La recente sanzione inflitta dal Garante Privacy all’INPS, ammontante a 50.000 euro, rappresenta un caso emblematico di come la trasparenza amministrativa non possa e non debba travalicare i confini imposti dalla normativa sulla protezione dei dati personali. Il provvedimento, che segue una precedente multa di 20.000 euro per la diffusione impropria di atti intermedi del medesimo concorso, evidenzia una reiterazione di condotte non conformi al GDPR da parte dell’Istituto previdenziale e una sottovalutazione delle conseguenze della pubblicazione di dati personali online.
1. La sanzione del Garante
L’INPS è stato sanzionato per aver pubblicato sul proprio sito web i dati personali di migliaia di partecipanti a un concorso. Tra i dati oggetto della violazione, figurano il nome e cognome dei candidati, la data di nascita, il punteggio derivante dalla media dei voti conseguiti nelle prove scritte e orali, il punteggio dei titoli, oltre all’indicazione dell’ammissione con riserva, che includeva anche informazioni relative alla salute, di oltre 5.000 interessati tra vincitori e idonei.
Ulteriori accertamenti dell’Autorità hanno evidenziato che anche le graduatorie finali diffuse contenevano informazioni dettagliate relative a vicende personali e familiari dei partecipanti, esponendo così le persone a possibili danni reputazionali. Ad alcuni nomi, infatti, era associato il riferimento a giudizi pendenti, il che rischiava di generare l’equivoco della sussistenza di precedenti penali.
2. Trasparenza e protezione dei dati
Ogni titolare del trattamento, pubblico o privato, è tenuto a trattare i dati degli interessati nel rispetto dei principi sanciti dal Regolamento (UE) 2016/679.
1. Principio di minimizzazione dei dati
Il GDPR stabilisce che i dati personali trattati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono raccolti e trattati (art. 5, par. 1, lett. c). Nel caso in esame, la pubblicazione online di dati relativi ai partecipanti del concorso, inclusi dettagli altamente sensibili come informazioni sulle riserve di salute e i riferimenti a giudizi pendenti, è risultata palesemente eccedente rispetto alla finalità di garantire trasparenza e pubblicità del procedimento. La pubblicazione delle graduatorie avrebbe dovuto limitarsi ai soli dati essenziali, quali nome, cognome e punteggio dei vincitori, come più volte sottolineato dal Garante. La diffusione di ulteriori informazioni personali rappresenta una chiara violazione del principio di minimizzazione, con un impatto diretto sulla privacy e sulla dignità delle persone coinvolte.
2. Principio di liceità, correttezza e trasparenza
Ogni trattamento di dati personali deve essere svolto in modo lecito, corretto e trasparente (art. 5, par. 1, lett. a). L’INPS, rendendo accessibili informazioni personali dettagliate tramite il proprio sito web, ha esposto i partecipanti a rischi significativi, tra cui danni reputazionali e uso improprio delle informazioni. Inoltre, l’indicizzazione dei dati tramite motori di ricerca ha aggravato la situazione, consentendo a chiunque di reperire tali informazioni, spesso senza alcun controllo temporale o contestuale. Questo caso sottolinea come la trasparenza amministrativa, pur essendo una finalità legittima, debba essere bilanciata con il diritto fondamentale alla protezione dei dati personali, evitando pratiche che possono generare confusione, come l’associazione tra giudizi pendenti e presunti precedenti penali.
3. Principio di integrità e riservatezza
Il principio stabilisce che i dati personali devono essere trattati in modo da garantirne una sicurezza adeguata, inclusa la protezione contro trattamenti non autorizzati o illeciti e contro la perdita, distruzione o danno accidentale (art. 5, par. 1, lett. f). La pubblicazione online di dati sensibili senza adottare misure tecniche o organizzative idonee a limitarne l’accesso costituisce una violazione di questo principio. È importante ricordare che, una volta indicizzati, i dati pubblicati sul web possono rimanere accessibili per un periodo indeterminato, sfuggendo al controllo del titolare del trattamento. In questo contesto, il Garante ha più volte enfatizzato l’importanza di implementare sistemi che proteggano i dati personali dalla diffusione non autorizzata, come ad esempio limitando l’indicizzazione da parte dei motori di ricerca.
4. Principio di accountability
Il GDPR introduce il principio di responsabilizzazione, imponendo al titolare del trattamento l’obbligo di dimostrare la conformità alle disposizioni del Regolamento. La condotta dell’INPS rivela una mancanza di consapevolezza e controllo sui rischi connessi al trattamento dei dati personali, soprattutto in un contesto sensibile come quello di un concorso pubblico. L’assenza di un’adeguata valutazione del rischio, accompagnata dalla mancata adozione di politiche che garantiscano il rispetto dei diritti degli interessati, ha portato a una reiterazione delle violazioni. Il caso evidenzia la necessità di una formazione continua del personale e dell’adozione di misure proattive per la protezione dei dati.
Potrebbero interessarti anche:
3. Lezione appresa: bilanciare trasparenza e protezione dei dati
La sanzione inflitta all’INPS è un monito per tutte le amministrazioni pubbliche e le organizzazioni che operano nel trattamento di dati personali. La trasparenza, pur essendo un principio cardine nell’agire della Pubblica Amministrazione, non può mai giustificare una compressione ingiustificata dei diritti alla riservatezza e alla protezione dei dati personali.
La corretta applicazione del GDPR richiede un approccio equilibrato, che parta da una chiara comprensione delle finalità del trattamento, dalla minimizzazione dei dati trattati e dalla garanzia di una sicurezza adeguata. È fondamentale ricordare che una violazione della privacy non si limita a danni economici: essa può avere impatti profondi sulla reputazione e sulla dignità delle persone. In conclusione, il caso INPS rappresenta un’occasione per ribadire che la conformità al GDPR non è solo un obbligo normativo, ma anche un segno di rispetto per i diritti fondamentali degli individui. Per evitare ulteriori sanzioni, sarebbe opportuno che tutte le amministrazioni pubbliche investissero non solo in tecnologia, ma anche in una cultura della protezione dei dati.
