Il necessario ricambio generazionale per sopravvenuti limiti anagrafici, lo sblocco del turnover, e la famigerata “quota 100” stanno favorendo una nuova stagione d’oro dei Concorsi pubblici.
A dispetto, infatti, delle misure di contenimento contro il Covid-19, decine di migliaia di candidati su tutto il territorio nazionale hanno partecipato e sono pronti a partecipare alle selezioni che di volta in volta vengono bandite: dal più grande Ministero al più piccolo Ente locale; e proprio per velocizzare queste operazioni (inevitabilmente rallentate dalla pandemia), razionalizzare i costi ed evitare gli assembramenti, che la Ministra per la Pubblica amministrazione, Fabiana Dadone ha colto l’occasione per innovare le procedure selettive aprendo così alla informatizzazione delle prove.
In questo rinnovato contesto che prevede il ricorso necessario a strumenti informatici e digitali (tra prove preselettive – se previste – selettive scritte e orali che potranno svolgersi anche in videoconferenza), emergono, però, in maniera evidente criticità e sfide che gli operatori della data protection dovranno necessariamente affrontare per rendere le nuove procedure conformi alla normativa privacy.
Criticità che, tra le altre cose, andranno ad innestarsi a quelle già esistenti che già più volte (e anche molto recentemente) hanno richiamato l’attenzione del Garante e comportato sanzioni.
È quindi utile (ancora prima del dibattito su quale tecnologia usare per prevenire e anticipare le tecniche dei cosiddetti “furbetti”), interrogarsi su quali passi deve fare la Pubblica Amministrazione per assicurare trasparenza, imparzialità delle decisioni e tutela dei diritti durante lo svolgimento di un concorso.
Andiamo per gradi.
La stesura del bando
in ossequio ai principi di privacy by design e by default, già in fase di progettazione del bando andrebbero individuate le modalità tecniche ed organizzative attraverso le quali assicurare il rispetto dei diritti del candidato.
È questa la fase in cui sarebbe necessario coinvolgere il proprio DPO il quale solo se partecipe potrà consigliare al meglio il Titolare, aiutarlo nel valutare i rischi e suggerirgli gli accorgimenti necessari per essere conformi.
Le scelte, infatti, anche quelle tecnologiche non sono mai neutrali e decidere di utilizzare una piattaforma dedicata per le candidature o accettare che le stesse possano essere inviate attraverso Pec o email comporta rischi, autorizzazioni e misure di sicurezza differenti che devono essere valutati a monte.
Una volta definiti tutti gli aspetti si potrà procedere a corredare il bando e la domanda di partecipazione delle opportune informative ex art. 13.
La raccolta delle candidature e la verifica dei requisiti
La fase di raccolta delle candidature mette per la prima volta l’Ente di fronte a dati anche di natura particolare. Per tale ragione credo sia inutile precisare che questa fase della raccolta delle candidature debba essere fatta da personale formato, espressamente autorizzato e vincolato al segreto sia che si tratti di soggetti interni sia che si decida di formalizzare attraverso un accordo l’esternalizzazione di questa fase della procedura.
Candidati ammessi alle prove, le prove e i risultati
Il primo screening delle candidature porta all’esclusione di tutti quei candidati che per qualunque motivazione non vengono ammessi a partecipare alle fasi successive del concorso (es. mancanza di requisiti, ritardo nella presentazione della domanda ecc.).
Quello che mi è capitato di vedere nella mia esperienza è che molto spesso gli Enti pubblici (come previsto dal bando) pubblicano sui propri siti l’intero elenco di tutti i candidati con indicati gli ammessi, i non ammessi nonché i motivi di esclusione.
Vorrei chiarire che una delle attività più delicate del Responsabile per la protezione dei dati di un Ente pubblico è quella di favorire il corretto bilanciamento dei principi di Trasparenza e Protezione dei dati e fare in modo che ogni necessaria compressione dei diritti non ingeneri conflittualità.
Gli obblighi di pubblicazione cui sono sottoposti gli Enti pubblici, ad esempio, portano talvolta a sacrificare la riservatezza delle persone fisiche in favore di un regime di pubblicità ben definito. Questi casi però sono tassativi, stabiliti per legge e devono comunque rispettare i principi della protezione dei dati.
Per agevolare la comprensione di questo passaggio è, a mio avviso, necessario non solo ripercorrere puntualmente le disposizioni legislative che si applicano in materia di pubblicazione degli atti riguardanti le graduatorie dei concorsi pubblici, ma anche effettuare una doverosa premessa terminologica:
- Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).
- Il trattamento dei dati personali deve avvenire nel rispetto dei principi indicati nell’art. 5 del GDPR, fra cui quelli di «liceità, correttezza e trasparenza» nonché di «minimizzazione dei dati», secondo i quali i dati personali devono essere – rispettivamente – «trattati in modo lecito, corretto e trasparente nei confronti dell’interessato», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (par. 1, lett. a e c).
- In tale quadro il trattamento dei dati personali effettuato da soggetti pubblici è lecito solo se necessario «per adempiere un obbligo legale al quale è soggetto il titolare del trattamento» oppure «per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» (art. 6, par. 1, lett. c ed e, del RGPD)
- L’art. 2-ter (Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri), comma 1, del D.Lgs. n. 196/2003, introdotto dal D.Lgs. n. 101/2018, in adeguamento al Regolamento (UE) n. 679/2016, stabilisce che “la base giuridica prevista dall’art. 6, paragrafo 3, lett. b), del regolamento è costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento”.
Occorre, quindi, verificare il quadro normativo di riferimento e distinguere le disposizioni che regolano gli obblighi di pubblicità dell’azione amministrativa per finalità di trasparenza (indicati nel d.lgs 33/2013) da quelle che regolano forme di pubblicità per finalità diverse (es.: pubblicità legale) contenute in specifiche disposizioni di settore.
Con riguardo agli Avvisi pubblici di selezione, il regime di conoscibilità riconosciuto dall’ordinamento ha il fine di rendere pubblica la procedura e assicurare l’imparzialità delle scelte adottate dalla commissione esaminatrice e/o dall’ente pubblico procedente, anche al fine di consentire agli interessati l’attivazione delle forme di tutela dei propri diritti e di controllo della legittimità delle procedure selettive.
Partendo quindi dagli obblighi per finalità di trasparenza riguardanti i concorsi pubblici contenuti il d.lgs 33/2013 nella più recente formulazione parla delle procedure soltanto all’Art.19 che stabilisce:
“1. Fermi restando gli altri obblighi di pubblicità legale, le pubbliche amministrazioni pubblicano i bandi di concorso per il reclutamento, a qualsiasi titolo, di personale presso l’amministrazione, nonché i criteri di valutazione della Commissione e le tracce delle prove scritte”.
Limitando quindi gli obblighi di pubblicità oltre che per il bando ai criteri di valutazione e alle tracce delle prove scritte e nulla disponendo in merito alla pubblicazione degli elenchi degli ammessi e non ammessi ecc.
Chiariti gli aspetti connessi alla trasparenza, andiamo ad analizzare la normativa specifica di settore: l’art. 15 del d.P.R. 9 maggio 1994, n. 487 (Regolamento recante norme sull’accesso agli impieghi nelle pubbliche amministrazioni e le modalità di svolgimento dei concorsi, dei concorsi unici e delle altre forme di assunzione nei pubblici impieghi) dispone che siano pubblicate le sole graduatorie definitive dei vincitori di concorso e ancora una volta non si pronuncia in merito agli elenchi dei non ammessi né degli esiti delle prove intermedie.
Infine, l’art. 35 comma 3 del d.lgs 165/2001 pur disponendo la necessità di fornire “un’adeguata pubblicità della selezione e modalità di svolgimento che garantiscano l’imparzialità e assicurino economicità e celerità di espletamento” e l’”adozione di meccanismi oggettivi e trasparenti” non fa espresso riferimento a tali elenchi.
Non sembra quindi ci siano disposizioni normative specifiche riguardanti forme di “pubblicità legale” relative ai dati personali dei partecipanti non ammessi, degli ammessi con riserva, dei partecipanti alle prove scritte e/o orali, di coloro che hanno estratto le tracce o che hanno presenziato alle operazioni di consegna degli elaborati e a niente serve inserire clausole specifiche all’interno dei bandi perché non equiparabili in termini di gerarchia delle fonti in “norma di legge o, nei casi previsti dalla legge, di regolamento” .
Come afferma il Garante, infatti, “nel rispetto dei principi di «limitazione della finalità» e di «minimizzazione dei dati» (art. 5, par. 1, lett. b e c, del RGPD) e, in conformità con le Linee guida del Garante in materia di trasparenza, «al fine di agevolare le modalità di consultazione delle graduatorie oggetto di pubblicazione in conformità alla disciplina di settore (per finalità diverse dalla trasparenza), le stesse possono altresì essere messe a disposizione degli interessati in aree ad accesso selezionato dei siti web istituzionali consentendo la consultazione degli esiti delle prove o del procedimento ai soli partecipanti alla procedura concorsuale o selettiva mediante l’attribuzione agli stessi di credenziali di autenticazione (es. username o password, numero di protocollo o altri estremi identificativi forniti dall´ente agli aventi diritto, oppure mediante utilizzo di dispositivi di autenticazione, quali la carta nazionale dei servizi)”.
La pubblicazione dell’elenco completo dei candidati non ammessi con i relativi motivi di esclusione costituisce (in assenza di idoneo presupposto normativo) un trattamento illecito di dati personali in violazione dell’art. 2-ter, commi 1 e 3 del d.lgs 196/03 nonchè dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a e c; 6, par. 1, lett. c ed e, par. 2 e par. 3, lett. b, del GDPR che già in precedenza ha comportato una sanzione amministrativa ai danni di un ente locale come si può facilmente leggere nel provvedimento dell’Autorità garante per la protezione dei dati personali.
Per evitare, quindi, interventi dell’Autorità Garante suggerisco di volersi attivare per comunicare l’esclusione corredata dei motivi della stessa singolarmente ad ogni candidato o di prevedere già in fase di redazione del bando le opportune modalità di comunicazione.
Molti Enti, infine, demandano a fornitori di servizi esterni sia la conduzione delle prove preselettive sia la costruzione di piattaforme informatiche per l’espletamento delle procedure.
Anche questa esternalizzazione dei servizi non deve far abbassare la guardia del Titolare richiamato come ben sappiamo dal Regolamento Europeo 679/2016 e dalla normativa nazionale a:
- selezionare un fornitore capace di assicurare il rispetto della normativa in materia di protezione dei dati personali;
- fornire a detto fornitore indicazioni per iscritto sulle modalità con le quali dovrà trattare le informazioni;
- sorvegliare anche attraverso ispezioni che tale soggetto esterno dimostri il rispetto degli obblighi che ha assunto nei confronti del titolare;
per evitare di incorrere (v. ad esempio Registro dei provvedimenti n. 160 del 17 settembre 2020) nelle pesanti sanzioni previste dalla normativa.
I vincitori del Concorso
Una volta espletate tutte le formalità concorsuali e assegnati i punteggi delle prove l’Amministrazione (come richiamato precedentemente) l’Ente deve pubblicare le graduatorie finali aggiornate (tempestivamente) con l’eventuale scorrimento degli idonei non vincitori (anche alla luce della disposizione che ha ripristinato la possibilità per gli enti di scorrere le proprie e le altrui graduatorie – legge 27 dicembre 2019, n. 160, art. 1, comma 148).
Occorre, inoltre, far attenzione a pubblicare i soli dati pertinenti e non eccedenti e necessari ad individuare i soggetti; (si richiamano ancora una volta le Linee Guida del Garante privacy del 15 maggio 2014, pubblicate in Gazzetta Ufficiale n. 134 del 12 giugno 2014), e a prestare particolare interesse a quelle informazioni richiamate nei provvedimenti che potrebbero essere idonee a rilevare uno stato di salute (es. posti riservati soltanto a lavoratori disabili – v. ad esempio Registro dei provvedimenti n. 65 del 14 marzo 2019).
Il fine della selezione pubblica è, infatti, quello di reclutare attraverso una sana competizione tra i concorrenti, le migliori risorse disponibili.
L’accesso al mondo del lavoro pubblico però, non può avvenire a discapito dei diritti dei candidati ai quali il nostro ordinamento giuridico riconosce specifiche tutele.
È solo, pertanto, attraverso il doveroso coinvolgimento di tutti gli attori (Responsabile per la protezione dei dati, Responsabile della trasparenza, Responsabile per la transizione al digitale ecc.), nonché attraverso l’uso consapevole e ponderato della tecnologia, della trasparenza e della protezione dei dati che le amministrazioni pubbliche devono raggiungere il proprio obiettivo assicurando imparzialità, trasparenza e dignità di ogni partecipante.
E su quest’ultima, come abbiamo visto, vigila puntualmente l’Autorità Garante per la protezione dei dati personali.
