g-docweb-display Portlet

Parere alla Presidenza del Consiglio dei Ministri-Dipartimento per la pubblica amministrazione e la semplificazione su uno schema di decreto recan...

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1872045]

Parere alla Presidenza del Consiglio dei Ministri-Dipartimento per la pubblica amministrazione e la semplificazione su uno schema di decreto recante regolamento per la determinazione dei livelli minimi dei requisiti richiesti per l´iscrizione agli elenchi dei fornitori qualificati del Sistema Pubblico di connettività (SPC) - 12 gennaio 2012

Registro dei provvedimenti
n. 09 del 12 gennaio 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale;

Vista la richiesta di parere della Presidenza del Consiglio dei Ministri-Dipartimento per la pubblica amministrazione e la semplificazione ;

Visto l´art. 154, comma 4 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO

1. La Presidenza del Consiglio dei Ministri-Dipartimento per la pubblica amministrazione e la semplificazione ha richiesto il parere del Garante in ordine a uno schema di decreto del Presidente del Consiglio dei Ministri recante "regolamento per la determinazione dei livelli minimi dei requisiti richiesti per l´iscrizione agli elenchi dei fornitori qualificati del Sistema Pubblico di connettività (SPC) , ai sensi dell´articolo 87 del Codice dell´amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82 e successive modificazioni".

Il provvedimento è adottato ai sensi dell´articolo 87 del codice dell´amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82 e successive modificazioni (infra: CAD), che demanda appunto a un apposito regolamento la previsione, tra l´altro, dei livelli minimi dei requisiti richiesti per l´iscrizione agli elenchi, di competenza nazionale e regionale, dei fornitori legittimati ad erogare servizi connessi al funzionamento del Servizio pubblico di connettività (infra: SPC).

Il Titolo I, recante "principi generali", contiene anzitutto le definizioni dei termini utilizzati nel regolamento, diversi da quelli già previsti dal CAD, cui si fa peraltro un generale rinvio a fini interpretativi (art.1). Inoltre, all´articolo 2, si definisce l´ambito oggettivo del regolamento.

Il Titolo II disciplina anzitutto, all´articolo 3, la categoria generale dei soggetti legittimati a richiedere la qualificazione e gli accertamenti cui essi sono sottoposti (iscrizione negli elenchi dei fornitori e verifica della qualità dei servizi erogati). L´iscrizione negli elenchi si articola in due fasi. La prima è la fase di qualificazione del fornitore, il cui superamento comporta l´iscrizione del fornitore nell´apposito Elenco dei fornitori qualificati SPC e che,  ai sensi dell´articolo 45 del codice dei contratti pubblici relativi a lavori, servizi e forniture, di cui al decreto legislativo 12 aprile 2006, n. 163 e successive modificazioni - cui la norma stessa rinvia - costituisce presunzione d´idoneità alla prestazione ai fini, tra l´altro, del possesso di taluni dei requisiti di ordine generale previsti dal codice stesso, anche con riferimento all´assenza di precedenti penali per reati ‘ostativi´. La seconda fase è quella di certificazione dei servizi SPC, il cui superamento comporta l´iscrizione nell´apposito Elenco dei servizi SPC certificati, suscettibili di erogazione da parte del fornitore.

Tra i requisiti specifici che devono possedere i fornitori, ai fini della procedura di qualificazione, l´articolo 4 del regolamento comprende, tra gli altri, quelli indicati (attraverso un rinvio all´articolo 82, commi 4 e 5 del CAD) dagli articoli 25 e 114 del codice delle comunicazioni elettroniche di cui al decreto legislativo 1 agosto 2003, n. 259 e successive modificazioni, nell´ambito dei quali si segnalano, in particolare, il non essere il soggetto stato destinatario di misure di sicurezza o di prevenzione ovvero il non aver riportato condanne per determinati delitti non colposi, selezionati sulla base della comminatoria edittale. Altri requisiti meritevoli di nota sono quelli relativi alla conformità del servizio erogato agli standard di sicurezza delineati dalle regole tecniche e di sicurezza per il funzionamento del SPC di cui al decreto del Presidente del Consiglio dei Ministri 1 aprile 2008.

Il possesso dei previsti requisiti deve risultare dai documenti allegati alla domanda di qualificazione, ai fini della verifica che l´Organismo competente (DigitPa o le regioni, per i rispettivi elenchi) dovrà effettuare (art. 4, comma 7).

Ai sensi dell´articolo 7, rubricato "Misure di protezione dei dati personali e delle informazioni industriali", le informazioni fornite dai soggetti ai fini della qualificazione e della verifica dell´invarianza dei requisiti sono gestite dai suddetti Organismi competenti, conformemente alle norme del Codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni (d´ora innanzi: "Codice"), oltre che del codice della proprietà industriale, di cui al decreto legislativo 10 febbraio 2005, n. 30 e  successive modificazioni. Si precisa peraltro – evidentemente con precipuo riferimento alla sola protezione dei dati personali -  che il "trattamento dei dati è effettuato nel rispetto dei principi di correttezza, liceità e trasparenza" (quest´ultimo, non meglio specificato), nonché "delle misure di sicurezza". Il comma 2 del medesimo articolo sancisce poi, in capo al personale incaricato dagli Organismi competenti, l´obbligo di mantenere riservati i dati non pubblici di cui siano venuti a conoscenza e di non farne uso per finalità diverse da quelle "strettamente necessari[e] ai fini del presente Regolamento".

Gli articoli 9 e 10 disciplinano il contenuto minimo degli Elenchi dei fornitori qualificati SPC e, rispettivamente, dei servizi certificati erogabili dai medesimi fornitori qualificati.

Il Titolo IV disciplina la categoria degli Organismi competenti ad istituire gli Elenchi dei fornitori qualificati e dei servizi certificati in ambito SPC, precisando, in particolare, che gli Elenchi di competenza nazionale dei fornitori del SPC sono tenuti da DigitPA, che è tra l´altro responsabile della garanzia della disponibilità in via telematica degli Elenchi stessi.

Il Titolo V disciplina le "misure di supporto agli Organismi competenti a qualificare i fornitori e certificare e vigilare i servizi".

Il Titolo VI indica i presupposti e le modalità di sospensione e revoca della qualificazione. Tali provvedimenti possono essere assunti, in particolare, all´esito di verifiche ispettive e attività istruttorie volte a verificare segnatamente eventuali non conformità del servizio offerto e delle strutture predisposte rispetto alla documentazione redatta dal fornitore per il conseguimento della qualifica (artt. da 16 a 19). L´articolo 22 disciplina peraltro le forme di pubblicità delle delibere di sospensione o di revoca della qualificazione.

Il Titolo VII indica le prestazioni erogabili a titolo oneroso, mentre il Titolo VIII disciplina le condizioni di recepimento del regolamento stesso nei contratti stipulati dalle amministrazioni.

RITENUTO

2. Come già osservato, l´articolo 7 dello schema di regolamento impone agli Organismi competenti di gestire le informazioni fornite dai richiedenti ai fini della qualificazione e della verifica dell´invarianza dei requisiti, in conformità alle norme del Codice. Pertanto, l´Amministrazione competente –titolare del trattamento dei dati personali– sarà tenuta, fra l´altro, a fornire agli interessati idonea informativa ai sensi dell´articolo 13 del Codice, nonché a designare gli incaricati ed, eventualmente, anche il responsabile del trattamento, ai sensi degli articoli 30 e, rispettivamente, 29 del Codice stesso.

RILEVATO

3. La materia oggetto del presente schema di regolamento è di particolare delicatezza, sotto il profilo della protezione dei dati personali, in quanto può comportare il trattamento di "dati giudiziari" (come definiti dall´articolo 4, comma 1, lett. e), del Codice), per il quale sono previste particolari garanzie (artt. 20, 21 e 22 del Codice).

In particolare tale trattamento può rendersi necessario in sede di accertamento, da parte dell´organo preposto alla tenuta dell´Elenco o comunque alla verifica dei presupposti per l´iscrizione nell´Elenco stesso, dei requisiti di onorabilità richiesti, anche ai fini del controllo delle dichiarazioni sostitutive eventualmente prodotte dagli interessati ai sensi del d.P.R. 28 dicembre 2000, n. 445 (ad esempio, mediante acquisizione del certificato del casellario giudiziale o dei carichi pendenti).

Il trattamento di tali dati è autorizzato da norme di legge che specificano le finalità di rilevante interesse pubblico di cui all´articolo 21 del Codice, in quanto, da un lato, la fattispecie in questione riguarda l´applicazione della disciplina in materia di "requisiti di onorabilità" (art. 69 del Codice) e, dall´altro, la consultazione diretta, da parte di una pubblica amministrazione, degli archivi dell´amministrazione certificante "finalizzata…al controllo sulle dichiarazioni sostitutive presentate dai cittadini" si considera operata per una finalità di rilevante interesse pubblico (art. 43, comma 2, d.P.R. n. 445/2000).

Inoltre, il trattamento dei predetti dati richiede, come è noto, l´ulteriore requisito della previsione regolamentare che, in conformità al medesimo articolo 21 del Codice, individui i tipi di dati e di operazioni che l´Amministrazione competente è autorizzata, rispettivamente, a trattare e ad effettuare, ai fini dell´applicazione del provvedimento in esame; previsione regolamentare che l´Amministrazione è tenuta a verificare nel più ampio ambito dei trattamenti di dati sensibili e giudiziari di competenza.

CONSIDERATO

4. Come già rilevato, gli articoli 9 e 10, al comma 2, disciplinano il contenuto minimo degli Elenchi dei fornitori qualificati SPC e degli Elenchi dei servizi certificati erogabili dai medesimi fornitori, i quali, ai sensi del comma 1, sono consultabili per via telematica. Ai fini del rispetto dei principi di finalità, pertinenza e non eccedenza dei dati trattati, di cui all´articolo 11, comma 1, lettere b) e d) del Codice, è opportuno modificare le suddette disposizioni, nel senso di rendere tassativo e determinato l´elenco dei dati che devono essere registrati negli elenchi e che sono consultabili in via telematica. A tal fine, è necessario che, al comma 2 degli articoli 9 e 10, la parola: "almeno" sia soppressa.

5. Ai sensi degli articoli 9, comma 1 e 10, comma 1, gli Elenchi dei fornitori del SPC e dei servizi certificati erogabili sono consultabili – come già incidentalmente osservato - in via telematica. Sul punto, appare auspicabile che il regolamento chiarisca ulteriormente il regime di conoscibilità dei suddetti elenchi, anche rispetto a quanto disposto dall´articolo 7, comma 2, che si riferisce, tra l´altro, a dati e informazioni industriali "che non siano pubblici". In particolare, si potrebbero anche prevedere diversi livelli di accesso ai dati contenuti negli elenchi, in rapporto alla funzione svolta dal soggetto legittimato alla consultazione, nel rispetto dei già citati principi di finalità, pertinenza e non eccedenza dei dati trattati.

IL GARANTE

- esprime parere favorevole sullo schema di decreto del Presidente del Consiglio dei Ministri recante "regolamento per la determinazione dei livelli minimi dei requisiti richiesti per l´iscrizione agli elenchi dei fornitori qualificati del Sistema Pubblico di connettività (SPC) , ai sensi dell´articolo 87 del Codice dell´amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82 e successive modificazioni ", con la seguente condizione:

a) al comma 2 degli articoli 9 e 10, la parola: "almeno" sia soppressa (punto 4);

e con la seguente osservazione:

b) valuti l´Amministrazione l´opportunità di chiarire ulteriormente il regime di conoscibilità degli Elenchi dei fornitori del SPC e dei servizi certificati erogabili, eventualmente anche prevedendo diversi livelli di accesso ai dati contenuti negli elenchi, in rapporto alla funzione svolta dal soggetto legittimato alla consultazione (punto 5);

- richiama l´attenzione dell´Amministrazione competente in ordine:

a) all´esigenza di fornire agli interessati idonea informativa ai sensi dell´articolo 13 del Codice, nonché a designare gli incaricati ed, eventualmente, anche il responsabile del trattamento, ai sensi degli articoli 30 e, rispettivamente, 29 del Codice stesso (punto 2);

b) alla verifica della previsione regolamentare conforme all´articolo 21 del Codice e concernente l´individuazione dei tipi di dati e di operazioni che l´Amministrazione competente è autorizzata, rispettivamente, a trattare e ad effettuare, ai fini dell´applicazione del provvedimento in esame (punto 3).

Roma, 12 gennaio 2012

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
De Paoli

Scheda

Doc-Web
1872045
Data
12/01/12

Argomenti


Tipologie

Parere del Garante

Vedi anche (10)