Il Tribunale Amministrativo del Veneto – sede di Venezia, sez. I, con la sentenza n. 8/2022, ha bocciato l’aggiudicazione di un appalto di un sistema di controllo del traffico, annullando gli atti di gara in parte qua, ossia in relazione alla mancata esclusione dalla procedura della società (la “Società”) e alla aggiudicazione ad essa del servizio, poiché la stessa aveva offerto un dispositivo non conforme alle specifiche stabilite dalla stazione appaltante. In particolare, il Tribunale ha rilevato che il sistema di controllo proposto dalla Società, oltre a rilevare le infrazioni al codice della strada, registrava altresì in modo generico e indifferenziato tutti i veicoli in transito nel raggio di azione del dispositivo, verificando in automatico a mezzo di banche dati, anche il rispetto degli obblighi di revisione e di assicurazione. Nella pronuncia, il giudice amministrativo, richiamando quanto precisato di recente dal Consiglio di Stato (cfr. Cons. Stato, sez. V, n. 509/2021), ha infatti affermato che i dispositivi di controllo utilizzati per l’accertamento automatico dell’eccesso di velocità dei veicoli non possono registrare i dati di tutti i veicoli in transito, ma solo di quelli che commettono l’infrazione. Inoltre, sempre riportando quanto osservato dal Consiglio di Stato, il Tribunale ha evidenziato che le immagini foto e video nonché, in generale, i dati raccolti dagli apparecchi di rilevazione devono essere, in ottemperanza alle previsioni del Regolamento UE 2016/679 (il “GDPR”): Richiamando altresì il provvedimento in materia di videosorveglianza dell’Autorità garante per la protezione dei dati personali dell’8 aprile 2010 (consultabile qui), è stato ribadito che: Alla luce di quanto sopra e posto che il sistema di controllo proposto dalla Società consentiva la rilevazione massiva di dati personali, sia nell’ambito del controllo di velocità e infrazioni commessi in prossimità dei semafori, sia nell’ambito della regolarità dei veicoli in transito rispetto agli obblighi di revisione e di assicurazione, il giudice amministrativo ha ritenuto il ricorso fondato nella parte in cui veniva lamentata la mancata esclusione della Società, "per avere quest'ultima offerto in gara un dispositivo carente di omologazione e, in ogni caso, dotato di funzionalità e caratteristiche [...] vietate perché in contrasto con la disciplina vigente in materia di tutela della riservatezza". Ne deriva che dal punto di vista in materia di protezione dei dati personali si può rilevare che tale trattamento di dati non risulti adeguatamente giustificato dal principio di liceità e proporzionalità del trattamento ex art. 5 del GDPR. La sentenza in esame fornisce ulteriore conferma della rilevanza che assume il mancato rispetto delle norme sulla protezione dei dati anche in caso di partecipazione a gare di appalto. Il trattamento lecito di dati personali e, in generale, il rispetto dei principi sanciti dal GDPR rappresenta, infatti, un criterio di valutazione delle offerte per le aggiudicazioni e risulta altresì una delle condizioni da rispettare durante la gara, potendo costituire, in caso di violazione, causa di annullamento degli atti di gara ed esclusione dalla procedura di aggiudicazione. Di seguito la copia integrale della sentenza: