Le modifiche del Dlgs 196/2003 rendono tale decreto coerente con il Regolamento Europeo 2016/679 e completano il quadro di riferimento anche nelle procedure di appalto.
Nel caso di procedure di affidamento, dunque, la gestione dei dati personali trova il suo fondamento nel codice degli appalti (Dlgs n. 50/2016), negli atti di natura regolamentare attuativi dello stesso e in eventuali disposizioni di legge correlate.
Le modifiche del Decreto del 2003 chiariscono che le amministrazioni pubbliche possono trattare i dati per l’adempimento degli obblighi previsti in materia di comunicazioni e informazioni antimafia o in materia di prevenzione della delinquenza di stampo mafioso e di altre gravi forme di pericolosità sociale, nei casi previsti da leggi o da regolamenti, o per la produzione della documentazione prescritta dalla legge per partecipare a gare d’appalto. Inoltre possono trattare i dati anche per l’accertamento del requisito di idoneità morale di coloro che intendono partecipare a gare d’appalto, come previsto nell’articolo 80 del Dlgs 50/2016.
Nel caso di procedure di pubblico affidamento le stazioni appaltanti devono predisporre l’informativa (articolo 13 del Regolamento Europeo 2016/679). Al suo interno è necessario inserire:
- le categorie di dati personali (sia quelli identificativi che quelli riguardanti la situazione fiscale e patrimoniale, nonché quelli inerenti le condanne penali);
- le finalità per le quali i dati saranno trattati;
- le tipologie di trattamento che saranno eseguiti;
- i soggetti ai quali potranno essere comunicati;
Inoltre è importante la conservazione delle informazioni acquisite che, come previsto dalla normativa archivistica, saranno conservate dalla stazione appaltante illimitatamente.
Le amministrazioni pubbliche devono inserire una clausola degli obblighi in materia di privacy in capo all’appaltatore o al concessionario nei contratti di appalto. In particolare questi ultimi assumono il ruolo di responsabili del trattamento. Questo comporta che l’appaltatore-concessionario-responsabile tratti i dati personali solo su istruzione documentata del titolare (l’amministrazione o stazione appaltante) e che adotti tutte le misure di sicurezza richieste (articolo 32 del Regolamento).
Fonte: Alberto Barbiero, “La tutela della privacy targata Ue impone agli enti un’informativa sui dati personali trattati”, Quotidiano del Sole 24 ore – Enti Locali & PA, 13 agosto 2018.