Per legge nei concorsi le amministrazioni e le società pubbliche debbono bilanciare l’obbligo di trasparenza con quello alla privacy di ciascun candidato. E se è vero che, in materia, essenziali fonti di riferimento sono il d. lgs. n. 33 del 2013 e il regolamento UE n. 679 del 2016 (GDPR), non sempre le attività degli enti appaiono conformi a quanto previsto da queste normative.
Recentemente il Garante Privacy ha multato Inps per ben 50mila euro, per aver illecitamente diffuso i dati personali di più di 5mila candidati ad un concorso pubblico bandito dallo stesso istituto di previdenza. Ci riferiamo alla selezione, per titoli ed esami, relativa a 1858 posti di consulente protezione sociale nei ruoli del personale Inps, area C e posizione economica C1.
Vediamo insieme il perché di questa consistente multa e quale grave violazione amministrativa ha commesso l’istituto.
Indice
La vicenda e le violazioni contestate a Inps
I dati personali dei partecipanti ai concorsi pubblici debbono essere sempre protetti. Basti pensare ad es. alla norma di legge per cui è vietata la pubblicazione dell’elenco dei partecipanti alle prove scritte o orali. La finalità è peraltro facilmente intuibile: con questa misura di privacy il legislatore ha inteso proteggere coloro che intendono competere per un nuovo posto di lavoro, senza che la propria azienda o proprio datore di lavoro ne venga a conoscenza.
Come spiega il Garante Privacy, in questo caso Inps aveva bandito una selezione pubblica senza però ricordarsi di non pubblicare – sul proprio sito web – i dati personali di migliaia di candidati, ossia informazioni che, per legge, non possono essere rese note a terzi. Chiunque aveva così potuto leggere nome e cognome dei partecipanti, ma anche la loro data di nascita, le informazioni relative alla salute, il punteggio derivante dalla media dei voti ottenuti nelle prove scritte e orali, il punteggio dei titoli e non solo. Come accennato, a essere coinvolte sono state più di 5mila persone tra vincitori e idonei.
L’istruttoria dell’Authority ha tratto spunto dai controlli in precedenza compiuti, in occasione di un primo procedimento terminato con una sanzione pecuniaria pari a 20mila euro. L’Inps aveva infatti già colpevolmente reso pubblici gli atti intermedi dello stesso concorso, con la conseguenza che le informazioni su moltissimi candidati – indicizzate sui motori di ricerca generalisti – erano finite anche sui social network.
Fatta oggetto di reclamo e contestazione ad hoc, la violazione di legge fu ripetuta dall’istituto in occasione della pubblicazione delle graduatorie finali su internet. In particolare queste ultime contenevano una mole di dati personali tale da esporre i partecipanti a possibili gravi danni sul piano della reputazione o delle chance di lavorare o di continuare a lavorare altrove.
Sul proprio sito web il Garante infatti usa queste parole:
Gli ulteriori accertamenti dell’Autorità hanno evidenziato che anche le graduatorie finali diffuse online contenevano numerose informazioni di dettaglio relative a vicende personali e familiari dei partecipanti […]. A taluni nominativi era infatti associato il riferimento a giudizi pendenti, che seppur relativo al contenzioso con l’amministrazione, ingenerava l’equivoco della sussistenza di precedenti penali.
E la legge in materia di privacy è chiara nello spiegare che l’eccessiva pubblicazione di dati personali potrebbe esporre i partecipanti a discriminazioni, pregiudizi o abusi, mettendo a rischio il principio di uguaglianza e imparzialità che regola concorsi e selezioni.
La decisione del Garante e le norme applicate
Nel punire Inps con una multa di 50mila euro, l’Authority per la tutela della riservatezza ha applicato la norma per cui le graduatorie dei concorsi devono limitarsi a indicare soltanto i dati personali strettamente necessari ad adempiere agli obblighi di pubblicità e trasparenza previsti dal d.lgs. 33/2013 per le PA. Come accennato, le classifiche non devono quindi eccedere in particolari che possano compromettere la privacy dei candidati (e proprio la riservatezza delle informazioni è oggi un tema molto sentito, come dimostrano i recenti casi della multa a Linkedin e Uber).
Dopo la prima istruttoria conclusasi con una sanzione pecuniaria, l’ulteriore e accertata violazione amministrativa di Inps ha portato alla decisione per la seconda multa citata. L’istituto si era infatti reso responsabile di un illecito in materia di trattamento dati personali.
Ecco perché, nel provvedimento del Garante, si legge che l’ente aveva pubblicato online molte informazioni private:
in assenza di un idoneo presupposto normativo e in modo non conforme ai principi di “liceità, correttezza e trasparenza”, nonché di “minimizzazione dei dati”.
E con questo integrando più violazioni degli articoli del Regolamento GDPR e del Codice Privacy.
La sanzione dell’Authority puntualmente richiama le norme violate da Inps, dichiarando:
ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dall’Istituto Nazionale Previdenza Sociale – Inps per violazione degli artt. 5, 6, 9 del Regolamento, nonché 2-ter e 2-septies comma 8 del Codice.
Oltre alla multa tramite ordinanza-ingiunzione, il Garante ha ordinato la limitazione dei trattamenti in corso, vietando a Inps ogni ulteriore diffusione online dei dati personali dei candidati.
Che cosa cambia
Il provvedimento del Garante, oltre a stabilire conseguenze per il comportamento di Inps, rappresenta anche un avvertimento importante per tutti gli enti e amministrazioni che intendono effettuare concorsi pubblici. Ci sono obblighi in tema di riservatezza sui partecipanti che non possono essere violati, senza andare incontro ad un illecito amministrativo e alla relativa punizione.
Ecco perché, come indica l’art. 19 del d.lgs. 33/2013 – richiamato nel testo del provvedimento del Garante – vale l’obbligo per tutte le PA di pubblicare sui siti web – per quanto di stretto interesse – due soli documenti, ossia:
- le graduatorie finali;
- le determinazioni di scorrimento dei candidati idonei non vincitori.
Più nel dettaglio, le graduatorie finali dei concorsi o delle selezioni pubbliche devono indicare soltanto il nome e il cognome del vincitore o dei vincitori (anche se altri candidati sono risultati idonei), senza menzionare altri dati personali (anche nell’ipotesi nella quale il vincitore abbia acconsentito alla loro pubblicazione). È invece vietato pubblicare in elenco i nominativi dei partecipanti ammessi e non ammessi ad un concorso pubblico, perché questo costituisce una violazione della privacy.
L’art. 19 del d.lgs. n. 33/2013, infatti, impone di rendere conoscibile la mera identità dei vincitori del concorso e non anche l’identità dei partecipanti non ammessi o esclusi (che saranno informati privatamente attraverso gli indirizzi web forniti con la domanda di partecipazione). Perciò chi pubblica ulteriori dati personali, si espone a conseguenze sanzionatorie – come nel caso visto sopra.
Infine, la pubblicazione dell’elenco dei candidati idonei – ma non vincitori – non è permessa neanche nelle ipotesi di graduatorie “a scorrimento”, vale a dire graduatorie che restano valide nel tempo e consentono all’ente di attingervi per possibili future necessità. In tali circostanze, la PA è tenuta solo a comunicare l’ eventuale scorrimento della graduatoria, indicando meramente il nome del candidato successivo chiamato a firmare il contratto.
