web istituzionale dei dati personali riferiti ad un candidato, quali la data di nascita, il voto di laurea e le valutazioni conseguite;
deindicizzazione dai motori di ricerca di un atto interno ad una procedura selettiva: verbale di commissione, con relativo nome dei membri.

Le giustificazioni

L’Amministrazione di fronte alle contestazioni, appurata la presenza (nel sito istituzionale) dei dati segnalati:

provvedeva alla loro rimozione dalla sezione Amministrazione Trasparente, sotto sezione Bandi di concorso;
eliminava l’indicizzazione web delle medesime informazioni (anche dalla cache di ricerca);
giustificava la pubblicazione del verbale da un errore «determinato non dalla mancata conoscenza della disciplina in materia, né da volontà di arrecare alcun nocumento in qualsiasi forma alla partecipante alla procedura concorsuale, ma dal sovrabbondante carico di lavoro in periodo pandemico che, unitamente alla contestuale esiguità delle risorse umane, ha fatto sì che l’Ente abbia commesso un errore di analisi»;
riscontrava, altresì, l’assenza di conseguenze pregiudizievoli in capo alla parte reclamante, la solerte attivazione di corsi di formazione sulla materia, la modifica delle proprie procedure di pubblicazione;
segnalava, inoltre, che la richiesta della parte reclamante giungeva all’indirizzo posta elettronica ordinaria del Segretario comunale in un periodo in cui la Segreteria comunale era peraltro vacante e l’indirizzo non stabilmente presidiato (violando gli obblighi di collaborazione nell’agevolare l’esercizio dei diritti da parte dell’interessato, fornendo esplicito riscontro senza ritardo).

Le norme violate

A seguito dell’istruttoria effettuata non si poteva che constatare l’illecita diffusione dei dati personali della reclamante, tra cui i nominativi dei membri della commissione esaminatrice e della verbalizzatrice, contenuti all’interno del predetto verbale, in assenza di un idoneo presupposto normativo, in violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. c) ed e), del Regolamento, nonché 2-ter del Codice (sia nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, vigente al tempo in cui è iniziata la diffusione dei dati personali in questione, sia nell’attuale testo).

Dunque, il titolare del trattamento non ha rispettato i principi in materia di protezione dei dati personali, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere «trattati in modo lecito, corretto e trasparente nei confronti dell’interessato» e devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati».

In questo senso, anche nelle procedure concorsuali la disciplina di protezione dei dati personali esige che il trattamento trovi una propria fonte abilitante (la c.d. base giuridica prevista dall’art. 6, par. 3, lett. b), del Regolamento, costituita esclusivamente dalle fonti normative indicate dall’art. 2-ter del Codice), nel senso che sia necessario:

«per adempiere un obbligo legale al quale è soggetto il titolare del trattamento»;
oppure «per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento».

In dipendenza di ciò, viene citata la disciplina di riferimento (d.P.R. 10 gennaio 1957, n. 3; artt. 15 e ss del d.P.R. 9 maggio 1994, n. 487; art. 35 d.lgs. 30 marzo 2001, n. 165; art. 19 del d.lgs. n. 33/2013), che attribuisce alla pubblicità la funzione di consentire agli interessati, partecipanti alle procedure concorsuali o selettive, l’attivazione delle forme di tutela dei propri diritti e di controllo della legittimità dell’azione amministrativa, rammentando che le pubblicazioni avvengono sia sul Portale unico del reclutamento, di cui all’art. 35-ter del d. lgs. 30 marzo 2001, n. 165, e sia sul sito dell’Amministrazione interessata e che dalla data di tale pubblicazione decorrano i termini per l’impugnativa.

In questo quadro normativo si rinviene l’ambito del trattamento consentito e ne costituisce la base giuridica stabilendo limiti, condizioni e presupposti della pubblicazione online di dati personali nell’ambito delle procedure concorsuali, con la precisazione che vanno pubblicate le sole graduatorie definitive dei vincitori di concorso e non anche gli atti intermedi o endoprocedimentali relativi alla complessiva procedura concorsuale (cfr. art. 15, comma 6, del d.P.R. cit.), come invece avvenuto nel caso di specie con la pubblicazione del predetto verbale [7].

La pubblicazione del verbale, contenente una serie di dati personali, non può essere giustificata da errori di natura organizzativa, costituendo una violazione agli obblighi di protezione dei dati, con applicazione della sanzione amministrativa pecuniaria quantificata fino a euro 4.000.

Breve divagazione

In effetti, troviamo una moltitudine di file che impongono regole di conservazione e sicurezza, impedimenti alla pubblicazione dei dati (con sanzioni abnormi), divieti di trattamento, allo stesso tempo notiamo (specie in epoca di crisi pandemica) una facilità di reperimento dei dati personali, con richieste massive di tracciamento, al punto che la loro acquisizione rappresenta un big business, con accessi abusivi alle banche dati di migliaia di persone, senza per questo risolvere il costante hackeraggio (dossieraggio): un illecito trattamento che mina la stessa sicurezza dell’ordinamento.

Eppure, a fronte di un dilagante uso dei dati personali senza il consenso dell’interessato, inesorabilmente la pubblicazione di un dato personale (senza alcuna minaccia alla stabilità del sistema democratico), in difformità con la norma (la cit. base giuridica), porta all’applicazione di una sanzione nei confronti di personale dipendente, assorbito da migliaia di oneri e adempimenti (tutti, ovviamente, associati ad un apparato sanzionatorio), mentre il commercio dei dati personali (fenomeno mondiale) prospera, anzi alcuni lo ritengono uno strumento di ordinaria amministrazione (sbagliando, evidentemente), e nessuno viene chiamato a rispondere in danno, oppure (quelle rare volte) con somme del tutto esigue rispetto agli utili prodotti dalle transazioni (vendita) dei dati.

Note

[1] Come modificato dall’art. 1, comma 145, della legge 27 dicembre 2019, 160, Bilancio di previsione dello Stato per l’anno finanziario 2020 e bilancio pluriennale per il triennio 2020-2022.

[2] Le pubblicazioni, nelle modalità individuate dal legislatore nazionale, consentono, per il quivis de populo, di venire a conoscenza delle procedure da parte dei potenziali candidati, senza alcuna eccezione, sicché una legge regionale che limitasse tali forme di pubblicità, risulterebbe in contrasto con i principi generale dell’ordinamento, non assicurando un’adeguata diffusione per violazione degli artt. 3 e 97 Cost., Corte cost., 11 luglio 2023, n. 140.

[3] L’istituto dello scorrimento della graduatoria presuppone una decisione dell’Amministrazione di coprire il posto e tale decisione risulta equiparabile all’espletamento delle fasi procedurali relative al concorso originario. Pertanto, i requisiti richiesti per la validità dello scorrimento devono essere quelli vigenti al momento in cui lo stesso viene deliberato, Cass. civ., sez. lavoro, Ordinanza, 10 giugno 2024, n. 16037.

[4] Ai sensi del nuovo comma 2 bis, introdotto dal citato art.1, comma 145, della legge n. 160/ 2019 che prevede, inoltre, che i soggetti tenuti agli obblighi di pubblicazione, di cui all’art 2-bis del d.lgs. 33/2013, assicurano la pubblicazione – nella sezione “Amministrazione Trasparente” – del collegamento ipertestuale dei dati previsti nel medesimo art. 19, ai fini dell’inserimento nella banca dati del Dipartimento della funzione pubblica, di cui all’art. 4, comma 5, del decreto legge 31 agosto 2013, n. 101, finalizzata al monitoraggio delle graduatorie concorsuali delle PA.

[5] TAR Liguria, sez. I, 28 marzo 2022, n. 244.

[6] In materia di privacy, sussiste la responsabilità del Comune per aver mantenuto la pubblicazione dei dati personali di un dipendente sull’albo pretorio, oltre il termine di legge, stante la mancata osservanza dell’obbligo di adottare le cautele, organizzative e gestionali necessarie ad evitare l’illecito, Cass. civ., sez. II, Ordinanza, 3 settembre 2020, n. 18292.

[7] Si rinvia, LUCCA, diffusione di dati personali e trasparenza concorsuale, LexItalia.it, n. 9, 9 settembre 2024, ove si annota che il nome e cognome dei vincitori va pubblicato, non potendo essere ritenuto equipollente un codice ID, con pieno oscuramento del nome e del cognome di coloro che non sono stati dichiarati vincitori o idonei, in ossequio al principio di minimizzazione dei dati (c.d. omissione), atteso che, se da un lato, si rileva l’interesse alla pubblicità del procedimento e di tutti i suoi atti, anche quelli relativi alle fasi intermedie/preselettive, dall’altro lato, si riscontra l’interesse dei candidati alla non divulgazione delle informazioni personali.

Il bilanciamento di tali interessi deve condurre ad una distinzione tra i dati concernenti le graduatorie e gli esiti del concorso, resi pubblici, e le informazioni inerenti la valutazione dei titoli dei singoli candidati, rese accessibili ai soli diretti interessati, consentendo la divulgazione pubblica dei motivi di esclusione/inidoneità di un candidato da una selezione, qualora tali motivi attengano a dati personali del candidato stesso.

L’approdo ulteriore, porta a ritenere che nelle fasi intermedie, quelle di selezione e/o ammissione ad ulteriori prove, è esclusa la pubblicazione on line del nome, dovendo utilizzare, in questo caso, sistemi alternativi di identificazione, accessibili (riconoscibili) esclusivamente dagli interessati, con l’adozione di misure di sicurezza finalizzate ad impedire il tracciamento o il disvelamento del nome (c.d. diffusione).

Fonte: articolo dell'Avv. Maurizio Lucca - Segretario Generale Enti Locali e Development Manager

Argomenti

Redazione

Contatti

Indicazioni sulla tutela dei dati personali nelle pubblicazioni concorsuali

Fonte

La sanzione del Garante privacy

Le giustificazioni

Le norme violate

Breve divagazione

Note

Quiz a risposta multipla nei concorsi pubblici: la scelta discrezionale della Pa

I furti alle banche dati aumentano: Garante Privacy crea una task force

Maurizio Lucca146 Posts

Proroga illegittima della gestione degli impianti sportivi: un approfondimento

Chiarimenti su strade pubbliche e attribuzione della demanialità

Gli effetti della mancata sottoscrizione della convenzione urbanistica

Incentivi tecnici, ecco quando sono erogati indebitamente

Lascia un commento

Unisciti al canale Telegram

ParteciPattivi!

Sei in: Concorsi Pubblici, PA e Digitale

Indicazioni sulla tutela dei dati personali nelle pubblicazioni concorsuali

Fonte

La sanzione del Garante privacy

Le giustificazioni

Le norme violate

Breve divagazione

Note

Quiz a risposta multipla nei concorsi pubblici: la scelta discrezionale della Pa

I furti alle banche dati aumentano: Garante Privacy crea una task force

Maurizio Lucca146 Posts

Proroga illegittima della gestione degli impianti sportivi: un approfondimento

Chiarimenti su strade pubbliche e attribuzione della demanialità

Gli effetti della mancata sottoscrizione della convenzione urbanistica

Incentivi tecnici, ecco quando sono erogati indebitamente

Lascia un commento

Iscriviti alla newsletter!

Unisciti al canale Telegram

ParteciPattivi!