1. Obbligo di pubblicazione del curriculum: quando è previsto?
Le pubbliche amministrazioni e gli enti a partecipazione pubblica hanno l’obbligo di pubblicare sul proprio sito istituzionale il curriculum vitae delle persone che ricoprono determinati incarichi o che intrattengono rapporti di collaborazione con l’ente.
Il d.lgs. 33/2013 specifica con chiarezza quali curricula devono essere pubblicati sui siti istituzionali. Tra questi rientrano:
- i componenti degli organismi indipendenti di valutazione (art. 10, comma 8);
- i titolari di incarichi politici, amministrativi o dirigenziali, anche a livello locale (art. 14);
- i soggetti ai quali siano stati affidati incarichi di collaborazione, consulenza o incarichi professionali, anche arbitrali (artt. 15 e 15-bis).
La pubblicazione del curriculum consente di verificare le competenze e il percorso professionale del soggetto incaricato, garantendo il rispetto dei requisiti richiesti dalla legge e favorendo la fiducia dei cittadini nell’operato dell’amministrazione.
2. La diffusione dei dati personali riportati nel curriculum vitae
La pubblicazione dei curriculum vitae sui siti istituzionali comporta la diffusione di dati personali e la loro conseguente conoscibilità da parte di un pubblico potenzialmente illimitato. Chiunque, accedendo alle sezioni “Amministrazione trasparente” o “Società trasparente”, può infatti visualizzare i curricula pubblicati e ottenere informazioni sensibili, come la data e il luogo di nascita, il codice fiscale o l’indirizzo di residenza del professionista.
Sebbene la pubblicazione del curriculum rappresenti un obbligo di legge, ai sensi del d.lgs. 33/2013, le amministrazioni e i soggetti pubblici restano tenuti al rispetto del Regolamento (UE) 2016/679. Il GDPR impone, infatti, di prestare particolare attenzione alla natura e alla quantità dei dati pubblicati, applicando i principi di pertinenza, minimizzazione e proporzionalità, per evitare la diffusione di informazioni non necessarie rispetto alla finalità di trasparenza perseguita.
3. L’obbligo di minimizzare la diffusione dei dati personali riportati nel curriculum vitae
Nel rispetto del principio di minimizzazione previsto dal Regolamento (UE) 2016/679, le amministrazioni pubbliche e gli altri soggetti obbligati alla trasparenza devono pubblicare esclusivamente i dati personali strettamente necessari allo scopo previsto dal d.lgs. 14 marzo 2013, n. 33. La diffusione online dei curricula deve quindi avvenire in modo selettivo, evitando che informazioni non pertinenti, come luogo e data di nascita, codice fiscale o indirizzo di residenza, siano accessibili al pubblico.
A tal fine, prima di procedere alla pubblicazione, è necessario che l’amministrazione esamini attentamente i curricula ricevuti dai professionisti incaricati e oscuri ogni informazione eccedente. Questo obbligo sussiste anche qualora il professionista, pur invitato a trasmettere un curriculum essenziale, abbia inserito dati personali non indispensabili. In caso contrario, l’amministrazione rischia di incorrere in violazioni della normativa privacy, con conseguente esposizione a sanzioni da parte del Garante per la protezione dei dati personali.
4. Quale informativa privacy fornire prima di pubblicare il curriculum?
Prima di acquisire e pubblicare un curriculum vitae nella sezione “Amministrazione trasparente” o “Società trasparente”, le pubbliche amministrazioni e i soggetti pubblici devono fornire un’informativa completa sul trattamento dei dati personali. Il professionista incaricato deve essere informato chiaramente che il curriculum sarà oggetto di pubblicazione online ai sensi del d.lgs. 14 marzo 2013, n. 33.
Questa informativa deve essere fornita prima che abbia inizio il trattamento dei dati, e deve rispettare quanto previsto dall’art. 13 del Regolamento (UE) 2016/679. Deve quindi contenere, oltre alla finalità di pubblicazione per trasparenza, anche l’indicazione del titolare del trattamento, i diritti dell’interessato, le modalità per esercitarli e i tempi di conservazione dei dati.
5. Serve il consenso del professionista per pubblicare il curriculum?
La pubblicazione del curriculum vitae da parte della pubblica amministrazione non richiede il consenso del professionista. Si tratta, infatti, di un obbligo normativo imposto dal d.lgs. 14 marzo 2013, n. 33, che prevale sull’autonomia dell’interessato. La trasparenza amministrativa, in questo caso, giustifica la diffusione di dati personali anche in assenza di una manifestazione di volontà espressa da parte del soggetto interessato.
Pertanto, anche qualora il professionista si opponesse espressamente alla pubblicazione del proprio curriculum, l’amministrazione sarebbe comunque tenuta a darvi corso, nel rispetto del principio di legalità e dei doveri di pubblicità. Il mancato adempimento di tale obbligo, anche per effetto dell’opposizione del professionista, potrebbe esporre l’ente a responsabilità e richiami da parte di ANAC.
6. È obbligatorio scrivere l’autorizzazione al trattamento dei dati nel curriculum?
Il professionista incaricato non è tenuto a riportare nel curriculum vitae la formula “si autorizza il trattamento dei dati personali”, se la trasmissione del curriculum è necessaria per l’esecuzione di un contratto o per misure precontrattuali richieste dallo stesso interessato. In questi casi, infatti, il trattamento trova la sua base giuridica in un presupposto diverso dal consenso, come previsto dall’art. 6 del GDPR.
Più correttamente, il professionista dovrebbe dichiarare di aver ricevuto l’informativa sul trattamento dei dati personali, ai sensi dell’art. 13 del Regolamento (UE) 2016/679. Tale dichiarazione attesta che l’ente pubblico ha adempiuto correttamente ai propri obblighi informativi e rafforza la trasparenza del trattamento effettuato.
7. Quali dati del curriculum possono essere pubblicati e quali devono essere oscurati?
Le pubbliche amministrazioni e gli altri enti pubblici sono obbligati a pubblicare i curricula dei professionisti incaricati, ma devono farlo nel rispetto del principio di minimizzazione previsto dal GDPR. Prima della pubblicazione sul sito istituzionale, i dati contenuti nel curriculum devono essere attentamente selezionati, per evitare la diffusione di informazioni personali non pertinenti rispetto alle finalità di trasparenza.
Sono da ritenersi pertinenti i dati che permettono l’identificazione professionale del soggetto, come il nome e il cognome, il percorso formativo e le esperienze lavorative. Devono invece essere considerati eccedenti – e quindi oscurati con modalità irreversibili – le informazioni relative alla sfera privata, tra cui:
- data e luogo di nascita
- codice fiscale
- indirizzo di residenza
- numero di cellulare personale
- email privata
- firma autografa
- fototessera
- dati sulla salute
- convinzioni politiche o religiose
- condizioni economiche o di disagio sociale
L’oscuramento deve essere effettivo, e non meramente grafico: è inammissibile la pubblicazione di file con “finti” oscuramenti (ad esempio barre nere sovrapposte) che consentono comunque la selezione e la copia dei dati nascosti.
8. Per quanto tempo possono restare pubblicati i curricula online?
Uno degli aspetti più delicati legati alla pubblicazione dei curriculum vitae è la durata della loro permanenza online. Le informazioni contenute nei curricula – spesso riferite anche a dati personali – restano infatti pubblicamente accessibili per un periodo di tempo stabilito dalla legge, e questa durata varia a seconda della tipologia di incarico. L’esigenza di limitare la diffusione di dati non pertinenti si fa quindi ancora più stringente, considerando l’impatto che può avere una pubblicazione prolungata.
Secondo il d.lgs. 33/2013, i termini di pubblicazione sono i seguenti:
- tre anni dopo la cessazione dell’incarico per i titolari di incarichi politici, di amministrazione, direzione o governo e per i dirigenti pubblici (art. 14);
- tre anni dopo la cessazione dell’incarico per consulenti e collaboratori esterni della PA (art. 15);
- due anni per gli incarichi conferiti da società pubbliche o organismi partecipati (art. 15-bis);
- per i componenti degli OIV: si applicano le regole di cui agli artt. 15 o 15-bis a seconda del tipo di ente presso cui l’incarico è svolto.
Le pubbliche amministrazioni, le società in house e gli altri soggetti obbligati devono esplicitare chiaramente la durata della pubblicazione sia nel sito istituzionale che nell’informativa sul trattamento dei dati personali, come prescritto dall’art. 13 del GDPR e ribadito dal Garante per la protezione dei dati personali.
9. È lecito mantenere online i curricula oltre i termini previsti?
I curricula dei professionisti non possono rimanere pubblicati online oltre il termine previsto dalla normativa vigente. Trascorso il periodo di pubblicazione stabilito dagli articoli 14, 15 e 15-bis del d.lgs. 33/2013, la permanenza dei dati sul sito istituzionale costituisce una diffusione illecita di informazioni personali, non giustificata da alcuna base giuridica.
È importante precisare che la diffusione sarebbe illegittima anche nel caso in cui il diretto interessato avesse espresso il proprio consenso. Il principio di legalità nel trattamento dei dati personali, sancito dal regolamento (UE) 2016/679, impone che il consenso non possa mai giustificare una violazione delle norme di settore. Le amministrazioni devono quindi disporre la rimozione dei curricula una volta decorso il termine previsto, evitando ogni forma di archiviazione online non conforme.
10. Quali sanzioni per la pubblica amministrazione che diffonde dati personali non necessari?
La pubblicazione di curricula con dati personali eccedenti o oltre i tempi stabiliti espone le pubbliche amministrazioni e gli altri soggetti obbligati a sanzioni da parte del Garante per la protezione dei dati personali. È considerata illecita sia la diffusione di informazioni non pertinenti rispetto alle finalità di trasparenza, sia il mantenimento online dei dati oltre il periodo previsto dalla legge.
Un caso recente ha visto il Garante sanzionare un Comune per non aver rimosso tempestivamente il curriculum vitae di un professionista e per non aver garantito l’effettivo esercizio del diritto alla cancellazione previsto dall’art. 17 del regolamento (UE) 2016/679. La sanzione amministrativa pecuniaria, in quell’occasione, è stata pari a 10.000 euro, a conferma dell’importanza di una gestione scrupolosa e conforme alla normativa dei dati pubblicati online.
11. Conclusioni
Quando assistiamo gli enti pubblici nella verifica del corretto adempimento degli obblighi di pubblicità, soprattutto in riferimento a pubblicazioni risalenti a diversi anni fa – quando l’attenzione alla protezione dei dati personali era meno rigorosa – ci preoccupiamo sempre di valutare la conformità sotto il duplice profilo: evitare sanzioni sia da parte del Garante per la protezione dei dati personali, sia da parte dell’ANAC per eventuali violazioni degli obblighi di trasparenza.
Una corretta gestione dei curricula pubblicati significa oggi saper bilanciare gli obblighi di pubblicità previsti dal d.lgs. 33/2013 con i principi di minimizzazione e proporzionalità del GDPR, adottando soluzioni tecniche e organizzative che tutelino i dati personali dei professionisti e dimostrino il pieno rispetto delle regole da parte dell’amministrazione.
I contenuti di questa pagina si riferiscono a fattispecie generali e non possono in alcun modo sostituire il contributo di un avvocato. Per ottenere un parere legale in ordine alla questione giuridica che interessa è possibile richiedere una consulenza, oppure fissare un appuntamento. Gli autori declinano ogni responsabilità per errori od omissioni, nonché per un utilizzo improprio o non aggiornato delle presenti informazioni.