Gare pubbliche e dati giudiziari

Ogni azienda che fa business con la Pubblica Amministrazione o con gli Enti Pubblici è abituata a gestire una importante mole di dati dei propri dipendenti e, soprattutto, personale che riveste funzioni apicali. In questo breve approfondimento puntiamo l’attenzione su

  • quali tipologie di dati sono interessate,
  • cosa prevede la normativa in proposito, e
  • alcuni aspetti operativi – necessari – per gestire i dati in compliance con la normativa.

Dati personali “giudiziari”

Ciascun bando di gara richiede la preparazione di una moltitudine di documenti, tra cui – oltre a quelli relativi alla società, all’offerta materiale ed economica e allo “storico” aziendale – anche diversi moduli a firma di persone fisiche. In particolare, vengono richieste informazioni in merito a precedenti penali e pregressi rapporti (anche di familiari) con associazioni illecite.

La partecipazione a gare pubbliche da parte di una società di diritto privato comporta pertanto – necessariamente – il trattamento di “dati giudiziari” di tali persone fisiche, ai sensi dell’art. 10 GDPR.

Non solo, infatti, la normativa prevede le presentazione di ampia documentazione mediante autodichiarazioni e/o moduli: spesso sono anche richiesti i certificati del casellario giudiziale in capo a diversi profili interni alla società, specialmente se aventi potere direzionale o ruoli di responsabilità, come Amministratori, Procuratori o – ad esempio – i componenti dell’Organisimo di Vigilanza ai sensi del D. Lgs. 231/2001.

L’art. 10 GDPR: i dati giudiziari

La ricezione del casellario giudiziale di una persona che riveste un ruolo apicale – per esempio, l’Amministratore Delegato – presenta profili di evidente rilevanza rispetto a quanto previsto dall’art. 10 GDPR, che recita:

Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza (…) deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati.

Va inoltre ricordato che anche il “diniego” di aver commesso reati e/o avere procedimenti penali pendenti, deve essere considerato appunto un “dato giudiziario”, cioè riguardante reati e condanne penali della persona fisica.

Come se ciò non bastasse, alcune Autorità europee – seppur non il nostro Garante – hanno incluso nel novero delle informazioni qualificabili come “dato giudiziario” anche le contravvenzioni e/o sanzioni amministrative, ritenendole degne di tutela assimilabile ai reati veri e propri.

Non si dimentichi infine che, in taluni casi, le informazioni raccolte non saranno solo relative alla persona fisica che riveste una posizione in azienda, ma anche i suoi familiari, conviventi e/o soggetti terzi: la società, quale Titolare del trattamento, si troverà allora a processare dati personali di tutti loro, dovendo quindi predisporre le necessarie misure di gestione, informazione, garanzia e tutela.

Aspetti privacy operativi nelle gare pubbliche

L’impostazione – fortemente garantista – sopra individuata impone allora la ricerca della corretta base giuridica per il trattamento: in questi casi, diversamente da quanto previsto per i “dati particolari” (o precedentemente “sensibili”), non vige alcun divieto generalizzato di processare tali informazioni, ma un diverso obbligo, più stringente e “faticoso” per l’interprete e per il professionista che si trova, in particolare, a gestire il processo ed il relativo flusso di dati.

Si richiede infatti l’individuazione esatta della norma di legge in forza della quale l’azienda (Titolare del trattamento) deve raccogliere le dichiarazioni – ad esempio, la normativa in materia antimafia – e caricarle/sottoporle al soggetto che gestisce il bando.

Una volta individuata la base giuridica corretta, si dovrà procedere a predisporre la documentazione informativa e di compliance atta a garantire che il requisito – tanto vago quanto esigente – della “accountability” aziendale sia rispettato.

A titolo di elenco non esaustivo, potremmo ipotizzare di procedere con:

  • la redazione, prima di tutto, di una informativa per i dipendenti a cui vengono rivolte richieste di dati giudiziari (ex art. 13 GDPR), e – nel medesimo documento o a parte – una informativa anche per i relativi familiari e conviventi (ex art. 14 GDPR); tale testo dovrà anche ricordare la necessaria comunicazione a terzi dei dati, in quanto raccolti con finalità di partecipazione a una gara indetta da un ente pubblico;
  • la predisposizione di una procedura interna di gestione dei dati acquisiti, che preveda la limitazione di accesso alle informazioni secondo stretta necessità da parte degli operatori (persone autorizzate) del Titolare;
  • l’autorizzazione specifica, per gli operatori individuati dalla procedura, al trattamento dei dati giudiziari, in forza di apposite istruzioni (in particolare, divieto di diffusione);
  • la verifica che i dati forniti all’ente siano trattati correttamente anche da esso, in forza di idonea informativa, che si suggerisce di conservare.

___________________________

Credits: photo by Mikhail Pavstyuk on Unsplash