06.5921743
consulenza@legislazionetecnica.it
Garante Privacy

Dati personali dei candidati e procedure concorsuali: trattamento illecito e sanzione del Garante Privacy

Con provvedimento del 26 settembre u.s. il Garante Privacy, in esito ad un procedimento ispettivo, ha sanzionato l’INPS per trattamento illecito di dati personali relativi ai candidati di una procedura concorsuale effettuato in assenza di un idonea base giuridica e in difformità ai principi di liceità, correttezza e trasparenza, nonché di minimizzazione dei dati, in violazione sia del Regolamento (UE) 2016/679, che del Codice in materia di protezione dei dati personali.

Specificamente, l’INPS aveva pubblicato due file denominati “graduatoria finale” e “graduatoria finale -vincitori” contenenti oltre all’indicazione del nome e cognome dei candidati e alla data di nascita, il punteggio derivante dalle prove scritte, dai titoli, dalla prova orale, il punteggio totale nonché il riferimento all’eventuale presenza di titoli di precedenza, preferenza e la specifica indicazione dell’ammissione con riserva.

L’Autorità ha ribadito che la disciplina di protezione dei dati personali consente il trattamento dei dati esclusivamente in presenza di una base giuridica e sempre nel rispetto dei principi di liceità, correttezza, trasparenza e di minimizzazione, ovvero pertinente e limitato a quanto necessario. Difatti, richiamando le disposizioni di trasparenza, che prescrivono la pubblicità delle graduatorie di concorsi e prove selettive (art. 19 D. Lgs. 33/2013), ha evidenziato che sono oggetto di pubblicazione legittima i bandi di concorso, i criteri di valutazione della Commissione, le tracce delle prove e le graduatorie finali dei vincitori aggiornate con l’eventuale scorrimento degli idonei non vincitori prevedendo, per queste ultime, la sola pubblicazione dei dati personali pertinenti e non eccedenti, con esclusione quindi dei dati concernenti le condizioni di salute e dei recapiti degli interessati.

La ratio delle disposizioni normative che disciplinano la pubblicità delle graduatorie di concorsi e prove selettive è riconosciuta dal Legislatore e si ravvisa nella necessità di garantire agli interessati la tutela dei propri diritti e il controllo della legittimità dell’azione amministrativa; tuttavia, la pubblicazione online di dati personali, spesso rappresenta una forma di diffusione particolarmente invasiva, in quanto consente a chiunque, attraverso i motori di ricerca, di reperire rapidamente informazioni personali non sempre aggiornate e di natura diversa, nonché il rischio di un utilizzo illecito dei dati da parte di terzi.

Il Garante, nella valutazione della questione, ha ripercorso sinteticamente i termini di pubblicità ed ha evidenziato che:

  • le linee guida del Garante Privacy del 2014 e il D.Lgs. 33/2013 definiscono, sotto il profilo della protezione dei dati, l’ambito del trattamento consentito dall’ordinamento e ne costituiscono la base giuridica; nel trattamento dei dati è sempre necessario assicurare il bilanciamento tra la garanzia di pubblicità delle procedure di reclutamento del personale pubblico e la tutela dei dati personali, con particolare attenzione ai rischi derivanti dalla diffusione online dei dati relativi agli interessati;
  • rispetto ai dati particolari, inclusi quelli relativi alla salute e alle condanne penali o ai reati, il trattamento è consentito esclusivamente per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri,  deve essere proporzionato alla finalità perseguita e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali dell’interessato;
  • la regolamentazione interna dell’ente in materia di procedure di reclutamento del personale e le previsioni del bando di concorso, pur costituendo la base giuridica del trattamento, non possono derogare e/o modificare le norme di rango primario, poiché costituiscono atti amministrativi che integrano l’ordinamento;
  • l’indicazione della ricorrenza di titoli di preferenza o precedenza in relazione ad un candidato, evincibile dalla presenza di un asterisco vicino al nome del candidato, si qualifica come un trattamento illecito dei dati poiché comporta la diffusione illegittima dei dati relativi alle condizioni soggettive di salute, condizioni di disabilità ecc. dell’interessato;
  • l’acronimo “AMM. RIS.” che evidenzia i candidati ammessi con riserva per giudizi pendenti, rappresenta un’informazione eccedente rispetto alle finalità del trattamento e idonea a rivelare fattispecie di condanne penali o reati ascrivibili al candidato compromettendone la reputazione.

Alla luce di quanto ricostruito l’Autorità, in ragione dell’illiceità del trattamento effettuato, ha comminato all’INPS la sanzione pecuniaria di € 50.000,00 riconoscendo il livello medio di gravità della violazione commessa, tenuto conto del grado di cooperazione dell’istituto con l’Autorità e stante la sussistenza di precedenti violazioni delle medesime disposizioni del Regolamento e del Codice commesse dall’istituto.

Allegati

Provvedimento Garante Privacy n.10076453 del 26 settembre 2024

Back To Top