«Libero Pensatore» (è tempo di agire)
Articolo Pubblicato il 30 Maggio, 2020

La rotazione del servizio di protezione dei dati personali (DPO) secondo l’ANAC

La rotazione del servizio di protezione dei dati personali (DPO) secondo l’ANAC

La rotazione del DPO

L’ANAC con la delibera n. 421 del 13 maggio 2020, «Richiesta di parere in merito all’applicazione del principio di rotazione ai contratti aventi ad oggetto il servizio di protezione dei dati personali (DPO)» (ex art. 37 del Regolamento UE 679/2016, GDPR), si occupa di analizzare l’alternanza dell’aggiudicatario alla luce dei riferimenti normativi ricompresi negli artt. 35 e 36 del decreto legislativo 18 aprile 2016 n. 50, con riferimento specifico alle Linee guida sul Responsabile dei dati personali, emanate dal Garante per la protezione dei dati individuali il 13 dicembre 2016.

La massima non può che confermare che l’affidamento dei contratti aventi ad oggetto il servizio di protezione dei dati personali (Data Protection Officer) di importo inferiore alle soglie comunitarie deve avvenire nel rispetto del principio di rotazione: i particolari requisiti e obiettivi di esperienza e stabilità nell’organizzazione del servizio, richiesti dalla normativa di settore, possono essere perseguiti dalla stazione appaltante, già in fase di programmazione dei fabbisogni e di progettazione del servizio da affidare, attraverso la previsione di una durata del contratto che sia congrua rispetto agli obiettivi individuati e alle prestazioni richieste al contraente.

Il principio della rotazione

Sul punto, giova richiamare la scelta di non invitare il gestore uscente ad una nuova procedura di gara negoziata, in applicazione delle indicazioni contenute nelle Linee Guida ANAC n. 4 sulla rotazione; infatti, vige – quale regola generale – negli affidamenti a trattativa privata per evitare il consolidarsi di rendite di posizione: il confronto concorrenziale esclude il precedente affidatario.

Il principio di rotazione si estenderebbe anche agli inviti, ai sensi dell’art. 36, comma 1, del d.lgs. 18 aprile 2016, n. 50, che impone espressamente alle stazioni appaltanti nell’affidamento dei contratti d’appalto sotto soglia il rispetto del «principio di rotazione degli inviti e degli affidamenti»

Detto principio costituisce necessario contrappeso alla notevole discrezionalità riconosciuta all’Amministrazione nel decidere gli operatori economici da invitare in caso di procedura negoziata[1], con l’obiettivo di evitare la formazione di rendite di posizione e perseguire l’effettiva concorrenza, poiché ammette la turnazione tra i diversi operatori nella realizzazione del servizio, consentendo all’Amministrazione di cambiare per ottenere una prestazione migliore[2].

Di converso, il principio di rotazione è inapplicabile nel solo caso in cui la stazione appaltante decida di selezionare l’operatore economico mediante una procedura aperta, che non preveda una preventiva limitazione dei partecipanti attraverso inviti, mentre, in ogni altro caso, il solo fatto oggettivo del precedente affidamento – a prescindere dalla modalità con la quale sia avvenuto – impedisce alla stazione appaltante di invitare il gestore uscente, salvo che essa dia adeguata motivazione delle ragioni che hanno indotto, in deroga al principio generale di rotazione, a rivolgere l’invito anche all’operatore uscente[3].

La rotazione, pertanto, deve essere intesa non già come obbligo di escludere il gestore uscente dalla selezione dell’affidatario bensì, soltanto, di non favorirlo, risolvendosi altrimenti tale principio in una causa di esclusione dalle gare non solo non codificata, ma in totale contrasto col principio di tutela della concorrenza su cui è imperniato l’intero sistema degli appalti[4].

Le indicazioni ANAC

L’Autorità di regolamentazione formula un primo inquadramento:

  • l’affidamento all’esterno del servizio di protezione dei dati personali si configura come un appalto di servizi;
  • soggiace alle disposizioni del codice dei contratti pubblici;
  • sussiste l’obbligo di procedere alla selezione del contraente nel rispetto delle procedure ivi previste in ragione dell’importo del contratto.

Riferisce, altresì, che il servizio è reso disponibile sui sistemi di e-procurement e, pertanto, ai sensi dell’articolo 26, comma 3, della legge 23 dicembre 1999 n. 488 e dell’articolo 1 del decreto-legge 6 luglio 2012 n. 95, convertito con modificazioni nella legge 7 agosto 2012 n. 135 recante «Disposizioni urgenti per la revisione della spesa pubblica con invarianza dei servizi ai cittadini», gli affidamenti che non siano effettuati attraverso gli strumenti di acquisto messi a disposizione da Consip o dalle centrali di committenza regionali di riferimento sono affetti da nullità.

Su questo aspetto, va osservato che la terza sez. del Consiglio di Stato, con la sentenza n. 518 del 21 gennaio 2019, ha affermato che l’affidamento del servizio di DPO può avvenire mediante la pubblicazione on line di un avviso, imponendo alla stazione appaltante la sua pubblicazione sul profilo di committente, nella sezione «Amministrazione trasparente» sotto la sezione «bandi e contratti», o viceversa ricorre ad altre forme di pubblicità.

Ciò posto, l’ANAC annota che, ai sensi dell’articolo 36, «Contratti sotto soglia», del codice dei contratti pubblici, l’affidamento e l’esecuzione di lavori, servizi e forniture di importo inferiore alle soglie di cui all’articolo 35 avvengono nel rispetto dei principi di cui agli articoli 30, comma 1, 34 e 42, nonché del rispetto del principio di rotazione degli inviti e degli affidamenti e in modo da assicurare l’effettiva possibilità di partecipazione delle microimprese, piccole e medie imprese.

Vengono richiamati espressamente i paragrafi 3.6 e 3.7 delle Linee guida n. 4/2016 nelle indicazioni di dettaglio sull’applicazione del principio di rotazione, dove si riafferma che il principio non è applicabile quando:

  • l’affidamento avvenga tramite procedure ordinarie;
  • procedure aperte al mercato;
  • in caso di indagini di mercato o consultazione di elenchi ove non operi alcuna limitazione in ordine al numero di operatori economici tra i quali effettuare la selezione.

Le deroghe sono ammissibili:

  • quando abbiano carattere eccezionale e richiedono un onere motivazionale più stringente;
  • dalla particolare struttura del mercato e alla riscontrata effettiva assenza di alternative (va provata e documentata).

Su queste basi prospettiche non può ritrarsi il principio di rotazione motivato dall’eventuale esigenza di avere un servizio qualificato solo in relazione al lungo termine della prestazione conseguita dove il soggetto affidatario ha maturato:

  • una solida esperienza circa la specifica organizzazione della P.A. di riferimento;
  • le peculiarità dei processi di trattamento dei dati personali.

Neppure si può richiamare, per non effettuare la rotazione, un rinnovo negoziale finalizzato a far in modo che l’attuale DPO (ossia, quello uscente) termini la propria attività (gli obiettivi ricevuti), atteso che il rinnovo deve trovare riscontro su dati oggettivi previsti come opzione già nel bando di gara (o nel contratto) e che l’importo riferito al rinnovo deve essere considerato nel calcolo del valore stimato dell’appalto (ex art. 35 del codice dei contratti pubblici), dove anche la proroga non può che essere motivata e tecnica (e limitata nel tempo).

Neppure si potrebbe ipotizzare una durata del contratto inferiore a quella considerata congrua in relazione all’oggetto dell’affidamento, visto che tale prospettazione configurerebbe un frazionamento artificioso dell’appalto volto ad eludere l’applicazione delle soglie, di cui al cit. art. 35.

In termini diversi, il servizio va organizzato ad origine in sede di programmazione, sia in relazione alla durata che al valore presunto del contratto, rilevando che la materia e i requisiti richiesti se da una parte sono riferiti alla presenza di conoscenze specialistiche della normativa e delle prassi di gestione dei dati personali, manca una certificazione abilitante sull’idoneità a ricoprire il ruolo di Responsabile della Protezione dei Dati[5], dovendo rilevare che la preparazione dovrebbe sostanziarsi, oltre alla piena padronanza della disciplina del Regolamento UE 679/2016, alla capacità tecnica di verificare le misure di sicurezza concretamente adottate, al fine di scongiurare efficacemente ad es. il data breach e assicurare una valida valutazione d’impatto dei rischi sulla protezione dei dati.

Quando non si applica la rotazione

Dunque, si può affermare che ove la stazione appaltante non effettui né un affidamento (diretto) né un invito (selettivo) degli operatori economici che possono presentare le loro offerte, ma la possibilità di contrarre con l’Amministrazione sia aperta a tutti gli operatori economici appartenenti ad una determinata categoria merceologica la rotazione non si applica.

Piena validità e niente rotazione, quindi, per una procedura negoziata che si svolga con una modalità aperta, quando l’Amministrazione invita tutti i soggetti che manifestano il loro interesse, senza esclusioni o vincoli in ordine al numero massimo di operatori ammessi alla procedura, anche quando tale attività operativa sia richiesta unicamente mediante l’accesso e l’iscrizione ad una piattaforma telematica, che non preveda alcuna istruttoria o selezione da parte dell’Amministrazione[6].

[1] Cons. Stato, sez. V, 12 settembre 2019, n. 6160.

[2] Cons. Stato, sez. V, 5 novembre 2019, n. 7539; sez. VI, 4 giugno 2019, n. 3755.

[3] Cons. Stato, sez. V, 27 aprile 2020, n. 2655; sez. III, 4 febbraio 2020, n. 875. La giurisprudenza ha riconosciuto l’inapplicabilità del principio di rotazione solamente nel caso di “sostanziale alterità qualitativa”, ovvero, più chiaramente, di diversa natura delle prestazioni oggetto del precedente e dell’attuale affidamento, Cons. Stato, sez. V, 5 marzo 2019, n. 1524.

[4] Cons. Stato, sez. III, 25 aprile 2020, n. 2654.

[5] Cfr. Garante per la protezione dei dati personali, «Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico (in aggiunta a quelle adottate dal Gruppo Art. 29)» in risposta alla Faq 3 «Quali certificazioni risultano idonee a legittimare il RPD nell’esercizio delle sue funzioni, ai sensi degli artt. 42 e 43 del RGPD?», riferisce che nei settori delle cosiddette “professioni non regolamentate”, si «sono diffusi schemi proprietari di certificazione volontaria delle competenze professionali effettuate da appositi enti certificatori»; tuttavia, pur rappresentando un utile strumento di verifica delle conoscenze «non equivalgono, di per sé, a una “abilitazione” allo svolgimento del ruolo del RPD né, allo stato, sono idonee a sostituire il giudizio rimesso alle PP.AA. nella valutazione dei requisiti necessari al RPD per svolgere i compiti previsti dall’art. 39 del RGPD».

[6] Cfr. T.A.R. Toscana, sez. II, 6 maggio 2020, n. 552.