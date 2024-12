La recente sanzione inflitta dal Garante Privacy all’INPS – ben 50mila euro – rappresenta un caso emblematico di come la trasparenza amministrativa non possa e non debba travalicare i confini imposti dalla normativa sulla protezione dei dati personali. Il provvedimento, che segue una precedente multa di 20mila euro per la diffusione impropria di atti intermedi del medesimo concorso, evidenzia una reiterazione di condotte non conformi al GDPR da parte dell’Istituto previdenziale e una sottovalutazione delle conseguenze della pubblicazione di dati personali online. Per approfondimenti si consiglia: Formulario commentato della privacy

1. La sanzione del Garante

L’ INPS è stato sanzionato per aver pubblicato sul proprio sito web i dati personali di migliaia di partecipanti ad un concorso. Tra i dati oggetto della violazione, ci sono il nome e cognome dei candidati, la data di nascita, il punteggio derivante dalla media dei voti conseguiti nelle prove scritte e orali, il punteggio dei titoli, l’indicazione dell’ammissione con riserva comprensiva anche delle causali relative alla salute, di oltre 5mila interessati tra vincitori e idonei.

Gli ulteriori accertamenti dell’Autorità hanno evidenziato che anche le graduatorie finali diffuse online contenevano numerose informazioni di dettaglio relative a vicende personali e familiari dei partecipanti, esponendo le persone a possibili danni sul piano reputazionale. Ad alcuni nomi, infatti, era associato il riferimento a giudizi pendenti, che seppur relativo al contenzioso con l’amministrazione, ingenerava l’equivoco della sussistenza di precedenti penali. Per approfondimenti si consiglia: Formulario commentato della privacy

2. Trasparenza e protezione dei dati

Ogni titolare del trattamento, pubblico o privato, deve trattare i dati degli interessati nel rispetto dei principi sanciti dal Regolamento (UE) 2016/679.



1. Principio di minimizzazione dei dati

Il GDPR stabilisce che i dati personali trattati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono raccolti e trattati (art. 5, par. 1, lett. c). Nel caso in esame, la pubblicazione online di dati relativi ai partecipanti del concorso, inclusi dettagli altamente sensibili come informazioni sulle riserve di salute e riferimenti a giudizi pendenti, è risultata palesemente eccedente rispetto alla finalità di garantire trasparenza e pubblicità del procedimento.

La pubblicazione delle graduatorie avrebbe dovuto limitarsi ai soli dati essenziali, quali nome, cognome e punteggio dei vincitori, come più volte ricordato dal Garante. Diffondere ulteriori informazioni personali rappresenta una chiara violazione del principio di minimizzazione, con un impatto diretto sulla privacy e sulla dignità delle persone coinvolte.



2. Principio di liceità, correttezza e trasparenza

Ogni trattamento di dati personali deve essere svolto in modo lecito, corretto e trasparente (art. 5, par. 1, lett. a). L’INPS, rendendo accessibili informazioni personali dettagliate tramite il proprio sito web e permettendone la diffusione incontrollata anche sui social media, ha esposto i partecipanti a rischi significativi, tra cui danni reputazionali e uso improprio delle informazioni. Inoltre, l’indicizzazione dei dati tramite motori di ricerca ha aggravato la situazione, consentendo a chiunque di reperire tali informazioni, spesso senza alcun controllo temporale o contestuale.

Questo caso sottolinea come la trasparenza amministrativa, pur essendo una finalità legittima, debba essere bilanciata con il diritto fondamentale alla protezione dei dati personali, evitando pratiche che possono generare confusione, se non veri e propri fraintendimenti, come l’associazione tra giudizi pendenti e presunti precedenti penali.



3. Principio di integrità e riservatezza

Il principio sancisce che i dati personali devono essere trattati in modo da garantirne una sicurezza adeguata, inclusa la protezione contro trattamenti non autorizzati o illeciti e contro la perdita, distruzione o danno accidentale (art. 5, par. 1, lett. f). La pubblicazione online di dati sensibili senza adottare misure tecniche o organizzative idonee a limitarne l’accesso costituisce una violazione di questo principio.

È importante ricordare che, una volta indicizzati, i dati pubblicati sul web possono rimanere accessibili per un periodo indeterminato, sfuggendo al controllo del titolare del trattamento. In questo contesto, il Garante ha più volte richiamato l’importanza di implementare sistemi che proteggano i dati personali dalla diffusione non autorizzata, ad esempio limitando l’indicizzazione da parte dei motori di ricerca.



4. Principio di accountability

Il GDPR introduce il principio di responsabilizzazione, imponendo al titolare del trattamento l’obbligo di dimostrare la conformità alle disposizioni del Regolamento. La condotta dell’INPS rivela una mancanza di consapevolezza e controllo sui rischi connessi al trattamento dei dati personali, soprattutto in un contesto sensibile come quello di un concorso pubblico.

L’assenza di un’adeguata valutazione del rischio, accompagnata dalla mancata adozione di politiche che garantiscano il rispetto dei diritti degli interessati, ha portato a una reiterazione delle violazioni. Il caso evidenzia la necessità di una formazione continua del personale e dell’adozione di misure proattive per la protezione dei dati.



