In materia di appalti pubblici, ma lo stesso vale per gli appalti privati, il mancato rispetto delle norme sulla protezione dei dati assume una certa rilevanza nell’ambito dei criteri che i bandi o i disciplinari includono ai fini dell’individuazione del contraente.

Alcune decisioni delle autorità europee (cfr. Decisione del 13 Luglio 2022 della Camera degli Appalti Vergabekammer Baden – Wurttemberg) e, seppur in maniera più sporadica, dei giudici italiani stanno iniziando a trattare il tema anche con riferimento alla possibilità di individuare il mancato rispetto della normativa privacy come causa di esclusione.

Il rispetto del Regolamento europeo (GDPR 679/2016) rappresenta un criterio di valutazione delle offerte per le aggiudicazioni, altresì è condizione da rispettare nella esecuzione delle forniture e lavori, ed infine è causa di scioglimento del contratto per inadempimento.

Nei contratti di appalto, dunque, sarà opportuno prestare particolare attenzione al trattamento dei dati personali al pari del rispetto delle norme sulla sicurezza del lavoro e della tutela dei lavoratori.

In caso di violazione delle norme non solo vi è un rischio sanzionatorio (sanzione amministrativa) ma, sotto diverso profilo, che un concorrente possa, con la minaccia di effettuare segnalazioni al Garante, trarne vantaggio.

Nei casi sottoposti al giudizio dei TAR (significativa in tal senso è la decisione del TAR Veneto, Sez. I, 4.1.2022, n. 8), le pronunce hanno riguardato tutte quelle fattispecie in cui non vi erano adeguate garanzie del rispetto delle norme del Gdpr ovvero, l’aggiudicazione dell’appalto avrebbe comportato un elevato rischio di rilevazione di massa di dati, non adeguatamente giustificati dal principio di liceità e proporzionalità del trattamento.

Pertanto, è opportuno non solo avere piena cognizione della normativa in materia di trattamento dei dati, ma anche svolgere un’attenta attività preventiva nella redazione dei contratti. Infatti, si consiglia di disciplinare, minuziosamente, i casi di violazione dei dati, il livello di tutela da prestare e le procedure da applicare, onde evitare i rischi del contenzioso, le cui decisioni vengono rimesse alle determinazioni dei Giudici.

La Privacy rappresenta, invero, un’occasione per adeguare le aziende e non solo, alla normativa atta alla tutela del trattamento dei dati personali e non un onere di cui temere gli effetti sanzionatori.

Infatti, la compliance Privacy, proprio sulla scorta delle richiamate pronunce giurisprudenziali, è sempre più un criterio di valutazione delle offerte per le aggiudicazioni; di tal che è auspicabile che vengano destinati maggiori investimenti in ambito privacy al pari dei fondi destinati alla qualità delle forniture, dei servizi e dei lavori.

(TAR Veneto, Sez. I, 4 gennaio 2022, n. 8)