Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Parere del Garante sulla deliberazione dell'Avcp attuativa dell'art. 6-bis del Codice dei contratti pubblici relativi a lavori, servizi e forniture

L'Autorità per la vigilanza sui contratti pubblici (di seguito Avcp) ha richiesto il parere del Garante in ordine ad una deliberazione attuativa dell'art. 6-bis del d.lg. 12 aprile 2006, n. 163 (Codice dei contratti pubblici relativi a lavori, servizi e forniture)

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
2171106
Data:
19/12/12
Argomenti:
Autorità indipendenti
Tipologia:
Parere del Garante

[vedi anche parere del 1° agosto 2013]

[doc. web n. 2171106]

Parere del Garante sulla deliberazione dell´Avcp attuativa dell´art. 6-bis del Codice dei contratti pubblici relativi a lavori, servizi e forniture (d.lg. 12 aprile 2006, n. 163) - 19 dicembre 2012

Registro dei provvedimenti
n. 420 del 19 dicembre 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere dell´Autorità per la vigilanza sui contratti pubblici del 13 dicembre 2012;

Visto il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

Vista l´Autorizzazione generale n. 7/2011 del Garante al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici del 24 giugno 2011 (Gazzetta Ufficiale n. 162 del 14 luglio 2011), rinnovata dal Garante il 13 dicembre 2012 fino al 31 dicembre 2013;

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

L´Autorità per la vigilanza sui contratti pubblici (di seguito Avcp) ha richiesto il parere del Garante in ordine ad una deliberazione attuativa dell´art. 6-bis del d.lg. 12 aprile 2006, n. 163 (Codice dei contratti pubblici relativi a lavori, servizi e forniture), in base al quale, dal 1° gennaio 2013, le stazioni appaltanti e gli enti aggiudicatori devono verificare il possesso dei requisiti di carattere generale, tecnico-organizzativo ed economico-finanziario per la partecipazione alle procedure disciplinate dal citato Codice dei contratti pubblici esclusivamente tramite la Banca dati nazionale dei contratti pubblici (BDNCP), istituita presso l´AVCP medesima.

La deliberazione in esame:

- individua i dati concernenti la partecipazione alle gare e la valutazione delle offerte da inserire nella BDNCP al fine di consentire alle stazioni appaltanti/enti aggiudicatori di verificare il possesso dei requisiti degli operatori economici per l´affidamento dei contratti pubblici,

- istituisce il nuovo sistema AVCPASS, finalizzato alla verifica online dei requisiti attraverso la BDNCP, dotato di apposite aree dedicate ad operatori economici e a stazioni appaltanti/enti aggiudicatori;

- stabilisce i termini e le regole tecniche per l´acquisizione, l´aggiornamento e la consultazione dei predetti dati.

RILEVATO

1. Accesso al sistema AVCPASS e modalità operative (artt. 2, 3 e 4)

Il sistema AVCPASS consente alle stazioni appaltanti/enti aggiudicatori, attraverso un´interfaccia web e le cooperazioni applicative con gli enti certificanti, l´acquisizione della documentazione comprovante il possesso dei requisiti di carattere generale, tecnico-organizzativo ed economico-finanziario per l´affidamento dei contratti pubblici. Gli operatori economici, invece, tramite l´apposita area dedicata possono inserire a sistema i documenti necessari e li possono utilizzare per ciascuna delle procedure di affidamento.

Al fine di utilizzare il sistema AVCPASS, la stazione appaltante/ente aggiudicatore, dopo la registrazione al sistema SIMOG, acquisisce, per ciascuna procedura di affidamento, il CIG (Codice identificativo di gara), tramite il responsabile del procedimento che indica il soggetto abilitato alla verifica dei requisiti. L´operatore economico, dopo la registrazione al servizio AVCPASS, indica a sistema il CIG della procedura di affidamento cui intende partecipare.

La deliberazione individua le modalità di comunicazione che devono adottare i soggetti abilitati dalla stazione appaltante/ente aggiudicatore (responsabile del procedimento, presidente di commissione e commissari di gara) e l´operatore economico (amministratore/legale rappresentante), i quali, in relazione alla singola gara, interagiscono attraverso il sistema AVCPASS. Viene, in particolare, prescritto che ciascuno dei soggetti sopraindicati si doti di una casella di posta elettronica certificata (PEC) e che i documenti inseriti dagli operatori economici siano firmati digitalmente.

L´accesso al sistema AVCPASS viene consentito esclusivamente al responsabile del procedimento ed al soggetto abilitati dalle stazioni appaltanti/enti aggiudicatori alla verifica dei requisiti, a partire dalla scadenza del termine per la presentazione delle offerte, così come dichiarato sul sistema SIMOG.

Al fine di garantire che le richieste di verifica dei requisiti interessino unicamente i partecipanti alla specifica procedura, il sistema prevede che, prima di poter accedere alla comprova dei requisiti, il soggetto abilitato alla verifica dei requisiti integri o confermi, utilizzando l´apposita funzionalità di AVCPASS, l´elenco degli operatori economici partecipanti alla procedura di affidamento. Una volta effettuata tramite AVCPASS la richiesta dei documenti a comprova dei requisiti per gli operatori economici interessati, l´Avcp avvia presso gli enti certificanti le richieste dei documenti e li mette a disposizione tempestivamente, non appena ricevuti dagli enti certificanti.

Entro il termine di 60 giorni dalla data dell´aggiudicazione definitiva di ciascuna procedura di affidamento gestita tramite AVCPASS, il responsabile del procedimento deve trasferire definitivamente sui propri sistemi, mediante l´apposita funzionalità, i fascicoli di gara e i documenti in essi contenuti. Trascorsi 4 giorni dalla scadenza del termine per l´acquisizione dei documenti, ove il responsabile del procedimento non abbia adempiuto a quanto previsto dal comma 9, l´Avcp procede ad inviare la documentazione via PEC alla stazione appaltante/ente aggiudicatore. Tale invio costituisce consegna ufficiale della documentazione di gara.

2. Dati comprovanti il possesso dei requisiti  (artt. 5 e 6)

La deliberazione individua, la documentazione e i dati a comprova dei requisiti di carattere generale che, in sede di prima applicazione, vengono acquisiti presso la BDNCP e resi disponibili attraverso il sistema:

a) visura del Registro delle imprese fornita da Unioncamere;

b) certificato del casellario giudiziale integrale fornito dal Ministero della giustizia;

c) anagrafe delle sanzioni amministrative – selettivo ex art. 39 d.P.R. n. 313/2002 dell´impresa, fornita dal Ministero della giustizia;

d) certificato di regolarità contributiva di ingegneri, architetti e studi associati, fornito da Inarcassa;

e) certificato di regolarità fiscale fornito dall´Agenzia delle entrate;

f) DURC, documento unico di regolarità contributiva fornito dall´Inail;

g) comunicazione antimafia fornita dal Ministero dell´interno;

h) le iscrizioni presso il casellario informatico dei contratti pubblici già esistente presso l´Avcp.

Nella deliberazione vengono individuate altresì le informazioni necessarie a fornire evidenza del possesso dei requisiti tecnico-organizzativi ed economico-finanziari che sono acquisiti presso la BDNCP e resi disponibili attraverso il Sistema AVCPASS. In tal caso, il sistema informatico viene alimentato attraverso tre distinti canali:

1) i documenti e i dati forniti dagli enti certificanti:

a) bilanci delle società di capitali ove disponibili, forniti da parte di Unioncamere;

b) certificazioni di sistema di qualità aziendale conforme alle norme europee della serie UNI EN ISO 9000 relative al settore EA28 forniti da Accredia;

c) fatturato globale e ammortamenti degli operatori economici costituiti in forma d´impresa individuale ovvero società di persone, ove disponibili, forniti da parte dell´Agenzia delle entrate;

d) dati relativi alla consistenza e al costo del personale dipendente, forniti da parte dell´Inps;

2) i documenti resi disponibili direttamente dalla stessa Avcp:

a) le attestazioni SOA;

b) i certificati esecuzione lavori (CEL);

c) i certificati attestanti l´avvenuta esecuzione di servizi e forniture prestati a favore di amministrazioni o enti pubblici;

d) le ricevute di pagamento del contributo obbligatorio all´Avcp da parte dei soggetti partecipanti.

3) i documenti inseriti nel sistema dagli operatori economici a comprova del possesso dei requisiti di carattere tecnico-organizzativo ed economico-finanziario, non inclusi in quanto indicato nei precedenti punti 1 e 2, conformemente a quanto segnalato dal responsabile del procedimento in ordine alle specificità di gara.

La deliberazione in esame prevede, inoltre, che l´individuazione dei dati e della documentazione sopra descritta, può essere oggetto di modifica mediante nuova deliberazione, sottoposta, per i profili di competenza, al parere del Garante.

3. Modalità tecniche per la fornitura dei dati da parti degli enti certificanti (art. 7)

Secondo il citato art. 6-bis, comma 4, del Codice dei contratti pubblici, i singoli enti certificanti che detengono i dati e la documentazione sono tenuti a metterli a disposizione dell´Avcp entro i termini e le modalità definiti tramite apposite convenzioni.

Per le modalità di scambio dei dati con gli enti certificanti, la deliberazione stabilisce che vengano adottate le regole tecniche e di sicurezza dello standard SPCoop ed in conformità a quanto stabilito nelle Linee guida per la fruibilità di dati delle pubbliche amministrazioni ai sensi dell´art. 58, comma 2, del d.lg. 7 marzo 2005, n. 821 -Codice dell´amministrazione digitale- o soluzioni tecnologiche alternative che garantiscono comunque livelli di sicurezza non inferiori a detto standard.

Con riferimento alle modalità di fornitura dei dati da parte degli enti certificanti, la deliberazione reca in allegato una tabella descrittiva del dettaglio dei flussi di dati, riportante per ciascuno di essi, in particolare, le tipologie di dati comunicati all´Avcp, i riferimenti normativi, l´oggetto della verifica, il contenuto, la rete utilizzata, il tracciato dati e il metodo di autenticazione.

La deliberazione prevede, inoltre, che i dati e i documenti vengano acquisiti dall´Avcp per conto delle stazioni appaltanti/enti aggiudicatori per il solo espletamento delle verifiche in sede di gara.

4. Protezione dei dati personali e misure di sicurezza (art. 8)

Nela deliberazione sono state individuate le principali misure di sicurezza poste in essere dall´Avcp al fine di rispettare gli obblighi di sicurezza previsti dal Codice in materia di protezione dei dati personali.

In particolare, viene previsto che:

- l´accesso ai servizi AVCPASS avvenga solo a seguito del superamento di una procedura di autenticazione basata su dispositivi e credenziali, queste ultime sono composte dall´identificativo dell´utente e dalla relativa componente riservata (parola d´ordine o password) per la cui costruzione sono adottati idonei criteri di robustezza (almeno otto caratteri, uso di caratteri alfanumerici, lettere maiuscole e minuscole, caratteri estesi). Laddove vengano utilizzati dispositivi di autenticazione, deve esserne assicurata la diligente custodia;

- la password, comunicata direttamente al singolo incaricato separatamente rispetto al codice per l´identificazione, deve essere modificata dallo stesso al primo utilizzo e, successivamente, almeno ogni 90 giorni e le ultime tre password non possono essere riutilizzate; le credenziali sono bloccate a fronte di reiterati tentativi falliti di autenticazione;

- il sistema AVCPASS espone i dati ai soggetti autorizzati per il tempo strettamente necessario al trattamento degli stessi nell´ambito delle procedure di cui al comma 1. Al termine di dette procedure i dati non sono più residenti sul sistema;

- sono disposte idonee procedure di audit sugli accessi, i cui esiti sono documentati. Tali procedure prevedono attività di audit basate sul monitoraggio statistico degli accessi e su meccanismi di alert che individuino comportamenti anomali o a rischio dal punto di vista della sicurezza informatica;

-  l´Avcp è in grado di fornire su richiesta agli enti certificanti evidenza dell´utenza che attraverso il sistema ha generato la singola richiesta di documentazione;

- è fatto obbligo agli operatori economici e alle stazioni appaltanti/enti aggiudicatori di segnalare tempestivamente all´Avcp eventuali incidenti sulla sicurezza qualora tali incidenti abbiano impatto direttamente o indirettamente sul sistema AVCPASS, nonché ogni eventuale esigenza di aggiornamento di stato degli utenti gestiti (nuovi inserimenti, disabilitazioni, cancellazioni);

- il tempo di conservazione dei dati relativi agli accessi e alle operazioni compiute nel sistema è fissato nei termini di legge.

CONSIDERATO

Il parere è reso su di una versione aggiornata della deliberazione che tiene conto degli approfondimenti e delle indicazioni rese dall´Ufficio del Garante ai competenti uffici dell´Avcp nel corso di alcune riunioni, volte a rendere sotto ogni profilo effettivo il diritto alla protezione dei dati personali degli interessati, nell´ambito dei trattamenti ivi disciplinati.

Le indicazioni dell´Ufficio hanno riguardato, in particolare:

-  le modalità di realizzazione dei flussi informativi previsti nell´ambito del sistema AVCPASS tra l´Avcp e gli enti certificatori;

- la definizione di misure di sicurezza idonee e preventive volte a garantire i rischi di accessi non autorizzati e di trattamenti non consentiti o non conformi alle finalità della raccolta.

Con specifico riferimento ai dati giudiziari trattati nell´ambito della BDNCP e del sistema AVCPASS, si rileva che il trattamento di tali dati risulta autorizzato ai sensi dell´Autorizzazione generale n. 7/2011 del Garante al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici del 24 giugno 2011  (Gazzetta Ufficiale n. 162 del 14 luglio 2011), rinnovata con provvedimento del 13 dicembre 2012 fino al 31 dicembre 2013, in corso di pubblicazione sulla Gazzetta Ufficiale.

Si evidenzia, infine, che la delibera in esame riguarda anche il trattamento di informazioni riferite a persone giuridiche, enti o associazioni, benché l´art. 40, comma 2, del d.l. 6 dicembre 2011, n. 201, convertito con modificazioni dalla l. 22 dicembre 2011, n. 214, abbia riformulato le definizioni di "dato personale" e di "interessato" di cui all´art. 4, comma 1, lett. b) e i) del Codice, sottraendo dall´ambito di applicazione della disciplina in materia di protezione dei dati personali le persone giuridiche, gli enti e le associazioni. In tale quadro, si precisa pertanto che il presente parere è reso esclusivamente con riferimento al trattamento di dati personali riferiti a persone fisiche ai sensi del novellato art. 4, comma 1, lett. b) del Codice.

RITENUTO

In relazione alla conservazione dei dati relativi agli accessi e alle operazioni compiute nel sistema, si ritiene che nella deliberazione debbano essere esplicitati i tempi di conservazione; ciò, avuto riguardo alla circostanza che i dati personali oggetto di trattamento possono essere conservati in una forma che consenta l´identificazione dell´interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati (art. 11, comma 1, lett. e)  del Codice).

IL GARANTE

esprime parere favorevole sulla deliberazione dell´Autorità per la vigilanza sui contratti pubblici attuativa dell´art. 6-bis del d.lg. 12 aprile 2006, n. 163, a condizione che venga esplicitato il tempo di conservazione dei dati relativi agli accessi e alle operazioni compiute nel sistema.

Roma, 19 dicembre 2012

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia