Autorità Nazionale Anticorruzione
Delibera n. 421 del 13 maggio 2020
Oggetto: Richiesta di parere in merito all’applicazione del principio di rotazione ai contratti aventi ad oggetto il servizio di protezione dei dati personali (DPO).
Riferimenti normativi: Articoli 35 e 36 del decreto legislativo 18 aprile 2016 n. 50 e s.m., Regolamento UE 2016/679; Linee guida sul Responsabile dei dati personali emanate dal Garante per la protezione dei dati individuali il 13/12/2016;
Parole chiave: Principio di rotazione – Applicazione agli affidamenti di servizi di protezione di dati personali (DPO) – Sussiste.
Massima:L’affidamentodeicontrattiaventiadoggettoilserviziodiprotezionedeidatipersonalidiimportoinferiorealle sogliecomunitariedeveavvenirenelrispettodelprincipiodirotazione.Iparticolarirequisitieobiettividiesperienzaestabilità nell’organizzazione del servizio, richiesti dalla normativa di settore, possono essere perseguiti dalla stazione appaltante, già in fase di programmazione dei fabbisogni e di progettazione del servizio da affidare, attraverso la previsione di una durata del contratto che sia congrua rispetto agli obiettivi individuati e alle prestazioni richieste alcontraente.
Il Consiglio dell’Autorità Nazionale Anticorruzione
nell’adunanza del 13 maggio 2020;
VISTA la richiesta di parere dell’Associazione Data Protection Officer, acquisita al prot. Autorità n. 30246 del 23/4/2020 con cui è stato chiesto l’avviso di questa Autorità in merito alla disciplina applicabile ai contratti aventi ad oggetto servizi di protezione dei dati individuali sottoscritti ai sensi dell’articolo 37, punto 6, del Regolamento UE 2016/679, con particolare riferimento al principio di rotazione e al rinnovo dei contratti.
VISTI gli articoli 35 e 36 del decreto legislativo 18 aprile 2016, n. 50 e s.m.;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;
VISTE le Linee guida sul Responsabile della protezione dei dati emanate dal Garante per la protezione dei dati individuali in data 13 dicembre 2016;
DELIBERA
L’affidamento all’esterno del servizio di protezione dei dati personali si configura come un appalto di servizi e come tale soggiace alle disposizioni del codice dei contratti pubblici, con conseguente obbligo di procedere alla selezione del contraente nel rispetto delle procedure ivi previste in ragione dell’importo del contratto.
Tale servizio è reso disponibile sui sistemi di e-procurement e, pertanto, ai sensi dell’articolo 26, comma 3, della legge 23/12/1999 n. 488 e dell’articolo 1 del decreto-legge 6 luglio 2012 n. 95, convertito con modificazioni nella legge 7 agosto 2012 n. 135 recante «Disposizioni urgenti per la revisione della spesa pubblica con invarianza dei servizi ai cittadini», gli affidamenti che non siano effettuati attraverso gli strumenti di acquisto messi a disposizione da Consip o dalle centrali di committenza regionali di riferimento sono affetti da nullità.
Ai sensi dell’articolo 36 del codice dei contratti pubblici, l’affidamento e l’esecuzione di lavori, servizi e forniture di importo inferiore alle soglie di cui all'articolo 35 avvengono nel rispetto dei principi di cui agli articoli 30, comma 1, 34 e 42, nonché del rispetto del principio di rotazione degli inviti e degli affidamenti e in modo da assicurare l'effettiva possibilità di partecipazione delle microimprese, piccole e medie imprese.
I paragrafi 3.6 e 3.7 delle Linee guida n. 4/2016, offrono indicazioni di dettaglio sull’applicazione del principio di rotazione, specificando che lo stesso non si applica laddove il nuovo affidamento avvenga tramite procedure ordinarie o comunque aperte al mercato, nelle quali la stazione appaltante, in virtù di regole prestabilite dal Codice dei contratti pubblici ovvero dalla stessa in caso di indagini di mercato o consultazione di elenchi, non operi alcuna limitazione in ordine al numero di operatori economici tra i quali effettuare la selezione.
Fermo restando quanto previsto al paragrafo 3.6, secondo periodo, delle citate Linee guida, il rispetto del principio di rotazione degli affidamenti e degli inviti fa sì che l’affidamento o il reinvito al contraente uscente abbiano carattere eccezionale e richiedano un onere motivazionale più stringente. Sono indicate quali ipotesi di deroga al principio in argomento circostanze attinenti alla particolare struttura del mercato e alla riscontrata effettiva assenza di alternative, che non sembrano ricorrere nel caso di specie.
Si ritiene, quindi, che le esigenze manifestate dall’istante in ordine alla necessità di garantire, nell’esecuzione del contratto, il perseguimento di requisiti e obiettivi raggiungibili soltanto a lungo termine, in conseguenza della maturazione di solida esperienza circa la specifica organizzazione della PA di riferimento e circa le peculiarità dei processi di trattamento dei dati personali, non possano essere attuati attraverso l’esclusione del principio di rotazione.
Non si ritiene percorribile, neanche l’ulteriore alternativa, prospettata dall’istante, di disporre rinnovi dei contratti in scadenza nel caso in cui la durata degli stessi non sia risultata congrua rispetto al raggiungimento degli obiettivi dell’affidamento. Su tale aspetto si ricorda, infatti, che il rinnovo del contratto deve essere previsto come opzione già nel bando di gara e che l’importo riferito al rinnovo deve essere considerato nel calcolo del valore stimato dell’appalto (articolo 35 del codice dei contratti pubblici).
Si evidenzia, altresì, che la previsione di una durata del contratto inferiore a quella considerata congrua in relazione all’oggetto dell’affidamento potrebbe configurare un frazionamento artificioso dell’appalto volto ad eludere l’applicazione delle soglie di cui all’articolo 35 del codice dei contratti pubblici.
Si ritiene, invece, che gli specifici obiettivi di esperienza e stabilità nell’organizzazione del servizio, richiesti dalla normativa di settore, possano essere legittimamente perseguiti dalla stazione appaltante, già in fase di programmazione dei fabbisogni e di progettazione del servizio da affidare, individuando una durata del contratto che sia congrua rispetto alle prestazioni richieste al contraente.
Il sistema degli affidamenti diretti in materia di privacy.
A cura di Claudio Maria Lamberti
Con delibera n. 421 del 13.05.2020 l’ANAC fa chiarezza sull’attuazione degli affidamenti in materia di protezione dei dati personali nelle pubbliche amministrazioni. Tale chiarimento risultava necessario soprattutto con riferimento alle modalità di affidamento del servizio.
Ciascuna amministrazione provvede all’adeguamento della propria attività all’attuazione della disciplina di cui al Regolamento n. 2016/679/UE (c.d. GDPR), che a partire dal 25.05.2018 trova applicazione in tutti gli Stati Membri dell’Unione Europea. L’adeguamento, processo lento e difficile, si configura nella nomina della figura obbligatoria del Responsabile della protezione dei dati (DPO), incaricato di fornire consulenza al titolare o al responsabile del trattamento in merito agli obblighi derivanti dal GDPR e sorvegliarne l'osservanza; fornire parere in merito alla valutazione d'impatto; cooperare e fungere da punto di contatto con l'autorità di controllo ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
Con particolare riferimento all’affidamento di tali servizi, essendosi le stesse pubbliche amministrazioni trovate sprovviste di figure interne competenti nella conoscenza specialistica della materia (D.Lgs. 196/2006 come novellato dal D.Lgs. 101/2018 e Regolamento GDPR) per sopperire a tale carenza hanno utilizzato lo strumento dell’affidamento diretto, con la nomina del DPO e conseguente affidamento dei servizi, alcune volte affiancato da figure interne all’amministrazione, non sempre formati e privi della necessaria specializzazione per ricoprire gli incarichi agli stessi attribuiti in materia di privacy. Tale modalità d’azione, condivisa dalla maggior parte degli enti per fronteggiare una situazione di adeguamento necessario e repentino (anche per i ritardi accumulati) al GDPR, ha finito sostanzialmente per fuoriuscire dalla sua orbita di eccezionalità per essere attratta nella genesi della normalità dei procedimenti amministrativi in materia. Con riferimento a tale attività di scelta, l’ANAC è quindi intervenuta enunciando il principio secondo cui anche l’affidamento dei servizi di protezione dei dati personali deve qualificarsi come appalto di servizi ed in quanto tale è soggetto alle disposizioni del codice degli appalti, con conseguente obbligo per le pubbliche amministrazioni di attivare le procedure di selezione del contraente nel rispetto delle procedure ivi previste ed in ragione dell’importo del contratto.
Sul punto l’ANAC è chiara nell’affermare, tra gli altri temi affrontati, che la mancata corretta previsione di una congrua durata dell’appalto conferito rispetto agli obiettivi di adeguamento da raggiungere non può essere compensata dal procedimento di rinnovo dei contratti in scadenza, dovendosi prevedere anche il principio di rotazione. Come noto, ai sensi dell’art. 35 del codice dei contratti pubblici, il rinnovo del contratto deve essere previsto come opzione già nel bando di gara, con calcolo del valore stimato dell’appalto inclusivo anche dell’importo per il rinnovo.
La nuova prospettiva dettata dall’ANAC: il codice appalti applicabile anche alla privacy. Si tutela la concorrenza.
A cura di Linda Giovanna Vacchiano
In attuazione di tale principio, dunque, tutti gli affidamenti avvenuti in violazione delle disposizioni del codice dei contratti pubblici sono da ritenersi radicalmente nulli. Ai sensi dell’art. 36 del D.lgs. n. 50/2016 e ss.mm.ii., infatti, l’affidamento e l’esecuzione di tali servizi deve avvenire nel rispetto dei principi di cui all’art. 30, comma 1, 34 e 42, nonché nel rispetto della rotazione degli inviti e degli affidamenti, in modo da garantire la partecipazione alle piccole e medie imprese, nonchè alle microimprese, e garantire dunque il rispetto del principio di libera concorrenza. Principio, questo, che trova applicazione massima nelle ipotesi di adozione delle procedure di e-procurement, proprio per evitare il formarsi in capo all’operatore economico uscente una situazione di monopolio di fatto, ancorché giustificata da esigenze di esperienza e professionalità, ovvero di carenza di tempo per l’esecuzione dell’appalto. L’affidamento diretto e/o mediante inviti allo stesso contraente può avvenire solo in casi eccezionalmente previsti dalla disposizione regolamentare, con un onere motivazionale molto più stringente posto in capo alla stazione appaltante (ad es. particolare struttura del mercato, riscontrata effettiva assenza di alternative), che non si può di certo individuare nella mancata congruità della durata del contratto rispetto al raggiungimento degli obiettivi dell’affidamento, che anzi potrebbe configurare una ipotesi di artificioso frazionamento dell’appalto volto ad eludere le soglie di cui all’art. 35 del Codice appalti. Tale possibilità ammessa dalla legge, seppur in casi strettamente limitati, pone finalmente fine ad una prassi ormai consolidata di proroghe dei contratti in scadenza in modo illegittimo. Ai sensi dell’art. 35, la proroga dei contratti, infatti, deve in primo luogo trovare fondamento all’interno del bando di gara e l’importo riferito al rinnovo deve essere considerato nel calcolo del valore stimato dell’appalto; inoltre, la proroga - definita - tecnica, è da applicarsi soltanto per tempi strettamente necessari per l’espletamento della nuova gara.
Ecco che ritorna, in modo preminente, in voga il principio di rotazione, anche in materia di privacy. Il principio di rotazione funge da contraltare all’ampia discrezionalità riconosciuta alla pubblica amministrazione nel decidere quali operatori economici invitare nelle procedure negoziate, nel rispetto della tutela del principio generale di concorrenza. In materia, proprio per l’eccezionalità della situazione, nonchè per la coerenza e conformità al principio di concorrenza, una deroga al principio di rotazione è, tuttavia, ben osservabile nel disposto di cui ai paragrafi 3.6 e 3.7 delle Linee guida n. 4/2016, che specificano che lo stesso non trova applicazione laddove il nuovo affidamento sia svolto tramite procedure ordinarie o comunque nel libero mercato, nelle quali la stazione appaltante - in virtù delle regole prestabilite dal Codice dei contratti con riferimento alle procedure ordinarie ovvero in caso di indagini di mercato o di consultazione di elenchi - non opera alcuna limitazione in ordine al numero di operatori economici partecipanti, tra i quali deve effettuare la selezione.
La concorrenza è un valore di portata generale a tutela nazionale e sovranazionale, quale condizione nella quale più imprese competono sullo stesso mercato ove si incontrano domanda ed offerta e nessuno degli operatori è in grado di influenzare l’andamento delle contrattazioni con propri comportamenti o proprie decisioni. Tale valore fondamentale trova ampio spazio nelle procedure ad evidenza pubblica, relativamente alla fase di scelta del contraente, con evidente superamento della tradizionale dizione granitica nel diritto amministrativo tra autorità pubblica-autorità privata, per lasciare sempre più posto alla visione trilatere di un nuovo equilibrio normativo tra autorità pubblica-autorità privata e libertà di mercato.