GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/709/01.jpg

Dettaglio news
Fuori dagli appalti le aziende che non rispettano la privacy: il GDPR non è opzionale


giovedì 8 settembre 2022
di Dott. Alessandro Mammoli



 

Il rispetto del GDPR non è opzionale: la decisione della camera degli appalti tedesca

Non sono soltanto i Garanti per la protezione dei dati personali a vigilare sul rispetto del GDPR. Il 13 Luglio 2022 la Camera degli appalti del Baden-Württemberg ha preso una decisione molto importante, anche se non unica. La camera era stata incaricata di revisionare una gara di appalto europea per la fornitura di software per l'amministrazione. La gara era stata bandita da una società partecipata da enti pubblici. Il bando di gara riportava precisi requisiti rispetto alla protezione dei dati e alla sicurezza informatica offerta da tali soluzioni software.

In un primo momento era risultata vincente una società che, però, aveva presentato un'offerta che comprendeva anche un subfornitore con sede negli Stati Uniti. Una impresa concorrente ha presentato ricorso contro la decisione. Ecco come la questione è finita sul tavolo della Camera degli appalti, che ha preso atto del problema ed escluso la società vincitrice dal bando. Quale problema? Ovviamente il trasferimento dati negli Stati Uniti che non hanno alcuna normativa che offra ai dati di cittadini europei trasferiti negli USA equivalenti standard di sicurezza imposti dal GDPR (almeno per ora...)

Questa è una decisione "apri pista", che poi varrà nei fatti anche per l'Italia.

Qui la sentenza della Camera del Baden-Württemberg (link al sito)

Il caso italiano: la decisione del tribunale amministrativo del Veneto

Anche in Italia vi sono state simili decisioni. Il tribunale Amministrativo del Veneto, nel Gennaio 2022 ha deciso di bocciare l'aggiudicazione di un appalto per il controllo del traffico. In dettaglio, l'appalto aveva lo scopo di fornire un sistema di verifica e controllo del traffico capace di analizzare anche la regolarità dei veicoli riguardo a revisioni e polizze assicurative. Il tribunale amministrativo ha giudicato come lesivi della privacy e in contrasto con la normativa la rilevazione e il controllo massivo dei dati di tutti i veicoli in transito davanti al dispositivo di controllo. In pratica, la lettura massiva delle targhe di tutti i mezzi in transito è stata ritenuta sproporzionata rispetto allo scopo rispetto al quale i rilevatori sono stati approvati. L'appalto è saltato.

 Qui la sentenza del Tribunale Amministrativo del Veneto (download PDF)

GDPR e gare di appalto

Queste decisioni ribadiscono che il rispetto del GDPR e il codice privacy sono obbligatori per tutti i partecipanti ad una gara: l'intera offerta deve necessariamente essere conforme alla normativa e non può mai comportare violazioni del GDPR. Nulla cambia in caso di appalti provati.

Va detto che l'obbligo di conformità al GDPR è un onere che pesa anche sulle spalle dei committenti, siano essi pubblici o privati. E' loro dovere cioè fare un approfondimento preventivo rispetto a quali violazioni del GDPR possano causare esclusione da un un bando. Ma è loro dovere anche risolvere il contratto nel caso le violazioni si manifestino dopo l'assegnazione del bando.

Insomma, anche per evitare poi successivamente lunghi contenziosi davanti al giudice, diviene utile tenere di conto se le offerte presentate siano conformi o meno: insomma il rispetto del GDPR è un utile criterio di valutazione per le aggiudicazioni. Ne consegue, per quanto ancora tali decisioni non siano prassi consolidata, che le aziende partecipanti non possono più esimersi dal rispetto del GDPR sia per quanto riguarda i propri strumenti e servizi, sia per quanto riguarda quelli di eventuali subfornitori.

D'altronde il rispetto della normativa privacy garantisce anche di mettersi al riparo dalle segnalazioni che eventuali terzi potrebbero portare all'attenzione del Garante. Sicurezza non da poco, visto che le sanzioni per violazione del GDPR sono assai salate.




CONDIVIDI QUESTA PAGINA!