Il Garante per la protezione dei dati personali ha pubblicato sul proprio sito istituzionale, in collaborazione con il Dipartimento della Funzione Pubblica, una nuova sezione di FAQ dedicata al trattamento dei dati personali nelle procedure concorsuali e selettive.
Le FAQ mirano a dare risposte uniformi a un tema che, come sappiamo bene, genera numerosi dubbi: il bilanciamento tra esigenze di pubblicità e trasparenza delle procedure, da un lato, e tutela dei dati personali dei candidati, dall’altro.
Le FAQ chiariscono che, ai fini della pubblicità legale della graduatoria e della decorrenza dei termini per l’impugnativa, devono essere pubblicate online esclusivamente le graduatorie finali, riportando solo i dati dei candidati risultati vincitori.
Quali dati pubblicare
I dati che risultano pubblicabili sono, quindi, limitati a: nome e cognome del vincitore; posizione in graduatoria; eventualmente, data di nascita (solo in caso di omonimia); a discrezione dell’amministrazione, il punteggio complessivo.
Il Garante ricorda anche che l’obbligo di pubblicazione in Gazzetta Ufficiale risulta sostituito dalla pubblicazione sul Portale InPA di un apposito avviso di avvenuta pubblicazione della graduatoria finale sul sito istituzionale dell’amministrazione; da tale avviso decorrono i termini per eventuali ricorsi.
In questo contesto rimangono fermi gli obblighi di comunicazione individuale verso i partecipanti e gli obblighi di trasparenza previsti dal d.lgs. 33/2013 e s.m.i., da adempiere però nel rispetto dei principi di protezione dei dati.
Divieti
In particolare, le FAQ pongono un divieto espresso di pubblicare online i dati dei non vincitori, inclusi idonei, non idonei e assenti alle prove; i titoli di preferenza o precedenza, in quanto idonei a rivelare situazioni particolarmente delicate (es. riferimenti alla L. 68/1999 sull’inserimento lavorativo dei disabili, alla L. 104/1992 o ad altre condizioni personali e familiari).
Tali informazioni, infatti, possono far emergere categorie particolari di dati relativi agli interessati (es. stato di salute) ai sensi dell’art. 9 GDPR, oppure dati giudiziari ai sensi dell’art. 10 GDPR e dell’art. 2-octies del Codice privacy, che non possono essere oggetto di diffusione generalizzata sul web.
È altresì vietata la pubblicazione online di cause di esclusione, dell’indicazione di ammissione con riserva e relative motivazioni, di informazioni su condanne penali, reati o procedimenti pendenti (anche in forma di sigle o codici). Si tratta di dati che, oltre a non essere richiesti dalla normativa in materia di trasparenza, incidono anch’essi in modo significativo sulla sfera privata e sulla reputazione degli interessati.
Aree riservate
Gli atti endoprocedimentali (es. graduatorie intermedie, valutazioni dei titoli, esiti delle prove scritte e orali) non devono essere pubblicati in chiaro sul web.
Le FAQ precisano che tali documenti devono essere resi disponibili solo ai partecipanti, tramite Portale InPA (area autenticata), e/o area riservata sul sito dell’amministrazione (accessibile con credenziali).
Anche nelle aree riservate vale il principio di minimizzazione: nome, cognome, posizione e punteggio possono essere comunicati; eventuali riserve o titoli di preferenza vanno indicati in forma neutra (es. asterisco), senza dettagliare la natura del beneficio. Gli esiti delle prove orali non devono essere pubblicati online. Questi devono essere resi noti mediante affissione nei luoghi fisici in cui si svolge la prova, al termine della sessione giornaliera.
Diffusione dei dati
Per “diffusione” si intende: il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.
A differenza delle tradizionali forme di pubblicità, quella online costituisce infatti una forma di diffusione di dati particolarmente invasiva. Questo perchè consente a chiunque, per effetto dei comuni motori di ricerca esterni ai siti, di reperire indiscriminatamente e in tempo reale un insieme consistente di informazioni personali rese disponibili in rete, non sempre aggiornate e di natura differente.
Una volta pubblicati, i dati rischiano di rimanere in rete per un tempo indefinito e possono essere utilizzati, anche incrociandoli con altre informazioni presenti sul web, da chiunque. Nell’utilizzare tale strumento di diffusione occorre, quindi, prevedere forme adeguate di selezione delle informazioni. Queste potrebbero essere altrimenti aggregate massivamente mediante un comune motore di ricerca e suscettibile di utilizzi ulteriori. Specie in presenza dell’indicizzazione e riutilizzabilità dei dati e, in generale, in ragione dei rischi connessi alla maggiore esposizione delle informazioni sul web, potrebbero comportare conseguenze pregiudizievoli nella sfera privata e lavorativa degli interessati.
Importante sottolineare come il Garante chiarisca che né il bando, né regolamenti interni possono ampliare l’insieme dei dati pubblicabili rispetto a quanto previsto da GDPR, Codice privacy e normativa in materia di trasparenza e Portale InPA.
Le “regole del gioco” sulla diffusione dei dati dei candidati devono essere dettate da fonti normative e non rimesse alla discrezionalità delle singole amministrazioni, in un’ottica di uniformità e certezza del diritto.
È bene ricordare che la diffusione online di dati eccedenti rispetto a quanto previsto dalla normativa vigente espone al rischio di vedersi destinatari di provvedimenti inibitori e correttivi del Garante (es. ordine di rimozione dei dati, limitazione del trattamento). Soprattutto di sanzioni amministrative pecuniarie di importo anche rilevante e, per i casi più gravi, sanzioni accessorie come la pubblicazione del provvedimento sul sito del Garante, con ogni conseguente impatto reputazionale.
(Fonte: Garante Privacy FAQ )
Potrebbe interessarti:
Trasparenza della P.A. parere del Garante