Il recente provvedimento sanzionatorio emanato dal Garante per la protezione dei dati personali ha di nuovo messo in luce alcuni aspetti molto importanti in tema di pubblicazione di atti online da parte delle pubbliche amministrazioni, soprattutto quando in gioco vi sono procedure interne come le progressioni economiche orizzontali dei dipendenti. L’intervento è nato a seguito del reclamo di un dipendente di un ente pubblico, il quale lamentava l’illegittima diffusione di graduatorie contenenti i dati personali di circa cento colleghi, pubblicate all’albo pretorio dell’amministrazione per quindici giorni.

Per comprendere la vicenda è necessario ricordare che la pubblicazione all’albo pretorio risponde a finalità di pubblicità legale, mentre la sezione “Amministrazione Trasparente” sul sito internet di un ente è destinata a finalità di trasparenza, così come delineate dal d.lgs. 33/2013. Il Garante ha rilevato che la pubblicazione di graduatorie per progressioni economiche orizzontali, avvenuta in questo caso all’albo pretorio, non trova comunque fondamento né negli obblighi di trasparenza previsti per i bandi di concorso né in altre specifiche disposizioni di legge. È emerso infatti come la normativa richiamata dal Comune (l’articolo 19 del d.lgs. 33/2013, in materia di obblighi di pubblicazione delle “graduatorie finali” dei concorsi) non si applichi alle progressioni orizzontali, poiché non equivalgono a veri e propri concorsi per nuove assunzioni.

L’Autorità ha ribadito che anche l’ANAC ha precisato che la pubblicazione delle posizioni economiche orizzontali non rientra nell’ambito degli obblighi relativi ai bandi di concorso e alle graduatorie finali per il reclutamento di personale. La progressione economica orizzontale, infatti, è una procedura meritocratica interna, legata alla valutazione dell’apporto individuale del dipendente, mentre le cosiddette “progressioni verticali” implicano un avanzamento di categoria o area professionale e, pertanto, seguono regole più simili al reclutamento esterno con vere e proprie comparative.

Un altro punto centrale toccato dal provvedimento riguarda la base giuridica di tale pubblicazione: il Comune aveva fatto leva sul consenso espresso dai lavoratori, previsto dal bando di procedura interna. Il Garante ha però chiarito che, in ambito pubblico, il consenso non è un presupposto di legittimità idoneo, specie nel contesto del rapporto di lavoro, dove esiste uno squilibrio contrattuale tra l’amministrazione (titolare del trattamento) e il singolo dipendente (interessato). In altre parole, non si può pretendere che il consenso rappresenti una valida autorizzazione per diffondere dati personali se manca una norma di legge o di regolamento specifica che imponga la pubblicazione.

L’importo della sanzione appare elevato, visto che la pubblicazione è stata limitata all’albo pretorio (pertanto non indicizzata dai motori di ricerca) per un periodo di tempo limitato. Inoltre, in circostanze passate la sanzione era stata più limitata. Probabilmente il ricorso al consenso come base giuridica ha inasprito la sanzione.

La sanzione decisa dal Garante, pari a 10.000 euro, è stata comminata proprio per l’assenza di un fondamento normativo adeguato a giustificare la pubblicazione di elenchi nominativi e votazioni conseguite nell’ambito di una procedura interna. L’ente, a seguito del reclamo di un solo dipendente, ha di fatto reso disponibili dati personali di circa un centinaio di persone, senza che fosse presente un obbligo di legge assimilabile a quello previsto invece per i concorsi pubblici o per altre tipologie di procedimenti che richiedano la pubblicità legale. L’elemento che ha evitato ulteriori conseguenze correttive più gravi è stato il fatto che la permanenza dei dati online sia durata solo per il periodo “canonico” di quindici giorni, senza che fossero indicizzati nei motori di ricerca, e che il Comune abbia fornito collaborazione durante l’istruttoria.

Occorre rilevare che alcune pubblicazioni errate da parte di PA si ripetono ciclicamente e che in particolare le Posizioni Economiche Orizzontali sono state già in passato oggetto di verifica da parte del Garante, come avevamo scritto in questo articolo.

Questa vicenda dimostra quanto sia indispensabile che gli enti pubblici verifichino in modo rigoroso il quadro normativo di riferimento, distinguendo nettamente gli obblighi di “pubblicità legale” da quelli di “trasparenza amministrativa”. Le sanzioni in ambito videosorveglianza e pubblicazioni dei dati on line sono la grande maggioranza delle sanzioni comminate alla PA, segno di un problema sistemico.

Per garantire la conformità alle normative sulla privacy, è fondamentale che gli enti investano in una formazione adeguata e aumentino la consapevolezza dei dipendenti coinvolti nella pubblicazione dei dati online. A tal fine Privacy Guardian, l’innovativa soluzione di SI.net, offre un’analisi approfondita dei siti degli enti che combina l’Intelligenza Artificiale (IA) a una profonda competenza nel campo della data protection per supportare le pubbliche amministrazioni nell’analisi e nella gestione dei dati pubblicati sui portali istituzionali.

La soluzione prevede il controllo automatizzato delle pubblicazioni presenti sui portali istituzionali attraverso l’utilizzo di un’IA specificamente addestrata per riconoscere dati personali, con un contestuale intervento di tutoring da parte di esperti di data protection di SI.net, seguito da una sessione formativa ad hoc per i dipendenti.

Un approccio pensato per supportare l’accountability e la conformità, garantendo la protezione dei dati in ogni fase della pubblicazione.

Per informazioni sul Privacy Guardian e sull’offerta di SI.net Servizi Informatici per accompagnarti nelle continue sfide legate alla trasformazione digitale, scrivi a comunicazione@sinetinformatica.it o telefona allo 0331.576848.

Per ricevere aggiornamenti sulle tematiche relative all’innovazione nell’ICT iscriviti alla nostra newsletter.

Segui SI.net anche su LinkedIn, Facebook, X, YouTube, Instagram, Telegram