Pubblicare sul web gli esiti delle prove intermedie o dei dati personali dei concorrenti ad un concorso può configurare la violazione della privacy.
Così si è espresso il Garante a seguito di un reclamo presentato da un partecipante al concorso pubblico bandito dell’INPS.
Il reclamante aveva lamentato la pubblicazione sul sito web dell’Istituto di numerosi atti e documenti tra cui gli elenchi degli ammessi e non ammessi alla prova scritta e prova orale e l’elenco dei partecipanti, contenente la valutazione dei titoli da parte della Commissione di concorso, con l’indicazione del punteggio attribuito a ciascun candidato.
Nell’ordinanza, che risale ad aprile ed è stata resa nota pochi giorni fa, il Garante ha ricordato che i soggetti pubblici, quando operano nello svolgimento di procedure concorsuali, devono trattare i dati personali degli interessati nel rispetto delle norme di settore applicabili, e quindi non è possibile pubblicare online dati dei partecipanti ai concorsi non previsti dalla legge.
Nel quantificare l’importo della sanzione all’INPS in 20.000 euro l’Autorità ha considerato la natura, la durata e la gravità della violazione, nonché l’elevato numero degli interessati e l’atteggiamento collaborativo dell’Istituto, che ha rimosso gli elenchi in questione, seppur a seguito della richiesta di informazioni del Garante.
Il Garante ha ribadito che, secondo il Regolamento Generale sulla Protezione dei Dati (GDPR), i soggetti pubblici possono trattare i dati personali degli interessati se tale trattamento è necessario per adempiere a un obbligo legale o per l’esecuzione di un compito di interesse pubblico.
La normativa nazionale ha introdotto disposizioni specifiche per adattare le norme del GDPR, stabilendo requisiti e misure per garantire un trattamento lecito e corretto dei dati personali. In particolare, l’art. 6, par. 3 del GDPR prevede che la base giuridica del trattamento dei dati debba essere una norma di legge o regolamento, come i bandi di concorso pubblico.
Il principio di “liceità, correttezza e trasparenza” e di “minimizzazione” dei dati, sancito dall’art. 5 del GDPR, impone inoltre che i dati personali siano trattati in modo adeguato, pertinente e limitato a quanto necessario rispetto alle finalità del trattamento.
Nella propria ordinanza il Garante ha spiegato che il bando di concorso pubblico disciplina la procedura fino all’approvazione della graduatoria finale. Tuttavia, solo le graduatorie definitive dei vincitori devono essere pubblicate, mentre gli esiti intermedi o i dati personali dei partecipanti non vincitori non devono essere diffusi, secondo le disposizioni di diversi regolamenti e leggi nazionali.
Inoltre le Linee guida del 2014 specificano che, per garantire la protezione dei dati, la consultazione delle graduatorie dovrebbe essere limitata ai soli partecipanti tramite accesso selettivo: in altre parole l’accesso ai dati dovrebbe essere consentito solamente ai diretti interessati, utilizzando eventualmente una password individuale.