Domanda

Quali accortezze occorre avere nella gestione di un concorso riservato alle categorie protette, per la parte di pubblicazione dei dati via web?

 

Risposta

Gli enti che bandiscono procedure concorsuali, riservate alla categorie protette, devono prestare la massima attenzione alla diffusione dei dati dei partecipanti, dal momento che in ballo c’è il trattamento del dato per il quale il legislatore europeo e nazionale hanno previsto il massimo della tutela: lo stato di salute.

La salute, tra tutti i dati sensibili di una persona fisica (il Regolamento UE 2016/679, all’articolo 9, li definisce “particolari”), è certamente quello che deve essere maggiormente protetto, soprattutto nelle comunicazioni via web che l’ente che bandisce il  concorso è tenuto a pubblicare, nello svolgimento della selezione.

Qui di seguito, per rispondere al quesito, vengono tracciati una serie di suggerimenti legati alle singole fasi procedimentali del concorso.

 

Fase 1
Pubblicazione elenco degli ammessi e degli esclusi al concorso.
È possibile convocare i candidati ammessi al concorso (o alla preselezione, se prevista) con un semplice comunicato a firma del presidente della Commissione che recita più o meno così.

AVVISO
Tutti i candidati che hanno presentato domanda di partecipazione al concorso riservato alle categorie protette, per la copertura del posto di ………………. Categoria …………, come da bando pubblicato in data ………….che NON hanno ricevuto lettera di esclusione, sono convocati il giorno……., alle ore…… presso……….. per sostenere la prima prova scritta del concorso.
Sin qui, il problema dei dati, non si pone.

 

Fase 2
Per la comunicazione dei candidati ammessi alla seconda prova si può procedere con un comunicato del presidente della Commissione, in cui compare solamente l’elenco degli ammessi, con, a fianco, il relativo punteggio. I nominativi dei candidati dovranno essere sostituiti dall’uso delle iniziali o, meglio ancora, da dei codici identificati sostitutivi, attribuiti dalla commissione ad ogni candidato ammesso. Tramite email o telefono, ad ogni candidato verrà comunicato il proprio codice identificativo. Esempio:

Posizione	Candidato	Punteggio prova scritta
01.	Candidato 014-2020	28/30
02.	Candidato 006-2020	27/30
03.	Candidato 003-2020	26/30

 

Fase 3
Approvazione graduatoria finale. Anche in questo caso il nominativo del vincitore e dei candidati risultati idonei deve essere sostituito dall’uso di un codice identificativo che sarà lo stesso utilizzato per la comunicazione di ammissione alla seconda prova. Esempio:

Posizione	Candidato	Punteggio prova scritta	Punteggio prova orale	Punteggio totale	Vincitore / idoneo
01.	Candidato 014-2020	28/30	27/30	55	Vincitore
02.	Candidato 006-2020	27/30	27/30	54	Idoneo
03.	Candidato 003-2020	26/30	26/30	52	Idoneo

 

Fase 4
Approvazione verbali del concorso e della graduatoria di merito, di norma, con determinazione del responsabile del servizio personale. Anche in questo caso, dovranno essere oscurati tutti i nominativi e sostituiti con dei Codici identificati, già utilizzati in sede concorsuale. Prestare molta attenzione anche al contenuto dei verbali della Commissione che verranno allegati alla determinazione dirigenziale, provvedendo, eventualmente, all’oscuramento di alcuni dati.

 

Fase 5
Determinazione di assunzione in servizio del vincitore e approvazione schema di contratto individuale.
Nel testo della determinazione e nello schema di contratto individuale, verrà utilizzato il Codice matricola, attribuito preventivamente alla presa in servizio,  al neo-dipendente dal servizio personale.

Ricapitolando: sull’argomento occorre prendere a riferimento le seguenti norme:

• regolamento (UE) 2016/679, in particolare l’articolo 9, Paragrafo 4;
• decreto legislativo 30 giugno 2003, n. 196, articolo 2-septies, nel testo inserito dall’art. 2, comma 1, lettera f), del d.lgs. 10 agosto 2018, n. 101;
• indicazioni del Garante privacy contenute nel documento del 15 maggio 2014, recante “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”, in particolare il Paragrafo 3. rubricato: Fattispecie esemplificative, Parte 3.b – Graduatorie, laddove si specifica che:
  Non possono quindi formare oggetto di pubblicazione dati concernenti i recapiti degli interessati (si pensi alle utenze di telefonia fissa o mobile, l’indirizzo di residenza o di posta elettronica, il codice fiscale, l’indicatore ISEE, il numero di figli disabili, i risultati di test psicoattitudinali o i titoli di studio), né quelli concernenti le condizioni di salute degli interessati (cfr. art. 22, comma 8, del Codice), ivi compresi i riferimenti a condizioni di invalidità, disabilità o handicap fisici e/o psichici.

L’insieme di tali disposizioni impedisce, pertanto, agli enti di divulgare i dati sullo stato di salute delle persone fisiche, anche se partecipano a una procedura concorsuale, riservata a soggetti in condizioni di disabilità, compresi i richiami alla legge 12 marzo 1999, n. 68, recante “Norme per il diritto al lavoro dei disabili”. Il divieto risulta ancora più stringente se i dati vengono pubblicati nei siti web, sia nella sezione dedicata all’Albo pretorio online che sulla sezione Amministrazione trasparente> Bandi di concorso.  La violazione del divieto comporta l’irrogazione di una sanzione amministrativa pecuniaria da parte del Garante privacy, come è possibile verificare consultando il link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9116773
Il provvedimento sanzionatorio, nella sua parte narrativa, illustra con precisione le motivazioni che hanno indotto l’Autorità Garante a emanare una ordinanza-ingiunzione, datata 14 marzo 2019, dell’importo di euro 10mila, nei confronti di un comune del centro Italia, per aver effettuato un trattamento illecito di dati personali mediante la diffusione di dati idonei a rilevare lo stato di salute. La sanzione – per la quale è stata anche concessa una rateizzazione di 25 rate mensili, da 400 euro ciascuna – rappresenta il minimo edittale previsto, dal momento che la misura della sanzione era stata stabilita (con il “vecchio” Codice privacy) da un minimo di 10.000 a un massimo di 120.000 euro.