Appalti privati e pubblici al setaccio della privacy: se non si rispettano le norme sulla protezione dei dati l'appalto salta. Il rispetto delle disposizioni sulla protezione dei dati (dal codice della privacy al regolamento europeo detto “Gdpr” fino alle norme settoriali), applicato al cosiddetto procurement, si fa in tre: 1) è criterio di valutazione delle offerte per le aggiudicazioni; 2) è condizione da rispettare nell'esecuzione delle forniture e dei lavori; 3) infine, in caso di inosservanza, è causa di scioglimento del contratto per inadempimento.
È quanto discende proprio dal Gdpr (regolamento Ue n. 2016/679), come già applicato in alcune decisioni di autorità europee: si veda per esempio la decisione del 13 luglio 2022 della Vergabekammer Baden-Württemberg. Ma si conta anche qualche sporadico precedente nella giurisprudenza amministrativa italiana. Il rispetto della privacy nelle procedure e nei contratti di appalto (pubblico o privato) è, dunque, da considerare allo stesso livello del rispetto delle disposizioni sulla sicurezza degli ambienti di lavoro o sulla tutela dei diritti dei lavoratori.
Ma partiamo dalla decisione tedesca - La camera degli appalti del Baden-Württemberg, con la decisione citata, si è occupata di una gara di appalto europea per l'approvvigionamento di software per l'amministrazione digitale, bandita da una società partecipata da enti pubblici. Il capitolato di gara della fornitura conteneva, tra l'altro, prescrizioni relative alla protezione dei dati e alla sicurezza informatica. Una società, partecipante alla gara e, in un primo momento, anche vincitrice aggiudicataria, aveva presentato un'offerta che comprendeva l'avvalimento di un subfornitore stabilito negli Stati Uniti. Su ricorso di un'impresa concorrente, la questione è stata portata sul tavolo della Camera degli appalti, che ha pronunciato l'esclusione della società vincitrice. Il problema è stato proprio il trasferimento di dati verso gli Usa, problema molto grosso, considerato che, in base alla giurisprudenza della Corte di giustizia Ue, gli Usa non garantiscono un livello di tutela della privacy pari a quello delineato dal Gdpr. Nel caso specifico l'impresa non ha dato sufficienti garanzie del rispetto delle norme del Gdpr relative al trasferimento di dati verso un paese terzo e, quindi, l'offerta della società aggiudicataria violava l'articolo 44 del Gdpr. Di conseguenza, la società è stata esclusa dalla procedura. Ora, questa decisione è da considerare una decisione-pilota, il cui principio non è da restringere solo alle disposizioni del Gdpr relative al trasferimento dei dati all'estero, ma a tutte le norme del Gdpr e, per l'Italia, al Codice della privacy.
I casi italiani - Anche in Italia ci sono pronunce che si mettono sulla scia della esplicita decisione tedesca. Il Tribunale amministrativo del Veneto (sede di Venezia, sezione I, sentenza n. 8 del 4 gennaio 2022) ha bocciato l'aggiudicazione di un appalto di un sistema di controllo del traffico che consentiva sia il controllo di velocità e infrazioni posti ai semafori sia la regolarità dei veicoli rispetto agli obblighi di revisione e di assicurazione. Nel caso specifico i giudici amministrativi hanno ritenuto in contrasto con le norme della privacy la rilevazione massiva dei dati di tutti i veicoli in transito davanti a un apparecchio, essendo legittima solo di quelli per i quali è stata rilevata un'infrazione. Pertanto, essendo la lettura delle targhe di tutti i mezzi in transito una caratteristica sproporzionata rispetto allo scopo per il quale i rilevatori sono stati omologati e approvati, l'appalto è saltato.
Gdpr e gare - Le soluzioni, le procedure e gli strumenti relativi all'osservanza del Gdpr, del Codice della privacy e di altre disposizioni speciali sulla protezione dei dati possono essere un criterio di valutazione delle offerte per le aggiudicazioni. Si pensi all'acquisizione di certificazioni o comunque alla descrizione dei processi di adeguamento al sistema della privacy, specialmente se in correlazione con l'oggetto del servizio o della fornitura messa a gara. Il profilo delle offerte può essere considerato anche da altre prospettive. Indipendentemente da clausole sui criteri di valutazione delle offerte, come è successo nella riportata vicenda tedesca, un'offerta deve essere in ogni caso legittima e, quindi, deve essere sempre conforme al Gdpr e al Codice della privacy, così come deve esserlo l'impresa proponente.
Un accorgimento da prendere in considerazione concerne la determinazione del costo “rispetto della privacy” e la sua incidenza sul prezzo finale. Si possono usare tecniche diverse finalizzate a non deprimere investimenti sulla “sicurezza privacy” a discapito della qualità della fornitura.
L'osservanza del sistema normativo privacy è condizione da rispettare nell'esecuzione delle forniture e dei lavori. È bene che i capitolati delle selezioni di gara (pubbliche o private) o comunque negli affidamenti descrivano analiticamente i livelli di servizio “privacy”, se del caso scendendo nei dettagli, ad esempio nei servizi ad alto contenuto di trattamento di dati personali.
Fase cruciale e fonte di liti è la contestazione di inadempimenti. Ciò vale anche per gli adempimenti imposti dal sistema normativo privacy. A questo riguardo committenti e appaltatori possono gestire questi aspetti indicando le possibili reazioni nei rapporti reciproci. Ciò significa, ad esempio, indicare quali violazioni in materia di privacy conducano allo scioglimento del contratto in virtù di specifiche clausole risolutive espresse e quali altre violazioni implichino l'applicazione di penali o di diminuzione del corrispettivo.
Le sanzioni - La vera novità del Gdpr è il sistema sanzionatorio (si arriva fino a 20 milioni di euro), che si applica a tutti i casi in cui i trattamenti non rispettano i principi di liceità e correttezza e di pertinenza e non eccedenza rispetto alle finalità perseguite (articolo 5).La norma di chiusura dell'articolo 5 è in grado di comprendere tra le condotte sanzionabili anche disattenzioni, lassismi e imprecisioni nella stesura dei contratti di appalto, nelle verifica della esecuzione degli stessi, affinché siano mantenuti in linea con Gdpr e codice della privacy.
News ripresa da Federprivacy