Parere del Garante sulla deliberazionedell'Avcp attuativa dell'art. 6-bis del Codice dei contratti pubblici relativia lavori, servizi e forniture (d.lg. 12 aprile 2006, n. 163)

PROVVEDIMENTO DEL 19 DICEMBRE 2012

Registro dei provvedimenti
n. 420 del 19 dicembre 2012

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano edella dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia,segretario generale;

Vistala richiesta di parere dell'Autorità per la vigilanza sui contratti pubblicidel 13 dicembre 2012;

Vistoil Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003,n. 196);

Vistal'Autorizzazione generale n. 7/2011 del Garante al trattamento dei dati acarattere giudiziario da parte di privati, di enti pubblici economici e disoggetti pubblici del 24 giugno 2011 (Gazzetta Ufficiale n. 162 del 14luglio 2011), rinnovata dal Garante il 13 dicembre 2012 fino al 31 dicembre2013;

Vistala documentazione in atti;

Vistele osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

Relatoreil dott. Antonello Soro;

PREMESSO

L'Autoritàper la vigilanza sui contratti pubblici (di seguito Avcp) ha richiesto ilparere del Garante in ordine ad una deliberazione attuativa dell'art. 6-bis deld.lg. 12 aprile 2006, n. 163 (Codice dei contratti pubblici relativi a lavori,servizi e forniture), in base al quale, dal 1∞ gennaio 2013, le stazioniappaltanti e gli enti aggiudicatori devono verificare il possesso dei requisitidi carattere generale, tecnico-organizzativo ed economico-finanziario per lapartecipazione alle procedure disciplinate dal citato Codice dei contrattipubblici esclusivamente tramite la Banca dati nazionale dei contratti pubblici(BDNCP), istituita presso l'AVCP medesima.

Ladeliberazione in esame:

-individua i dati concernenti la partecipazione alle gare e la valutazione delleofferte dainserire nella BDNCP al fine di consentire alle stazioni appaltanti/entiaggiudicatori di verificare il possesso dei requisiti degli operatori economiciper l'affidamento dei contratti pubblici,

-istituisce il nuovo sistema AVCPASS, finalizzato alla verifica online deirequisiti attraverso la BDNCP, dotato di apposite aree dedicate ad operatorieconomici e a stazioni appaltanti/enti aggiudicatori;

-stabilisce i termini e le regole tecniche per l'acquisizione, l'aggiornamento ela consultazione dei predetti dati.

RILEVATO

1. Accesso al sistema AVCPASS e modalità operative(artt. 2, 3 e 4)

Ilsistema AVCPASS consente alle stazioni appaltanti/enti aggiudicatori,attraverso un'interfaccia web e le cooperazioni applicative con gli enticertificanti, l'acquisizione della documentazione comprovante il possesso deirequisiti di carattere generale, tecnico-organizzativo ed economico-finanziarioper l'affidamento dei contratti pubblici. Gli operatori economici, invece,tramite l'apposita area dedicata possono inserire a sistema i documentinecessari e li possono utilizzare per ciascuna delle procedure di affidamento.

Alfine di utilizzare il sistema AVCPASS, la stazione appaltante/enteaggiudicatore, dopo la registrazione al sistema SIMOG,acquisisce, per ciascuna procedura di affidamento, il CIG (Codiceidentificativo di gara), tramite il responsabile del procedimento che indica ilsoggetto abilitato alla verifica dei requisiti. L'operatore economico, dopo laregistrazione al servizio AVCPASS, indica a sistema il CIG della procedura diaffidamento cui intende partecipare.

Ladeliberazione individua le modalità di comunicazione che devono adottare isoggetti abilitati dalla stazione appaltante/ente aggiudicatore (responsabiledel procedimento, presidente di commissione e commissari di gara) e l'operatoreeconomico (amministratore/legale rappresentante), i quali, in relazione allasingola gara, interagiscono attraverso il sistema AVCPASS. Viene, inparticolare, prescritto che ciascuno dei soggetti sopraindicati si doti di unacasella di posta elettronica certificata (PEC) e che i documenti inseriti daglioperatori economici siano firmati digitalmente.

L'accessoal sistema AVCPASS viene consentito esclusivamente al responsabile delprocedimento ed al soggetto abilitati dalle stazioni appaltanti/entiaggiudicatori alla verifica dei requisiti, a partire dalla scadenza del termineper la presentazione delle offerte, così come dichiarato sul sistema SIMOG.

Alfine di garantire che le richieste di verifica dei requisiti interessinounicamente i partecipanti alla specifica procedura, il sistema prevede che,prima di poter accedere alla comprova dei requisiti, il soggetto abilitato allaverifica dei requisiti integri o confermi, utilizzando l'apposita funzionalitàdi AVCPASS, l'elenco degli operatori economici partecipanti alla procedura di affidamento.Una volta effettuata tramite AVCPASS la richiesta dei documenti a comprova deirequisiti per gli operatori economici interessati, l'Avcp avvia presso gli enticertificanti le richieste dei documenti e li mette a disposizionetempestivamente, non appena ricevuti dagli enti certificanti.

Entroil termine di 60 giorni dalla data dell'aggiudicazione definitiva di ciascunaprocedura di affidamento gestita tramite AVCPASS, il responsabile delprocedimento deve trasferire definitivamente sui propri sistemi, mediantel'apposita funzionalità, i fascicoli di gara e i documenti in essi contenuti.Trascorsi 4 giorni dalla scadenza del termine per l'acquisizione dei documenti,ove il responsabile del procedimento non abbia adempiuto a quanto previsto dalcomma 9, l'Avcp procede ad inviare la documentazione via PEC alla stazioneappaltante/ente aggiudicatore. Tale invio costituisce consegna ufficiale delladocumentazione di gara.

2. Dati comprovanti il possesso dei requisiti (artt. 5 e 6)

Ladeliberazione individua, la documentazione e i dati a comprova dei requisiti dicarattere generale che, in sede di prima applicazione, vengono acquisiti pressola BDNCP e resi disponibili attraverso il sistema:

a)visura del Registro delle imprese fornita da Unioncamere;

b)certificato del casellario giudiziale integrale fornito dal Ministero dellagiustizia;

c)anagrafe delle sanzioni amministrative – selettivo ex art. 39 d.P.R. n.313/2002 dell'impresa, fornita dal Ministero della giustizia;

d)certificato di regolarità contributiva di ingegneri, architetti e studiassociati, fornito da Inarcassa;

e)certificato di regolarità fiscale fornito dall'Agenzia delle entrate;

f) DURC,documento unico di regolarità contributiva fornito dall'Inail;

g)comunicazione antimafia fornita dal Ministero dell'interno;

h) leiscrizioni presso il casellario informatico dei contratti pubblici giàesistente presso l'Avcp.

Nelladeliberazione vengono individuate altresì le informazioni necessarie a fornireevidenza del possesso dei requisiti tecnico-organizzativi edeconomico-finanziari che sono acquisiti presso la BDNCP e resi disponibiliattraverso il Sistema AVCPASS. In tal caso, il sistema informatico vienealimentato attraverso tre distinti canali:

1)i documenti e i dati forniti dagli enti certificanti:

a)bilanci delle società di capitali ove disponibili, forniti da parte diUnioncamere;

b)certificazioni di sistema di qualità aziendale conforme alle norme europeedella serie UNI EN ISO 9000 relative al settore EA28 forniti da Accredia;

c)fatturato globale e ammortamenti degli operatori economici costituiti in formad'impresa individuale ovvero società di persone, ove disponibili, forniti daparte dell'Agenzia delle entrate;

d) datirelativi alla consistenza e al costo del personale dipendente, forniti da partedell'Inps;

2)i documenti resi disponibili direttamente dalla stessa Avcp:

a) leattestazioni SOA;

b) icertificati esecuzione lavori (CEL);

c) icertificati attestanti l'avvenuta esecuzione di servizi e forniture prestati afavore di amministrazioni o enti pubblici;

d) lericevute di pagamento del contributo obbligatorio all'Avcp da parte deisoggetti partecipanti.

3)i documenti inseriti nel sistema dagli operatori economici a comprova delpossesso dei requisiti di carattere tecnico-organizzativo edeconomico-finanziario, non inclusi in quanto indicato nei precedenti punti 1 e2, conformemente a quanto segnalato dal responsabile del procedimento in ordinealle specificità di gara.

Ladeliberazione in esame prevede, inoltre, che l'individuazione dei dati e delladocumentazione sopra descritta, può essere oggetto di modifica mediante nuovadeliberazione, sottoposta, per i profili di competenza, al parere del Garante.

3. Modalità tecniche per la fornitura dei dati daparti degli enti certificanti (art. 7)

Secondoil citato art. 6-bis, comma 4, del Codice dei contratti pubblici, i singolienti certificanti che detengono i dati e la documentazione sono tenuti ametterli a disposizione dell'Avcp entro i termini e le modalità definititramite apposite convenzioni.

Perle modalità di scambio dei dati con gli enti certificanti, la deliberazionestabilisce che vengano adottate le regole tecniche e di sicurezza dellostandard SPCoop ed in conformità a quanto stabilito nelle Linee guida per lafruibilità di dati delle pubbliche amministrazioni ai sensi dell'art. 58, comma2, del d.lg. 7 marzo 2005, n. 821 -Codice dell'amministrazione digitale- osoluzioni tecnologiche alternative che garantiscono comunque livelli di sicurezzanon inferiori a detto standard.

Conriferimento alle modalità di fornitura dei dati da parte degli enticertificanti, la deliberazione reca in allegato una tabella descrittiva deldettaglio dei flussi di dati, riportante per ciascuno di essi, in particolare,le tipologie di dati comunicati all'Avcp, i riferimenti normativi, l'oggettodella verifica, il contenuto, la rete utilizzata, il tracciato dati e il metododi autenticazione.

Ladeliberazione prevede, inoltre, che i dati e i documenti vengano acquisitidall'Avcp per conto delle stazioni appaltanti/enti aggiudicatori per il soloespletamento delle verifiche in sede di gara.

4. Protezione dei dati personali e misure disicurezza (art. 8)

Neladeliberazione sono state individuate le principali misure di sicurezza poste inessere dall'Avcp al fine di rispettare gli obblighi di sicurezza previsti dalCodice in materia di protezione dei dati personali.

Inparticolare, viene previsto che:

-l'accesso ai servizi AVCPASS avvenga solo a seguito del superamento di unaprocedura di autenticazione basata su dispositivi e credenziali, queste ultimesono composte dall'identificativo dell'utente e dalla relativa componenteriservata (parola d'ordine o password) per la cui costruzione sono adottatiidonei criteri di robustezza (almeno otto caratteri, uso di caratterialfanumerici, lettere maiuscole e minuscole, caratteri estesi). Laddove venganoutilizzati dispositivi di autenticazione, deve esserne assicurata la diligentecustodia;

- lapassword, comunicata direttamente al singolo incaricato separatamente rispettoal codice per l'identificazione, deve essere modificata dallo stesso al primoutilizzo e, successivamente, almeno ogni 90 giorni e le ultime tre password nonpossono essere riutilizzate; le credenziali sono bloccate a fronte di reiteratitentativi falliti di autenticazione;

- ilsistema AVCPASS espone i dati ai soggetti autorizzati per il tempo strettamentenecessario al trattamento degli stessi nell'ambito delle procedure di cui alcomma 1. Al termine di dette procedure i dati non sono più residenti sulsistema;

- sonodisposte idonee procedure di audit sugli accessi, i cui esiti sono documentati.Tali procedure prevedono attività di audit basate sul monitoraggio statisticodegli accessi e su meccanismi di alert che individuino comportamenti anomali oa rischio dal punto di vista della sicurezza informatica;

- l'Avcp è in grado di fornire su richiesta agli enti certificanti evidenzadell'utenza che attraverso il sistema ha generato la singola richiesta didocumentazione;

- èfatto obbligo agli operatori economici e alle stazioni appaltanti/entiaggiudicatori di segnalare tempestivamente all'Avcp eventuali incidenti sullasicurezza qualora tali incidenti abbiano impatto direttamente o indirettamentesul sistema AVCPASS, nonché ogni eventuale esigenza di aggiornamento di statodegli utenti gestiti (nuovi inserimenti, disabilitazioni, cancellazioni);

- iltempo di conservazione dei dati relativi agli accessi e alle operazionicompiute nel sistema è fissato nei termini di legge.

CONSIDERATO

Ilparere è reso su di una versione aggiornata della deliberazione che tiene contodegli approfondimenti e delle indicazioni rese dall'Ufficio del Garante ai competentiuffici dell'Avcp nel corso di alcune riunioni, volte a rendere sotto ogniprofilo effettivo il diritto alla protezione dei dati personali degliinteressati, nell'ambito dei trattamenti ivi disciplinati.

Leindicazioni dell'Ufficio hanno riguardato, in particolare:

- lemodalità di realizzazione dei flussi informativi previsti nell'ambito delsistema AVCPASS tra l'Avcp e gli enti certificatori;

- ladefinizione di misure di sicurezza idonee e preventive volte a garantire irischi di accessi non autorizzati e di trattamenti non consentiti o nonconformi alle finalità della raccolta.

Conspecifico riferimento ai dati giudiziari trattati nell'ambito della BDNCP e delsistema AVCPASS, si rileva che il trattamento di tali dati risulta autorizzatoai sensi dell'Autorizzazionegenerale n. 7/2011 del Garante al trattamento dei dati acarattere giudiziario da parte di privati, di enti pubblici economici e disoggetti pubblici del 24 giugno 2011  (Gazzetta Ufficiale n. 162 del 14luglio 2011), rinnovata con provvedimentodel 13 dicembre 2012 fino al 31 dicembre 2013, in corso dipubblicazione sulla Gazzetta Ufficiale.

Sievidenzia, infine, che la delibera in esame riguarda anche il trattamento diinformazioni riferite a persone giuridiche, enti o associazioni, benché l'art.40, comma 2, del d.l. 6 dicembre 2011, n. 201, convertito con modificazionidalla l. 22 dicembre 2011, n. 214, abbia riformulato le definizioni di"dato personale" e di "interessato" di cui all'art. 4,comma 1, lett. b) e i) del Codice, sottraendo dall'ambito di applicazione delladisciplina in materia di protezione dei dati personali le persone giuridiche,gli enti e le associazioni. In tale quadro, si precisa pertanto che il presenteparere è reso esclusivamente con riferimento al trattamento di dati personaliriferiti a persone fisiche ai sensi del novellato art. 4, comma 1, lett. b) delCodice.

RITENUTO

Inrelazione alla conservazione dei dati relativi agli accessi e alle operazionicompiute nel sistema, si ritiene che nella deliberazione debbano essereesplicitati i tempi di conservazione; ciò, avuto riguardo alla circostanza chei dati personali oggetto di trattamento possono essere conservati in una formache consenta l'identificazione dell'interessato per un periodo di tempo nonsuperiore a quello necessario agli scopi per i quali essi sono stati raccolti osuccessivamente trattati (art. 11, comma 1, lett. e)  del Codice).

IL GARANTE

esprimeparere favorevole sulla deliberazione dell'Autorità per la vigilanza suicontratti pubblici attuativa dell'art. 6-bis del d.lg. 12 aprile 2006, n. 163, acondizione che venga esplicitato il tempo di conservazione dei dati relativiagli accessi e alle operazioni compiute nel sistema.

Roma, 19 dicembre 2012

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia