il rispetto delle disposizioni sulla protezione dei dati (dal codice della privacy al regolamento europeo detto “Gdpr” fino alle norme settoriali), applicato al cosiddetto procurement, si divide in tre:

1) è criterio di valutazione delle offerte per le aggiudicazioni;
2) è condizione da rispettare nell’esecuzione delle forniture e dei lavori;
3) infine, in caso di inosservanza, è causa di scioglimento del contratto per inadempimento.

Di seguito si riporta lo stralcio di un bando di gara:

Il rispetto della privacy nelle procedure e nei contratti di appalto (pubblico o privato) è, dunque, da considerare allo stesso livello del rispetto delle disposizioni sulla sicurezza degli ambienti di lavoro o sulla tutela dei diritti dei lavoratori, infatti, dopo il Gdpr, il mancato rispetto della privacy assume un rilievo rafforzato dal fatto che tutte le violazioni delle norme di relazioni in materia di privacy sono punite dal Gdpr con una sanzione amministrativa.
Ad esempio, per quanto riguarda la decisione tedesca, la camera degli appalti del Baden-Württemberg si è occupata di una gara di appalto europea per l’approvvigionamento di software per l’amministrazione digitale, bandita da una società partecipata da enti pubblici. Il capitolato di gara della fornitura conteneva, tra l’altro, prescrizioni relative alla protezione dei dati e alla sicurezza informatica. Una società, partecipante alla gara e, in un primo momento, anche vincitrice aggiudicataria, aveva presentato un’offerta che comprendeva l’avvalimento di un subfornitore stabilito negli Stati Uniti. Su ricorso di un’impresa concorrente, la questione è stata portata sul tavolo della Camera degli appalti, che ha pronunciato l’esclusione della società vincitrice. Il problema è stato proprio il trasferimento di dati verso gli Usa, problema molto grosso, considerato che, in base alla giurisprudenza della Corte di giustizia Ue, gli Usa non garantiscono un livello di tutela della privacy pari a quello delineato dal Gdpr.

Nel caso specifico l’impresa non ha dato sufficienti garanzie del rispetto delle norme del Gdpr relative al trasferimento di dati verso un paese terzo e, quindi, l’offerta della società aggiudicataria violava l’articolo 44 del Gdpr. Di conseguenza, la società è stata esclusa dalla procedura.
Tale decisione è da considerarsi una decisione-pilota, il cui principio non è da restringere solo alle disposizioni del Gdpr relative al trasferimento dei dati all’estero, ma a tutte le norme del Gdpr e, per l’Italia, al Codice della privacy.
Anche in Italia ci sono pronunce che si mettono sulla scia della esplicita decisione tedesca.

Tornando alle norme, quindi, il rispetto del Gdpr e del codice della privacy non può che essere obbligatoriamente richiesto a tutti i partecipanti a una selezione e l’offerta a una gara non può mai comportare violazioni del Gdpr. Peraltro, le possibili violazioni del Gdpr sono statisticamente un numero elevatissimo; si ritiene necessario che gli stessi soggetti committenti (pubblici o privati) facciano un preventivo approfondimento di quali violazioni del Gdpr e del Codice della privacy rappresentino cause di esclusione da una procedura di evidenza pubblica oppure, dopo l’aggiudicazione, di risoluzione del contratto.
Le violazioni del Gdpr e del Codice della privacy sono tantissime: alcune sono lievissime o lievi, mentre altre sono di elevata o elevatissima gravità.
Le soluzioni, le procedure e gli strumenti relativi all’osservanza del Gdpr, del Codice della privacy e di altre disposizioni speciali sulla protezione dei dati possono essere un criterio di valutazione delle offerte per le aggiudicazioni.
Il profilo delle offerte può essere considerato anche da altre prospettive e in modo indipendentemente da clausole sui criteri di valutazione delle offerte (come successo nella riportata vicenda tedesca); un’offerta deve essere in ogni caso legittima e, quindi, deve essere sempre conforme al Gdpr e al Codice della privacy, così come deve esserlo l’impresa proponente.
La vera “novità” del Gdpr è il sistema sanzionatorio (si arriva fino a 20 milioni di euro), che si applica a tutti i casi in cui i trattamenti non rispettano i principi di liceità e correttezza e di pertinenza e non eccedenza rispetto alle finalità perseguite (articolo 5). La norma di chiusura dell’articolo 5 è in grado di comprendere, tra le condotte sanzionabili, anche disattenzioni, lassismi e imprecisioni nella stesura dei contratti di appalto, nella verifica della esecuzione degli stessi, affinché siano mantenuti in linea con Gdpr e codice della privacy.

Anno 8, n° 38, 25 novembre 2022

Su Regolamento Privacy contatta Eliapos per saperne di più
A tal proposito, ti ricordiamo che l’argomento sarà approfondito nel corso di formazione su Regolamento generale sulla Protezione dei Dati & ruolo del Data Protection Officer in partenza dal 19 gennaio p.v.