Di Augusto Sacchi
Clicca qui per scaricare il file dell’approfondimento in formato PDF
Premessa
Alcune recenti ordinanze-ingiunzione del Garante privacy hanno sanzionato degli enti locali a seguito della pubblicazione di dati personali nelle procedure concorsuali. Ciò ci induce a una riflessione un po’ più approfondita sulle modalità operative da adottare nella redazione dei verbali delle commissioni esaminatrici e, più in generale, sugli obblighi di trasparenza dei concorsi pubblici nelle pubbliche amministrazioni, anche alla luce delle disposizioni contenute nel decreto trasparenza.
1. Le pubblicazioni su Amministrazione trasparente> Bandi di concorso
La materia è regolata dall’articolo 19, del decreto legislativo 14 marzo 2013, n. 33 come, da ultimo, modificato dall’articolo 1, comma 145, della legge 30 dicembre 2019, n. 160 (legge di bilancio 2020). Gli obblighi di pubblicazione – ampliati con decorrenza 1° gennaio 2020 – riguardano le seguenti informazioni:
a) i bandi di concorso per il reclutamento, a qualsiasi titolo, di personale presso l’amministrazione, compresi bandi di mobilità in entrata, ex art. 30 d.lgs. 165/2001 e selezioni per assunzioni a tempo determinato;
b) i criteri di valutazione adottati dalla Commissione esaminatrice;
c) le tracce delle prove (teorico/pratica; scritta/e; orale);
d) le graduatorie finali delle procedure concorsuali, aggiornate con l’eventuale scorrimento (da parte dell’ente che svolge il concorso o altri enti) degli idonei non vincitori.
I dati vanno pubblicati in tabelle, in formato aperto, facilmente scaricabili e riguardano tutti i concorsi espletati negli ultimi cinque anni. L’aggiornamento dei dati deve avvenire in modo tempestivo, secondo la tempistica, di solito, specificata nella sezione trasparenza del Piano sulla Prevenzione della Corruzione e Trasparenza (PTPCT) vigente nell’ente.
Come risulta ben evidente, tra gli obblighi di pubblicazione non è compresa l’ostensione dei verbali della commissione giudicatrice, la cui pubblicazione nella sezione Amministrazione trasparente, ad esempio, è stata recentemente sanzionata dal Garante privacy con provvedimento n. 154 del 3 settembre 2020. [1]
Per quanto riguarda la graduatoria finale, al fine di ben bilanciare le esigenze di trasparenza con quelle di tutela dei dati personali dei candidati, a nostra valutazione, anche alla luce delle recenti modifiche introdotte dal legislatore nazionale, è necessario limitarsi al cognome e nome dei vincitori e degli idonei, evitando ogni altro riferimento a dati personali come la data e il luogo di nascita, il recapito telefonico, la casella email, il luogo di residenza, il codice fiscale.
Per completezza di informazioni si segnala che alcuni Responsabili della Protezione dei Dati (RPD) [2] , di recente, hanno consigliato gli enti di sostituire, nelle graduatorie finali, il nome e cognome dei vincitori e degli idonei, con dei codici sostituitivi, rendendo, pertanto, del tutto anonimi coloro che hanno superato le prove concorsuali. A parere di scrive, la misura non rispetta il principio del bilanciamento tra esigenze di privacy e quelle di trasparenza (quindi, anche in chiave di prevenzione della corruzione), soprattutto dopo che il legislatore nazionale è intervenuto con un’apposita norma, sopra meglio citata, in cui ha esteso gli obblighi di trasparenza, proprio perché la materia dell’acquisizione del personale, rientra tra i processi più a rischio corruttivo, dell’attività delle P.A.
Per quanto riguarda, infine, le altre disposizioni del decreto trasparenza (d.lgs. 33/2013) che possono impattare con gli obblighi di pubblicità, va ricordato l’articolo 23, comma 1, il quale prevede che gli enti debbano pubblicare e aggiornare, ogni sei mesi, in distinte partizioni della sezione «Amministrazione trasparente», gli elenchi dei provvedimenti adottati dai dirigenti. Si tratta, quindi, di pubblicare un elenco – nella forma di un registro – degli atti adottati dai dirigenti, tra i quali compaiono sicuramente le determine dirigenziali. Pubblicare l’elenco, come è ovvio, non significa affatto pubblicare i testi degli atti (nel nostro caso i verbali della commissione e la graduatoria di merito), ma solamente una tabella con l’indicazione del soggetto che ha emanato l’atto, il numero, la data e l’oggetto del provvedimento.
2. La pubblicazione della determinazione dirigenziale su Albo pretorio online
La fase che può contenere più problematiche, per la tutela dei dati personali, è quella della pubblicazione, nella sezione del sito web Albo pretorio, della determina dirigenziale che approva, al termine della procedura concorsuale, i verbali della commissione e la graduatoria finale. La determinazione dirigenziale è un atto obbligatorio, previsto dall’articolo 15, del DPR 9 maggio 1994, n. 487 e, di solito, in uno o più articoli del regolamento dei concorsi dell’ente. La pubblicazione della determina dirigenziale va effettuata per quindici giorni – in analogia al termine previsto dall’art. 124 del TUEL per le deliberazioni di giunta e consiglio – e terminato il periodo di pubblicazione i testi non debbono essere più consultabili. La pubblicazione su Albo pretorio online ha la finalità di soddisfare il requisito della pubblicità legale degli atti e dei provvedimenti ivi pubblicati, sostituendo il tradizionale albo pretorio cartaceo e nel rispetto della normativa sulla privacy, prevista dal decreto legislativo n. 196/2003 e, ora, dal Regolamento UE 2016/679.
Per quanto concerne le tutele da adottare nella redazione dei verbali della commissione, di sicuro interesse, sarà la consultazione dell’ordinanza-ingiunzione del Garante privacy, n. 20 del registro dei provvedimenti, datata 30 gennaio 2020 [3], laddove si contesta (e sanziona) a un comune abruzzese, per aver pubblicato:
– a graduatoria dei candidati idonei e non idonei, con le votazioni conseguite per i titoli e nelle diverse prove scritta e orale;
– la determinazione del settore ragioneria, che conteneva atti e verbali della Commissione di concorso, con dati e informazioni personali dei partecipanti alle prove scritte e orali, quali: nominativi dei candidati che hanno sostenuto le prove scritte con indicazione dei punti assegnati (divisi per titoli di studio, di servizio, curriculum e titoli vari; nonché votazione delle due prove scritte compresa l’indicazione, a seconda dei casi, di prova scritta non valutabile o non esaminata); dei candidati che hanno estratto le tracce o che hanno presenziato alle operazioni di consegna degli elaborati; dei soggetti che hanno partecipato alle prove orali con specifica indicazione delle domande e della votazione conseguita.
– dati personali di tutti i candidati ammessi a sostenere le prove scritte (nominativo, luogo e data di nascita);
– dati personali dei candidati non ammessi a sostenere le prove scritte (nominativo, luogo e data di nascita, motivi della esclusione);
– dati personali di tutti i candidati ammessi, anche con riserva, a sostenere le prove scritte (nominativo, luogo e data di nascita).
3. Il concorso per assunzioni di categorie protette
Una attenzione ancora maggiore, da parte di tutti i soggetti coinvolti nel procedimento, va prestato quando si effettuano selezioni per l’assunzione di personale appartenente alle categorie protette, di cui alla legge 12 marzo 1999, n. 68. Data la tipologia dei candidati è necessario, sin da subito, anonimizzare i dati personali dei partecipanti, sostituendo il cognome e nome con un codice identificativo sostituito (es. candidato 001) oppure inserendo solamente il numero di protocollo della domanda di partecipazione al concorso o alla sezione. Applicando questo principio di prudenza, in pratica, mai e in nessun verbale dovranno comparire i nominativi dei partecipanti, compresa la graduatoria finale e gli atti gestionali conseguenti alla selezione. Anche in questo caso può essere illuminante, per conoscere cosa NON si può fare, la lettura dell’ordinanza-ingiunzione del Garante privacy n. 65 del 14 marzo 2019[4], che ha irrogato una sanzione di 10.000 euro a un comune marchigiano per aver diffuso, sul web con determine e graduatorie, i dati personali di soggetti partecipanti a una procedura concorsuale riservata, in condizioni di disabilità, nonché rinvii alla legge 12 marzo 1999, n. 68 «Norme per il diritto al lavoro dei disabili», immediatamente visibili in rete. La lamentata diffusione era determinata dalla possibilità di visualizzare, anche mediante il motore di ricerca Google e ancora dopo svariati anni dall’espletamento del suddetto concorso, l’elenco dei nominativi degli ammessi con riserva alla selezione pubblica, riservata ai lavoratori disabili.
4. L’importanza dell’informativa privacy – art. 13 Reg. UE 2016/679
Una riflessione conclusiva, sull’intrigata vicenda di mantenere in equilibrio il diritto alla trasparenza, sancito dall’articolo 1, del d.lgs. 33/2013 e il diritto alla riservatezza, fissato nell’articolo 1, comma 2, Reg. UE 2016/679, va dedicata all’informativa da rendere agli interessati, in base all’articolo 13, del Regolamento UE.
Sia nel bando di concorso che nel modello di domanda – normalmente allegato al bando – è necessario e indispensabile che vengano fornite ai candidati tutte le corrette informazioni relative al trattamento dei dati personali che gli stessi devono obbligatoriamente fornire per dare avvio al procedimento di selezione pubblica. Le informazioni che l’informativa privacy deve contenere sono:
a) l’identità e i dati di contatto del titolare del trattamento;
b) i dati di contatto del responsabile della protezione dei dati (RPR o DPO nella versione anglicizzata di Data Protection Officer);
c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
d) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
In aggiunta alle informazioni di cui sopra, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:
e) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
f) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
g) il diritto di proporre reclamo a un’autorità di controllo.
Per un ulteriore approfondimento della questione è possibile consultare due interessanti provvedimenti del Garante privacy del 17 settembre 2020, numerati rispettivamente n. 160 e 161[5], con i quali sono state inflitte sanzioni pecuniarie amministrative pari a euro 140.000 (80.000 per un’azienda ospedaliera e 60.000 per una società di servizi), per varie violazioni tra cui, anche una non corretta applicazione dell’art. 13, del Regolamento, in quanto non è stata fornita agli interessati, che hanno partecipato al concorso, un’idonea informativa.
Conclusioni
Come si può ben notare, tenere in equilibrio le esigenze di trasparenza con quelle di riservatezza dei dati, nell’ambito delle procedure concorsuali – aperte a tutti o riservate a determinate categorie di candidati – presuppone capacità da giocoliere di palle, non indifferenti. Si può far pendere il piatto della bilancia in direzione della trasparenza, pubblicando troppi dati e incorrendo nei dolorosi strali sanzionatori del Garante privacy, o piuttosto eliminare quasi tutto, facendo pendere la bilancia in direzione della privacy, ma violando i precetti di trasparenza, salvaguardati dall’ANAC.
Le precauzioni che abbiamo riportato nel presente lavoro possono, quindi, riassumersi nel modo seguente:
– Per Amministrazione trasparente attenersi scrupolosamente a quanto previsto dall’articolo 19, del d.lgs. 33/2013, senza pubblicare i verbali della commissione;
– Per albo pretorio online, pubblicare per quindici giorni la determina che approva i verbali e la graduatoria, verificando bene prima che nei verbali medesimi non siano presenti dati sulla salute; che non siamo presenti dati giudiziari e che per i dati comuni si sia applicato, in modo rigoroso, il principio di minimizzazione dei dati, sancito dall’articolo 5, comma 1, lettera c) del Regolamento europeo, che prevede di pubblicare solamente dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
– Promuovere idonei percorsi formativi in materia di trasparenza e privacy sia per coloro che compongono le commissioni concorsuali – compreso il segretario verbalizzante – sia per gli addetti al servizio personale che devono poi gestire le fasi attuative delle procedure.
[1] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9468523
[2] Si veda articoli 37, 38 e 39 del Regolamento (UE) 2016/679
[3] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9302897
[4] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9116773
[5] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9461168
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9461321