La normativa in materia di protezione dei dati personali è oggi assai dettagliata, contenendo precisi obblighi da rispettare per salvaguardare la riservatezza di ogni individuo. Come recentemente ribadito in un caso che ha visto coinvolto il Garante della Privacy, a violarla possono essere anche gli enti pubblici e non soltanto aziende e datori di lavoro del settore privato.
Lo indica la newsletter del Garante del 6 giugno scorso: l’Inps è stato sanzionato per illecita diffusione di informazioni inerenti i singoli candidati, partecipanti ad un concorso pubblico bandito dallo stesso istituto.
Vediamo più da vicino la vicenda che ha portato al provvedimento dell’Authority e le ragioni che ne sono alla base.
Concorso INPS, il reclamo al Garante contro la pubblicazione dei dati personali
Come è noto, il cd. reclamo rappresenta il mezzo che permette al privato interessato di rivolgersi al Garante per la protezione dei dati personali, al fine di segnalare una violazione della disciplina in materia di protezione dei dati personali. Con il reclamo è altresì possibile richiedere un controllo da parte dell’Autorità.
Le norme rilevanti in materia si riferiscono all’art. 77 del Regolamento UE 2016/679 (“Diritto di proporre reclamo all’autorità di controllo”) e agli artt. da 140-bis a 143 del Codice in materia di protezione dei dati personali, contenente disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento stesso.
Leggi anche: si può controllare il lavoratore attraverso il Telepass? Ecco cosa dice la Cassazione
In questo contesto di regole, il Garante si è recentemente pronunciato a seguito di un reclamo effettuato da una persona che aveva partecipato ad un concorso pubblico Inps. La selezione metteva in palio ben 1.858 posti di consulente protezione sociale nei ruoli del personale dell’istituto.
Pubblicazione delle graduatorie intermedie del Concorso INPS
Ebbene, nel corso della selezione, Inps aveva ritenuto opportuno pubblicare sul proprio sito web ufficiale – nella pagina dedicata alla procedura di selezione – i risultati delle prove intermedie e dunque anche le graduatorie parziali – non limitandosi alle sole definitive.
Più nel dettaglio, nel reclamo si specificava che, in riferimento a migliaia di partecipanti, erano stati pubblicati:
- i dati personali dei concorrenti non vincitori o non ammessi alla selezione;
- i documenti che includevano gli elenchi degli ammessi e dei non ammessi alla prova scritta e prova orale;
- i dettagli sulla valutazione dei titoli da parte della commissione di concorso, con l’indicazione del punteggio attribuito a ciascun candidato.
Ad ulteriore conferma della circolazione di informazioni inerenti la sfera di riservatezza dei singoli candidati, anche il dato della condivisione, ad opera di soggetti terzi, di tali elenchi e nomi – reperibili sul sito web istituzionale dell’Inps – sui social network.
Quanto emerso, secondo il reclamante, configurava un illecito e una chiara violazione delle norme sulla privacy a tutela dei candidati al concorso pubblico.
Concorsi pubblici: ammessa la pubblicazione delle sole graduatorie definitive
L’Authority per la protezione dei dati personali ha accolto il reclamo del partecipante al concorso pubblico per 1.858 posti di consulente protezione sociale Inps. I soggetti pubblici, Inps compreso, che intraprendono procedure di selezione devono trattare i dati personali dei singoli candidati, nel pieno rispetto delle norme di settore applicabili.
A seguito delle verifiche effettuate dall’ufficio del Garante, è stato accertato che sul sito web istituzionale Inps, effettivamente erano stati pubblicati elenchi e documenti contenenti dati personali di migliaia di concorsisti.
In particolare, nel testo del provvedimento dell’Authority si possono leggere le seguenti parole:
in merito alla pubblicazione di atti e documenti da parte di amministrazioni in merito a procedure concorsuali e selettive, nel quadro di derivazione europea della disciplina di protezione dei dati, nella prospettiva della certezza del diritto, nonché del principio di non discriminazione, non sono consentiti livelli differenziati di tutela della protezione dei dati personali – né su base territoriale né a livello di singola amministrazione – specie quando, come nel caso di cui trattasi, la materia sia già stata oggetto di bilanciamento e regolazione dal legislatore con disposizioni uniformi a livello nazionale.
Con specifico riferimento alla pubblicità delle graduatorie, come più volte indicato dallo stesso Garante, le disposizioni normative che fissano, in generale, la pubblicità delle graduatorie di concorsi e prove selettive hanno la funzione di permettere agli interessati, partecipanti alle procedure concorsuali o selettive, l’attivazione delle forme di tutela dei propri diritti e di controllo della legittimità dell’azione amministrativa.
Tuttavia, rimarca il Garante, tali norme dispongono che siano pubblicate:
le sole graduatorie definitive dei vincitori di concorso e non anche gli esiti delle prove intermedie o dei dati personali dei concorrenti non vincitori o non ammessi.
Le modalità di consultazione graduatorie indicate dal Garante
Nel provvedimento con il Garante ha accolto il reclamo in oggetto, si è altresì osservato che l’esigenza, emersa nel corso dell’istruttoria, di permettere la consultazione dei citati elenchi di nominativi poteva essere raggiunta semplicemente con la messa a disposizione dei predetti documento in un’area riservata e ad hoc.
Ciò avrebbe permesso la consultabilità degli stessi attraverso accesso selettivo, con proprie credenziali, ai meri candidati della procedura – e non già invece con la pubblicazione online accessibile anche da terzi.
Sanzione inflitta con ordinanza di ingiunzione
In considerazione di quanto emerso nell’istruttoria, oltre all’accoglimento del reclamo, il Garante Privacy ha altresì disposto – con ordinanza di ingiunzione – una sanzione amministrativa pecuniaria nei confronti dell’Inps, quantificata in 20mila euro.
Infatti:
la diffusione online di numerosi dati personali di migliaia di partecipanti […] è avvenuta in assenza di una idonea base giuridica (in violazione degli artt.5 e 6 del Regolamento e 2-ter del Codice).
Per stabilire la sanzione l’Autorità ha tenuto conto della natura, della durata e della gravità della violazione in materia di dati personali e l’indebita circolazione degli stessi. Al contempo ha valutato l’alto numero degli interessati, ma anche il comportamento collaborativo di Inps, che ha tempestivamente rimosso gli elenchi in oggetto, nello stesso giorno in cui ha ricevuto la richiesta di informazioni dell’Authority.
Concludendo, Inps – con nota in risposta al Garante – ha giustificato la pubblicazione perché ritenuta strumento di massima trasparenza in una procedura concorsuale pubblica e , al contempo, ha reso inaccessibili ai terzi le informazioni in merito agli ammessi prove scritte e orali, ai non ammessi e alla valutazione dei titoli.
Articoli correlati:
Concorso Agenzia delle Entrate 2024: in uscita nuovi bandi per oltre 4100 posti
Concorso Agenzia Dogane 2024, pubblicato il bando per 564 posti
Ufficio del Processo, arriva la stabilizzazione degli addetti dal 2026: novità Decreto PNRR
Concorso Agenzia Entrate 80 funzionari Risorse Umane: i posti diventano 148
