Le due sanzioni (prima di 20.000 e poi di 50.000 euro) comminate quest’anno dal Garante per la protezione dei dati personali ad uno dei principali Enti pubblici, fra i maggiori a mettere a bando nuovi posti di lavoro nel settore pubblico, induce a ritornare sull’esigenza di individuare un equilibrato baricentro fra le esigenze di:

1. trasparenza e controllo della P.A;
2. tutela della riservatezza dei dati personali.

Quadro normativo per la pubblicità in atti pubblici

Diversi pronunciamenti sulla materia dei concorsi, sia dell’ANAC sia del Garante per la protezione dei dati personali, nell’intervenire su alcune questioni afferenti sia al presidio della trasparenza che a quello della privacy, hanno nel contempo ricostruito, a beneficio di tutte le parti interessate, il quadro stratificato della disciplina che regola la pubblicità degli atti inerenti all’accesso agli impieghi nella pubblica amministrazione.

Fra i vari provvedimenti, si fa riferimento alla Delibera ANAC n. 525/2023 che, richiamando anche alcune precisazioni formulate dal Garante privacy con il provvedimento n. 83/2023 circa l’articolazione delle disposizioni che regolano la pubblicazione delle graduatorie, rileva una criticità, a carico di un Comune, nel fatto che la graduatoria pubblicata dei vincitori di un concorso riportasse al posto delle generalità dei concorrenti un codice ID che non consentiva al pubblico di identificarli (siamo quindi in presenza di una sorta di eccesso di zelo a fini di tutela della privacy).

Pertanto, l’ANAC dava mandato al Comune di pubblicare nella sezione “Amministrazione trasparente” le informazioni previste e al RPCT di riscontrare l’ANAC sulla osservanza del precetto.

Per quanto attiene al Garante, si può far riferimento ai due Provvedimenti sanzionatori sopra accennati, il n. 235/2024 e il n. 588/2024, afferenti alla pubblicazione di dati ritenuti ultronei sui concorsi (ad es. punteggi intermedi delle prove, ma non solo), di talché sarebbe stata fatta prevalere la trasparenza sulla tutela della riservatezza dei dati personali.

Un corretto baricentro tra dati personali e trasparenza

Già in altro intervento ci si era qui soffermati sul corretto baricentro fra dati personali e rispetto delle previsioni sulla trasparenza, sottolineando fra l’altro che nella pubblicazione di informazioni afferenti i concorsi pubblici rileva anche l’esigenza di tutelare la riservatezza delle persone affette da disabilità.

Per focalizzare ora la questione in generale, alla luce dei citati pronunciamenti, è utile soffermarsi sul Dlgs. 33/2013, conosciuto come “Decreto Trasparenza”, principale norma che disciplina gli obblighi di trasparenza, pubblicità e accesso agli atti da parte delle pubbliche amministrazioni (PA).

Lo scopo principale è promuovere l’integrità, prevenire la corruzione e garantire la conoscibilità delle attività amministrative ai cittadini; principali attori interni alle P.A sono il RPCT e l’Organismo interno di valutazione (OIV) mentre all’esterno l’ANAC svolge attività di coordinamento e controllo in materia di trasparenza e interviene, in base alla legge 190/2012, anche in materia di prevenzione e repressione della corruzione e della illegalità nella P.A., con poteri sanzionatori nel caso di inosservanza.

L’art. 19 del Decreto Trasparenza specifica, con riguardo ai concorsi, che debbano essere oggetto di pubblicazione “le tracce delle prove e le graduatorie finali, aggiornate con l’eventuale scorrimento degli idonei non vincitori”. Tale previsione va poi contemperata con l’esigenza di proteggere la privacy dei concorrenti, con riguardo a dati sensibili quali lo stato di salute.

Le linee guida di ANAC e del Garante privacy

Come detto, in argomento sono intervenuti in varie occasioni sia l’ANAC sia il Garante privacy con provvedimenti utili anche a dare la linea da seguire.

In estrema sintesi: va pubblicata la lista, con i nominativi in chiaro dei vincitori da ampliare, di volta in volta, con gli idonei che sono poi stati assunti; nel caso di disabili vanno adottati accorgimenti per evitare che tale caratterizzazione risulti evidente (analogamente per altri dati di carattere particolare che siano considerati ai fini della graduatoria di assunzione).

Una prima conclusione per i RPCT e gli OIV (e i DPO): verificare che le graduatorie dei vincitori (e poi degli idonei a cui venga nel tempo estesa l’assunzione) siano coerenti con l’esigenza di trasparenza e quindi riportino i dati anagrafici degli interessati e non un codice ID o altro.

Ovviamente, contemperando tale esigenza di trasparenza con quella di privacy, per evitare in particolare che, nel caso di assunzione di disabili, si possa desumere tale connotazione dalle altre informazioni presenti (ma ciò anche con riguardo ad altri dati particolari).

In sintesi: se un concorso fosse dedicato solo a persone disabili, una graduatoria con soli codici ID sarebbe coerente con il combinato disposto fra Decreto Trasparenza e GDPR-Codice privacy (corretto equilibrio fra trasparenza e privacy).

Trasparenza e privacy nei concorsi pubblici: indicazioni operative

Posta tale conclusione, è necessario però porre sul tavolo della discussione una questione afferente alle fasi concorsuali intermedie che pare non molto nota o, quantomeno, applicata (una sorta di eccesso di zelo, più o meno consapevole, a fini di tutela della privacy).

Ci si riferisce a una delle modifiche apportate (dal DPR 82/2023) al DPR 487/1994 sulle norme di accesso al pubblico impiego e alle modalità di svolgimento dei concorsi, ovvero alla previsione dell’art. 7.5 secondo cui:

1. al termine di ogni seduta delle prove orali la commissione giudicatrice “forma l’elenco dei candidati esaminati… con l’indicazione dei punteggi conseguiti da ciascun candidato che ne riceve immediata comunicazione [tramite il Portale unico dei reclutamenti, all’indirizzo www.InPA.gov.it]”; ciò è poi ribadito dall’art. 10.5 secondo cui gli “esiti delle prove orali sono pubblicati al termine di ogni sessione giornaliera d’esame” (previsione sostanzialmente analoga a quella previgente secondo cui al “termine di ogni seduta dedicata alla prova orale l’elenco dei candidati esaminati, con l’indicazione dei voti da ciascuno riportati che sarà affisso nella sede degli esami”);
2. in più, però, l’art. 7.5 prevede che “l’elenco [senza specificare se utilizzando codici ID al posto delle generalità e/o con i punteggi assegnati] viene pubblicato contestualmente sul sito dell’amministrazione che ha bandito il concorso”.

Ecco, quindi, le prime indicazioni per i RPCT e gli OIV ( e i RPD). Tale previsione, esterna al perimetro degli atti e documenti da pubblicare ai sensi del Decreto Trasparenza, pone alcune questioni applicative che andrebbero vagliate per prevenire trattamenti non compliant di dati personali:

1. in primo luogo, andrebbe chiarito a favore di tutte le parti in causa se l’elenco di ogni singola seduta debba riportare a) solo i nominativi dei candidati o il codice ID assegnato per la procedura concorsuale secondo l’ordine del punteggio assegnato oppure anche b) il punteggio assegnato (aspetto che rileva in particolare nel caso di generalità dei concorrenti in chiaro);
2. anche in relazione al precedente punto, nel caso che (a fini di trasparenza) l’elenco debba anche riportare in chiaro le generalità (nome/cognome) andrebbe chiarito per quanto tempo ciascun elenco giornaliero debba permanere sul sito dell’amministrazione che ha bandito il concorso: logica e buon senso vorrebbero che andrebbero “depennati” prima della pubblicazione della graduatoria finale che dovrà riportare le generalità dei vincitori e non, come sopra ricordato, codici ID o altri acronimi (viceversa per gli idonei fino all’eventuale assunzione) e dovrà essere;
3. infine, se la previsione viene disattesa, chi avrebbe titolo a richiederne il rispetto: gli interessati (rivolgendosi a)? gli organismi di controllo interni e/o l’ANAC? E, inoltre, l’inosservanza potrebbe essere oggetto di sanzione?

Ma non basta: è comunque importante soffermarsi anche sul Provvedimento del Garante n. 588/2024 per altri due aspetti essenziali:

1. Uno di carattere normativo con riguardo alla pertinente osservazione del Garante che la possibilità che un atto amministrativo generale possa, ai sensi dell’art. 2-ter del Codice privacy, costituire fondamento giuridico per un trattamento di dati personali connesso all’esecuzione di un compito di interesse pubblico o all’esercizio di pubblici poteri. Benché sia insito nei principi che regolano la gerarchia delle fonti, molto opportunamente il Garante osserva che un atto amministrativo trova comunque un limite nelle norme di rango sovraordinato “in quanto un atto amministrativo per quanto generale non può tuttavia derogare, contravvenire o modificare le norme di settore sopra richiamate, peraltro, di rango primario”. Pertanto, anche a fini privacy, viene esplicitato un preciso limite nella possibilità di ricorrere a tali atti per fondare giuridicamente trattamenti di dati personali;
2. Uno di carattere applicativo, che andrebbe auspicabilmente quanto prima dipanato afferente alla legittimità o meno di pubblicare, nella graduatoria dei vincitori di un concorso pubblico anche il punteggio complessivo ottenuto, come è normale prassi sino ad oggi seguita dalla generalità delle P.A. (l’art. 19 del Decreto trasparenza prevede che, fermi restando gli altri obblighi di pubblicità legale, le P.A. pubblichino i bandi di concorso, i criteri di valutazione,  le tracce delle prove e le graduatorie finali, aggiornate con l’eventuale scorrimento degli idonei non vincitori, senza esplicitamente affermare che debba essere riportato anche il punteggio). Al riguardo, il Provvedimento 588/2024 del Garante vieta al titolare di pubblicare anche “il punteggio totale” ottenuto. Tale questione, su cui i primi commenti non si sono soffermati, comporterebbe teoricamante che ogni graduatoria finale dei vincitori per qualsiasi concorso debba riportare solo la lista dei vincitori in ordine di graduatoria. Peraltro, la questione non è a un punto definitivo in quanto limitatamente a tale divieto, con decreto del Tribunale di Roma del 19 novembre, è stata sospesa “l’efficacia esecutiva del provvedimento”, come riportato nel Provvedimento sul sito del Garante.  Sarà quindi necessario, quando la questione verrà acclarata, che ne venga data idonea pubblicità per una corretta e omogenea applicazione da parte dei titolari del trattamento interessati.

Conclusione

L’interazione fra norme che si susseguono nel tempo può comportare talora difficoltà interpretative/attuative con conseguenti non uniformi/completi output: sarebbe opportuno un mini-decalogo, d’intesa fra le Autorità di settore coinvolte, per perseguire un corretto baricentro fra trasparenza e privacy nel settore pubblico.

Una postilla per quanto riguarda il comparto privato non soggetto alle disposizioni Decreto trasparenza: è utile sottolineare che restano comunque analogamente applicabili le medesime disposizioni a fini privacy nel caso di procedure di assunzione che venissero condotte in forme analoghe per quanto riguarda l’informazione pubblicamente resa ai candidati e ai diversi stakeholder.

Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono ad alcun titolo l’Istituto pubblico ove l’autore presta servizio.