Un recente provvedimento dell’autorità garante per la protezione dei dati personali ha riguardato le modalità di pubblicazione di una graduatoria da parte di un Comune, comportando la conseguente applicazione di una sanzione pecuniaria di 3000 euro.
Tutto ha avuto origine dalla pubblicazione nella sezione Amministrazione Trasparente delle graduatorie per circa 7 anni dei soggetti ammessi con riserva ad una prova preselettiva e l’elenco di ammessi e non ammessi alla prova scritta successiva, con la conseguente indicizzazione da parte dei motori di ricerca, che ha portato uno dei partecipanti non ammessi a formulare una richiesta di cancellazione dei propri dati personali ai sensi dell’art. 17 GDPR. A fronte del mancato buon esito dell’esercizio del diritto con la risposta del Comune della sussistenza di un obbligo di pubblicità e trasparenza, l’interessato ha presentato reclamo al Garante Privacy il quale ha aperto di conseguenza un procedimento per l’accertamento delle violazioni e la conseguente applicazione di misure correttive.
La pubblicazione di una graduatoria da parte di un ente pubblico è – sotto la lente della disciplina della protezione dei dati personali – un’attività di diffusione del dato che fonda la propria liceità, ai sensi dell’art. 2-ter Cod. Privacy, nella sussistenza di una norma di legge o di regolamento. Inoltre, come ricorda opportunamente l’Autorità, pur in presenza di tale base giuridica occorre comunque garantire il rispetto dei principi in materia di protezione dei dati, fra cui la minimizzazione e la limitazione della conservazione ad esempio.
La normativa applicabile, nel caso in esame, consiste nel d.lgs. 14 marzo 2013, n. 33 che per i bandi di concorso prevede la pubblicazione dei “bandi di concorso per il reclutamento, a qualsiasi titolo, di personale presso l’amministrazione, nonché i criteri di valutazione della Commissione, le tracce delle prove e le graduatorie finali, aggiornate con l’eventuale scorrimento degli idonei non vincitori.” (art. 19). Con riguardo all’ambito della pubblicazione sul sito web, invece, viene previsto un generale divieto di “disporre filtri e altre soluzioni tecniche atte ad impedire ai motori di ricerca web di indicizzare ed effettuare ricerche all’interno della sezione «Amministrazione trasparente»” (art. 9 d.lgs. 14 marzo 2013, n. 33) che però può trovare applicazione solamente nell’ipotesi in cui tale pubblicazione sia lecita.
La pubblicazione dei dati personali contenuti all’interno degli elenchi dei candidati ammessi o non ammessi alle prove selettive, però, non rientrando in alcuna previsione normativa è stata di conseguenza valutata come un’attività di trattamento priva di base giuridica valida consistendo in “un’indebita diffusione di dati personali”. Di conseguenza, il reclamo in oggetto ha portato all’accertamento di una violazione degli artt. 5 (principio di liceità) e 6 (base giuridica) GDPR e dell’art. 2-ter Cod. Privacy, nonché – per il mancato buon esito della cancellazione – dell’art. 17 GDPR.
