Salta al contenuto
Sanzione pubblica amministrazione Gravità: media

Il Garante Privacy ha multato il Comune di Ventasso per 8.000 euro perché ha pubblicato online l’elenco dei candidati a un concorso riservato a persone con disabilità

Leggi il provvedimento integrale ↗

Il Garante Privacy ha multato il Comune di Ventasso per 8.000 euro perché ha pubblicato online l’elenco dei candidati a un concorso riservato a persone con disabilità

In sintesi

Il Garante Privacy ha multato il Comune di Ventasso per 8.000 euro perché ha pubblicato online l'elenco dei candidati a un concorso riservato a persone con disabilità. Questa pubblicazione ha rivelato informazioni sulla salute dei partecipanti, cosa vietata dal GDPR e dalla legge italiana. Il Comune ha cercato di scaricare la responsabilità su un'Unione di Comuni, ma il Garante ha chiarito che il datore di lavoro rimane sempre responsabile dei dati dei suoi dipendenti e candidati. La multa è stata mitigata dalla collaborazione del Comune e dalla rimozione dei dati, ma evidenzia la necessità per tutte le amministrazioni di fare molta attenzione a cosa si pubblica online, specialmente se riguarda dati sensibili.

Cosa fare

  • Se la vostra azienda o ente organizza concorsi, verificate bene quali informazioni potete pubblicare online e quali no.
  • Non pubblicate mai elenchi di persone che partecipano a concorsi riservati a categorie protette o che possano in qualsiasi modo far capire che si tratta di dati sensibili (come la salute).
  • Assicuratevi che il vostro personale sia formato su queste regole, specialmente chi gestisce i siti web o le procedure di selezione.
  • Controllate tutti gli accordi con partner esterni che trattano dati per conto vostro, per essere sicuri che i ruoli e le responsabilità siano chiari e corretti.

Cosa evitare

  • Non pubblicare dati sensibili senza una legge che lo preveda esplicitamente e in modo specifico.
  • Non pensare che delegando una funzione a un altro ente si deleghi anche la responsabilità sulla protezione dei dati se si resta il datore di lavoro.
  • Non lasciare online informazioni che rivelano dettagli personali delicati, anche se il link non è più subito visibile.

Contesto

Il Garante ha avviato un'istruttoria a seguito di un reclamo e una segnalazione dell'Autorità Nazionale Anticorruzione (ANAC). Le verifiche hanno rivelato che il Comune di Ventasso aveva pubblicato online l'elenco dei candidati ammessi a una procedura selettiva per un posto di 'esecutore amministrativo', riservato alle categorie protette ai sensi della legge n. 68/99. L'elenco, consultabile sul sito del Comune e successivamente tramite un link diretto, includeva il giorno, l'ora e il luogo della convocazione. La pubblicazione di tale elenco ha rivelato implicitamente l'appartenenza dei candidati (12 persone) a categorie protette, e quindi dati relativi alla salute, per un considerevole lasso di tempo. Il Comune ha attribuito la violazione a carenze organizzative e a una complessa fase di riorganizzazione dovuta alla fusione con altri comuni, sostenendo inoltre che l'Unione Montana dei Comuni dell’Appennino Reggiano agisse come titolare esclusivo del trattamento per le procedure concorsuali.

La decisione

Il Garante ha accertato che il trattamento di dati personali è stato effettuato in violazione degli artt. 5, 6, 9 del Regolamento (UE) 2016/679 e degli artt. 2-ter e 2-septies, comma 8 del Codice Privacy. La pubblicazione online dell'elenco dei candidati ammessi a una procedura riservata alle categorie protette, e quindi rivelante dati relativi alla salute, è avvenuta in assenza di un'idonea base giuridica e in modo non conforme ai principi di liceità, correttezza, trasparenza e minimizzazione dei dati. Il Garante ha respinto la difesa del Comune sulla presunta titolarità esclusiva dell'Unione Montana, ribadendo che la titolarità del trattamento per la gestione del personale resta in capo al datore di lavoro (il Comune), mentre l'Unione agiva come responsabile del trattamento. Nonostante il Comune avesse rimosso i dati, il Garante ha ritenuto l'illiceità del trattamento e, pur non disponendo ulteriori misure correttive per la cessazione della condotta, ha imposto una sanzione pecuniaria di 8.000 euro, tenendo conto della gravità media della violazione e di attenuanti quali la collaborazione, l'adozione di misure correttive post-violazione e l'assenza di precedenti violazioni.

Ratio decidendi La diffusione online di dati personali, in particolare di categorie particolari come quelli relativi alla salute (rivelati dall'appartenenza a categorie protette), è lecita solo se prevista da un'idonea base giuridica e conforme ai principi di liceità, correttezza, trasparenza e minimizzazione. La mera riserva di un concorso a categorie protette implica la rivelazione di dati sanitari, la cui diffusione è vietata dall'art. 2-septies, comma 8 del Codice Privacy. La responsabilità del titolare del trattamento (il Comune, in quanto datore di lavoro e amministrazione banditrice della selezione) non è esclusa dal rapporto con un responsabile del trattamento (l'Unione Montana), poiché la ripartizione dei ruoli tra titolare e responsabile si basa sull'assetto concreto dei loro rapporti e sulle attività effettivamente svolte, e non è negoziabile tramite la sola designazione formale in un contratto.

Articoli GDPR violati

ArticoloDescrizioneRilevanza
5 par.1 lett.a
GDPR
Principi di liceità, correttezza e trasparenza la pubblicazione online dell'elenco dei candidati è avvenuta senza un'idonea base giuridica, mancando di liceità, correttezza e trasparenza.
5 par.1 lett.c
GDPR
Principio di minimizzazione dei dati sono stati pubblicati dati (l'elenco dei candidati a una selezione riservata) che non erano strettamente necessari rispetto alle finalità di pubblicità e che rivelavano informazioni sensibili.
6
GDPR
Liceità del trattamento il trattamento dei dati personali (diffusione) è avvenuto in assenza di una valida base giuridica.
9
GDPR
Trattamento di categorie particolari di dati personali la pubblicazione dell'elenco dei candidati a una procedura riservata a categorie protette ha implicato la diffusione indiretta di dati relativi alla salute, senza una delle condizioni previste per il trattamento di tali dati.
2-ter
Codice Privacy
Base giuridica per il trattamento di dati personali da parte di soggetti pubblici la pubblica amministrazione (comune) ha diffuso dati personali senza che il trattamento fosse previsto da una norma di legge o, nei casi consentiti, di regolamento.
2-septies par.8
Codice Privacy
Divieto di diffusione di dati relativi alla salute il provvedimento rileva la violazione del divieto di diffusione di dati idonei a rivelare lo stato di salute, in quanto l'iscrizione a una procedura riservata a categorie protette implica l'appartenenza a una condizione di disabilità o altro stato tutelato.

Misure imposte

Pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante; Pubblicazione del presente provvedimento sul sito internet dell’Autorità; Annotazione delle violazioni nel registro interno dell’Autorità

Sanzione

Il Garante ha ordinato al Comune di Ventasso il pagamento di una sanzione amministrativa pecuniaria di 8.000 euro per la violazione degli artt. 5, 6 e 9 del Regolamento e degli artt. 2-ter e 2-septies, comma 8 del Codice Privacy. La sanzione è stata quantificata tenendo conto della gravità media della violazione (diffusione di dati sulla salute di 12 interessati per un lungo periodo), delle difficoltà organizzative e dell'errore. Sono state considerate attenuanti la pronta rimozione dei dati, l'adozione di misure organizzative correttive (formazione del personale, linee guida), la piena collaborazione con l'Autorità e l'assenza di precedenti violazioni.

Termini: entro 30 giorni dalla notificazione del presente provvedimento

Implicazioni pratiche

Questo provvedimento sottolinea l'estrema attenzione che le Pubbliche Amministrazioni devono dedicare alla pubblicazione online di dati personali, in particolare quando questi possono rivelare informazioni sensibili, come lo stato di salute o l'appartenenza a categorie protette. Anche se un concorso è riservato a tali categorie, non significa che i dati dei partecipanti possano essere diffusi. La decisione chiarisce che il ruolo di titolare del trattamento non è trasferibile semplicemente tramite convenzioni formali, ma dipende dalle attività effettivamente svolte. Le carenze organizzative non sono una giustificazione valida per la violazione. È fondamentale disporre di una base giuridica specifica per ogni pubblicazione e rispettare i principi di minimizzazione e non diffusione dei dati sensibili, soprattutto nell'ambito di procedure concorsuali.

Azioni da fare

  • Verificare attentamente le basi giuridiche prima di qualsiasi pubblicazione online di dati personali
  • Non pubblicare elenchi di candidati ammessi a concorsi riservati a categorie protette o dati che possano rivelare indirettamente lo stato di salute
  • Rivedere le informative e le procedure interne per la gestione dei concorsi e la pubblicazione di atti amministrativi
  • Assicurarsi che i ruoli di Titolare e Responsabile del trattamento siano correttamente definiti e rispecchino le attività concrete
  • Implementare programmi di formazione del personale sulla protezione dei dati, con particolare attenzione alla diffusione e ai dati sensibili

Errori da evitare

  • Non considerare l'appartenenza a categorie protette come dato sensibile
  • Affidarsi unicamente a convenzioni formali per definire i ruoli di titolare/responsabile senza verificarne la corrispondenza con la realtà operativa
  • Diffondere dati personali oltre quanto strettamente necessario per adempiere a obblighi legali specifici di pubblicità
  • Sottovalutare l'impatto di carenze organizzative sulla compliance GDPR

Domande di self-assessment

  • La nostra PA pubblica elenchi di candidati a concorsi, anche intermedi?
  • I nostri concorsi prevedono riserve per categorie protette o disabili? Se sì, come gestiamo la pubblicazione?
  • Abbiamo una base giuridica esplicita e proporzionata per ogni dato pubblicato online?
  • I nostri accordi con enti esterni (come Unioni di Comuni) definiscono chiaramente i ruoli di Titolare e Responsabile, e sono conformi alla prassi effettiva?
  • Il nostro personale è adeguatamente formato sui principi di minimizzazione e non diffusione dei dati sensibili?

Riferimenti

Linee guida EDPB: Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR · Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR

Normativa nazionale: D.Lgs. 196/2003 · L. 68/99 · L. 104/92 · D.Lgs. 267/2000 · D.Lgs. 33/2013 · D.Lgs. 165/2001 · D.L. 25/2025 · L. 69/2025 · D.P.R. 3/1957 · D.P.R. 487/1994 · L. 689/1981 · D.Lgs. 150/2011

Note

Il provvedimento ribadisce con forza che il ruolo di titolare del trattamento è determinato dall'assetto concreto delle attività e non è negoziabile tramite accordi formali se questi non riflettono la realtà. Sottolinea l'importanza di bilanciare trasparenza amministrativa e protezione dei dati, specialmente per categorie protette.

Provvedimenti correlati