L’affidamento del servizio di DPO e il principio di rotazione

La programmazione come alternativa alla rotazione continua

Dopo due anni di piena applicazione del Regolamento (UE) 2016/679 e a quattro anni dalla sua adozione, l’Anac ha reso un importante parere sull’appalto del servizio di Data Protection Officer (DPO).

Si tratta di un parere richiesto all’Autorità alla luce della prassi diffusa di reiterare l’affidamento di questo servizio che, per sua natura, richiede specifiche competenze e una certa continuità, soprattutto nella prima fase di adeguamento alla nuova normativa europea. Tale esigenza di continuità rischia di scontrarsi con la tutela della concorrenza che deve essere sempre garantita nell’ambito dei contratti pubblici.

Il provvedimento dell’Anac mostra che il bilanciamento degli interessi in gioco è complesso ma possibile.

La figura del DPO

Il Regolamento europeo 2016/679 ha introdotto la nuova figura del Responsabile per la protezione dei dati personali (in inglese, Data Protection Officer o “DPO”).

In particolare, la nomina di questa figura da parte del titolare e del responsabile è obbligatoria se il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico.

Il DPO va designato in funzione delle qualità professionali, della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati. Può essere un dipendente del titolare o del responsabile del trattamento oppure un consulente esterno. In questo ultimo caso, si tratta di un appalto di servizi.

Il Data protection officer nelle pubbliche amministrazioni

Con riferimento al caso di affidamento del servizio all’esterno, il TAR Friuli Venezia Giulia si è espresso con l’importante sentenza n. 287 del 13 settembre 2018 in merito ai requisiti che deve avere il DPO. In particolare, il giudice amministrativo è intervenuto sul ruolo delle certificazioni nella selezione di questo soggetto da parte delle pubbliche amministrazioni nell’ambito di una procedura in cui l’avviso richiedeva il possesso del diploma di laurea in Informatica o Ingegneria Informatica, ovvero in Giurisprudenza o equipollenti, nonché la certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001. Secondo i giudici del TAR, il profilo della figura è “eminentemente giuridico” e la minuziosa conoscenza e l’applicazione della disciplina di settore restano, indipendentemente dal possesso o meno della certificazione che in quel caso veniva richiesta, il nucleo essenziale e irriducibile della figura professionale.

Anche l’Autorità Garante della Concorrenza e del Mercato (AGCM) ha espresso alcune considerazioni sui requisiti e le modalità per la nomina del DPO esterno evidenziando che, dato che né il Regolamento né le successive Linee Guida elaborate dal Gruppo di lavoro “Articolo 29” richiedono un’abilitazione professionale per l’esercizio del ruolo in oggetto, è “discriminatorio e non giustificato” prevedere - nell’ambito di una procedura selettiva — l’obbligatoria iscrizione all’albo degli avvocati.

In ogni caso, il DPO deve essere soggetto autonomo e indipendente e non ricevere dal titolare o dal responsabile alcuna istruzione per quanto riguarda l’esecuzione dei compiti a lui affidati; perciò, infatti, non è soggetto a potere disciplinare o sanzionatorio per l’adempimento dei propri compiti.

Il DPO svolge un ruolo misto con funzioni di vigilanza, di consulenza e di contatto. Si occupa, in particolare:

• di sorvegliare l’osservanza della normativa in materia di protezione dei dati personali e delle politiche in materia del titolare o del responsabile del trattamento;
• della sensibilizzazione e formazione del personale che partecipa al trattamento;
• di fornire, se richiesto, pareri sulla valutazione d’impatto sulla protezione dei dati;
• di cooperare con l’autorità di controllo.

Infine, funge da punto di contatto dell’organizzazione con il Garante per la protezione dei dati di personali e con gli interessati per questioni connesse al trattamento.

Data protection officer, la scheda informativa del Garante Privacy

Il principio di rotazione

Il principio di rotazione — affermato dall’art. 36 del Codice dei contratti pubblici e dalle Linee guida n. 4 dell’Anac — è un importante corollario del principio di concorrenza.

Il principio prevede che l’affidamento e l’esecuzione di lavori, servizi e forniture di importo inferiore alle soglie di rilevanza comunitaria debbano avvenire nel rispetto della rotazione degli inviti e degli affidamenti e, dunque, in modo da assicurare l’effettiva possibilità di partecipazione delle microimprese, piccole e medie imprese. Infatti, la previsione normativa del principio persegue l’esigenza di evitare il consolidarsi nel tempo di rendite di posizione in capo al gestore uscente, che potrebbe godere, nella gara successiva, di una posizione di vantaggio, derivante dalle informazioni acquisite durante il pregresso affidamento. Tale effetto favorevole all’impresa uscente potrebbe verificarsi soprattutto nei mercati in cui il numero di agenti economici attivi non è elevato. La rotazione, come specificato dall’Anac e dalla giurisprudenza, è doverosa tanto in relazione agli affidamenti che agli inviti.

Le linee guida prevedono casi in cui il principio non si applica e casi in cui è possibile derogarlo.

In particolare, la rotazione non trova applicazione se il nuovo affidamento, rispetto a quello precedente: rientra in un settore di servizi diverso; rientra in una fascia di valore economico diversa; avviene tramite procedure ordinarie o comunque aperte al mercato, nelle quali la stazione appaltante, in virtù di regole prestabilite dal Codice dei contratti pubblici ovvero dalla stessa in caso di indagini di mercato o consultazione di elenchi, non operi alcuna limitazione in ordine al numero di operatori economici tra i quali effettuare la selezione.

Nel caso, invece, in cui la rotazione trovi piena applicazione, essa può essere derogata, con onere motivazionale più stringente, nei seguenti casi:
1) in ordine al riaffidamento o reinvito del contraente uscente

“La stazione appaltante motiva tale scelta in considerazione della particolare struttura del mercato e della riscontrata effettiva assenza di alternative, tenuto altresì conto del grado di soddisfazione maturato a conclusione del precedente rapporto contrattuale (esecuzione a regola d’arte e qualità della prestazione, nel rispetto dei tempi e dei costi pattuiti) e della competitività del prezzo offerto rispetto alla media dei prezzi praticati nel settore di mercato di riferimento”;

2) in ordine al reinvito del candidato invitato alla precedente procedura selettiva, e non affidatario, la motivazione

“deve tenere conto dell’aspettativa, desunta da precedenti rapporti contrattuali o da altre ragionevoli circostanze, circa l’affidabilità dell’operatore economico e l’idoneità a fornire prestazioni coerenti con il livello economico e qualitativo atteso”.

Il parere dell’Anac

Con la delibera numero 421 del 13 maggio 2020, l’Anac ha affermato che l’affidamento dei contratti aventi ad oggetto il servizio di protezione dei dati personali di importo inferiore alle soglie comunitarie deve avvenire nel rispetto del principio di rotazione.

L’affidamento del servizio di DPO ad un soggetto esterno

Ciò non deve stupire, visto che si tratta di contratti di appalto che hanno ad oggetto un servizio certamente non caratterizzato da infungibilità e il cui affidamento, dunque, se l’importo è inferiore alle soglie comunitarie, deve avvenire nel rispetto di tutti i principi previsti dal Codice dei contratti pubblici e dalla normativa sovranazionale, compreso quello della rotazione.

Piuttosto, può essere utile soffermarsi sul fatto che l’Autorità — lungi dallo sconfessare la necessità di continuità del servizio di DPO da più parti manifestata — la condivide e indica gli strumenti corretti per garantirla. In effetti, il bisogno di costanza lamentato è reale in quanto connaturato alla necessità di garantire, nell’esecuzione del contratto, il perseguimento di obiettivi raggiungibili a lungo termine, in conseguenza della maturazione di solida esperienza circa la specifica organizzazione della PA di riferimento e circa le peculiarità dei processi di trattamento dei dati personali. La continuità di un servizio, però, per quanto legittima, deve essere perseguita da parte delle stazioni appaltanti con gli strumenti messi a disposizione dal Codice dei contratti pubblici.

Le amministrazioni, invece di reiterare affidamenti di anno in anno agli stessi soggetti, violando il principio di rotazione o motivando la deroga dello stesso, dovrebbero ragionare in prospettiva e, proprio come indicato dall’Autorità, lavorare in fase di programmazione per affidare il servizio per un periodo più lungo. Anzi, per tutto il periodo che ritengono necessario a mettere in condizione il DPO di svolgere adeguatamente i propri compiti.

Per dirlo con le parole dell’Autorità, “I particolari requisiti e obiettivi di esperienza e stabilità nell’organizzazione del servizio, richiesti dalla normativa di settore, possono essere perseguiti dalla stazione appaltante, già in fase di programmazione dei fabbisogni e di progettazione del servizio da affidare, attraverso la previsione di una durata del contratto che sia congrua rispetto agli obiettivi individuati e alle prestazioni richieste al contraente”.

Non di rado, infatti, le stazioni appaltanti hanno agito in deroga al principio di rotazione, ritenendo che la particolare struttura del mercato dei servizi di DPO o l’assenza di alternative in concreto giustificassero l’affidamento al contraente uscente. Ma l’Autorità ha manifestato di non condividere simili motivazioni e ha indicato come rimedio la programmazione.

Ciò avviene, del resto, anche in altri settori merceologici. Un esempio è il settore informatico con riferimento al quale l’Anac ha più volte spinto le amministrazioni a compiere un’attenta programmazione dei propri fabbisogni allo scopo di prevenire l’insorgere di forme di lock-in o di infungibilità di prodotti o processi.

La programmazione costituisce concreta attuazione dei principi di buon andamento, economicità ed efficienza dell’azione amministrativa in quanto consente di prevenire situazioni di urgenza, che spesso costituiscono l’espediente utilizzato dall’amministrazione per giustificare il ricorso ad affidamenti diretti o alla procedura negoziata senza previa pubblicazione del bando di gara. Un’adeguata programmazione, poi, permette l’ottimizzazione delle risorse, il controllo delle diverse fasi gestionali, nonché la verifica della corretta esecuzione dell’affidamento. In effetti, esiste spesso una correlazione tra le criticità riscontrabili nella fase esecutiva e le carenze riconducibili all’assenza di un’adeguata fase di programmazione.

In conclusione, la strada indicata dall’Anac è più complessa ma è l’unica lecita e percorribile se le amministrazioni non vorranno continuare a ricorrere a tanti brevi affidamenti soggetti all’applicazione del principio di rotazione.

Del resto, se il fine è davvero la continuità, l’amministrazione potrà perseguirlo analizzando per tempo i fabbisogni dell’organizzazione ed effettuando procedure di gara più partecipate e di importo più alto, perché comprensivo di eventuali rinnovi (ad esempio, 2 più 2 o 3 più 3), rispettando così i principi dell’agire amministrativo senza sacrificare le esigenze di continuità.

L’operatore economico, dal canto suo, potrà ottenere un contratto più lungo ma conquistato a valle di un confronto competitivo, nel pieno rispetto della concorrenza, che gli consentirà di effettuare l’attività in una prospettiva di lungo periodo.

Se volete ricevere le nostre segnalazioni e i nostri approfondimenti, potete iscrivervi alla nostra newsletter (che inviamo ogni martedì), al nostro canale Telegram oppure potete seguirci su LinkedIN.