L’oggetto della gara di appalto raccoglie troppi dati? Aggiudicazione annullata dal TAR

Il provvedimento riguarda un autovelox, ma l’azienda produttrice di qualsiasi dispositivo che tratta dati personali potrebbe conoscere la stessa sorte della società che si è vista annullare il provvedimento di aggiudicazione di una gara di appalto per non aver rispettato uno dei principi fondamentali del Regolamento privacy (GDPR): la minimizzazione dei dati.

Minimizzare i dati significa utilizzare solo quelli indispensabili rispetto alla finalità legittima che si vuole raggiungere: obbligo, questo, previsto dall’art. 5 del GDPR e applicabile in via generale a tutti i trattamenti di dati.

Effettivamente, il dispositivo per la rilevazione delle infrazioni oggetto della gara non risultava conforme alle specifiche stabilite dalla stazione appaltante: il capitolato riportava, infatti, “i beni oggetto dell'appalto dovranno essere conformi e rispondenti, per caratteristiche, prescrizioni omologazioni e approvazioni, alle norme contenute nel Codice della Strada, nel relativo Regolamento di Esecuzione e ad ogni altra normativa e disciplina che regolamenti la materia”.

Innegabile che le postazioni omologate per il servizio di controllo elettronico della velocità effettuino un trattamento dei dati personali dei conducenti dei veicoli che va a ricadere nell’ambito di applicazione della normativa privacy: di conseguenza anche il trattamento dei loro dati deve essere minimizzato, e quindi limitato allo stretto necessario.

Ma in che senso l’aggiudicataria non aveva minimizzato i dati?

La procedura di gara riguardava l’affidamento del servizio di noleggio, installazione e manutenzione di dispositivi per il controllo elettronico di infrazioni stradali.
Con il primo motivo la ricorrente rilevava che l’aggiudicataria aveva proposto il noleggio di un dispositivo che, oltre a rilevare le infrazioni al codice della strada (“controllo delle infrazioni al semaforo rosso” e “accertamento della velocità”), registra in modo generico e indifferenziato tutti i veicoli che transitano nel raggio di azione del dispositivo, verificando in automatico tramite banche dati, ovvero senza l’interposizione di un operatore, anche il rispetto di obblighi di revisione e di assicurazione.

Il TAR Lazio sottolinea che i dispositivi di controllo utilizzati per l’accertamento delle infrazioni al codice della strada non possono registrare i dati di tutti i veicoli in transito ma solo di quelli che commettono l’infrazione; a sostegno il TAR richiama il Consiglio di Stato, che con la sentenza n. 509 del 2021 richiama importanti principi in tema di trattamento dei dati ovvero

• il controllo di tipo indiscriminato è vietato
• le immagini sono memorizzate solo in caso di infrazione e sono utilizzabili solo per l’accertamento e la contestazione degli illeciti stradali
• la registrazione continua dei dati del traffico è conservata in forma di dati anonimi e i dati possono essere utilizzati solo per studi o ricerche sul traffico
• le immagini sono trattate solo dagli incaricati del trattamento previamente individuati
• le immagini sono conservate solo per il periodo strettamente necessario.

In definitiva, l’aggiudicazione dell’appalto avrebbe comportato una raccolta sproporzionata di dati: per questo motivo è stata annullata.

Se da questo provvedimento si deve trarre un insegnamento è senza dubbio quello per cui le conseguenze del mancato rispetto della disciplina sulla protezione dei dati non sono soltanto le – seppur molto temute per gli importi che possono raggiungere – sanzioni amministrative pecuniarie (art. 83 GDPR).

La conformità al GDPR e al Codice Privacy, oltre che ai numerosi provvedimenti e linee guida emanati dall’Autorità Garante e dalle istituzioni comunitarie, è diventata un vero e proprio criterio di valutazione delle offerte per l’aggiudicazione degli appalti.

La giurisprudenza si sta orientando sempre di più in questo senso, creando una nuova consapevolezza in chi partecipa alle gare sia private che pubbliche.

È una consapevolezza che si va necessariamente a sostituire all’ormai abbandonato preconcetto che vuole la “privacy” intesa solo come tutela della sfera privata degli individui e come formalismo che può essere soddisfatto consegnando un’informativa e richiedendo un consenso (spesso nemmeno dovuto) per poi essere accantonato.

La protezione dei dati è invece una materia viva, che nelle procedure di gara – come in molti altri contesti nei rapporti di fornitura – può fare la differenza. E che nel caso sottoposto al TAR Veneto, l’ha concretamente fatta a scapito dell’aggiudicataria.