Approfondimento di Alfonso Pisani

Il trattamento dei dati nelle gare d’appalto

Servizi Comunali Gare
di Pisani Alfonso
20 Novembre 2019

Il trattamento dei dati nelle gare d’appalto

 

Alfonso Pisani[i]

 

In un precedente articolo abbiamo parlato dei ruoli (Titolare, Responsabile del trattamento, soggetto autorizzato, interessato ecc.) assunti dai vari soggetti nel trattamento dei dati. Andiamo a contestualizzare in una gara d’appalto i concetti precedentemente espressi.

Possiamo dire che una PA in una gara d’appalto si trova anzitutto nel ruolo di Titolare del trattamento dei dati. Dati di chi si potrebbe chiedere? In realtà ci sono tre categorie di potenziali interessati, cioè persone fisiche i cui dati sono oggetti del trattamento:

 

  1. Dipendenti della PA
  2. Dipendenti del fornitore e delle ditte partecipanti alla gara
  3. Cittadini (in generale soggetti fisici terzi)

 

Ricordiamo preliminarmente, almeno per i dati personali non particolari (sensibili) o giudiziari, che le condizioni di liceità del trattamento sono elencate all’art. 6 del GDPR:

Articolo 6

Liceità del trattamento

1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti

condizioni:

a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;

e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

 

Dipendenti della PA

 

Per ciò che concerne i dipendenti della PA il trattamento è reso lecito in virtù del punto b) di cui all’art. 6 comma 1 del GDPR (esecuzione di un contratto). Difatti per eseguire il contratto di lavoro che lega il dipendente della PA a quest’ultima sarà necessario che eventualmente i suoi dati siano comunicati alle ditte candidate (si pensi ai dati del RUP o del dirigente responsabile o di soggetti che a vario titolo intervengono nell’espletamento della gara). Analogamente rispetto al fornitore aggiudicatario questi durante l’esecuzione dell’appalto potrebbe a più riprese dover trattare dati di dipendenti della PA e la base giuridica rimane la stessa (art. 6 comma 1 punto b).

Insieme a ciò va considerato il punto e) di cui all’art. 6 comma 1 del GDPR (trattamento per un compito svolto nel pubblico interesse quale deve essere l’operato della PA).

 

Dipendenti del fornitore e delle ditte partecipanti alla gara

 

In tal caso ancora la PA è Titolare del trattamento ed ancora la base giuridica è l’art. 6 comma 1 del GDPR (esecuzione di un contratto). Stavolta, tuttavia, per contratto è da intendersi il contratto di lavoro che lega il dipendente della ditta alla stessa, per eseguire il quale è necessario che la PA tratti i dati degli interessati. SI pensi, ad esempio, alla proposizione di curriculum dei dipendenti del fornitore quale criterio di valutazione dello stesso. E’ evidente che la partecipazione alla gara del fornitore presuppone il trattamento dei dati dei dipendenti interessati da parte della PA. Senza questo non potrebbe essere eseguito il contratto che lega il dipendente al fornitore dato che quest’ultimo esercita la propria attività di business proprio con la PA (tra gli altri).

Anche i questo caso va considerato il punto e) di cui all’art. 6 comma 1 del GDPR (trattamento per un compito svolto nel pubblico interesse quale deve essere l’operato della PA).

 

Cittadini (in generale soggetti fisici terzi)

 

In questo caso la PA si pone ancora come Titolare del trattamento. I cittadini coinvolti sono tutti coloro che in un modo o nell’altro interverranno durante l’esecuzione dell’appalto. Qual è la base giuridica in questo caso? Istintivamente risponderemmo il trattamento per un compito di interesse pubblico ex art. 6 comma 1 lett e) del GDPR eppure, riflettendoci, non è sempre così (anche se nella maggior parte dei casi il ragionamento è giusto). L’interesse pubblico deve essere determinato da una legge o, nei casi previsti dalla legge, da un regolamento ex art.  2 ter del novellato d.lgs. 196/2003. Si pensi, ad esempio, alla casistica di un servizio di gestione di una biblioteca in un’amministrazione locale. In tal caso pur essendoci, intuitivamente, un interesse pubblico non si può individuare una legge o un regolamento che permetta di trattare i dati personali. In tal caso si dovrà richiedere il consenso al cittadino.

In ogni modo durante l’esecuzione del contratto il fornitore aggiudicatario è individuato come Responsabile del Trattamento ex art. 28 del GDPR.

In un rapporto contrattuale se il Titolare si avvale dei servizi di un altro soggetto e quest’ultimo dovrà trattare dati personali allora lo stesso è essere individuato come Responsabile. Qui bisogna prestare molta attenzione in quanto nella più accettata interpretazione del GDPR non esiste un atto di nomina del Responsabile del Trattamento. Essere Responsabile del Trattamento è uno status in cui si trova il fornitore, il quale dovrà non solo rispettare la normativa sulla protezione dei dati (GDPR, d.lgs. 196/2003 eventuali prescrizioni del Garante per la protezione dei dati personali, normativa di settore ecc.) ma seguire tutte le istruzioni del Titolare senza decidere autonomamente sui dati personali in maniera differente da quanto dettato dal Titolare.

E’ importante, pertanto, già durante la scrittura del capitolato di gara in accordo al principio di privacy by design specificare come dovranno essere trattati i dati personali dal fornitore e dettagliare, anche nelle successive fasi (stipula, esecuzione) eventuali altre prescrizioni che dovessero rendersi necessarie in un secondo momento. In questo vanno previste anche eventuali ispezioni presso il fornitore.

Nel caso in cui il fornitore facesse ricorso ad ulteriori ditte per eseguire la prestazione e queste ultime dovessero a loro volta trattare dati personali allora il fornitore stesso dovrà chiedere alla PA l’autorizzazione a ricorrere ad un ulteriore Responsabile del Trattamento.

Alternativamente la PA potrebbe concedere un’autorizzazione generica al fornitore e chiedere che lo stesso semplicemente informi del ricorso ad ulteriori ditte.

Vedremo in un ulteriore articolo il trattamento dei dati sensibili e giudiziari come interviene nelle procedure di appalto.

 

 

 

 

[i] Alfonso Pisani Responsabile Innovazione Tecnologica e Gestione Documentale Presso la Provincia di Salerno e formatore esperto nei temi dell’amministrazione digitale e dell’egov

 

Indietro

Approfondimenti

Articoli correlati

Non hai trovato le informazioni che stavi cercando?

Poni un quesito ai nostri esperti

CHI SIAMO

La posta del Sindaco è rivolto ad amministratori ed operatori degli enti locali: ricco di contenuti sempre aggiornati, il cuore del portale risiede nella possibilità di accedere, in modo semplice e veloce, ad approfondimenti, informazioni, adempimenti, modelli e risposte operative per una gestione efficiente e puntuale dell'attività amministrativa.

La Posta del Sindaco - ISSN 2704-744X

HALLEY notiziario

INFORMAZIONI

Ricevi via email i nuovi contenuti pubblicati nel portale

In collaborazione con:

la posta del sindaco

CONTATTI

Email

halley@halley.it

Telefono

+39 0737.781211

Scopri di piu
×