La gara inciampa sulla privacy

LA GIURISPRUDENZA TEDESCA FA DA APRIPISTA NELL’APPLICAZIONE DELLE NORME PREVISTE DAL GDPR
Antonio Ciccia Messina
Appalti privati e pubblici al setaccio della privacy: se non si rispettano le norme sulla protezione dei dati l’appalto salta. Il rispetto delle disposizioni sulla protezione dei dati (dal codice della privacy al regolamento europeo detto “Gdpr” fino alle norme settoriali), applicato al cosiddetto procurement, si fa in tre: 1) è criterio di valutazione delle offerte per le aggiudicazioni; 2) è condizione da rispettare nell’esecuzione delle forniture e dei lavori; 3) infine, in caso di inosservanza, è causa di scioglimento del contratto per inadempimento.

È quanto discende proprio dal Gdpr (regolamento Ue n. 2016/679), come già applicato in alcune decisioni di autorità europee: si veda per esempio la decisione del 13 luglio 2022 della Vergabekammer Baden-Württemberg (reperibile su https://gdprhub.eu). Ma si conta anche qualche sporadico precedente nella giurisprudenza amministrativa italiana. Il rispetto della privacy nelle procedure e nei contratti di appalto (pubblico o privato) è, dunque, da considerare allo stesso livello del rispetto delle disposizioni sulla sicurezza degli ambienti di lavoro o sulla tutela dei diritti dei lavoratori. Ciò, peraltro, non deve stupire, perché, almeno sulla carta, è sempre stato così, anche prima del Gdpr (cioè prima del 25 maggio 2018), e, quindi, anche, per effetto del solo Codice della privacy (dlgs 196/2003). Ma, dopo il Gdpr, il mancato rispetto della privacy assume un rilievo rafforzato dal fatto che tutte le violazioni delle norme di relazioni in materia di privacy sono punite dal Gdpr con una sanzione amministrativa. Anzi, la privacy è da presidiare con particolare prudenza, considerato che un operatore aggressivo potrebbe strumentalizzare le norma sulla privacy prospettando segnalazioni al Garante, per trarre vantaggi impropri ai danni della controparte. In ogni caso è un fatto che il Gdpr ha dato l’avvio a una stagione in cui le norme sulla privacy incidono pesantemente sui rapporti privati con lo spauracchio delle sanzioni amministrative (articolo 83 Gdpr).

Ma partiamo dalla decisione tedesca. La camera degli appalti del Baden-Württemberg, con la decisione citata, si è occupata di una gara di appalto europea per l’approvvigionamento di software per l’amministrazione digitale, bandita da una società partecipata da enti pubblici. Il capitolato di gara della fornitura conteneva, tra l’altro, prescrizioni relative alla protezione dei dati e alla sicurezza informatica. Una società, partecipante alla gara e, in un primo momento, anche vincitrice aggiudicataria, aveva presentato un’offerta che comprendeva l’avvalimento di un subfornitore stabilito negli Stati Uniti. Su ricorso di un’impresa concorrente, la questione è stata portata sul tavolo della Camera degli appalti, che ha pronunciato l’esclusione della società vincitrice. Il problema è stato proprio il trasferimento di dati verso gli Usa, problema molto grosso, considerato che, in base alla giurisprudenza della Corte di giustizia Ue, gli Usa non garantiscono un livello di tutela della privacy pari a quello delineato dal Gdpr.

Nel caso specifico l’impresa non ha dato sufficienti garanzie del rispetto delle norme del Gdpr relative al trasferimento di dati verso un paese terzo e, quindi, l’offerta della società aggiudicataria violava l’articolo 44 del Gdpr. Di conseguenza, la società è stata esclusa dalla procedura. Ora, questa decisione è da considerare una decisione-pilota, il cui principio non è da restringere solo alle disposizioni del Gdpr relative al trasferimento dei dati all’estero, ma a tutte le norme del Gdpr e, per l’Italia, al Codice della privacy.

I casi italiani. Anche in Italia ci sono pronunce che si mettono sulla scia della esplicita decisione tedesca. Il Tribunale amministrativo del Veneto (sede di Venezia, sezione I, sentenza n. 8 del 4 gennaio 2022) ha bocciato l’aggiudicazione di un appalto di un sistema di controllo del traffico che consentiva sia il controllo di velocità e infrazioni posti ai semafori sia la regolarità dei veicoli rispetto agli obblighi di revisione e di assicurazione. Nel caso specifico i giudici amministrativi hanno ritenuto in contrasto con le norme della privacy la rilevazione massiva dei dati di tutti i veicoli in transito davanti a un apparecchio, essendo legittima solo di quelli per i quali è stata rilevata un’infrazione. Pertanto, essendo la lettura delle targhe di tutti i mezzi in transito una caratteristica sproporzionata rispetto allo scopo per il quale i rilevatori sono stati omologati e approvati, l’appalto è saltato.

Ha toccato aspetti procedurali, mettendo, però, sempre alla prova i rapporti tra privacy e appalti il Tribunale amministrativo della Liguria, che, con la sentenza n. 358 del 7 aprile 2004 della sezione II della sede di Genova, ha dichiarato illegittima l’esclusione da una gara di appalto di un’impresa perché quest’ultima aveva omesso di sottoscrivere l’avvertenza resa dall’amministrazione appaltante, ai sensi della legge sulla “privacy”, volta a rassicurare i partecipanti circa l’utilizzo delle informazioni desumibili dalle dichiarazioni da essi rese.

Gdpr e gare. Tornando alle norme, il rispetto del Gdpr e del codice della privacy non può che essere obbligatoriamente richiesto a tutti i partecipanti a una selezione e l’offerta a una gara non può mai comportare violazioni del Gdpr. Lo stesso vale per l’oggetto di contratti di appalto privati. Peraltro, le possibili violazioni del Gdpr sono statisticamente un numero elevatissimo. Se così è, si ritiene necessario che gli stessi soggetti committenti (pubblici o privati) facciano un preventivo approfondimento di quali violazioni del Gdpr e del Codice della privacy rappresentino cause di esclusione da una procedura di evidenza pubblica oppure, dopo l’aggiudicazione, di risoluzione del contratto. Le violazioni del Gdpr e del Codice della privacy sono tantissime e alcune sono lievissime o lievi, mentre altre sono di elevata o elevatissima gravità. È corretto, dunque, graduare rispetto alle reazioni da parte dell’appaltante/committente in sede di selezione, di stesura del contratto di appalto e di esecuzione dello stesso. Salvo, naturalmente, volersi affidare alla tombola del contenzioso. Si intende dire che se non c’è una gestione del problema nei documenti di gara e nei documenti contrattuali dell’appalto, un’eventuale contestazione da parte di terzi (diversi dall’aggiudicatario) o di committente o appaltatore (nel corso dell’esecuzione dell’appalto) sarà rimessa alla decisione dei giudici, con esiti che possono essere imprevedibili. Peraltro, attesa la genericità di molte norme del Gdpr, ci vorrà un po’ di tempo prima che le singole decisioni siano convogliate in orientamenti consolidati. Anzi, proprio per agevolare la formazione di orientamenti consolidati non bisogna sottovalutare l’importanza della prassi commerciali e degli appalti pubblici.

Le soluzioni, le procedure e gli strumenti relativi all’osservanza del Gdpr, del Codice della privacy e di altre disposizioni speciali sulla protezione dei dati possono essere un criterio di valutazione delle offerte per le aggiudicazioni. Si pensi all’acquisizione di certificazioni o comunque alla descrizione dei processi di adeguamento al sistema della privacy, specialmente se in correlazione con l’oggetto del servizio o della fornitura messa a gara. Il profilo delle offerte può essere considerato anche da altre prospettive. Indipendentemente da clausole sui criteri di valutazione delle offerte, come è successo nella riportata vicenda tedesca, un’offerta deve essere in ogni caso legittima e, quindi, deve essere sempre conforme al Gdpr e al Codice della privacy, così come deve esserlo l’impresa proponente.

Un accorgimento da prendere in considerazione concerne la determinazione del costo “rispetto della privacy” e la sua incidenza sul prezzo finale. Si possono usare tecniche diverse finalizzate a non deprimere investimenti sulla “sicurezza privacy” a discapito della qualità della fornitura.

L’osservanza del sistema normativo privacy è condizione da rispettare nell’esecuzione delle forniture e dei lavori. È bene che i capitolati delle selezioni di gara (pubbliche o private) o comunque negli affidamenti descrivano analiticamente i livelli di servizio “privacy”, se del caso scendendo nei dettagli, ad esempio nei servizi ad alto contenuto di trattamento di dati personali.

Fase cruciale e fonte di liti è la contestazione di inadempimenti. Ciò vale anche per gli adempimenti imposti dal sistema normativo privacy. A questo riguardo committenti e appaltatori possono gestire questi aspetti indicando le possibili reazioni nei rapporti reciproci. Ciò significa, ad esempio, indicare quali violazioni in materia di privacy conducano allo scioglimento del contratto in virtù di specifiche clausole risolutive espresse e quali altre violazioni implichino l’applicazione di penali o di diminuzione del corrispettivo.

Le sanzioni. La vera novità del Gdpr è il sistema sanzionatorio (si arriva fino a 20 milioni di euro), che si applica a tutti i casi in cui i trattamenti non rispettano i principi di liceità e correttezza e di pertinenza e non eccedenza rispetto alle finalità perseguite (articolo 5).La norma di chiusura dell’articolo 5 è in grado di comprendere tra le condotte sanzionabili anche disattenzioni, lassismi e imprecisioni nella stesura dei contratti di appalto, nelle verifica della esecuzione degli stessi, affinché siano mantenuti in linea con Gdpr e codice della privacy.
Fonte:
logoitalia oggi7