Ruoli privacy negli appalti pubblici: alcune soluzioni per i raggruppamenti temporanei di imprese
Con l’entrata in vigore del Regolamento UE 2016/679, comunemente noto con l’acronimo inglese GDPR (General Data Protection Regulation), gli enti pubblici hanno iniziato a porre maggiore attenzione alla materia della privacy nell’indizione delle gare di appalto pubblico e nella redazione dei contratti pubblici, imponendo gli obblighi relativi al trattamento dei dati personali in capo alle imprese appaltatrici.
In questa sede, ci interessa porre l’attenzione sulla distribuzione dei ruoli e delle relative responsabilità nell’ambito della privacy che i committenti, stazioni appaltanti, propongono agli esecutori del lavoro o del servizio quando questi ultimi hanno costituito un raggruppamento temporaneo di imprese o associazione temporanea d’impresa (di seguito RTI), poiché è sempre più evidente che l’assegnazione di tali ruoli e responsabilità è proposta dopo attente analisi fattuali sul servizio erogato o sul lavoro effettuato e dallo schema definito nell’accordo (RTI verticale, orizzontale e misto).
RTI: che cosa è e come funziona? - Il raggruppamento temporaneo di imprese (RTI) è una soluzione giuridica adottata frequentemente dalle società per partecipare alle gare di appalto pubblico, dove il committente definisce il servizio o il lavoro oggetto di mandato e le società interessate alla commessa si accordano per raggiungere insieme i requisiti idonei all’aggiudicazione dell’appalto.
Il RTI, quindi, è un’aggregazione temporanea e occasionale tra due o più imprese, costituita soltanto per il periodo limitato alla partecipazione alla gara e, in caso di aggiudicazione, allo svolgimento dell’incarico oggetto dell’appalto pubblico.
Per raggiungere tale scopo le società posso costituire i RTI, come disciplinato dall’art. 48 del D.lgs. n. 50/2016 (Codice dei contratti pubblici), e definire il raggruppamento orizzontale (relativo ad un appalto avente ad oggetto lavori della stessa categoria o servizi dello stesso tipo di presentazione, che implica una distribuzione meramente quantitativa dell’incarico fra le imprese), verticale (relativo ad un appalto avente ad oggetto lavori di diverse categorie o servizi di diverso tipo di prestazione, che comporta una distribuzione qualitativa dell’incarico tra le imprese) o misto (combinazione del modello verticale e di quello orizzontale).
Lo strumento giuridico utilizzato dalle imprese che formano un RTI è quello del mandato con rappresentanza collettivo conferito dalle imprese mandanti all’impresa mandataria che agisce da capogruppo e che rappresenta tutta l’aggregazione nei rapporti con il committente (art. 48, co. 8, 12 e 15 Codice dei contratti pubblici).
Pertanto, nel RTI ciascun partecipante conserva la propria autonomia, non determinando tale struttura la costituzione di un’organizzazione stabile, rimanendo, tuttavia, solidalmente responsabile con gli altri nei confronti della stazione appaltante (art. 48, co. 4 e 16 Codice dei contratti pubblici).
Distribuzione dei ruoli e delle responsabilità nell’ambito della privacy nei RTI - L’esecuzione dell’incarico oggetto del contratto pubblico può comportare il trattamento da parte del RTI dei dati personali di cui è titolare la stazione appaltante. Tale attività è soprattutto frequente nell’ambito degli appalti di servizi. Ebbene, il RTI, ai sensi dell’art. 28 del GDPR, agisce quale responsabile del trattamento.
Tuttavia, non essendo il RTI un’organizzazione stabile, ma una temporanea e occasionale aggregazione delle imprese autonome, appare evidente la necessità di distribuire tra queste ultime i compiti relativi al trattamento dei dati personali. La distribuzione dei ruoli nell’ambito della privacy generalmente dipende dall’oggetto del contratto pubblico, dal tipo di RTI (verticale, orizzontale o misto), nonché dalle categorie dei dati personali trattati e dalle modalità di tale trattamento.
Analizzando diverse ripartizioni dei compiti nell’ambito della privacy e le relative designazioni, poste in essere dai Committenti per gestire il servizio svolto dal RTI, è possibile individuare quattro fattispecie.
a) Designazione dell’impresa mandataria quale responsabile del trattamento dei dati - Il committente nomina quale responsabile del trattamento dei dati personali, ai sensi dell’art. 28 del Regolamento UE 2016/679, la società mandataria del raggruppamento temporaneo di imprese, rilasciandole un’autorizzazione specifica, che fa sì che sia quest’ultima a gestire le relazioni con la mandante e le eventuali ulteriori esecutrici.
In questo caso, solitamente l’impresa mandataria ricorre a nomine di secondo livello volte a riflettere gli adempimenti contrattuali ai quali risponde il responsabile di primo livello, ovvero la mandataria, in modo tale che anche le altre società coinvolte nella commessa, quindi mandanti ed esecutrici dell’appalto, possano essere nominate sub responsabili (ovvero responsabili di secondo livello).
In tale ipotesi, le società mandanti non hanno rapporti diretti con il committente e rispondono dei propri obblighi in materia di privacy esclusivamente nei confronti della società mandataria. Quest’ultima, a sua volta, risponde nei confronti della stazione appaltante dell’agire proprio e di quello delle mandanti.
Tale approccio parrebbe in linea non soltanto con le disposizioni dell’art. 28, par. 4, del Regolamento UE 2016/679, ma anche con le previsioni del Codice dei contratti pubblici il quale, all’art. 48, co. 8, specifica che è il mandatario che stipula il contratto di appalto in nome e per conto proprio e dei mandanti.
b) Designazione di tutte le imprese coinvolte nel RTI (mandataria, mandante ed esecutrici) quali responsabili del trattamento dei dati - In altre occasioni l’atto di nomina a responsabile del trattamento dati personali viene proposto a tutte le società esecutrici dell’appalto: la mandataria, le mandanti ed ogni esecutrice dell’appalto.
Tale fattispecie porta alla gestione da parte del committente di diverse nomine e di relazioni dirette con tutti i soggetti coinvolti nella commessa, dove i singoli attori risultano responsabili del trattamento di primo livello e sottoscrivono singoli accordi contrattuali. In tale ipotesi, infatti, non sono designati sub-responsabili: tutte le imprese facenti parte del RTI e tutte le esecutrici coinvolte nell'appalto agiscono sullo stesso piano e rispondono del proprio agire in materia privacy direttamente nei confronti del committente.
Pertanto, l’esecuzione dell’appalto pubblico avviene sul doppio binario: mentre nell’ambito del lavoro o del servizio oggetto del contratto la mandatariaha la rappresentanza esclusiva dei mandanti nei confronti della stazione appaltante,inambito privacy tutte le imprese agiscono sullo stesso piano nei confronti del committente.
c) Designazione della mandataria e della mandante quali responsabili del trattamento dei dati - È possibile individuare una soluzione intermedia alle due precedentemente esposte, ossia lo scenario in cui il Titolare del trattamento, committente del servizio, designa quali Responsabili del Trattamento i soggetti componenti/costituenti il RTI, mandataria e mandante, lasciando la possibilità che questiultimi assegnino il ruolo di Sub Responsabile alle società esecutrici affidatarie del servizio.
Secondo questo schema ciascun componente del RTIassume responsabilità dirette nei confronti della stazione appaltante e risponde dell’operato delle proprie società esecutrici.
Tale soluzione potrebbe essere calzante nel caso in cui si presentasse un RTI verticale dove il flusso dei dati personali possa risultare distinto per servizio o lavoro svolto dalla mandataria e dalla mandante.
d) Designazione dell’impresa mandataria quale responsabile del trattamento dei dati con effetti diretti sulle imprese mandanti - Infine un’ultima soluzione, ma non per questo meno frequente, è quella in cui il committente chiede esplicitamente nell’atto di nomina a responsabile del trattamento dei dati personali che sia firmato dalla sola società mandataria ma abbia effetti diretti anche sulla mandante che viene citata nell’unico atto di designazione a responsabile proposto dal committente. In questo caso si è in presenza di due o più responsabili di primo livello che accettano le condizioni contrattuali privacy solo per mezzo della sottoscrizione dell’atto di nomina da parte della mandataria, che se ne fa portavoce.
È opportuno in questi casi predisporre un patto parasociale (in caso di RTI composto da soci, come ad esempio, nelle realtà consortili) o un regolamento/accordo interno tra la mandataria e le altre società mandanti richiamate nell’atto di nomina proposto dal committente, al fine di poter adeguatamente imporre i medesimi adempimenti contrattuali alle altre società del RTI.
Tale ipotesi appare un tentativo di conciliare la normativa privacy con quella sugli appalti pubblici: da un lato, il committente chiede un rapporto diretto in materia del trattamento dei dati personali su tutte le imprese del RTI, dall’altro lato, propone la sottoscrizione dell’atto di designazione a responsabile del trattamento soltanto alla mandataria in quanto la stessa rappresenta le società mandanti in virtù del mandato collettivo ex art. 48, co. 8, del Codice dei contratti pubblici.
L’assenza di chiarimenti in tal senso da parte delle autorità competenti, in particolare da parte del Garante per la protezione dei dati personali, crea ampio spazio per invenzioni di diversi schemi relativi alla distribuzione dei ruoli nell’ambito della privacy ma lascia non pochi dubbi sulla correttezza dell’interpretazione della normativa.
di Maria Elena Poggioli e Natalia Artemenko
