Esclusi dall’appalto perchè non in regola con la privacy

Cyber security and data protection information privacy internet technology concept.Businessman working on smartphone digital tablet computer show padlock protecting business and financial data with virtual network connection.

L’adeguamento alla normativa sulla protezione dei dati è essenziale in caso di partecipazione a gare di appalto e come evidenziato in recenti provvedimenti il rispetto delle disposizioni sulla Protezione dei dati (GDPR 679/16) nella gestione degli Appalti (Procurement), può impattare nelle seguenti modalità:

  • criterio di valutazione delle offerte per le aggiudicazioni;
  • condizione da rispettare nell’esecuzione delle forniture e dei lavori;
  • causa di scioglimento del contratto per inadempimento.

Il rispetto della privacy nelle procedure e nei contratti di appalto (pubblico o privato) è, dunque, da considerare allo stesso livello del rispetto delle disposizioni sulla sicurezza degli ambienti di lavoro o sulla tutela dei diritti dei lavoratori.

 

Casistiche europee

Con una recente decisione del 13 luglio 2022 la Vergabekammer Baden-Württemberg (Camera degli appalti) si è occupata di una gara di appalto europea per l’approvvigionamento di software per l’amministrazione digitale, bandita da una società partecipata da enti pubblici.

Il capitolato di gara della fornitura conteneva, tra l’altro, prescrizioni relative alla protezione dei dati e alla sicurezza informatica. Una società, partecipante alla gara e, in un primo momento, anche vincitrice aggiudicataria, aveva presentato un’offerta che comprendeva l’avvalimento di un subfornitore stabilito negli Stati Uniti.

Su ricorso di un’impresa concorrente, la questione è stata portata sul tavolo della Camera degli appalti, che ha pronunciato l’esclusione della società vincitrice. Il problema è stato proprio il trasferimento di dati verso gli Usa, problema molto grosso, considerato che, in base alla giurisprudenza della Corte di giustizia Ue, gli Usa non garantiscono un livello di tutela della privacy pari a quello delineato dal Gdpr.

Nel caso specifico l’impresa non ha dato sufficienti garanzie del rispetto delle norme del Gdpr relative al trasferimento di dati verso un paese terzo e, quindi, l’offerta della società aggiudicataria violava l’articolo 44 del GDPR. Di conseguenza, la società è stata esclusa dalla procedura. Ora, questa decisione è da considerare una decisione-pilota, il cui principio non è da restringere solo alle disposizioni del Gdpr relative al trasferimento dei dati all’estero, ma a tutte le norme del Gdpr e, per l’Italia, al Codice della privacy”.

 

Giurisprudenza amministrativa italiana

Il Tribunale amministrativo del Veneto (sede di Venezia, sezione I, sentenza n. 8 del 4 gennaio 2022) ha bocciato l’aggiudicazione di un appalto di un sistema di controllo del traffico che consentiva sia il controllo di velocità e infrazioni posti ai semafori sia la regolarità dei veicoli rispetto agli obblighi di revisione e di assicurazione.

Nel caso specifico i giudici amministrativi hanno ritenuto in contrasto con le norme della privacy la rilevazione massiva dei dati di tutti i veicoli in transito davanti a un apparecchio, essendo legittima solo di quelli per i quali è stata rilevata un’infrazione. Pertanto, essendo la lettura delle targhe di tutti i mezzi in transito una caratteristica sproporzionata rispetto allo scopo per il quale i rilevatori sono stati omologati e approvati, l’appalto è saltato.

 

Come comportarsi

Come emerso nelle decisioni europee e nazionali se non c’è una gestione del problema nei documenti di gara e nei documenti contrattuali dell’appalto, un’eventuale contestazione da parte di terzi (diversi dall’aggiudicatario) o di committente o appaltatore (nel corso dell’esecuzione dell’appalto) sarà rimessa alla decisione dei giudici, con esiti che possono essere imprevedibili.

Indipendentemente da clausole sui criteri di valutazione delle offerte un’offerta deve essere in ogni caso legittima e, quindi, deve essere sempre conforme al GDPR così come deve esserlo l’impresa proponente.

Fonte: Italia Oggi – 05/09/22

Per maggiori informazioni o contatti – Servizio Privacy e Cyber Security

 

ASSOCIATI