Gare di appalto e norme in materia di protezione dei dati personali: la sentenza del TAR

21 Settembre 2022

Il Tribunale Amministrativo del Veneto – sede di Venezia, sez. I, con la sentenza n. 8/2022, ha bocciato l’aggiudicazione di un appalto di un sistema di controllo del traffico, annullando gli atti di gara in parte qua, ossia in relazione alla mancata esclusione dalla procedura della società (la “Società”) e alla aggiudicazione ad essa del servizio, poiché la stessa aveva offerto un dispositivo non conforme alle specifiche stabilite dalla stazione appaltante. In particolare, il Tribunale ha rilevato che il sistema di controllo proposto dalla Società, oltre a rilevare le infrazioni al codice della strada, registrava altresì in modo generico e indifferenziato tutti i veicoli in transito nel raggio di azione del dispositivo, verificando in automatico a mezzo di banche dati, anche il rispetto degli obblighi di revisione e di assicurazione.

Nella pronuncia, il giudice amministrativo, richiamando quanto precisato di recente dal Consiglio di Stato (cfr. Cons. Stato, sez. V, n. 509/2021), ha infatti affermato che i dispositivi di controllo utilizzati per l’accertamento automatico dell’eccesso di velocità dei veicoli non possono registrare i dati di tutti i veicoli in transito, ma solo di quelli che commettono l’infrazione.

Inoltre, sempre riportando quanto osservato dal Consiglio di Stato, il Tribunale ha evidenziato che le immagini foto e video nonché, in generale, i dati raccolti dagli apparecchi di rilevazione devono essere, in ottemperanza alle previsioni del Regolamento UE 2016/679 (il “GDPR”):

  • resi disponibili esclusivamente per l'accertamento e la contestazione degli illeciti stradali, salva la possibilità di utilizzo dei dati per fini giudiziari;
  • conservati in forma di dati anonimi, non potendo pertanto risultare identificabili i veicoli e le persone ripresi;
  • utilizzati, attraverso dati anonimi, soltanto per studi e ricerche sul traffico;
  • trattati solo dal personale responsabile degli organi di polizia e dagli incaricati del trattamento e della gestione dei dati;
  • conservati solo per il periodo di tempo strettamente necessario all'applicazione delle sanzioni e alla definizione dell'eventuale contenzioso;
  • trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate volte ad evitare l'accesso non autorizzato.

Richiamando altresì il provvedimento in materia di videosorveglianza dell’Autorità garante per la protezione dei dati personali dell’8 aprile 2010 (consultabile qui), è stato ribadito che:

  • gli impianti elettronici di rilevamento automatizzato delle infrazioni, utilizzati per documentare la violazione delle disposizioni in materia di circolazione stradale, analogamente all'utilizzo di sistemi di videosorveglianza, comportano un trattamento di dati personali;
  • l'utilizzo di tali sistemi è lecito se sono raccolti solo dati pertinenti e non eccedenti per il perseguimento delle finalità istituzionali del titolare, delimitando a tal fine la dislocazione e l'angolo visuale delle riprese in modo da non raccogliere immagini non pertinenti o inutilmente dettagliate.

Alla luce di quanto sopra e posto che il sistema di controllo proposto dalla Società consentiva la rilevazione massiva di dati personali, sia nell’ambito del controllo di velocità e infrazioni commessi in prossimità dei semafori, sia nell’ambito della regolarità dei veicoli in transito rispetto agli obblighi di revisione e di assicurazione, il giudice amministrativo ha ritenuto il ricorso fondato nella parte in cui veniva lamentata la mancata esclusione della Società, "per avere quest'ultima offerto in gara un dispositivo carente di omologazione e, in ogni caso, dotato di funzionalità e caratteristiche [...] vietate perché in contrasto con la disciplina vigente in materia di tutela della riservatezza".

Ne deriva che dal punto di vista in materia di protezione dei dati personali si può rilevare che tale trattamento di dati non risulti adeguatamente giustificato dal principio di liceità e proporzionalità del trattamento ex art. 5 del GDPR.

La sentenza in esame fornisce ulteriore conferma della rilevanza che assume il mancato rispetto delle norme sulla protezione dei dati anche in caso di partecipazione a gare di appalto.

Il trattamento lecito di dati personali e, in generale, il rispetto dei principi sanciti dal GDPR rappresenta, infatti, un criterio di valutazione delle offerte per le aggiudicazioni e risulta altresì una delle condizioni da rispettare durante la gara, potendo costituire, in caso di violazione, causa di annullamento degli atti di gara ed esclusione dalla procedura di aggiudicazione.

Di seguito la copia integrale della sentenza:

2024 - Morri Rossetti

I contenuti pubblicati nel presente sito sono protetti da diritto di autore, in base alle disposizioni nazionali e delle convenzioni internazionali, e sono di titolarità esclusiva di Morri Rossetti e Associati.
È vietato utilizzare qualsiasi tipo di tecnica di web scraping, estrazione di dati o qualsiasi altro mezzo automatizzato per raccogliere informazioni da questo sito senza il nostro esplicito consenso scritto.
Ogni comunicazione e diffusione al pubblico e ogni riproduzione parziale o integrale, se non effettuata a scopo meramente personale, dei contenuti presenti nel sito richiede la preventiva autorizzazione di Morri Rossetti e Associati.

cross