Come noto, la riforma della normativa in materia di protezione dei dati personali ha imposto un nuovo approccio alle aziende: non più una check list di misure da adottare per dirsi compliant alla normativa, ma una valutazione responsabilizzata dei rischi per i diritti e le libertà degli interessati e l’adozione di un apparato di sicurezza adeguato a quei medesimi rischi.
Come era facile immaginare, questo genere di approccio ha via via innalzato il livello di sensibilizzazione dei soggetti chiamati ad applicare la normativa di protezione dei dati. Sempre più frequentemente, infatti, l’obbligo previsto per i Titolari di ricorrere a responsabili del trattamento che “offrono garanzie di protezione dei dati adeguate” sta finalmente divenendo un controllo effettivo e proattivo sul fornitore e sul prodotto offerto, tanto da divenire, nell’ambito degli appalti privati e pubblici, parametro di valutazione dell’offerta, requisito di aggiudicazione della gara e, di conseguenza, anche motivo di esclusione dalla stessa.
Il perché di questa stringente applicazione è facilmente intuibile: il titolare del trattamento può rispondere anche per culpa in eligendo dei fornitori di cui si avvale per lo svolgimento di attività che comportano il trattamento dei dati personali e, come ben sappiamo, le sanzioni previste dal GDPR sono potenzialmente molto impattanti.
Proprio recentemente si sono verificati due casi che meritano particolare attenzione. Il primo è l’esempio di come le organizzazioni stiano recependo la disciplina privacy in modo organizzato, effettivo e strutturato e di come l’adempimento alla normativa privacy sia ormai un requisito imprescindibile quando si tratta di dati personali. L’altro caso invece mette in risalto il pericolo che l’applicazione erronea o poco chiara di questa disciplina possa di fatto comportare gravi conseguenze economiche per gli operatori economici.
Partiamo dal primo caso.
Siamo in Germania. Una società partecipata da enti pubblici indiceva una gara di appalto europea per l'approvvigionamento di software per l'amministrazione digitale. Tra i requisiti previsti dal bando a carico dei fornitori veniva inclusa anche la specifica prescrizione del rispetto della normativa in materia di protezione dei dati. La gara si concludeva con l’aggiudicazione della gara da parte della società che aveva presentato l’offerta economica più conveniente, ma anche l’avvalimento di un subfornitore avente Casa Madre con sede negli USA.
Una società concorrente proponeva allora ricorso dinanzi alla Camera degli appalti del Baden-Württemberg, adducendo l’illegittimità dell’aggiudicazione per difetto dei requisiti di protezione dei dati personali previsti invece dal bando. La Corte, valutati i motivi a fondamento del ricorso e la natura dell’offerta avanzata dalla prima società, concludeva col ritenere il ricorso fondato e decideva in effetti per l’esclusione della società aggiudicataria dalla gara.
I motivi: preso atto della posizione della Corte di Giustizia europea sulla non adeguatezza del livello di protezione dei dati apprestato dall’apparato normativo americano e valutata l’assenza di una delle garanzie previste dal GDPR e l’insufficienza delle clausole contrattuali standard, la Corte non ha potuto che ritenere illecito il trasferimento dei dati svolti in favore del subfornitore.
In effetti, la Corte degli Appalti, mostrando grande consapevolezza della disciplina di protezione dei dati, ha sottolineato che per trasferimento di dati si intende anche l’accesso a questi da paesi terzi e che pertanto a nulla rileva che i server cui si accese siano ubicati in territorio europeo, se la Casa Madre della società ha sede comunque in USA.
Il mancato rispetto della normativa di protezione dei dati ha comportato quindi l’esclusione della prima società aggiudicataria dalla gara d’appalto.
Arriviamo al secondo caso.
Siamo in Italia. Nell’ambito di una procedura di gara per l’aggiudicazione del “servizio di portierato per presidi ospedalieri”, la stazione appaltante attuava il soccorso istruttorio nei confronti dell’offerta presentata da un RTI di imprese per non avere quest’ultimo allegato lo specifico modulo di consenso al trattamento dei dati personali svolto dall’appaltante.
Alla mancata integrazione del consenso al trattamento dei dati, è conseguita l’esclusione della stazione appaltante che impugnava poi il provvedimento innanzi al TAR.
Il TAR, rigettato il ricorso, confermava il provvedimento d’esclusione della società.
Una decisione, questo, che solleva non poche perplessità: vediamo per quali ragioni.
Innanzitutto, non è possibile ricostruire per quali fini era previsto il consenso al trattamento dei dati personali degli operatori. Nel contesto di una gara d’appalto, infatti, il trattamento dei dati degli operatori è in genere necessario per la gestione della gara medesima o per l’adempimento di obblighi di legge e non è quindi necessario che ci sia un’autorizzazione in tal senso da parte di chi vi partecipa.
In ogni caso, anche laddove fosse stato giustamente previsto un consenso per un trattamento di dati per finalità ulteriori, questo consenso, per essere valido, avrebbe dovuto essere necessariamente libero, ossia l’interessato può rifiutarsi di conferirlo o revocarlo senza perciò subire pregiudizio.
Proprio per queste ragioni, la decisione del TAR appare del tutto incoerente con la normativa, proprio nella parte in cui afferma che “diversamente da quanto opinato dall’impresa ricorrente, la mera apposizione della firma sul modulo, in assenza di una espressa opzione sulle due opposte dichiarazioni da rendere, non consente di ritenere che l’impresa abbia prestato il consenso richiesto”, lasciando sottintendere che il consenso fosse “obbligatorio”.
In assenza di un’esplicita autorizzazione al trattamento dei dati, infatti, il consenso si intende di per sé “non conferito” e l’omessa autorizzazione non dovrebbe comportare conseguenze per l’interessato. Al contempo, invece, la sottoscrizione dell’informativa da parte dell’interessato ne attesta la presa visione e, di conseguenza, fornisce al titolare la dimostrazione che essa sia stata consegnata all’interessato.
Concludendo, appare evidente come nell’ambito delle gare d’appalto, la valutazione del livello di compliance degli operatori stia divenendo via via più effettiva e stringente, tanto da divenire requisito di aggiudicazione, ma anche motivo di esclusione dalla gara d’appalto, soprattutto nei casi ad “elevato” trattamento di dati. Questa “sensibilità” al tema è certamente destinata a cristallizzarsi ancor di più nell’ambito delle gare d’appalto.
Cosa devono fare quindi gli operatori economici?
Sicuramente analizzare by design i trattamenti di dati svolti e gli strumenti utilizzati ed implementare un sistema di gestione dei dati strutturato, efficace e che sia rispettoso della normativa di protezione dei dati in tutte le sue fasi e con riferimento a tutta la catena di subfornitori coinvolti.