Print Friendly, PDF & Email

 

Gare, test privacy su due fronti 
di ANTONIO CICCIA MESSINA
Italia Oggi Sette – 16 Marzo 2020
 
 
Più tutele privacy negli appalti pubblici. Il Gdpr (Regolamento Ue sulla protezione dei dati n. 2016/679) impone cautele nella redazione dei bandi e dei relativi documenti di gara. Questo sia con riferimento alla prestazione oggetto del servizio, sia a riguardo della stesura degli atti di gara. I problemi da affrontare, infatti, sono sia di natura sostanziale, sia di natura formale. Quanto agli aspetti formali, bisogna inserire l’ informativa, clausole ad hoc nell’ istanza di partecipazione alla gara e, se del caso, le norme sulla individuazione dell’ aggiudicatario come responsabile esterno del trattamento. Quanto agli aspetti sostanziali, gli atti di gara devono preoccuparsi di indicare tipi di dati e categorie di operazioni consentite all’ impresa aggiudicataria. Ma passiamo a un’ analisi dettagliata di entrambi gli aspetti.
Aspetti formali. Sottolineiamo due profili. Il primo profilo riguarda il trattamento dei dati connesso alla gara. Il Gdpr spiega, infatti, un notevole impatto sui documenti della procedura di selezione del contraente. Innanzi tutto, il disciplinare di gara deve contenere l’ atto di informazione («informativa») privacy ai partecipanti alla gara. L’ informativa deve seguire i contenuti dell’ articolo 13 Gdpr (si veda la tabella in pagina che riproduce le principali voci del modello utilizzato dal Garante per la protezione dei dati personali). In secondo luogo, si deve adeguare il modello di istanza di partecipazione, inserendo una clausola in cui il partecipante prende atto dei termini di trattamento dei dati personali come descritti nel disciplinare di gara, dichiara di essere informato sui diritti e sui limiti di cui al Gdpr ed esprime la propria adesione al fatto che l’ Ente appaltante tratta di dati esclusivamente per le finalità inerenti alla gestione complessiva dell’ intera procedura di gara e l’ eventuale stipula e gestione del contratto, nonché per l’ archiviazione degli stessi.
È bene inserire che la dichiarazione si intende riferita sia ai dati personali del soggetto che firma l’ istanza (per esempio il legale rappresentante dell’ impresa partecipante) che a quelli riferibili a tutti gli altri soggetti muniti di poteri di rappresentanza, di direzione o di controllo, dell’ operatore economico. In alcuni bandi si legge una formula con cui il partecipante alla gara di appalto pubblico formula il proprio consenso o simili: si ritiene che questa formula non sia obbligatoriamente dovuta, poiché la base giuridica del trattamento dei dati di un appalto pubblico è la normativa del codice dei contratti pubblici e comunque la normativa di settore. Il secondo profilo degli aspetti formali riguarda il trattamento di dati di cittadini e utenti, quali fruitori del servizio effettuato dalla impresa aggiudicataria. A questo proposito il capitolato e/o lo schema di contratto devono riportare le clausole relative al ruolo dell’ aggiudicatario quale responsabile esterno del trattamento, ovviamente nei casi in cui l’ aggiudicatario sia chiamato a svolgere trattamento dei dati per la stazione appaltante/titolare del trattamento.
A titolo esemplificativo, il Garante ha fornito due risposte relative a due casi concreti. Una prima risposta ha riguardato i bandi di gara per l’ acquisto di apparecchiature e dispositivi medici da parte delle strutture sanitarie: l’ ente appaltante deve inserire come clausola standard di contratto, la nomina dell’ aggiudicatario quale responsabile del trattamento, in base all’ articolo 28 del Gdpr (newsletter n. 463 del 6 marzo 2020) Una seconda risposta ha riguardato i bandi di gara per i servizi assicurativi, in cui non può essere inserito l’ obbligo per le compagnie aggiudicatarie di assumere l’ incarico di responsabile del trattamento dei dati: l’ assicurazione, infatti, ai sensi del Regolamento europeo sulla protezione dei dati e della normativa di settore, l’ aggiudicatario mantiene la sua autonomia decisionale, in qualità di titolare del trattamento (parere Garante 21/10/2019, in newsletter del 28/10/2019 n. 458).
Aspetti sostanziali. Ci sono poi gli aspetti sostanziali, che riguardano le prestazioni che devono essere svolte dall’ aggiudicatario dell’ appalto. A questo proposito il capitolato delle prestazioni deve analiticamente individuare tipi di dati, categorie di operazioni e finalità che devono essere osservate dall’ aggiudicatario. Per esempio, nel citato bando per i bandi di gara per l’ acquisto di apparecchiature e dispositivi medici da parte delle strutture sanitarie, il Garante ha specificato che i documenti di gara devono prevedere idonee misure a tutela dei dati trattati, quale l’ impossibilità per il fornitore, che esegue un’ attività di manutenzione a distanza dell’ apparecchio, di accedere direttamente ai dati anagrafici dei pazienti presenti nelle immagini diagnostiche. Nell’ altro esempio, anch’ esso citato, relativo ai servizi assicurativi, il Garante ha sottolineato che, sebbene l’ aggiudicatario non è un responsabile esterno, in un’ ottica di accountability (articolo 25 del Gdpr) risulta senz’ altro apprezzabile l’ inserimento, in sede di bando di gara, di elementi volti a identificare contraenti che diano le massime garanzie in materia di protezione dei dati personali. Ma, su questo punto, non si può fare altro che rimettersi agli specifici oggetti di ogni singola gara, richiamando alla scrupolosa indicazione degli elementi del trattamento.

Torna in alto