Home

L’indicizzazione “fai da te” della graduatoria comunale porta grane privacy in Municipio

10 Settembre 2024

Meglio evitare di pubblicare i dati personali dei candidati non idonei al concorso comunale. Basta infatti un semplice reclamo all’Autorità per attivare un’istruttoria sulla protezione dei dati che potrà estendersi anche all’eventuale fornitore privato del servizio web.

Lo ha evidenziato il Garante per la protezione dei dati personali con il provvedimento n. 372 del 20 giugno 2024.

Un Comune ha pubblicato la graduatoria di una procedura preselettiva recante l'elenco dei candidati ammessi e scartati. Un partecipante escluso ha richiesto ripetutamente al Comune la rimozione della graduatoria dal web, ma senza successo. Il cittadino si è quindi rivolto all'Autorità che ha avviato un'istruttoria che si è conclusa con l'applicazione, di fatto, di due pesanti provvedimenti sanzionatori rispettivamente di 20mila euro a carico del Comune e di 12mila euro a carico del fornitore del servizio web.

Le disposizioni normative, specifica il collegio, dispongono «che siano pubblicate le sole graduatorie definitive dei vincitori del concorso e non anche gli esiti delle prove intermedie o dei dati personali dei concorrenti non vincitori o non ammessi». Il Garante, prosegue l'interessante provvedimento, «ha nel tempo, fornito specifiche indicazioni alle pubbliche amministrazioni in ordine alle cautele da adottare per la diffusione di dati personali in internet per finalità di trasparenza e pubblicità dell'azione amministrativa, in particolare, nel 2014, con le linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati. Per quanto sopra rappresentato, la pubblicazione, da parte del Comune, sul proprio sito web istituzionale, della nota prot. (…), con la quale, nell'ambito della menzionata procedura concorsuale, veniva approvata la graduatoria della prova preselettiva, con l'elenco dei candidati ammessi e non ammessi alla prova scritta, tra i quali, in quanto non ammessa, anche la reclamante, ha dato luogo a una diffusione di dati personali in assenza di un'idonea base giuridica, in violazione degli artt. 5, 6 del regolamento, nonché 2-ter del codice».

L'istruttoria si è poi dedicata all'omessa regolamentazione del rapporto con il gestore del sito web comunale. Risulta infatti accertato, prosegue il collegio, «che le funzioni svolte per un esteso arco temporale dalla società, per conto e nell'interesse del Comune, hanno comportato un trattamento di dati personali di una pluralità di interessati, rispetto ai quali il Comune risulta comunque titolare, trattandoli in base ad obblighi di legge e per il perseguimento delle proprie finalità istituzionali, determinando i mezzi e le modalità del trattamento, nonché i principali termini dell'esecuzione del servizio sulla base dei contratti stipulati con il fornitore. Risulta, in tal senso, che il Comune, accertata l'irreperibilità del predetto atto, ha provveduto alla stesura del documento conseguendo la relativa sottoscrizione della società solo in data 3 novembre 2022. Ciò comporta che, non avendo disciplinato sotto il profilo della protezione dei dati il rapporto con il predetto fornitore fino alla predetta data, il Comune ha operato in violazione dell'art. 28 del regolamento».

Si conferma pertanto l'illiceità del trattamento, conclude il provvedimento, «per aver il predetto Comune diffuso online i dati personali della reclamante e degli interessati indicati nella graduatoria, in assenza di un idoneo presupposto normativo, in violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. c) ed e), del regolamento, nonché 2-ter del codice; trattato i dati personali degli utenti del sito web e degli altri interessati i cui dati risultavano pubblicati sul medesimo sito web, senza aver regolamentato il rapporto con (…), affidataria del servizio strumentale finalizzato alla gestione del sito web istituzionale del Comune, in violazione dell'art. 28 del regolamento, mettendo a disposizione della predetta società, per l'effetto, dati personali in assenza di idoneo presupposto normativo, in violazione degli artt. 5, par. 1, lett. a), e 6 del regolamento e dell'art. 2-ter del codice».

A questo provvedimento è seguita quindi un'ulteriore misura sanzionatoria a carico del soggetto privato fornitore del servizio.

Fonte: (Diritto e Giustizia)

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.