Portale Nazionale di reclutamento: le considerazioni del Network Responsabili Protezione Dati delle Autorità indipendenti

Il Portale Nazionale di reclutamento InPA www.inpa.gov.it (di seguito: Portale) ha l’obiettivo di rafforzare la capacità amministrativa delle pubbliche amministrazioni riducendo i tempi di accesso al pubblico impiego, di assicurare la massima partecipazione alle procedure di reclutamento della PA, di uniformare e semplificare i meccanismi di selezione al fine di individuare le competenze qualificate di cui la PA ha bisogno. Dal Network dei Responsabili Protezione Dati delle Autorità indipendenti arrivano alcune considerazioni relativamente ai trattamenti di dati personali insiti nelle attività del Portale.

Origine

L’art. 3, comma 7, della legge n. 56/2019[1], ha attribuito al Dipartimento della funzione pubblica della Presidenza del Consiglio dei ministri (di seguito: DFP) il compito di provvedere allo sviluppo di un portale del reclutamento per la raccolta e la gestione, con modalità automatizzate, delle domande di partecipazione ai concorsi pubblici e delle fasi delle procedure concorsuali, anche mediante la creazione del fascicolo elettronico del candidato.

L’utilizzo del Portale, ai sensi dell’art. 35-ter nel d.lgs. n. 165/2001[2], come modificato dalla legge n. 79/22, copre l’ambito di tutte le assunzioni, a tempo determinato e indeterminato, nelle amministrazioni pubbliche centrali e nelle autorità amministrative indipendenti, sia pure con qualche eccezione.

Le modalità di funzionamento sono stabilite dal Decreto del Ministro per la pubblica amministrazione del 3 novembre 2023 (di seguito: Decreto), adottato previo parere favorevole del Garante, reso in data 3/11/23.

Obiettivi

Il Decreto definisce le caratteristiche e le modalità di funzionamento del Portale, le informazioni necessarie per la registrazione al medesimo da parte degli utenti, le modalità di accesso e di utilizzo dello stesso da parte delle amministrazioni e quelle per la pubblicazione dei bandi di concorso, degli avvisi di mobilità e degli avvisi di selezione di professionisti ed esperti, ivi comprese le comunicazioni ai candidati e la pubblicazione delle graduatorie, i tempi di conservazione dei dati raccolti o comunque trattati, le misure per assicurare l’integrità e la riservatezza dei dati personali, nonché le modalità per l’adeguamento e l’evoluzione delle caratteristiche tecniche del Portale.

Aspetti Privacy

In particolare, l’attenzione del Network si è concentrata sui contenuti dell’art. 11 del Decreto laddove si disciplinano significativi aspetti che riguardano il trattamento di dati personali.

La Governance

Siamo in presenza di due distinti Titolari del trattamento:

• la Presidenza del Consiglio dei ministri – Dipartimento della Funzione Pubblica, nella persona del Capo pro tempore del DFP, relativamente ai trattamenti dei dati personali finalizzati alla gestione del servizio di registrazione e di compilazione del curriculum vitae, al monitoraggio della domanda e dell’offerta di lavoro pubblico presente sul Portale (funzioni ex art. 2, comma 4), nonché all’adeguamento delle caratteristiche tecniche e supporto tecnico agli interessati e alle amministrazioni (funzioni ex art. 2, comma 4);
• la singola Amministrazione banditrice, per la gestione dei dati personali relativi al processo del reclutamento, a decorrere dalla fase di compilazione della candidatura sino al termine del procedimento amministrativo (funzioni ex art. 2, comma 2).  Le amministrazioni banditrici sono, altresì, titolari del trattamento dei dati dei soggetti di cui all’art. 5 e 6 (Responsabile unico e Operatore delle amministrazioni stesse). In quest’ultima fattispecie il DFP è qualificato quale Responsabile del trattamento dei dati ai sensi dell’art. 28 del Regolamento (UE) 2016/679 (di seguito: Responsabile del trattamento o RTD).

Si aggiunge che:

• entrambi i Titolari devono rendere disponibile sul loro sito l’informativa sul trattamento dei dati personali;
• al DFP compete la valutazione di impatto sui trattamenti svolti mediante il Portale.

Ci troviamo, quindi, in presenza di due autonomi Titolari[3], uno dei quali, per le finalità stesse della singola procedura concorsuale gestita dall’amministrazione, deve essere designato Responsabile del trattamento, come espressamente stabilisce l’art. 5.3 del Decreto.

Pertanto, al verificarsi di tale fattispecie, l’Amministrazione banditrice, titolare del trattamento, deve procedere alla stipula di uno specifico atto di designazione verso il DFP quale RTD, che contenga tutti gli elementi costitutivi previsti all’art. 28.3 del GDPR e sia conforme alle linee Guida dell’EDPB[4].

Il conferimento dell’incarico ex art.28 GDPR

Attualmente, il rapporto che si costituisce tra il DFP e le singole amministrazioni banditrici è regolato da un “Accordo di designazione del Responsabile del trattamento dei dati personali ai sensi dell’articolo 28 del Regolamento (UE) 2016/679 (“Regolamento”) (di seguito: Documento) che presenta alcuni tratti di ambiguità sia nella forma che nella sostanza.

Come già rappresentato, l’art. 28 del GDPR espressamente dispone che i rapporti tra titolare e RTD devono essere disciplinati da un contratto o da altro atto giuridico…che vincoli il responsabile del trattamento al titolare del trattamento.

Diversamente, ritroviamo la figura giuridica dell’Accordo, all’art. 26 del GDPR laddove si disciplina la Contitolarità del trattamento, fattispecie nella quale, due o più soggetti, determinano congiuntamente finalità e mezzi del trattamento e, conseguentemente definiscono, in modo trasparente e paritario, proprio mediante un accordo interno, le rispettive responsabilità.

Relativamente ai contenuti, dall’esame del Documento, emergono alcune osservazioni relativamente a diversi Punti, di seguito riportati:

• 1. Elementi essenziali dei trattamenti che il Responsabile è autorizzato a svolgere: occorre definire la durata dell’attività e i tempi di conservazione;
• 2.1 Istruzioni del Titolare: occorre inserire il riferimento ai dati del punto di contatto come costituito al successivo punto 2.16;
• 2.4 Autorità di controllo: occorre prevedere, in capo al RTD, l’obbligo di avvisare il Titolare, tempestivamente e senza ingiustificato ritardo, in caso di ispezioni o di richiesta di informazioni e di documentazione da parte dell’Autorità di controllo;
• 2.6 Ricorso a Sub-Responsabili del trattamento: il ricorso a sub-responsabili deve essere sottoposto ad informazione preventiva del titolare a cui deve essere assicurata la facoltà di opporsi;
• 2.7 Riservatezza e formazione delle persone autorizzate al trattamento:il RTD deve garantire che il proprio personale sia debitamente autorizzato al trattamento dei dati personali, che si sia impegnato alla riservatezza o abbia un adeguato obbligo legale di riservatezza e che sia adeguatamente formato in relazione alle norme in materia di protezione dei dati personali e pienamente edotto rispetto alle istruzioni impartite dal Titolare.
  Deve essere, inoltre, resa evidente l’esistenza di un obbligo di collaborazione del RTD nei confronti del titolare in particolare nei casi di esercizio dei diritti da parte dei soggetti interessati al trattamento (Punto 2.8), di adozione delle misure di sicurezza (Punto 2.9), di corretta conservazione e di cancellazione alla scadenza dei termini (Punto 2.10), di ispezioni (Punto 2.11) e di violazione dei dati (Punto 2.13).
  Devono essere, altresì, disciplinate le modalità con cui il RTD, alla scadenza dei termini previsti per le attività, provveda a cancellare e/o rendere anonimi i dati personali, in modo da impedire, anche indirettamente, l’identificazione dell’interessato, salvo non diversamente previsto dal diritto dell’Unione o degli Stati membri.
• 2.11 Ispezioni e revisione: occorre individuare termini e modalità di risposta da parte del RTD alle richieste di informazioni del Titolare relative al trattamento dei dati;
• 2.13 Violazioni dei dati: il Responsabile, inoltre, deve fornire al Titolare ogni opportuno contributo e ogni assistenza necessaria per provvedere nei termini alla notifica all’Autorità di controllo e all’eventuale comunicazione agli interessati, ai sensi, rispettivamente, degli articoli 33 e 34 del Regolamento, attenendosi alla procedura per la gestione della violazione dei dati definita dal Titolare.

Conclusioni

Alla luce di quanto sopra, si ritiene opportuno, per trasparenza nel rapporto e nella gestione dei trattamenti, che impattano anche su dati particolari di varia natura, valutare una riformulazione del testo del Documento che ogni Amministrazione dovrà stipulare con il DFP. Anche in ragione di un uso, sicuramente auspicabile, sempre maggiore della Piattaforma da parte di tutte le Pubbliche Amministrazioni.

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA

[1] Legge 19 giugno 2019, n. 56 Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo.

[2] Cfr. Art. 2, comma 1, del decreto-legge n. 36/2022, convertito con modificazioni dalla legge n. 79/2022.

[3] Tale configurazione della fattispecie appare coerente con le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR” (Versione 2.0) adottate il 7 luglio 2021 dall’EDPB.

[4]  Cfr. Nota 3.