Diritti interna

Doveri interna

ricerca avanzata

Parere sullo schema di decreto del Ministro per la semplificazione, di concerto con il Ministro delle infrastrutture e dei trasporti e il Ministro dell’economia e delle finanze, recante le modalità di digitalizzazione delle procedure dei contratti pubblici - 19 marzo 2019 [9113870]

[doc. web n. 9113870]

Parere sullo schema di decreto del Ministro per la semplificazione, di concerto con il Ministro delle infrastrutture e dei trasporti e il Ministro dell’economia e delle finanze, recante le modalità di digitalizzazione delle procedure dei contratti pubblici - 19 marzo 2019

Registro dei provvedimenti
n. 66 del 19 marzo 2019

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere della Presidenza del Consiglio dei ministri;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati);

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito Codice);

Vista la documentazione in atti;

Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

1. La Presidenza del Consiglio dei ministri ha richiesto il parere del Garante su uno schema di decreto del Ministro per la semplificazione, di concerto con il Ministro delle infrastrutture e dei trasporti e il Ministro dell’economia e delle finanze, recante le modalità di digitalizzazione delle procedure dei contratti pubblici  da adottare ai sensi dell’articolo 44 del decreto legislativo 18 aprile 2016, n. 50 (Codice dei contratti pubblici).

In particolare, tale articolo 44 prevede che “Entro un anno dalla data di entrata in vigore del presente codice, con decreto del Ministro per la semplificazione e la pubblica amministrazione, di concerto con il Ministro delle infrastrutture e dei trasporti e il Ministro dell'economia e delle finanze, sentita l’Agenzia per l’Italia Digitale (AGID) nonché dell'Autorità garante della privacy per i profili di competenza, sono definite le modalità di digitalizzazione delle procedure di tutti i contratti pubblici, anche attraverso l'interconnessione per interoperabilità dei dati delle pubbliche amministrazioni. Sono, altresì, definite le migliori pratiche riguardanti metodologie organizzative e di lavoro, metodologie di programmazione e pianificazione, riferite anche all'individuazione dei dati rilevanti, alla loro raccolta, gestione ed elaborazione, soluzioni informatiche, telematiche e tecnologiche di supporto.”

RILEVATO

2. Lo schema di decreto, suddiviso in due Capi e composto di 29 articoli, è adottato nell’ambito del processo di digitalizzazione delle procedure di acquisizione di beni e servizi delle pubbliche amministrazioni (c.d. e.procurement), che comprende sia le fasi precedenti che quelle successive all’aggiudicazione, la pubblicazione dei bandi e delle altre informazioni previste dalla legge.
In ossequio al citato articolo 44 del Codice dei contratti pubblici lo schema è volto a disciplinare “le modalità di digitalizzazione  delle  procedure di affidamento relative a tutti i contratti pubblici,  anche  attraverso l'interconnessione per interoperabilità dei dati delle pubbliche amministrazioni, ivi compreso il colloquio e la condivisione  dei dati tra i sistemi  telematici e tra i medesimi sistemi e gli organismi di vigilanza e controllo previsti dal predetto Codice (…)” (art. 2, comma 1).

Lo schema di decreto, inoltre, rinvia all'Agenzia per l'Italia digitale (AgID) la predisposizione delle "regole tecniche per la definizione delle modalità di digitalizzazione delle procedure di tutti i contratti pubblici (...) comprensive della descrizione dei flussi, degli schemi dei dati e degli standard europei di interoperabilità tra i sistemi telematici e tra i medesimi sistemi e gli organismi di vigilanza e controllo previsti dal Codice (…)".

Vengono definite dallo schema le modalità di accesso al sistema telematico di ogni utente, il quale dovrà procedere alla propria identificazione mediante l’inserimento delle credenziali rilasciate dal sistema pubblico d’identità digitale (SPID) secondo quanto previsto dal decreto adottato ai sensi dell’articolo 64, comma 2-sexies, del Codice dell'amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82 (di seguito CAD) o attraverso gli altri mezzi di identificazione elettronica previsti dal Regolamento UE n. 910/2014 “Regolamento eIDAS” (art. 3).

Vengono disciplinate le modalità con cui devono avvenire le comunicazioni e gli scambi di informazioni tra gli utenti ed il sistema telematico, prevedendosi la necessità che venga rilasciata una ricevuta di invio e una ricevuta di consegna. Tali comunicazioni devono essere effettuate “utilizzando il domicilio digitale presente negli indici di cui agli articoli 6-bis e 6-ter del CAD o, per l’operatore economico transfrontaliero, altro indirizzo di servizio elettronico di recapito certificato qualificato ai sensi del Regolamento eIDAS, nel rispetto di quanto previsto dall’articolo 52 del Codice” (art. 4, comma 1) e qualora l’utente non sia presente in tali indici, il sistema telematico consente all’utente di eleggere domicilio digitale presso il sistema stesso (art. 4, comma 2). Viene altresì stabilito che le comunicazioni e gli scambi di informazioni diversi da quelli di cui al comma 1, nonché le richieste di chiarimenti sul bando di gara, sono accessibili in sezioni apposite del sistema telematico (art. 4, comma 3).

Lo schema disciplina poi come debba effettuarsi la tracciabilità delle operazioni eseguite, prevedendone la loro registrazione cronologica (log applicativi e di sistema) (art. 6, comma 1) e regola la gestione digitale e la conservazione di tutta la documentazione di gara. In particolare viene previsto che i dati, i documenti e le comunicazioni (come previste dall’art. 4), redatti in un formato idoneo alla loro conservazione ai sensi di quanto previsto dall’articolo 44 del CAD e dalla normativa vigente in materia, sono raccolti in un fascicolo informatico - appositamente gestito dal sistema telematico – che contiene anche tutte le impronte delle registrazioni cronologiche (art. 7, commi 1 e 2).

Il sistema telematico rende disponibile il fascicolo informatico alla stazione appaltante, che provvede alla estrazione delle informazioni in esso contenute e al loro invio al sistema deputato alla conservazione del fascicolo secondo quanto stabilito dalle regole tecniche in materia di conservazione digitale dei documenti informatici (art. 7, comma 3).

Di particolare interesse risulta l’articolo 9 dello schema di decreto, rubricato “Sicurezza informatica e protezione dei dati personali”, nel quale viene previsto che    il sistema telematico assicura agli utenti autenticati (v. art. 3), la disponibilità dei dati e dei documenti gestiti, la cui integrità e segretezza è garantita anche attraverso l’uso di idonee tecniche di crittografia e offuscamento, mantenendo, altresì, la tracciabilità degli accessi secondo quanto previsto dall’articolo 6 (art. 9 comma 1)  e prevede altresì che il titolare e il responsabile del trattamento, in linea con l’articolo 32 del Regolamento (UE) 2016/679, adottino misure tecniche e organizzative in grado di garantire un livello di sicurezza dei dati personali adeguato al rischio.

Infine, sono previste disposizioni per assicurare la continuità e il disaster recovery, per disciplinare i pagamenti telematici (artt. 10 e 11) e la gestione digitale delle procedure di acquisto e di negoziazione, dalla fase dell’acquisizione del codice identificativo della gara fino all’aggiudicazione e all’acquisizione del contratto all’interno del fascicolo informatico di cui all’art. 7 (artt. da 12 a 28).

RITENUTO

3. Lo schema di decreto in esame - già sottoposto al Garante in una prima versione il 26 marzo del 2018 -  è stato modificato tenendo conto delle osservazioni fornite dall’Autorità nel corso di un incontro di lavoro e di contatti anche informali intercorsi con i competenti uffici della Presidenza del Consiglio dei ministri.

A seguito degli approfondimenti effettuati, l’Amministrazione ha ritenuto di modificare l’originaria versione del testo nei termini di seguito riassunti:

- l’articolo 1 dello schema (“Definizioni”), nella sua prima formulazione disponeva che l“utente” potesse essere sia una persona fisica che una persona giuridica; tale disposizione, considerato che l’accesso al sistema può essere attribuito solo ad una persona fisica, è stata modificata ridefinendo l’utente come “la persona fisica che agisce per se o per un soggetto giuridico, pubblico o privato”;

- l’articolo 2 dello schema, nell’attribuire all'AgID la predisposizione delle "regole tecniche per la definizione delle modalità di digitalizzazione delle procedure di tutti i contratti pubblici (...)”, prevedeva che le suddette fossero adottate ai sensi dell’articolo 14-bis del CAD, che disciplina la generale competenza dell’AgID anche in materia di “emanazione di regole standard e di guide tecniche” in relazione alla “digitalizzazione della pubblica amministrazione, interoperabilità e cooperazione applicativa” (art. 14-bis, comma 2, lett. a), del CAD). Considerata la particolare importanza delle predette regole tecniche per gli aspetti di protezione dei dati personali, l’Amministrazione ha modificato i riferimenti normativi previsti nella disposizione, prevedendo che le predette regole tecniche dovranno essere adottate dall’ AgID, “ai sensi dell’art. art. 71 del CAD” e perciò, previo parere del Garante sulle stesse;

- all’articolo 3, comma 2, dello schema originario non veniva espressamente indicato il significato del termine “caratterizzazione dei profili”; pertanto, anche al fine di chiarire meglio le politiche relative al sistema di autorizzazione adottato, la nuova disposizione ha operato un espresso collegamento alle corrispondenti previsioni contenute nel Codice degli contratti pubblici in relazione alla tipologia dei profili abilitativi (anche correlati alle specifiche fasi del procedimento) da concedere agli utenti (interni o esterni alla stazione appaltante);

-  l’articolo 6, in materia di tracciabilità, prevedeva precedentemente la sola registrazione cronologica dei log applicativi; a seguito delle osservazioni dell’Autorità il testo dell’articolo è stato modificato estendendo tale registrazioni anche ai “log di sistema” e prevedendo esplicitamente meccanismi di controllo “anche automatico” degli accessi degli utenti e di verifica delle operazioni effettuate;

- l’articolo 9, precedentemente rubricato “Sicurezza e privacy” ha subito alcune modifiche sostanziali. In particolare, oltre alla rubrica, ora “Sicurezza informatica e protezione dei dati personali”, è stato integralmente sostituito il comma 3 al fine di prevedere che il titolare e il responsabile del trattamento, in linea con l’articolo 32 del Regolamento (UE) 2016/679 (che è opportuno richiamare nel preambolo del decreto), “assicurano misure tecniche e organizzative in grado di garantire un livello di sicurezza dei dati personali adeguato al rischio, che comprendono, qualora necessario, la pseudonimizzazione e la cifratura dei dati personali, la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento e una procedura per testare, verificare e valutare l'efficacia delle misure tecniche e organizzative messe in atto”.

In ragione di tali modifiche lo schema non presenta profili di criticità in materia di protezione dei dati personali, pertanto il Garante non ha osservazioni da formulare sul testo esaminato.

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere favorevole sullo schema di decreto del Ministro per la semplificazione, di concerto con il Ministro delle infrastrutture e dei trasporti e il Ministro dell’economia e delle finanze, recante le modalità di digitalizzazione delle procedure dei contratti pubblici  da adottare ai sensi dell’art. 44 del decreto legislativo 18 aprile 2016, n. 50.

Roma, 19 marzo 2019

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia