VEDI ANCHE

- Newsletter del 6 giugno 2024

- Newsletter del 3 dicembre 2024

[doc. web n. 10019523]

Provvedimento dell'11 aprile 2024

Registro dei provvedimenti
n. 235 dell'11 aprile 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Introduzione.

Con reclamo presentato, ai sensi dell’art. 77 del Regolamento il sig. XX, in qualità di partecipante al “concorso pubblico per titoli ed esami, a 1858 posti di consulente protezione sociale nei ruoli del personale dell’INPS, area C, posizione economica C1” ha lamentato la pubblicazione, sul sito web dell’Istituto Nazionale di Previdenza Sociale (di seguito “INPS”) - alla pagina dedicata alla predetta procedura - di numerosi atti e documenti tra cui gli elenchi degli ammessi e non ammessi alla prova scritta e prova orale e l’elenco dei partecipanti contenente la valutazione dei titoli ad opera della Commissione di concorso, con l’indicazione del punteggio attribuito a ciascun candidato. Tale circostanza avrebbe poi determinato la condivisione dei predetti documenti, reperibili sul sito web istituzionale dell’INPS, anche sui social network ad opera di terzi.

A seguito delle verifiche effettuate dall’Ufficio, acquisite in atti, è stato accertato che sul sito web istituzionale dell’INPS, accedendo alla URL https://... sono stati pubblicati elenchi e documenti contenenti dati personali riferiti a migliaia di interessati, partecipanti alla procedura e indicizzati sui motori di ricerca generalisti.

2. L’attività istruttoria.

Con nota del XX (prot. n. XX), l’INPS, in riscontro a una richiesta d’informazioni del Garante (nota prot. n. XX del XX), ha dichiarato, in particolare, che:

“ha provveduto nel medesimo giorno [del ricevimento della richiesta di informazioni da parte di questa Autorità] a rimuovere dal sito istituzionale dell’Istituto i seguenti documenti: L’AVVISO contenente il DIARIO della prova preselettiva; il CALENDARIO DELLE PROVE SCRITTE; il “CALENDARIO PROVE ORALI”; gli elenchi degli “AMMESSI PROVE ORALI” riportante il punteggio conseguito da ciascuno nella prima e nella seconda prova scritta; gli elenchi dei “NON AMMESSI” alle prove orali; gli elenchi degli AMMESSI alle prove scritte; la VALUTAZIONE DEI TITOLI dei candidati ammessi alle prove orali; la precisazione in merito all’esatto nominativo di un candidato incluso nell’ ELENCO AMMESSI PROVE SCRITTE”;

“ La pubblicazione dei documenti di cui sopra, contenenti esclusivamente nome e cognome dei candidati, nonché nei casi di omonimia anche la data di nascita è stata operata perché ritenuta strumento di massima trasparenza in una procedura concorsuale pubblica”;

“nessun altro dato è stato diffuso e ciascun candidato ha avuto la possibilità di accedere alla piattaforma messa a disposizione dalla Società che ha gestito lo svolgimento delle prove (al link https://...) per la consultazione delle prove scritte”.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’INPS, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, 6 del Regolamento, nonché 2-ter del Codice, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Con nota del XX, prot. n. XX l’INPS, per il tramite dei propri avvocati, ha presentato una memoria difensiva, dichiarando, in particolare, che:

“la Direzione Centrale Risorse Umane [dell’INPS] ha dichiarato di aver immediatamente rimosso […] dal sito istituzionale dell’Istituto i documenti in questione, sostituendoli con altri documenti nei quali la identificazione dei candidati avviene mediante ID domanda randomizzato che non corrisponde in alcun modo né ad un elenco alfabetico né ad un elenco punteggi”;

in particolare “in base all’art. 70, comma 13 del D. Lgs. n. 165/2001, è fatto salvo alle pubbliche amministrazioni, nell’ambito dei rispettivi ordinamenti, di poter adottare propri regolamenti per il reclutamento del personale. L’Istituto ha adottato il proprio “Regolamento delle procedure di reclutamento per l’assunzione all’Inps del personale non dirigente a tempo indeterminato”, con determinazione Presidenziale n. XX del XX”;

l’INPS, ha, dunque, invocato il “Regolamento per il reclutamento del personale” e l’art. 6 del bando relativo alla preselezione che stabilisce che “L’elenco dei candidati ammessi a partecipare alle prove scritte è pubblicato con valore di notifica a tutti gli effetti sul sito internet dell’INPS all’indirizzo www.inps.it”;

“l’art. 7, comma 3 e 8, comma 3 del bando che hanno come oggetto rispettivamente la prima e la seconda prova scritta, prevedono che “Il punteggio è tempestivamente pubblicato sul sito internet dell’INPS, all’indirizzo www.inps.it nella sezione «Avvisi, bandi e fatturazione» sottosezione «Concorsi»”. L’art. 10 del bando, avente ad oggetto la prova orale, prevede che “La sede, il giorno e l’ora di svolgimento della prova orale sono pubblicati sul sito internet dell’INPS … Il candidato che non si presenta nel giorno, luogo e ora stabiliti senza giustificato motivo è escluso dal concorso”. L’art. 11 dispone che “La graduatoria finale e quella specifica dei vincitori … sono pubblicate sul sito istituzionale dell’INPS al seguente indirizzo: www.inps.it”;

“con la domanda di partecipazione, il candidato esprime il proprio “consenso alla trattazione dei dati personali”, anche per esigenze successive all’espletamento del concorso relative all’instaurazione del rapporto di lavoro (art. 3, comma 3, lett. l) del Regolamento per il reclutamento del personale e art. 3, comma 9, lett. p) del bando)”;

“la ratio della disciplina di cui al “Regolamento per il reclutamento del personale” e del bando, […] corrisponde all’esigenza dell’Istituto di far decorrere i termini di impugnativa per tutti gli interessati che non superano le relative fasi del procedimento, in modo tale da ottenere quanto prima il consolidamento ed avere una graduatoria finale definitiva,”;

“posto ciò, l’art. 2-ter del Codice, come modificato dall’art. 9 del decreto legge n. 139/2021, convertito con modificazioni dalla legge n. 205/2021, prevede che la base giuridica del trattamento, possa consistere nella legge, nel regolamento ed anche in atti amministrativi generali. E secondo l’orientamento univoco della giurisprudenza, i bandi di concorso (come i bandi di gara) sono sicuramente atti amministrativi a carattere generale con i quali viene resa nota l’esistenza di una procedura e se ne regola lo svolgimento, rappresentando la lex specialis del procedimento. L’Adunanza Plenaria del Consiglio di Stato ha chiarito che i bandi sono “atti amministrativi a carattere generale, destinati alla cura concreta di interessi pubblici, con effetti nei confronti di una pluralità di destinatari, non determinati nei provvedimenti, ma chiaramente determinabili” (Cons. St., Ad. Plen., 29 gennaio 2003, n. 1)”;

“nel caso di specie, in base al quadro giuridico di riferimento, la pubblicazione sul sito web istituzionale degli atti e documenti del concorso, trova il suo fondamento proprio nel “Regolamento per il reclutamento del personale dell’INPS” approvato con la determinazione Presidenziale n. XX del XX e nel bando di concorso approvato con deliberazione del Consiglio di Amministrazione dell’Istituto n. XX del XX. Pertanto, non può ritenersi che vi sia stata una violazione degli artt. 5, 6 del Regolamento e dell’art. 2-ter del Codice”;

“inoltre, è proprio l’art. 6, par. 1, lett. f) del Regolamento che qualifica come presupposto di legittimità del trattamento anche la necessarietà al fine di conseguire il perseguimento di un legittimo interesse del titolare. “in ogni caso, l’INPS non ha mai pubblicato dati sensibili o particolari, ma soltanto dati personali comuni – quali nome, cognome, punteggio – necessari e indispensabili affinché nel rispetto dei principi di minimizzazione e di economicità delle procedure la pubblicazione possa avere – come previsto nel bando – pieno valore di notifica a tutti gli effetti. Non sono stati pubblicati nemmeno altri dati comuni non necessari, come codice fiscale, indirizzo, numero di telefono, e-mail, etc.”;

“la pubblicazione degli atti e documenti in questione, ha riguardato soltanto dati comuni necessari al fine del perseguimento di un legittimo interesse dell’amministrazione (cfr. Cons. Stato, sez. VI, 19 gennaio 2021, n. 587 ed ivi ulteriori riferimenti giurisprudenziali)”;

“al riguardo, si evidenza che, a seguito della nota del XX del Dipartimento realtà pubbliche, l’Istituto ha provveduto nel medesimo giorno – in via di massima collaborazione e senza nemmeno entrare nel merito della questione – a rimuovere dalla sezione Concorsi del sito istituzionale” la predetta documentazione;

“si evidenzia che si è trattato soltanto di dati personali comuni (nome, cognome, punteggio) che sono rimasti pubblicati soltanto qualche mese […] per un tempo, quindi, che corrisponde sostanzialmente ai termini previsti dalla legge per l’impugnazione che è di sessanta giorni, oltre alla sospensione dei termini per il periodo feriale (tra 1° e il 31 agosto).”

L’INPS, inoltre, nel corso dell’audizione ai sensi dell’art. 166, comma 6, del Codice, ha rappresentato, tra l’altro, che (cfr. verbale prot.n. XX del XX):

- “l’impatto sui diritti degli interessati può considerarsi in concreto trascurabile, se non addirittura nullo, se si considera che, nel lasso di tempo di espletamento della procedura concorsuale e nel periodo successivo, è pervenuta una sola segnalazione di presunta violazione della riservatezza da parte del candidato XX”

- “in particolare, il sig. XX si lamentava soprattutto della condivisione dei suoi dati su un gruppo social avvenuta per il tramite di foto scattate da parte di terzi soggetti e loro diffusione senza alcuna autorizzazione o consenso da parte sua. Pertanto, il reclamo appare avere come oggetto circostanze diverse da quelle che sono oggetto del presente procedimento, ovvero un comportamento non autorizzato consistente nella diffusione abusiva di dati su piattaforma social ascrivibile a terzi soggetti, e non all’Istituto”.

3. Esito dell’attività istruttoria.

3.1 Il quadro normativo.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, anche quando operino nello svolgimento di procedure concorsuali, selettive o comunque valutative, prodromiche all’instaurazione del rapporto di lavoro, possono trattare i dati personali degli interessati (art. 4, n. 1, del Regolamento) se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (si pensi a specifici obblighi previsti dalla normativa nazionale “per finalità di assunzione”, artt. 6, par. 1, lett. c), 9, parr. 2, lett. b) e 4; 88 del Regolamento) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento e art. 2-ter del Codice).

Tali trattamenti devono, comunque, trovare fondamento nel diritto dell’Unione o dello Stato membro che deve perseguire un obiettivo di interesse pubblico ed essere proporzionato al perseguimento dello stesso. La finalità del trattamento deve essere necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (cfr. art. 6, par. 3, del Regolamento e 2-ter del Codice).

La disciplina nazionale ha introdotto disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando con maggiore precisione requisiti specifici per il trattamento, nonché altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2 del Regolamento) e, in tale ambito, ha previsto che la base giuridica prevista dall’art. 6, par. 3, lett. b), del Regolamento, è costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento o da atti amministrativi generali, nel cui novero sono ricompresi i bandi di concorso pubblico (2-ter del Codice).

Il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, paragrafo 1, lett. a) e c) del Regolamento).

3.2 La diffusione dei dati personali.

In via preliminare si rappresenta che il presente provvedimento ha ad oggetto esclusivamente la diffusione sul sito web dell’INPS di dati personali di numerosi partecipanti al “concorso pubblico per titoli ed esami, a 1858 posti di consulente protezione sociale nei ruoli del personale dell’INPS, area C, posizione economica C1” atteso che i profili, relativi alla condivisione da parte di terzi dei medesimi dati “su un gruppo social”, saranno esaminati nell’ambito di una distinta e autonoma istruttoria.

Nel corso dell’istruttoria è stato accertato che l’INPS ha pubblicato sul proprio sito web istituzionale dati personali di migliaia di partecipanti (oltre 5000) alla predetta procedura concorsuale contenuti negli elenchi degli ammessi e non ammessi alla prova scritta e alla prova orale e nell’elenco nominativo riguardante la valutazione dei titoli ad opera della Commissione di concorso con l’indicazione del punteggio attribuito a ciascun candidato. 

In via generale, si osserva che il bando del concorso indetto dall’Istituto disciplina il successivo svolgimento del procedimento culminante nell’approvazione della graduatoria finale dei candidati posizionatosi in posizione utile nella graduatoria di merito. In ottemperanza alle disposizioni di cui al d.P.R. n. 487/1994 “Regolamento recante norme sull’accesso agli impieghi alle pubbliche amministrazioni e le modalità di svolgimento dei concorsi, dei concorsi unici e delle altre forme di assunzione nei pubblici impieghi”, che trova quindi applicazione anche all’INPS, l’atto deve specificare una serie di elementi che caratterizzano di volta in volta e in concreto la procedura concorsuale.

Con specifico riferimento alla pubblicità delle graduatorie, come più volte rappresentato dal Garante, le disposizioni normative che stabiliscono, in generale, la pubblicità delle graduatorie di concorsi e prove selettive (cfr., in particolare d.P.R. 10 gennaio 1957, n. 3; nonché art. 15 e ss del d.P.R. 9 maggio 1994, n. 487 “Regolamento recante norme sull’accesso agli impieghi nelle pubbliche amministrazioni e le modalità di svolgimento dei concorsi, dei concorsi unici e delle altre forme di assunzione nei pubblici impieghi”, anche a seguito delle modifiche intervenute con d.P.R. 16 giugno 2023, n. 82 e, più in generale, sulla pubblicità delle procedure di reclutamento del personale delle pubbliche amministrazioni, art. 35 d. lgs. 30 marzo 2001, n. 165) svolgono la funzione di consentire agli interessati, partecipanti alle procedure concorsuali o selettive, l’attivazione delle forme di tutela dei propri diritti e di controllo della legittimità dell’azione amministrativa. Tali norme dispongono, tuttavia, che siano pubblicate le sole graduatorie definitive dei vincitori di concorso e non anche gli esiti delle prove intermedie o dei dati personali dei concorrenti non vincitori o non ammessi (cfr. art. 15, comma 6, del d.P.R. cit.).

Anche le disposizioni in materia di trasparenza amministrativa prevedono specifici obblighi di pubblicazione nella sezione “Amministrazione Trasparente” del sito web istituzionale delle amministrazioni, in particolare, in base a quanto previsto dal d.lgs. 14 marzo 2013, n. 33, “Fermi restando gli altri obblighi di pubblicità legale, le pubbliche amministrazioni pubblicano i bandi di concorso per il reclutamento, a qualsiasi titolo, di personale presso l’amministrazione, nonché i criteri di valutazione della Commissione, le tracce delle prove e le graduatorie finali, aggiornate con l'eventuale scorrimento degli idonei non vincitori. Le pubbliche amministrazioni pubblicano e tengono costantemente aggiornati i dati di cui al comma 1” (art. 19, commi 1 e 2).

Tali disposizioni definiscono, sotto il profilo della protezione dei dati, l’ambito del trattamento consentito e ne costituiscono la base giuridica stabilendo limiti, condizioni e presupposti della pubblicazione online di dati personali nell’ambito delle procedure concorsuali.

In tale quadro il Garante ha, nel tempo, fornito specifiche indicazioni alle pubbliche amministrazioni in ordine alle cautele da adottare per la diffusione di dati personali in Internet per finalità di trasparenza e pubblicità dell’azione amministrativa, in particolare, nel 2014, con le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” (provv. n. 243 del 15 maggio 2014, doc. web n. 3134436, parte I e II, spec. par. 3.b) che, stante l’evoluzione del quadro normativo in materia, hanno fornito ulteriori chiarimenti ai titolari del trattamento e, dunque, hanno aggiornato quanto contenuto in precedenti documenti di indirizzo aventi ad oggetto il medesimo tema (v., in particolare, le “Linee guida per il trattamento di dati personali effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web” del 2 marzo 2011, doc. web n. 1793203).

Si osserva inoltre che l’esigenza, rappresentata nel corso dell’istruttoria, di consentire la consultazione dei predetti elenchi “al fine di agevolare le modalità di consultazione delle graduatorie oggetto di pubblicazione in conformità alla disciplina di settore (per finalità diverse dalla trasparenza) consentendo la consultazione degli esiti delle prove o del procedimento ai soli partecipanti alla procedura concorsuale”, poteva essere raggiunta tramite la messa a disposizione dei predetti elenchi in un’area riservata così da garantire la consultabilità degli stessi tramite accesso selettivo, con proprie credenziali, ai soli candidati della procedura non già invece tramite la pubblicazione online accessibile da chiunque .

Né può considerarsi pertinente il richiamo alle disposizioni contenute nel “Regolamento delle procedure di reclutamento per l’assunzione all’Inps del personale non dirigente a tempo indeterminato” approvato da INPS (con determinazione Presidenziale n. XXdel XX) e quelle contenute nel bando di concorso (approvato con deliberazione del Consiglio di Amministrazione dell’INPS n. XX del XX).

Seppure il bando di concorso pubblico, quale atto amministrativo generale, è fonte idonea a legittimare il trattamento dei dati personali dei candidati a ricoprire una determinata qualifica ai sensi dell’art. 2-ter del Codice, tale atto non può contravvenire ovvero modificare le norme sovraordinate di riferimento, avendo un mero effetto integrativo dell’ordinamento. Il criterio gerarchico delle fonti del diritto sancisce, invero, la prevalenza della fonte di rango superiore rispetto a quella di livello inferiore, precludendo a quest’ultima di derogarvi o di porsi in contrasto con il contenuto della fonte sovraordinata; pertanto, non si rinviene nell’atto amministrativo generale l’attitudine ad apportare modifiche nell’ordinamento– quali sarebbero la pubblicazione non prevista dei dati personali dei candidati partecipanti alla procedura concorsuale – in relazione al trattamento dei dati personali, non potendo tale atto assorbire interamente la disciplina vigente, le cui caratteristiche essenziali devono essere e rimangono delineate dalle norme di rango ad esso sovraordinate.

Infatti, come recentemente chiarito dal Garante, proprio in merito alla pubblicazione di atti e documenti da parte di amministrazioni in merito a procedure concorsuali e selettive, nel quadro di derivazione europea della disciplina di protezione dei dati, nella prospettiva della certezza del diritto, nonché del principio di non discriminazione, non sono consentiti livelli differenziati di tutela della protezione dei dati personali - né su base territoriale né a livello di singola amministrazione – specie quando, come nel caso di cui trattasi, la materia sia già stata oggetto di bilanciamento e regolazione dal legislatore con disposizioni uniformi a livello nazionale, attraverso le richiamate disposizioni di settore in materia di trasparenza e pubblicità degli esiti delle procedure concorsuali applicabili a tutte le amministrazioni dello Stato di cui all’art. 1, comma 2 del d.lg. n. 165 del 2001. In particolare, in merito alla possibilità che, per effetto delle modifiche al Codice, operate dal d.l. 139 del 2021 sia configurabile una diffusione di dati personali sulla base di una autonoma individuazione delle finalità da parte dell’ente, il Garante ha, recentemente, chiarito che la base giuridica del trattamento deve essere idonea anche alla luce dell’“ordinamento costituzionale” dello Stato membro, nel rispetto del principio di proporzionalità (considerando 41 e v. anche Corte Cost. sent. n. 271/2005 in base alla quale la disciplina di protezione dei dati personali rientra fra la materia di competenza esclusiva statale riferita all’ “ordinamento civile”; v., al riguardo, provv. n.125 del 13 aprile 2023 doc web 9907846; provv. n. 287 del 6 luglio 2023 doc web 9920145; provv.n.286 del 6 luglio 2023, doc web 9920116, nonché per analoghe considerazioni in relazione all’introduzione con ordinanza regionale di trattamenti di dati personali di dipendenti nel contesto emergenziale dovuto alla diffusione del virus Covid-19, provv. del 22 luglio 2021, n. 273, doc. web. n. 9683814).

A tale riguardo si rappresenta, infatti, che l’art. 70, comma 13 del d.lgs.165 del 2001, richiamato dal titolare del trattamento, prevede espressamente che “in materia di reclutamento” del personale le pubbliche amministrazioni sono tenute a rispettare le richiamate disposizioni nazionali che, come detto, costituiscono la base giuridica di tutti i trattamenti, compresa la diffusione, nell’ambito delle procedure concorsuali.

L’art. 2-ter del Codice prevede effettivamente che la base giuridica del trattamento può consistere nella legge, nel regolamento ed anche in atti amministrativi generali. Nel caso di specie tuttavia le disposizioni del bando di concorso pubblico non possono essere richiamate dall’INPS come base giuridica per diffondere online i dati personali dei partecipanti alla procedura concorsuale, in quanto un atto amministrativo per quanto generale non possono tuttavia derogare, contravvenire o modificare le norme di settore sopra richiamate, peraltro, di rango primario (cfr., in particolare,  art. 19 d.lgs. 14 marzo 2013,  n. 33 nonché le preesistenti disposizioni di settore sopra richiamate in materia di trasparenza dei pubblici concorsi).

Tali considerazioni sono avvalorate dalle osservazioni contenute nel recente parere sugli schemi standard di pubblicazione predisposti da ANAC – riguardanti fra l’altro proprio l’art. 19, del d. lgs. n. 33/2013 – ai sensi dell’art. 48, commi 1 e 3, del medesimo decreto (cfr. provv. 22 febbraio 2024, n. 92, doc. web n. 9996090) chiarendo che, anche nell’adempimento degli obblighi di pubblicazione, debba essere indicato “secondo il principio di minimizzazione dei dati (art. 5, par. 2, lett. c, RGDP) e delle Linee guida del Garante in materia […]  il nome e cognome, ed eventualmente la data di nascita (ad esempio, in caso di omonimia), nonché la posizione in graduatoria (escludendo quindi altre informazioni non necessarie come il luogo di nascita, il codice fiscale, la residenza, ecc.)”.

Alla luce delle considerazioni che precedono, la diffusione online di numerosi dati personali di migliaia di partecipanti (oltre 5000) alla predetta procedura concorsuale indetta dall’INPS, contenuti negli elenchi degli ammessi e non ammessi alla prova scritta e alla prova orale e nell’elenco dei partecipanti contenente la valutazione dei titoli ad opera della Commissione di concorso, recante l’indicazione del punteggio attribuito a ciascun candidato, è avvenuta in assenza di una idonea base giuridica (in violazione degli artt.5 e 6 del Regolamento e 2-ter del Codice) come ritenuto nel corso tempo dal Garante a fronte di analoghe fattispecie nell’ambito delle procedure concorsuali anche qualora, come nel caso di specie, non siano stati diffusi categorie particolari di dati o dati sulla salute (cfr., tra i tanti, provv.ti n. 151 del 28 aprile 2022, doc. web n. 9778996; n. 170 del 29 aprile 2021, doc. web n. 9681778; n. 407 del 25 novembre 2021, doc. web n. 9732406; n.160 del 7 settembre 2020 doc web n. 1793203).

Né ancora  risulta pertinente richiamare la circostanza che i candidati alla selezione abbiano “con la domanda di partecipazione, [ … espresso il]  consenso alla trattazione dei dati personali”, come riportato nella nota dell’INPS, in quanto il trattamento di dati, finalizzato all’assunzione di personale da parte di un soggetto pubblico, trova la propria base giuridica nella specifica disciplina di settore che regola l’accesso agli impieghi nelle pubbliche amministrazioni e le modalità di svolgimento dei pubblici concorsi (cfr., la normativa sopra richiamata) e non, invece, nel consenso degli interessati, in ragione dello squilibrio nel rapporto tra titolare e interessato (considerando n. 43 e art. 88 del Regolamento; sul punto cfr., tra i tanti, con specifico riguardo al contesto pubblico, in generale v. provv. n.317 del 16 settembre 2021 doc web 9703988; con specifico riguardo al contesto lavorativo cfr. provv. n. 170 del 29 aprile 2021, doc web n. 9681778 e n. 160 del 17 settembre 2020, doc web n. 9461168; v. altresì, in senso conforme, Linee Guida EDPB sul consenso ai sensi del Regolamento UE 2016/679 - WP 259 - del 4 maggio 2020, spec. par. 3.1.1; Parere 2/2017 sul trattamento dei dati sul posto di lavoro, WP 249).

Non risulta pertinente, altresì, il richiamo alla giurisprudenza del Consiglio di Stato che fa riferimento esclusivamente a un eventuale legittimo riscontro fornito al richiedente, partecipante a una procedura concorsuale, in relazione a una istanza di accesso ai documenti amministrativi. A fronte di specifiche istanze di accesso ai documenti amministrativi il quadro normativo di riferimento non prevede alcuna pubblicazione online di dati dei partecipanti alle procedure concorsuali, fatta eccezione per le graduatorie finali, così come sopra specificato.

Né può essere invocato, ai fini della liceità del complessivo trattamento, il perseguimento di un legittimo interesse del titolare del trattamento, non potendo lo stesso trovare applicazione “al trattamento di dati effettuati dalle autorità pubbliche” (cfr. art. 6, par.1, lett. f), del Regolamento (v. tra i tanti, provv. n.409 del 1° dicembre 2022, doc web 9833530; provv. n.16 del 14 gennaio 2021, doc web 954207).

Per tutto quanto sopra rappresentato la pubblicazione dei richiamati documenti e elenchi contenenti i dati personali dei partecipanti alla procedura concorsuale come sopra rappresentato ha dato luogo a una diffusione di dati personali in assenza di un’idonea base giuridica, in violazione degli artt. 5, 6 del Regolamento, nonché 2-ter del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’INPS per aver pubblicato, sul proprio sito web  e indicizzato sui motori di ricerca generalisti, numerosi atti e documenti tra cui gli elenchi degli ammessi e non ammessi alla prova scritta e prova orale della predetta procedura e l’elenco dei partecipanti contenente la valutazione dei titoli ad opera della Commissione di concorso, con l’indicazione del punteggio attribuito a ciascun candidato, in violazione degli artt. 5, 6 del Regolamento, nonché 2-ter del Codice.

Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta, trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni più gravi, relative agli artt. 5 e 6 del Regolamento e 2-ter del Codice sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che in data XX, cosi come riportato nella nota del XX, prot. n. XX l’INPS ha rimosso gli elenchi contenenti i dati personali dei partecipanti, oggetto del presente procedimento, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto che:

con specifico riguardo alla natura e alla gravità della violazione è stato considerato l’elevato numero degli interessati coinvolti (oltre 5000) operando nell’errata convinzione di poter perseguire finalità di trasparenza dell’azione amministrativa, non tenendo però conto del vigente quadro normativo e delle indicazioni fornite nel tempo dal Garante a tutti i soggetti pubblici in materia (sia con le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti  amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” sopra citate, sia con numerose decisioni su singoli casi) (cfr. art. 83, par. 2, lett. a), del Regolamento);

risultano precedenti violazioni delle medesime disposizioni del Regolamento e del Codice, ancorché in contesti diversi (cfr. art. 83, par. 2, lett. e), del Regolamento);

si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze attenuanti:

con riguardo alla durata della violazione la pubblicazione degli elenchi, riguardanti il procedimento in oggetto, è avvenuta da giugno a XX (art.83, par.2 lett.a) del Regolamento);

l’INPS ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria, avendo, altresì, rappresentato di aver rimosso i predetti elenchi, seppur a seguito della richiesta di informazioni del Garante. (art. 83, par. 2, lett. f), del Regolamento);

con riguardo alla natura dei dati personali diffusi per quanto riguarda il procedimento in oggetto non sono compresi categorie particolari di dati (art.83, par.2 lett. g) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 20.000 (ventimila) per la violazione degli artt. 5 e 6 del Regolamento, nonché dell’art.2-ter del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto che i dati personali oggetto di diffusione online riguardavano numerosi candidati della procedura concorsuale si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dall’Istituto Nazionale Previdenza Sociale per violazione degli artt. 5 e 6 del Regolamento, nonché 2-ter del Codice, nei termini di cui in motivazione;

ORDINA

all’ Istituto Nazionale Previdenza Sociale - INPS, in persona del legale rappresentante pro-tempore, con sede legale in Via Ciro il Grande, 21 - 00144 Roma (RM) C.F. 80078750587, di pagare la somma di euro 20.000 (ventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

Al predetto Istituto, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 20.000 (ventimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 aprile 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei