No alla pubblicazione sul web gli esiti delle prove concorsuali intermedie o dei dati personali dei concorrenti non vincitori o non ammessi.
Pubblicare sul web gli esiti delle prove intermedie o dei dati personali dei concorrenti non vincitori o non ammessi ad un concorso è una violazione della privacy. Così si è espresso il Garante per la protezione dei dati personali con il provvedimento dell’11 aprile 2024, a seguito di un reclamo presentato da un partecipante al concorso pubblico, a 1858 posti di consulente protezione sociale nei ruoli del personale dell’Inps.
In via preliminare si rappresenta che il provvedimento dell’11 aprile 2024 (Registro dei provvedimenti n. 235 dell’11 aprile 2024) del Garante per la Protezione dei dati personale ha ad oggetto esclusivamente la diffusione sul sito web dell’INPS di dati personali di numerosi partecipanti al “concorso pubblico per titoli ed esami, a 1858 posti di consulente protezione sociale nei ruoli del personale dell’INPS, area C, posizione economica C1” atteso che i profili, relativi alla condivisione da parte di terzi dei medesimi dati “su un gruppo social”, saranno esaminati nell’ambito di una distinta e autonoma istruttoria.
Nel corso dell’istruttoria è stato accertato che l’INPS ha pubblicato sul proprio sito web istituzionale dati personali di migliaia di partecipanti (oltre 5000) alla predetta procedura concorsuale, contenuti negli elenchi degli ammessi e non ammessi alla prova scritta e alla prova orale e nell’elenco nominativo riguardante la valutazione dei titoli ad opera della Commissione di concorso con l’indicazione del punteggio attribuito a ciascun candidato.
In via generale, si osserva che il bando del concorso indetto dall’Istituto disciplina il successivo svolgimento del procedimento culminante nell’approvazione della graduatoria finale dei candidati posizionatosi in posizione utile nella graduatoria di merito.
In ottemperanza alle disposizioni di cui al d.P.R. n. 487/1994 “Regolamento recante norme sull’accesso agli impieghi alle pubbliche amministrazioni e le modalità di svolgimento dei concorsi, dei concorsi unici e delle altre forme di assunzione nei pubblici impieghi”, che trova quindi applicazione anche all’INPS, l’atto deve specificare una serie di elementi che caratterizzano di volta in volta e in concreto la procedura concorsuale.
Con specifico riferimento alla pubblicità delle graduatorie, come più volte rappresentato dal Garante, le disposizioni normative che stabiliscono, in generale, la pubblicità delle graduatorie di concorsi e prove selettive (cfr., in particolare d.P.R. 10 gennaio 1957, n. 3; nonché art. 15 e ss del d.P.R. 9 maggio 1994, n. 487 “Regolamento recante norme sull’accesso agli impieghi nelle pubbliche amministrazioni e le modalità di svolgimento dei concorsi, dei concorsi unici e delle altre forme di assunzione nei pubblici impieghi”, anche a seguito delle modifiche intervenute con d.P.R. 16 giugno 2023, n. 82 e, più in generale, sulla pubblicità delle procedure di reclutamento del personale delle pubbliche amministrazioni, art. 35 d. lgs. 30 marzo 2001, n. 165) svolgono la funzione di consentire agli interessati, partecipanti alle procedure concorsuali o selettive, l’attivazione delle forme di tutela dei propri diritti e di controllo della legittimità dell’azione amministrativa. Tali norme dispongono, tuttavia, che siano pubblicate le sole graduatorie definitive dei vincitori di concorso e non anche gli esiti delle prove intermedie o dei dati personali dei concorrenti non vincitori o non ammessi (cfr. art. 15, comma 6, del d.P.R. cit.).
Anche le disposizioni in materia di trasparenza amministrativa prevedono specifici obblighi di pubblicazione nella sezione “Amministrazione Trasparente” del sito web istituzionale delle amministrazioni, in particolare, in base a quanto previsto dal d.lgs. 14 marzo 2013, n. 33, “Fermi restando gli altri obblighi di pubblicità legale, le pubbliche amministrazioni pubblicano i bandi di concorso per il reclutamento, a qualsiasi titolo, di personale presso l’amministrazione, nonché i criteri di valutazione della Commissione, le tracce delle prove e le graduatorie finali, aggiornate con l’eventuale scorrimento degli idonei non vincitori. Le pubbliche amministrazioni pubblicano e tengono costantemente aggiornati i dati di cui al comma 1” (art. 19, commi 1 e 2).
Tali disposizioni definiscono, sotto il profilo della protezione dei dati, l’ambito del trattamento consentito e ne costituiscono la base giuridica stabilendo limiti, condizioni e presupposti della pubblicazione online di dati personali nell’ambito delle procedure concorsuali.
In tale quadro il Garante ha, nel tempo, fornito specifiche indicazioni alle pubbliche amministrazioni in ordine alle cautele da adottare per la diffusione di dati personali in Internet per finalità di trasparenza e pubblicità dell’azione amministrativa, in particolare, nel 2014, con le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” (provv. n. 243 del 15 maggio 2014, doc. web n. 3134436, parte I e II, spec. par. 3.b) che, stante l’evoluzione del quadro normativo in materia, hanno fornito ulteriori chiarimenti ai titolari del trattamento e, dunque, hanno aggiornato quanto contenuto in precedenti documenti di indirizzo aventi ad oggetto il medesimo tema (v., in particolare, le “Linee guida per il trattamento di dati personali effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web” del 2 marzo 2011, doc. web n. 1793203).
Seppure il bando di concorso pubblico, quale atto amministrativo generale, è fonte idonea a legittimare il trattamento dei dati personali dei candidati a ricoprire una determinata qualifica ai sensi dell’art. 2-ter del Codice, tale atto non può contravvenire ovvero modificare le norme sovraordinate di riferimento, avendo un mero effetto integrativo dell’ordinamento. Il criterio gerarchico delle fonti del diritto sancisce, invero, la prevalenza della fonte di rango superiore rispetto a quella di livello inferiore, precludendo a quest’ultima di derogarvi o di porsi in contrasto con il contenuto della fonte sovraordinata; pertanto, non si rinviene nell’atto amministrativo generale l’attitudine ad apportare modifiche nell’ordinamento– quali sarebbero la pubblicazione non prevista dei dati personali dei candidati partecipanti alla procedura concorsuale – in relazione al trattamento dei dati personali, non potendo tale atto assorbire interamente la disciplina vigente, le cui caratteristiche essenziali devono essere e rimangono delineate dalle norme di rango ad esso sovraordinate.
Infatti, come recentemente chiarito dal medesimo Garante, proprio in merito alla pubblicazione di atti e documenti da parte di amministrazioni in merito a procedure concorsuali e selettive, nel quadro di derivazione europea della disciplina di protezione dei dati, nella prospettiva della certezza del diritto, nonché del principio di non discriminazione, non sono consentiti livelli differenziati di tutela della protezione dei dati personali – né su base territoriale né a livello di singola amministrazione – specie quando, come nel caso di cui trattasi, la materia sia già stata oggetto di bilanciamento e regolazione dal legislatore con disposizioni uniformi a livello nazionale, attraverso le richiamate disposizioni di settore in materia di trasparenza e pubblicità degli esiti delle procedure concorsuali applicabili a tutte le amministrazioni dello Stato di cui all’art. 1, comma 2 del d.lg. n. 165 del 2001.
In particolare, in merito alla possibilità che, per effetto delle modifiche al Codice, operate dal decreto legge n. 139 del 2021 sia configurabile una diffusione di dati personali sulla base di una autonoma individuazione delle finalità da parte dell’ente, il Garante ha, recentemente, chiarito che la base giuridica del trattamento deve essere idonea anche alla luce dell’“ordinamento costituzionale” dello Stato membro, nel rispetto del principio di proporzionalità (considerando 41 e v. anche Corte Cost. sent. n. 271/2005 in base alla quale la disciplina di protezione dei dati personali rientra fra la materia di competenza esclusiva statale riferita all’ “ordinamento civile”; v., al riguardo, provv. n.125 del 13 aprile 2023 doc web 9907846; provv. n. 287 del 6 luglio 2023 doc web 9920145; provv.n.286 del 6 luglio 2023, doc web 9920116, nonché per analoghe considerazioni in relazione all’introduzione con ordinanza regionale di trattamenti di dati personali di dipendenti nel contesto emergenziale dovuto alla diffusione del virus Covid-19, provv. del 22 luglio 2021, n. 273, doc. web. n. 9683814).
Autore: Nicola Niglio
