Contratti pubblici e procedure di affidamento: le banche dati si “alleggeriscono” dei dati personali

A metà estate l’Anac ha valorizzato un tema molto importante: le PA non devono inserire dati personali tra le informazioni relative a procedure di affidamento.

Vengono così poste sotto il riflettore le informazioni pubblicate mediante le Piattaforme di approvvigionamento Digitali (cd. PAD) previste dall’articolo 25 del Codice dei contratti pubblici (Dlgs 36/2023), e, in particolare, con un Comunicato del 29 luglio scorso, il Presidente dell’Anac ha fornito interessanti indicazioni in merito all’inserimento di dati personali nelle informazioni trasmesse alla Banca Dati Nazionale dei Contratti Pubblici (cd. BDNCP), prevista dall’articolo 23 del Codice appalti, e/o pubblicate sul sito istituzionale delle Amministrazioni pubbliche.

L’Anac rammenta a chiare lettere che la pubblicazione di dati personali tramite la BDNCP e il sistema di pubblicità legale rappresenta una violazione della normativa in materia di protezione dei dati personali, con conseguenti responsabilità in capo all’autore della diffusione e all’Amministrazione.

Il focus dell’Anac su tale tematica è partito dalle attività di analisi dei dati raccolti presso la Banca Dati Nazionale dei Contratti Pubblici: tali verifiche hanno fatto emergere una casistica significativa di affidamenti dove l’oggetto descrittivo della procedura riporta dati personali.

L’indicazione dell’Anac è quella di non riportare dati personali nel testo di provvedimenti pubblicati online, menzionandoli solo negli atti a disposizione degli Uffici delle PA procedenti.

Ai fini della tutela della riservatezza delle informazioni di carattere personale, l’ANAC suggerisce anche di indicare delicate situazioni di disagio personale solo sulla base di espressioni di carattere più generale o, se del caso, di codici numerici, privilegiando quello che viene definito, nel linguaggio della normativa sul trattamento dei dati personali, un processo di “pseudonimizzazione” dei dati.

L’Anac ritiene opportuno anche evidenziare come la prassi seguita da alcune PA di sostituire il nome e cognome dell’interessato con le sole iniziali non sia sufficiente a considerare anonimizzati i dati personali contenuti negli atti e documenti pubblicati online. Infatti, rendere un “ dato anonimo ”, che corrisponde, ai sensi del GDPR, ad un’informazione non riconducibile ad una persona fisica identificata od identificabile né dirittamente né indirettamente, richiede un processo di anonimizzazione che corrisponde ad un’attività tecnicamente ed altamente complessa, che evidentemente, non po’ ridursi con la prassi sopra descritta.

Ciò premesso, l’Anac invita le Amministrazioni e tutti i soggetti coinvolti a verificare attentamente i contenuti dei documenti pubblicati in relazione alle procedure di affidamento, assicurandosi che non contengano dati personali o informazioni sensibili non necessarie. A tal riguardo, l’Anac richiede di coinvolgere adeguatamente i Responsabili per la protezione dei dati e i soggetti che rappresentano i titolari del trattamento, anche al fine di implementare le opportune misure preventive e correttive.

L’Anac, in qualità di titolare della BDNCP, evidenzia di aver adottato le opportune misure tecnico-organizzative per minimizzare i rischi e garantire l’oscuramento dei dati a fronte di evidenze e/o segnalazioni della presenza di tali fenomeni. Parallelamente, tuttavia, l’Anac invita i RUP, che avessero già inserito dati personali nell’oggetto del bando, a rimuovere tali dati ed a segnalarli tempestivamente all’Autorità stessa per farli rimuovere, utilizzando l’apposito modello allegato al Comunicato, nel quale vanno indicati i dati personali da rimuovere e il CIG identificativo della procedura a cui gli stessi si riferiscono.

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più