Garante e pubblicazioni Graduatorie Ammessi.

Garante e pubblicazioni Graduatorie Ammessi.

0
(0)

Pubblico una comunicazione del Garante della Privacy relativa all’apertura di un procedimento di infrazione contestato di recente ad un Comune per la pubblicazione nel sito web dell’elenco degli ammessi/non ammessi ad una procedura di selezione del personale.

Suggerisco di leggerla, al di là delle opinioni che ciascuno di noi può maturare sul ragionamento fatto dall’istruttore del procedimento.


(All. 1)

(Rif.: Nota del omissis relativo alla diffusione online di dati personali e al mancato riconoscimento del diritto alla cancellazione dei dati. Notifica della violazione di cui all’art. 166, comma 5 del d.lgs. n. 196 del 30 giugno 2003 (Codice in materia di protezione dei dati personali) e dell’art. 58, paragrafo 1, lett. d) del Regolamento (UE) 2016/679.

1.  Premessa

Con reclamo presentato a questa Autorità dal Sig. OMISSIS in data 7 aprile 2019 è stato lamentato che, effettuando una ricerca sul motore di ricerca “Google” con il proprio nome e cognome, avesse “trovato che le [proprie] generalità erano associate all’ente in questione”, che tramite tale ricerca avesse preso contezza della pubblicazione di un elenco dei candidati ammessi e non ammessi a una selezione pubblica indetta da codesto Comune (determinazione n. omissis del 15 novembre 2016, allegata al reclamo), nonché che, a fronte della richiesta di cancellazione dei dati presentata a codesto Comune, avesse ottenuto una risposta non soddisfacente.

Con nota del 13 settembre 2019 (prot. n.omissis), questa Autorità, ai sensi dell’art. 15 del Regolamento n. 1/2019, concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali (doc. web 9107633), ha invitato codesto Comune a valutare la possibilità di aderire alla richiesta di cancellazione avanzata dal reclamante, comunicandogli la propria eventuale adesione spontanea.

Con nota del 26 settembre 2019 (prot. n. omissis), codesto Comune ha dichiarato

  • il Comune […] ha provveduto tempestivamente a rimuovere dal proprio sito istituzionale i file contenenti le graduatorie del concorso indetto nell’anno 2016, e contestualmente ha inviato la richiesta a Google per la rimozione dei link che puntano ai file precedentemente rimossi […]”;
  • l’Ente in una prima istanza ha ritenuto di dover mantenere i suddetti file nell’apposita sezione Amministrazione Trasparente, in quanto le graduatorie risultano tutt’ora vigenti e non potevano essere oggetto di cancellazione in quanto il trattamento risultava necessario come stabilito dall’art. 17 paragrafo 3 del Regolamento UE 679/2016”;
  • “[tali graduatorie] non contenevano elementi direttamente riconducibili alla persona, riportando esclusivamente cognome e nome, elementi ritenuti minimi per la trasparenza della procedura”.

1.  La normativa in materia di protezione dei dati personali

Ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), il trattamento di dati personali da parte di soggetti pubblici (come codesto Comune) è lecito, in particolare, se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. c) ed e) del Regolamento).

Per “dato personale” si intendequalsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”. Inoltre,si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (art. 4, paragrafo 1, n. 1 del Regolamento).

Più in generale, la normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, paragrafo 2 del Regolamento). Al riguardo, si evidenzia che l’operazione di diffusione di dati personali (come la pubblicazione online), da parte di soggetti pubblici, è ammessa, ai sensi dell’art. 2- ter, commi 1 e 3 del d.lgs. n. 196 del 30 giugno 2003 (Codice in materia di protezione dei dati personali – di seguito, il “Codice”), solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter, commi 1 e 3 del Codice).

Il titolare del trattamento è poi, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati»” (art. 5, paragrafo 1, lett. a) e c) del Regolamento).

Ai sensi dell’art. 17 del Regolamento, “l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se […] d) i dati personali sono stati trattati illecitamente”, salvo che il trattamento sia necessario “[…] b) per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento”.

2.    Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5 del Codice

In via preliminare si rappresenta che, seppure la condotta oggetto dell’istruttoria da parte di questa Autorità sia iniziata prima della data di piena applicazione del Regolamento, al fine della determinazione della norma applicabile sotto il profilo temporale deve essere richiamato il principio di legalità di cui all’art. 1, comma 2, della legge n. 689 del 24/11/1981 che, nel prevedere come «Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati», asserisce la ricorrenza del principio del tempus regit actum. L’applicazione di tale principio determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione. Nel caso che ci occupa, tale momento – considerando la natura permanente della condotta contestata – deve essere individuato nel momento di cessazione della condotta illecita, che dagli atti dell’istruttoria risulta essersi protratta almeno fino al mese di settembre 2019, ossia in epoca successiva al 25 maggio 2018, data in cui il Regolamento è divenuto pienamente applicabile.

Dall’accertamento compiuto sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni di questo Dipartimento, risulta accertato che codesto Comune ha pubblicato l’elenco dei candidati ammessi e non ammessi a una selezione pubblica (determinazione omissis del 15 novembre 2016), con l’indicazione del nome e del cognome di ciascun candidato, in assenza di un’idonea base giuridica, in violazione degli artt. 5, paragrafo 1, lett. a) e c) e 6 del Regolamento e dell’art. 2-ter del Codice, nonché ha negato all’interessato il diritto alla cancellazione di dati personali trattati illecitamente, in violazione dell’art. 17 del Regolamento.

Al riguardo si evidenzia che le diverse normative di settore regolano tempi e forme di pubblicità (es. affissione presso la sede dell’ente pubblico, pubblicazione nel bollettino dell’amministrazione o, per gli enti locali, all’albo pretorio) degli esiti delle prove concorsuali e delle graduatorie finali – nonché, nei casi (e con le modalità) previsti, dei risultati di prove intermedie – di concorsi e selezioni pubbliche”, anche “al fine di consentire agli interessati l’attivazione delle forme di tutela dei propri diritti e di controllo della legittimità delle procedure concorsuali o selettive” (v. par. 3.b delle “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” del Garante, provv. n. 243 del 15 maggio 2014, n. 243 del 15 maggio 2014). Tipicamente, tali normative di settore non prevedono, invece, la pubblicazione degli elenchi dei candidati ammessi o non ammessi alle prove selettive, come nel caso di specie.

L’art. 19 del d.lgs. 14 marzo 2013, n. 33, richiamato da codesto Comune nella nota di riscontro alla richiesta di esercizio dei diritti dell’interessato, non costituisce un’idonea base giuridica per giustificare la pubblicazione di tali elenchi e la diffusione online dei dati personali dei candidati, atteso che esso si limita a prevedere l’obbligo per le pubbliche amministrazioni di pubblicare “i bandi di concorso per il reclutamento, a qualsiasi titolo, di personale presso l’amministrazione, nonché i criteri di valutazione della Commissione, le tracce delle prove e le graduatorie finali, aggiornate con l’eventuale scorrimento degli idonei non vincitori”, non essendo, invece, previsto alcun obbligo di pubblicare, per finalità di trasparenza, gli elenchi dei candidati ammessi o non ammessi alle prove selettive.

Non essendo la pubblicazione della determina in questione dovuta ai sensi del d.lgs. 14 marzo 2013, n. 33, codesto Comune non avrebbe, pertanto, dovuto indicizzare la pagina del proprio sito web, che ospitava tale determina, sui motori di ricerca generalisti, atteso che l’art. 9 del d.lgs. 14 marzo 2013, n. 33, che prevede il divieto per le amministrazioni pubbliche di “disporre filtri e altre soluzioni tecniche atte ad impedire ai motori di ricerca web di indicizzare ed effettuare ricerche all’interno della sezione «Amministrazione trasparente”, non era applicabile al caso di specie.

Con riferimento a quanto dichiarato da codesto Comune in merito alla circostanza che gli elenchi pubblicati “non contenevano elementi direttamente riconducibili alla persona, riportando esclusivamente cognome e nome”, si rileva che il nome e il cognome di una persona fisica sono da considerarsi “dati personali” ai sensi dell’art. 4, paragrafo 1, n. 1 del Regolamento, essendo informazioni idonee a indentificare direttamente una persona fisica.

Essendo stato il trattamento posto in essere in assenza di un’idonea base giuridica, codesto Comune avrebbe dovuto riconoscere il diritto alla cancellazione dei dati personali esercitato dall’interessato, avendo, pertanto, agito il Comune in violazione dell’art. 17 del Regolamento.

Tutto ciò premesso, risulta che il trattamento di dati personali in questione è stato effettuato:

  • in maniera non conforme ai principi di “liceità, correttezza e trasparenza”, nonché di “minimizzazione” dei dati, in violazione dell’art. 5, par. 1, lett. a) e c) del Regolamento;
  • in assenza di un idoneo presupposto normativo, in violazione dell’art. 6 del Regolamento e dell’art. 2-ter del Codice;
  • negando il diritto alla cancellazione dei dati esercitato dall’interessato, in violazione dell’art. 17 del Regolamento.

La violazione delle disposizioni sopra richiamate può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, paragrafo 5 del Regolamento, come richiamato anche dall’art. 166, comma 2 del Codice.

Pertanto, con la presente si notificano le predette violazioni, e si comunica, ai sensi dell’art. 166, comma 5 del Codice, l’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori di cui all’art. 58, paragrafo 2 del Regolamento. A tal proposito, si rappresenta che codesto Comune, in qualità di contravventore, può inviare al Garante scritti difensivi o documenti e, eventualmente, chiedere di essere sentito da questa Autorità, entro il termine di 30 giorni dal ricevimento della presente, all’indirizzo protocollo@pec.gpdp.it (art. 166, commi 6 e 7 del Codice, nonché art. 18, comma 1 della l.n. 689 del 24 novembre 1981).

Al riguardo, si chiede, altresì, di indicare tutti gli elementi che si ritengono utili, tra quelli individuati dal citato art. 83, paragrafo 2 del Regolamento, al fine di consentire a questa Autorità la più completa valutazione in ordine all’eventuale applicazione della sanzione e alla determinazione del suo ammontare (cfr. prospetto allegato) e si rammenta che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice (Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante).

Si resta a disposizione per ogni eventuale chiarimento.

IL DIRIGENTE

Quanto è stato utile questo post?

Clicca su una stella per valutarla!

Voto medio 0 / 5. Conteggio dei voti: 0

No votes so far! Be the first to rate this post.

GIANNI SANNA

Consulente Dasein. Formatore. Esperto in Programmazione, Anticorruzione , Trasparenza e Privacy. Responsabile Protezione Dati (RPD/DPO).

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Proudly powered by WordPress | Theme: Content by SpiceThemes

WP2Social Auto Publish Powered By : XYZScripts.com