Il Garante Privacy, con Provvedimento del 26 settembre 2024, reso noto il 3 dicembre scorso, ha ordinato all’Istituto Nazionale Previdenza Sociale - INPS - di pagare la somma di euro 50.000 (cinquantamila) a titolo di sanzione amministrativa pecuniaria per illecita pubblicazione, sul sito web dell’Istituto, dei dati personali di migliaia di partecipanti ad un concorso bandito dall’Istituto.

Ha inoltre ingiunto all’INPS la limitazione dei trattamenti in corso, vietando ogni ulteriore diffusione online dei dati personali degli interessati con riferimento alla data di nascita, al punteggio derivante dalla media dei voti conseguiti nelle prove scritte, al punteggio derivante dalla valutazione dei titoli, al punteggio conseguito nella prova orale, al punteggio totale nonché al riferimento all’eventuale presenza di titoli di precedenza, a quelli di preferenza e alla specifica indicazione dell’ammissione con riserva.

L’efficacia esecutiva del provvedimento del Garante è stata sospesa, con decreto del Tribunale di Roma del 19 novembre 2024, limitatamente alla parte relativa al punteggio totale, rimanendo in essere per tutti gli altri dati personali di cui è stata vietata ogni ulteriore diffusione online.

Il procedimento, che ha portato all’irrogazione della sanzione, è stato generato a cascata da una precedente attività di verifica sullo stesso concorso, conclusasi con una prima sanzione di 20mila euro comminata all’Istituto di previdenza per illecita pubblicazione degli atti intermedi del concorso che, ad opera di terzi, sono stati poi pubblicati anche sui social.

Se non che, l’Istituto ha pubblicato anche le graduatorie finali con “numerose informazioni di dettaglio relative a vicende personali e familiari dei partecipanti, esponendo le persone a possibili danni sul piano reputazionale", come ha avuto modo di precisare il Garante.

Il rischio di un concreto danno reputazionale è stato valutato dal Garante in relazione alle modalità di pubblicazione delle graduatorie finali, che risultano basate sull’associazione, a taluni nominativi, del riferimento a giudizi pendenti.

Tale informazione era in grado di ingenerare l’equivoco della sussistenza di precedenti penali pendenti anche se, in realtà, tali giudizi erano esclusivamente quelli relativi al contenzioso con l’Inps.

La pubblicazione illecita effettuata dall’Inps costituisce l'occasione per ricordare che la pubblicazione delle graduatorie deve avvenire nel rispetto delle norme di settore, le quali prevedono:

• la pubblicazione dei dati personali dei soli vincitori

Tali dati sono necessari ad assicurare la pubblicità e la trasparenza del concorso, non essendo, per contro, necessaria a tale fine la pubblicazione dei dati degli idonei.

La motivazione di tale limite è dovuta alla natura e alle caratteristiche della pubblicazione online che, a differenza delle forme di pubblicità, consente a chiunque “per effetto dei comuni motori di ricerca esterni ai siti, di reperire un insieme consistente di informazioni personali rese disponibili in rete, non sempre aggiornate e di natura differente. Una volta pubblicati e indicizzati i dati rischiano infatti di rimanere in rete per un tempo indefinito e possono essere utilizzati anche per fini ulteriori” (Garante, news 3.12.2024).

• La normativa applicabile e la diffusione dei dati personali nell’ambito delle procedure concorsuali

Per un approfondimento della normativa applicabile ai trattamenti dei dati nell’ambito delle procedure concorsuali e, in particolare, al trattamento della diffusione, si riporta di seguito, per l’importanza del tema, lo stralcio del provvedimento sanzionatorio del Garante:

“La disciplina di protezione dei dati personali prevede che i soggetti pubblici, anche quando operino nello svolgimento di procedure concorsuali, selettive o comunque valutative, prodromiche all’instaurazione del rapporto di lavoro, possono trattare i dati personali degli interessati (art. 4, n. 1, del Regolamento) se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (si pensi a specifici obblighi previsti dalla normativa nazionale “per finalità di assunzione”, artt. 6, par. 1, lett. c), 9, parr. 2, lett. b) e 4; 88 del Regolamento) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento e art. 2-ter del Codice).

Tali trattamenti devono, comunque, trovare fondamento nel diritto dell’Unione o dello Stato membro che deve perseguire un obiettivo di interesse pubblico ed essere proporzionato al perseguimento dello stesso. La finalità del trattamento deve essere necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (cfr. art. 6, par. 3, del Regolamento e 2-ter del Codice).

Con riguardo alle categorie particolari di dati personali, inclusi quelli relativi alla salute (in merito ai quali è previsto un generale divieto di trattamento, ad eccezione dei casi indicati all’art. 9, par. 2 del Regolamento e, comunque un regime di maggiore garanzia rispetto alle altre tipologie di dati (cfr., art. 9, par. 4, nonché dell’art. 2-septies del Codice), il trattamento è consentito ove “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento).

In ogni caso, i dati relativi alla salute, ossia quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15, considerando 35), in ragione della particolare delicatezza di tale categoria di dati, “non possono essere diffusi” (art. 2-septies, comma 8 e art. 166, comma 2, del Codice e art. 9, parr. 1, 2, 4, del Regolamento).

Con specifico riguardo al trattamento dei dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza, si evidenzia che esso può avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati (art. 10 del Regolamento), ovvero solo qualora il trattamento sia autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-octies, commi 1 e 5, del Codice).

Il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, paragrafo 1, lett. a) e c) del Regolamento)”.

“... le disposizioni normative che stabiliscono, in generale, la pubblicità delle graduatorie di concorsi e prove selettive (cfr., in particolare d.P.R. 10 gennaio 1957, n. 3; nonché art. 15 e ss. del d.P.R. 9 maggio 1994, n. 487 “Regolamento recante norme sull’accesso agli impieghi nelle pubbliche amministrazioni e le modalità di svolgimento dei concorsi, dei concorsi unici e delle altre forme di assunzione nei pubblici impieghi”, anche a seguito delle modifiche intervenute con d.P.R. 16 giugno 2023, n. 82 e, più in generale, sulla pubblicità delle procedure di reclutamento del personale delle pubbliche amministrazioni, art. 35 d. lgs. 30 marzo 2001, n. 165) svolgono la funzione di consentire agli interessati, partecipanti alle procedure concorsuali o selettive, l’attivazione delle forme di tutela dei propri diritti e di controllo della legittimità dell’azione amministrativa. A seguito delle modifiche del d.P.R. 487 del 1994, intervenute con d.P.R. 16 giugno 2023, n. 82, l’assolvimento dell’obbligo di dare notizia della pubblicazione delle graduatorie - originariamente effettuato attraverso i bollettini ufficiali dei rispettivi enti e mediante avviso nella Gazzetta Ufficiale della Repubblica - deve attualmente essere realizzata attraverso la pubblicazione delle stesse sul Portale unico del reclutamento (di cui all’art. 35-ter del d. lgs. 30 marzo 2001, n. 165 che ha esonerato le pubbliche amministrazioni e gli enti locali dall’obbligo di pubblicazione delle procedure concorsuali nella Gazzetta Ufficiale) e sul sito dell’amministrazione interessata; dalla data di tale pubblicazione decorrono i termini per l'impugnativa (v. art. 15, comma 6 d.P.R. 9 maggio 1994, n. 487 e art. 35 d. lgs. 30 marzo 2001, n. 165).

Come tradizionalmente evidenziato dal Garante proprio con riguardo alla pubblicità di graduatorie, in una cornice normativa assai risalente e caratterizzata da norme stratificatesi nel tempo, la pubblicazione di dati personali online, a differenza delle tradizionali forme di pubblicità, costituisce una forma di diffusione di dati particolarmente invasiva poiché consente a chiunque, per effetto dei comuni motori di ricerca esterni ai siti, di reperire indiscriminatamente e in tempo reale un insieme consistente di informazioni personali rese disponibili in rete, non sempre aggiornate e di natura differente (cfr., in particolare, par.6.1 delle Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico, n. 23 del 14 giugno 2007 , doc. web n. 1417809). Una volta pubblicati, infatti, i dati rischiano di rimanere in rete per un tempo indefinito e possono essere utilizzati, anche incrociandoli con altre informazioni presenti sul web, da chiunque. Nell’utilizzare tale strumento di diffusione occorre, quindi, prevedere forme adeguate di selezione delle informazioni che potrebbero essere altrimenti aggregate massivamente mediante un comune motore di ricerca esterno ai siti e suscettibile di utilizzi ulteriori. Ancorché, dunque, la disciplina normativa di settore, talvolta assai risalente nel tempo, quale quella contenuta nel d.P.R. 1957 n. 3, preveda espressamente forme specifiche e circoscritte di diffusione, mediante, nello specifico, la pubblicazione sul bollettino dell’amministrazione (ovvero in altri casi mediante la mera messa a disposizione di documenti presso gli uffici o la mera affissione di atti in bacheche o all´albo pretorio dell´amministrazione), tali forme di pubblicazione non autorizzano, di per sé, a trasporre tutti i documenti contenenti dati personali sul sito web istituzionale.

In tale quadro il Garante ha, nel tempo, fornito specifiche indicazioni alle pubbliche amministrazioni in ordine alle cautele da adottare per la diffusione di dati personali in Internet per finalità di trasparenza e pubblicità dell’azione amministrativa, in particolare, nel 2014, con le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” (provv. n. 243 del 15 maggio 2014, doc. web n. 3134436, parte I e II, spec. par. 3.b) chiarendo, anche attraverso numerose decisioni su singoli casi adottate nei confronti di specifiche amministrazioni, che la presenza di un regime di pubblicità non può comportare alcun automatismo rispetto alla diffusione online dei dati e informazioni personali, né una deroga ai principi in materia di protezione dei dati personali, come confermato dal sistema di protezione dei dati personali contenuto nel Regolamento, alla luce del quale è previsto che il titolare del trattamento deve mettere “in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” e deve essere “in grado di dimostrare” – alla luce del principio di “responsabilizzazione” – di averlo fatto ai sensi degli artt. 5, par. 2, 24 e 25, par. 2, del Regolamento (cfr. tra i tanti, provv. n. 287 del 6 luglio 2023, doc. web n. 9920145 e provvedimenti in esso citati).

Anche le disposizioni in materia di trasparenza amministrativa, nel fare salve le citate disposizioni relative alla pubblicità legale, prevedono specifici obblighi di pubblicazione nella sezione “Amministrazione Trasparente” del sito web istituzionale delle amministrazioni. In base a quanto previsto dal d.lgs. 14 marzo 2013, n. 33, “fermi restando gli altri obblighi di pubblicità legale, le pubbliche amministrazioni pubblicano i bandi di concorso per il reclutamento, a qualsiasi titolo, di personale presso l’amministrazione, nonché i criteri di valutazione della Commissione, le tracce delle prove e le graduatorie finali, aggiornate con l'eventuale scorrimento degli idonei non vincitori. Le pubbliche amministrazioni pubblicano e tengono costantemente aggiornati i dati di cui al comma 1” (art. 19, commi 1 e 2; cfr., da ultimo, provv. dell'11 aprile 2024 n. 235, doc. web n. 10019523, nonché provv.ti 23 marzo 2023, n. 83, doc. web n. 9888096, e 28 aprile 2022, n. 151, doc. web n. 9778996, e i precedenti provvedimenti in essi richiamati, tra cui, in particolare, il provv. 25 novembre 2021 n. 407, doc. web n. 9732406).

Le richiamate disposizioni definiscono, sotto il profilo della protezione dei dati, l’ambito del trattamento consentito dall’ordinamento e ne costituiscono la base giuridica, stabilendo limiti, condizioni e presupposti della pubblicazione online di dati personali identificativi degli interessati nell’ambito dell’assolvimento degli obblighi di pubblicazione delle graduatorie finali delle procedure concorsuali.

Al riguardo è utile evidenziare, quanto rappresentato dal Garante al Parlamento proprio con riferimento al bilanciamento operato dal legislatore tra concorrenti valori costituzionalmente rilevanti nel sistema normativo che regola la pubblicità delle procedure di reclutamento del personale pubblico e, in particolare, ai rischi per gli interessati in caso di diffusione online dei dati relativi agli idonei non vincitori, chiarendo nello specifico che “la partecipazione a una selezione concorsuale (e il relativo esito), eventualmente anche in costanza di altro rapporto di lavoro, costituisce un dato che merita adeguata protezione (anche ai fini di cui agli artt. 8 St. lav. e 10 d. lgs. n. 276/2003), secondo modalità che possano coniugare, in maniera equilibrata, il principio di trasparenza amministrativa e il diritto alla protezione dei dati personali” (v. Memoria del Presidente del Garante per la protezione dei dati personali sul disegno di legge di bilancio 2020 commissione 5°, Bilancio, del Senato della Repubblica, del 12 novembre 2019, doc. web 9184376, par. 4). Ciò specie in presenza dell’indicizzazione e riutilizzabilità dei dati e, in generale, in ragione dei rischi connessi alla maggiore esposizione delle informazioni sul web.

In tale quadro, come infatti espressamente richiamato dall’INPS nelle proprie memorie difensive, l’Autorità Nazionale Anticorruzione (di seguito, ANAC) ha evidenziato la necessità che la pubblicazione abbia ad oggetto dati identificativi degli interessati “vincitori” - atteso che i dati relativi agli idonei non vincitori dovranno essere pubblicati, in base alla legge, allorquando l’amministrazione proceda all’aggiornamento delle graduatorie con lo scorrimento degli idonei - chiarendo in particolare che una eventuale “pubblicazione dei vincitori identificati solamente attraverso un codice numerico ID non è conforme alle prescrizioni normative in materia di obblighi di trasparenza” (v. delibera ANAC n. 525 del 15 novembre 2023, v. anche, da ultimo, ANAC “Schemi di pubblicazione dei dati per la standardizzazione ai sensi dell’art. 48 d.lgs 33/2013, Schema art. 19”, disponibili dal sul sito istituzionale di ANAC).

Tale impostazione è stata ulteriormente confermata dal Garante nelle osservazioni contenute nel parere sugli schemi standard di pubblicazione predisposti da ANAC – riguardanti fra l’altro proprio l’art. 19, del d. lgs. n. 33/2013 – ai sensi dell’art. 48, commi 1 e 3, del medesimo decreto in cui è stato precisato che, anche nell’adempimento degli obblighi di pubblicazione, con riferimento ai soli vincitori di concorsi pubblici e degli idonei vincitori a seguito di scorrimento della graduatoria, devono essere indicati il nome e cognome, ed eventualmente la data di nascita (ad esempio, in caso di omonimia), nonché la posizione in graduatoria (cfr. provv. 22 febbraio 2024, n. 92, doc. web n. 9996090 ove si legge: “secondo il principio di minimizzazione dei dati (art. 5, par. 2, lett. c, RGDP) e delle Linee guida del Garante in materia – con riferimento alla pubblicazione dei dati previsti dallo schema riferito all’art. 19 dei soggetti vincitori di concorsi pubblici (e degli idonei vincitori a seguito di scorrimento della graduatoria) il nome e cognome, ed eventualmente la data di nascita (ad esempio, in caso di omonimia), nonché la posizione in graduatoria (escludendo quindi altre informazioni non necessarie come il luogo di nascita, il codice fiscale, la residenza, ecc.)”).

“... Il criterio gerarchico delle fonti del diritto sancisce, invero, la prevalenza della fonte di rango superiore rispetto a quella di livello inferiore, precludendo a quest’ultima di derogarvi o di porsi in contrasto con il contenuto della fonte sovraordinata; pertanto, non si rinviene nell’atto amministrativo generale l’attitudine ad apportare modifiche nell’ordinamento – quali sarebbero la pubblicazione non prevista di dati personali dei candidati partecipanti alla procedura concorsuale – in relazione al trattamento dei dati personali, non potendo tale atto assorbire interamente la disciplina vigente, le cui caratteristiche essenziali devono essere e rimangono delineate dalle norme di rango ad esso sovraordinate (cfr., il citato provvedimento n. 235 dell'11 aprile 2024, doc web n. 10019523 e precedenti in esso richiamati, adottato nei confronti di INPS in riferimento alla diffusione di dati personali contenuti in diversi atti intermedi relativi alla medesima procedura concorsuale).

Infatti, proprio in merito alla pubblicazione di atti e documenti da parte di amministrazioni nell’ambito di procedure concorsuali e selettive, nel quadro di derivazione europea della disciplina di protezione dei dati, nella prospettiva della certezza del diritto, nonché del principio di non discriminazione, non sono consentiti livelli differenziati di tutela della protezione dei dati personali - né su base territoriale né a livello di singola amministrazione – specie quando, come nel caso di cui trattasi, la materia sia già stata oggetto di bilanciamento e regolazione dal legislatore con disposizioni uniformi a livello nazionale, attraverso le richiamate disposizioni di settore in materia di trasparenza e pubblicità degli esiti delle procedure concorsuali applicabili a tutte le amministrazioni dello Stato di cui all’art. 1, comma 2 del d.lgs. n. 165 del 2001.

In particolare, in merito alla possibilità che, per effetto delle modifiche al Codice, operate dal d.l. 139 del 2021 sia configurabile una diffusione di dati personali sulla base di una autonoma individuazione delle finalità da parte dell’ente, il Garante ha, recentemente, chiarito che la base giuridica del trattamento deve essere idonea anche alla luce dell’“ordinamento costituzionale” dello Stato membro, nel rispetto del principio di proporzionalità (considerando 41 e v. anche Corte Cost. sent. n. 271/2005 in base alla quale la disciplina di protezione dei dati personali rientra fra la materia di competenza esclusiva statale riferita all’ “ordinamento civile”; v., al riguardo, provv. n.125 del 13 aprile 2023 doc web 9907846; provv. n. 287 del 6 luglio 2023 doc web 9920145; provv.n.286 del 6 luglio 2023, doc web 9920116, nonché per analoghe considerazioni in relazione all’introduzione con ordinanza regionale di trattamenti di dati personali di dipendenti nel contesto emergenziale dovuto alla diffusione del virus Covid-19, provv. del 22 luglio 2021, n. 273, doc. web. n. 9683814).

A tale riguardo anche l’art. 70, comma 13 del d.lgs.165 del 2001, pure richiamato dall’INPS, prevede espressamente che “in materia di reclutamento” del personale le pubbliche amministrazioni sono tenute a rispettare le richiamate disposizioni nazionali che, come detto, costituiscono la base giuridica di tutti i trattamenti, compresa la diffusione, nell’ambito delle procedure concorsuali. L’art. 2-ter del Codice sebbene preveda che la base giuridica del trattamento può consistere oltre che nella legge e nel regolamento, anche in atti amministrativi generali, tuttavia le disposizioni del bando di concorso pubblico non possono essere richiamate dall’INPS come base giuridica per diffondere online i dati personali dei partecipanti alla procedura concorsuale, in quanto un atto amministrativo per quanto generale non può tuttavia derogare, contravvenire o modificare le norme di settore sopra richiamate, peraltro, di rango primario (cfr., le disposizioni di settore sopra richiamate in materia di trasparenza dei pubblici concorsi).

Né ancora risulta pertinente richiamare la circostanza che i candidati alla selezione abbiano “con la domanda di partecipazione, […] espresso il proprio “consenso alla trattazione dei dati personali”, come nuovamente riportato nella nota dell’INPS, in quanto, come già indicato nel provvedimento dell’11 aprile 2024, il trattamento di dati, finalizzato all’assunzione di personale da parte di un soggetto pubblico, trova la propria base giuridica nella specifica disciplina di settore che regola l’accesso agli impieghi nelle pubbliche amministrazioni e le modalità di svolgimento dei pubblici concorsi (cfr., la normativa sopra richiamata) e non, invece, nel consenso degli interessati, in ragione dello squilibrio nel rapporto tra titolare e interessato (considerando n. 43 e art. 88 del Regolamento; sul punto cfr., tra i tanti, con specifico riguardo al contesto pubblico, in generale v. provv. n.317 del 16 settembre 2021 doc web 9703988; con specifico riguardo al contesto lavorativo cfr. provv. n. 170 del 29 aprile 2021, doc web n. 9681778 e n. 160 del 17 settembre 2020, doc web n. 9461168; v. altresì, in senso conforme, Linee Guida EDPB sul consenso ai sensi del Regolamento UE 2016/679 - WP 259 - del 4 maggio 2020, spec. par. 3.1.1; Parere 2/2017 sul trattamento dei dati sul posto di lavoro, WP 249)”.

“... si rileva l’illiceità del trattamento di dati personali effettuato dall’INPS, per aver pubblicato, sul proprio sito web istituzionale, due file, denominati “graduatoria finale” e “graduatoria finale -vincitori” contenenti oltre all’indicazione del nome e cognome dei candidati e alla data di nascita, il punteggio derivante dalla media dei voti conseguiti nelle prove scritte, il punteggio derivante dalla valutazione dei titoli, il punteggio conseguito nella prova orale, il punteggio totale nonché il riferimento all’eventuale presenza di titoli di precedenza, a quelli di preferenza e la specifica indicazione dell’ammissione con riserva, di molteplici interessati e precisamente di 5384 tra vincitori e idonei della predetta procedura, in violazione degli artt. 5, 6, 9 del Regolamento, nonché 2-ter e 2-septies comma 8 del Codice.”.

• Misure correttive (art. 58, par. 2, lett. f) del Regolamento).

Il Garante ha accertato che i dati personali degli interessati, in particolare la data di nascita, il punteggio derivante dalla media dei voti conseguiti nelle prove scritte, il punteggio derivante dalla valutazione dei titoli, il punteggio conseguito nella prova orale, il punteggio totale nonché il riferimento all’eventuale presenza di titoli di precedenza, a quelli di preferenza e la specifica indicazione dell’ammissione con riserva, di 5384 tra vincitori e idonei della predetta procedura, continuavano ad essere disponibili sul sito web istituzionale dell’INPS e ha, quindi, disposto misure correttive, costituite dall’ordine di “limitazione del trattamento in corso vietando al titolare del trattamento ogni ulteriore diffusione illecita, in quanto non prevista dalla legge e in contrasto con i principi di protezione dei dati degli interessati”.