Pubblicare nelle graduatorie l’indicazione “riserva procedimento penale”, espone a rischio sanzioni
Nel caso in commento, il Ministero della Giustizia, a causa di un errore umano, ha pubblicato sul proprio sito web istituzionale, una graduatoria finale relativa a un concorso interno, diffondendo, in ragione della menzione “riserva procedimento penale”. Si tratta di una questione che interessa anche la scuola, per i principi espressi, per quanto attiene la gestione della pubblicazione delle graduatorie.
La norma
La disciplina di protezione dei dati personali prevede che i soggetti pubblici, nell’ambito del contesto lavorativo, possono trattare i dati personali degli interessati, anche relativi a categorie particolari, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4 e 88 del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, parr. 1, lett. e), 2 e 3, e art. 9, par. 2, lett. g), del Regolamento; art. 2-ter del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).
La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di diffusione di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (cfr. art. 2-ter, commi 1 e 3, del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).
La norma sulle condanne penali
Con specifico riguardo al trattamento dei dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza, si evidenzia che esso può avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati (art. 10 del Regolamento), ovvero solo qualora il trattamento sia autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-octies, commi 1 e 5, del Codice).
Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).
Si rischia illecito anche con i soli riferimenti generici
Non rileva, peraltro, che la graduatoria non contenesse riferimenti espliciti alle fattispecie di reato in relazioni alle quali era stata avviato il procedimento penale. Come, infatti, affermato dalla Corte di Giustizia dell’Unione Europea, “le informazioni relative ad un procedimento giudiziario a carico di una persona fisica, come quelle riferentisi all’apertura di un’indagine o al processo, ed eventualmente alla condanna che ne è risultata, costituiscono dati relativi alle «infrazioni» e alle «condanne penali» ai sensi dell’articolo 8, paragrafo 5, primo comma, della direttiva 95/46 e dell’articolo 10 del regolamento 2016/679, e ciò indipendentemente dal fatto che, nel corso di tale procedimento giudiziario, sia stata effettivamente dimostrata o meno la commissione del reato per il quale la persona era perseguita” (sent. C‑136/17, “GC e a. contro Commission nationale de l’informatique et des libertés (CNIL)”, Grande Sezione, 24 settembre 2019). D’altra parte, con riguardo al contesto lavorativo, numerosi provvedimenti del Garante hanno chiarito che le informazioni ottenute dal certificato penale del casellario giudiziale o da dichiarazioni rilasciate dai lavoratori in merito all’assenza di condanne penali costituiscono comunque dati relativi a condanne penali e reati ai fini della normativa in materia di protezione dei dati. Le informazioni relative a vicende connesse alla commissione di reati o a procedimenti penali, che interessano una persona fisica, costituiscono, pertanto, “dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza” ai sensi e per gli effetti di cui all’art. 10 del Regolamento, senza che rilevi la circostanza che tali informazioni non contengano riferimenti espressi agli specifici reati commessi o ai procedimenti giudiziari in corso.
Pubblicare dati penali pubblicamente in graduatoria comporta violazione della minimizzazione dei dati
Deve, pertanto, concludersi, in generale, che, restando impregiudicati i poteri dell’Amministrazione in ordine alla verifica della sussistenza in capo ai candidati vincitori dei requisiti previsti per la partecipazione al concorso e delle altre condizioni previste dalla legge ai fini dell’assunzione, la menzione “ammesso con riserva” in graduatorie relative a procedure selettive o concorsuali, oggetto di pubblicazione online, associata solo a specifici nominativi dei candidati vincitori, comporti una violazione del principio di “minimizzazione dei dati” (art. 5, par. 1, lett. c) del Regolamento).
