Graduatorie con nomi e cognomi associati al voto pubblicate sul sito di un Ente

Buonasera,
oggi mi è capitato di leggere un bando pubblico di una Fondazione che prevedeva al termine delle selezioni di pubblicare sul proprio sito la graduatoria con i nomi in chiaro associati al voto. E’ possibile? il GDPR non lo “sconsiglia caldamente”?
Mi è anche capitato di leggere di una pronuncia del Garante che sanzionava un comune perché, poiché nel bando aveva dichiarato che avrebbe pubblicato la graduatoria in chiaro, considerava (il Comune sanzionato) la partecipazione al bando stesso come consenso a quel trattamento dati.

Qualcuno sa aiutarmi?

Qui la pronuncia del Garante:

Buongiorno Maria,

la questione è molto controversa e dibattuta, perché vede due diritti contrapposti: quello della protezione dei dati personali e quello della massima trasparenza dell’azione della PA.

Se è pur vero che esistono delle pronunce, come quella che hai allegato, è altrettanto vero che la materia segue le linee guida del Garante della Privacy che ti allego.

!Il punto 9 d) delle Linee Guida del Garante Privacy del 14 maggio 2015, <<Obblighi di pubblicazione concernenti i provvedimenti amministrativi (ad es. concorsi e prove selettive per l´assunzione del personale e progressioni di carriera, art. 23 del d. lgs. n. 33/2013)>>. Che prevede. << L´art. 23 del d. lgs. n. 33/2013 prevede la pubblicazione obbligatoria di elenchi dei provvedimenti adottati dagli organi di indirizzo politico e dai dirigenti, tra i quali vanno menzionati i provvedimenti finali dei procedimenti relativi a concorsi e prove selettive per l´assunzione del personale e progressioni di carriera. In attuazione di tale disposizione, di questi provvedimenti devono essere pubblicati solo gli elementi di sintesi, indicati nel comma 2, quali il contenuto, l´oggetto, l´eventuale spesa prevista e gli estremi dei principali documenti contenuti nel fascicolo del procedimento. Con particolare riferimento ai provvedimenti finali adottati all´esito dell´espletamento di concorsi oppure di prove selettive non devono formare quindi oggetto di pubblicazione, in base alla disposizione in esame, gli atti nella loro veste integrale contenenti (anche in allegato), le graduatorie formate a conclusione del procedimento, né le informazioni comunque concernenti eventuali prove intermedie che preludono all´adozione dei provvedimenti finali (per i quali restano salve altre forme di conoscibilità previste dall´ordinamento: v. in merito, con riguardo alle forme di pubblicità delle graduatorie e degli altri atti riguardanti i concorsi, le prove selettive e le progressioni di carriera, le indicazioni contenute nel par. 3.b. della seconda parte delle presenti Linee guida) ".

Per quanto riguarda i dati da pubblicare, la PA procedente dovrà bilanciare l’ottemperanza agli obblighi di pubblicazione imposti dall’art. 19 d.lgs n. 33/2013 con il rispetto delle disposizioni in tema di protezione dei dati personali.

In primo luogo, in omaggio al principio di minimizzazione, non possono formare oggetto di pubblicazione i dati concernenti i recapiti degli interessati (utenza telefonica fissa o mobile, l’indirizzo di residenza e di posta elettronica, il codice fiscale, l’indicatore ISEE, il numero dei figli disabili, i risultati dei test psicoattitudinali o i titoli di studio)

Non possono assolutamente essere pubblicati i dati concernenti le condizioni di salute, nonché gli altri dati indicati dall’art. 2 septies co 8 d.lgs n. 196/2003, anche qualora gli stessi si riferiscano a terzi (ad esempio il numero di figli disabili che in alcuni concorsi costituiscono titolo di preferenza).

La ricerca di un bilanciamento tra gli obblighi di protezione dei dati personali e quelli di trasparenza consentirà alla PA di avvalersi anche di misure organizzative atte a soddisfare entrambe le esigenze come per es. consentire ai soli partecipanti alla procedura concorsuale di accedere ai documenti oggetto di obbligatoria pubblicazione, mediante l’attribuzione agli stessi di credenziali di accesso, password, numero di protocollo o altri estremi identificativi forniti dall’ente agli aventi diritto, oppure mediante dispositivi di autenticazione, quali la carta nazionale dei servizi

Infine, si evidenzia che in capo alla PA vi è il potere di adottare le misure idonee alla protezione dei dati personali ma non anche la facoltà di sottrarsi agli obblighi di pubblicazione dei documenti indicati dall’art. 19 d.lgs n. 33/2013 adducendo la tutela della privacy come giustificazione del proprio inadempimento.

Il d.lgs n. 33/2013 prevede una serie di sanzioni e responsabilità, di vario genere, a carico sia dell’Ente Pubblico che del RPCT che dei soggetti addetti alla pubblicazione dei documenti.

Se l’Ente ha rispettato i principi del GDPR, non ha pubblicato dati particolari, seppure sembrerebbe più corretto utilizzare mezzi di tutela diversi (uso solo delle iniziali, piuttosto che numero di protocollo, ecc.) e nel rispetto del principio di liceità e minimizzazione , non mi preoccuperai oltre.

Sono numerosi, d’altronde, i casi che vedono la pubblicazione della graduatoria con le stesse modalità.

Ti allego interessante link.

Buona lettura
Simona A.

3 Mi Piace

L’articolo 19, del decreto legislativo 14 marzo 2013, n. 33 è la disposizione di riferimento per la trasparenza in tema di bandi di concorso. Norma, peraltro, già modificata dal decreto legislativo 97 del 2016, e recentemente integrata dalle Legge di Bilancio 2020.

E’ la legge che prevede che debbano essere pubblicati:

  • bandi di concorso per il reclutamento a qualsiasi titolo di personale;
  • i criteri di valutazione stabiliti dalla Commissione;
  • le tracce delle prove (da intendersi come prova teorico/pratica; scritta e orale);
  • le graduatorie finali, aggiornate con l’eventuale scorrimento degli idonei non vincitori.

Quindi l’Ente DEVE pubblicare le graduatorie con i nomi associati al voto. E’ chiaro che bisogna prestare attenzione, leggendo attentamente la norma senza generalizzare.

E’ lecito (quindi corretto) pubblicare solamente i dati necessari ad individuare i soggetti. E’ sufficiente, in pratica, indicare solamente in nome e cognome, evitando dati superflui come luogo e data di nascita, residenza etc.

Non fa questo il Comune di Colledara, che pubblicati dati ulteriori oltre ai nominativi dei non ammessi (prassi sbagliata).

REGOLA → I dati che le Pubbliche Amministrazioni devono pubblicare sono quelli definiti dalla normativa privacy (Regolamento UE 2016/679 GDPR e d.lgs n. 196/2003 così come modificato dal d.lgs n. 101/2018) come dati personali comuni, e cioè quei necessari alla sola identificazione dei soggetti a cui fanno riferimento, senza che siano divulgate informazioni di carattere particolare, come per es. gli stati di saluti o i dati giudiziari. Il trattamento dei dati personali effettuato da soggetti pubblici è, però, lecito solo se necessario «per adempiere un obbligo legale al quale è soggetto il titolare del trattamento» oppure «per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» art. 6, par. 1, lett. c ed e, GDPR. (BASI GIURIDICHE DI TRATTAMENTO)

2 Mi Piace

Buon sera,

e’ lecita secondo il principio di minimizzazione la pubblicazione dei candidati ammessi a esami di selezione (non graduatoria finale) con nome e cognome? La PA interessata lo fa per sostituire le notifiche personali. Non sarebbe sempre secondo il prinicipio sopra un obbligo anonimizzare i dati personali?
Grazie
Grazie

Mi aggancio a quanto scritto da Giovanna Panucci per chiedere : se il Comune dove lavoravo in precedenza pubblica una determina con indicate le iniziali del mio nome e cognome e l’Ente dove lavoro attualmente, viola oppure no la mia privacy ? Vorrei fare una segnalazione al Garante ma sembra che in Italia sia lecito tutto ed il contrario di tutto in materia di privacy. Grazie in anticipo.