Parere alla Presidenza del Consiglio dei Ministri-Dipartimento per la pubblica amministrazione e la semplificazione su uno schema di decreto recante regolamento per la determinazione dei livelli minimi dei requisiti richiesti per l'iscrizione agli elenchi dei fornitori qualificati del Sistema Pubblico di connettivita' (SPC)

Parere alla Presidenzadel Consiglio dei Ministri-Dipartimento per la pubblica amministrazione e lasemplificazione su uno schema di decreto recante regolamento per ladeterminazione dei livelli minimi dei requisiti richiesti per l'iscrizione aglielenchi dei fornitori qualificati del Sistema Pubblico di connettività (SPC)

PROVVEDIMENTO DEL 12GENNAIO 2012

Registro dei provvedimenti n. 09 del 12gennaio 2012

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente,del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan edel dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli,segretario generale;

Vista la richiesta di parere della Presidenza del Consiglio deiMinistri-Dipartimento per la pubblica amministrazione e la semplificazione ;

Visto l'art. 154, comma 4 del Codice in materia di protezione dei datipersonali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generaleai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO

1. La Presidenza del Consiglio dei Ministri-Dipartimento per lapubblica amministrazione e la semplificazione ha richiesto il parere delGarante in ordine a uno schema di decreto del Presidente del Consiglio deiMinistri recante "regolamento per la determinazione dei livelli minimi deirequisiti richiesti per l'iscrizione agli elenchi dei fornitori qualificati delSistema Pubblico di connettività (SPC) , ai sensi dell'articolo 87 del Codicedell'amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82e successive modificazioni".

Il provvedimento è adottato ai sensi dell'articolo 87 del codicedell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n.82 e successive modificazioni (infra: CAD), che demanda appunto a un appositoregolamento la previsione, tra l'altro, dei livelli minimi dei requisitirichiesti per l'iscrizione agli elenchi, di competenza nazionale e regionale,dei fornitori legittimati ad erogare servizi connessi al funzionamento delServizio pubblico di connettività (infra: SPC).

Il Titolo I, recante "principi generali", contiene anzituttole definizioni dei termini utilizzati nel regolamento, diversi da quelli giàprevisti dal CAD, cui si fa peraltro un generale rinvio a fini interpretativi(art.1). Inoltre, all'articolo 2, si definisce l'ambito oggettivo delregolamento.

Il Titolo II disciplina anzitutto, all'articolo 3, la categoriagenerale dei soggetti legittimati a richiedere la qualificazione e gliaccertamenti cui essi sono sottoposti (iscrizione negli elenchi dei fornitori everifica della qualità dei servizi erogati). L'iscrizione negli elenchi siarticola in due fasi. La prima è la fase di qualificazione del fornitore, ilcui superamento comporta l'iscrizione del fornitore nell'apposito Elenco dei fornitoriqualificati SPC e che, ai sensi dell'articolo 45 del codice dei contrattipubblici relativi a lavori, servizi e forniture, di cui al decreto legislativo12 aprile 2006, n. 163 e successive modificazioni - cui la norma stessa rinvia- costituisce presunzione d'idoneità alla prestazione ai fini, tra l'altro, delpossesso di taluni dei requisiti di ordine generale previsti dal codice stesso,anche con riferimento all'assenza di precedenti penali per reati 'ostativi'. Laseconda fase è quella di certificazione dei servizi SPC, il cui superamentocomporta l'iscrizione nell'apposito Elenco dei servizi SPC certificati,suscettibili di erogazione da parte del fornitore.

Tra i requisiti specifici che devono possedere i fornitori, ai finidella procedura di qualificazione, l'articolo 4 del regolamento comprende, tragli altri, quelli indicati (attraverso un rinvio all'articolo 82, commi 4 e 5del CAD) dagli articoli 25 e 114 del codice delle comunicazioni elettroniche dicui al decreto legislativo 1 agosto 2003, n. 259 e successive modificazioni,nell'ambito dei quali si segnalano, in particolare, il non essere il soggettostato destinatario di misure di sicurezza o di prevenzione ovvero il non averriportato condanne per determinati delitti non colposi, selezionati sulla basedella comminatoria edittale. Altri requisiti meritevoli di nota sono quellirelativi alla conformità del servizio erogato agli standard di sicurezzadelineati dalle regole tecniche e di sicurezza per il funzionamento del SPC dicui al decreto del Presidente del Consiglio dei Ministri 1 aprile 2008.

Il possesso dei previsti requisiti deve risultare dai documentiallegati alla domanda di qualificazione, ai fini della verifica che l'Organismocompetente (DigitPa o le regioni, per i rispettivi elenchi) dovrà effettuare(art. 4, comma 7).

Ai sensi dell'articolo 7, rubricato "Misure di protezione deidati personali e delle informazioni industriali", le informazioni fornitedai soggetti ai fini della qualificazione e della verifica dell'invarianza deirequisiti sono gestite dai suddetti Organismi competenti, conformemente allenorme del Codice in materia di protezione dei dati personali, di cui al decretolegislativo 30 giugno 2003, n. 196 e successive modificazioni (d'ora innanzi:"Codice"), oltre che del codice della proprietà industriale, di cuial decreto legislativo 10 febbraio 2005, n. 30 e successivemodificazioni. Si precisa peraltro – evidentemente con precipuoriferimento alla sola protezione dei dati personali - che il"trattamento dei dati è effettuato nel rispetto dei principi dicorrettezza, liceità e trasparenza" (quest'ultimo, non megliospecificato), nonché "delle misure di sicurezza". Il comma 2 delmedesimo articolo sancisce poi, in capo al personale incaricato dagli Organismicompetenti, l'obbligo di mantenere riservati i dati non pubblici di cui sianovenuti a conoscenza e di non farne uso per finalità diverse da quelle"strettamente necessari[e] ai fini del presente Regolamento".

Gli articoli 9 e 10 disciplinano il contenuto minimo degli Elenchi deifornitori qualificati SPC e, rispettivamente, dei servizi certificati erogabilidai medesimi fornitori qualificati.

Il Titolo IV disciplina la categoria degli Organismi competenti adistituire gli Elenchi dei fornitori qualificati e dei servizi certificati inambito SPC, precisando, in particolare, che gli Elenchi di competenza nazionaledei fornitori del SPC sono tenuti da DigitPA, che è tra l'altro responsabiledella garanzia della disponibilità in via telematica degli Elenchi stessi.

Il Titolo V disciplina le "misure di supporto agli Organismicompetenti a qualificare i fornitori e certificare e vigilare i servizi".

Il Titolo VI indica i presupposti e le modalità di sospensione erevoca della qualificazione. Tali provvedimenti possono essere assunti, inparticolare, all'esito di verifiche ispettive e attività istruttorie volte averificare segnatamente eventuali non conformità del servizio offerto e dellestrutture predisposte rispetto alla documentazione redatta dal fornitore per ilconseguimento della qualifica (artt. da 16 a 19). L'articolo 22 disciplinaperaltro le forme di pubblicità delle delibere di sospensione o di revoca dellaqualificazione.

Il Titolo VII indica le prestazioni erogabili a titolo oneroso, mentreil Titolo VIII disciplina le condizioni di recepimento del regolamento stessonei contratti stipulati dalle amministrazioni.

RITENUTO

2. Come già osservato, l'articolo 7 dello schema di regolamento imponeagli Organismi competenti di gestire le informazioni fornite dai richiedenti aifini della qualificazione e della verifica dell'invarianza dei requisiti, inconformità alle norme del Codice. Pertanto, l'Amministrazione competente –titolaredel trattamento dei dati personali– sarà tenuta, fra l'altro, a fornireagli interessati idonea informativa ai sensi dell'articolo 13 del Codice, nonchéa designare gli incaricati ed, eventualmente, anche il responsabile deltrattamento, ai sensi degli articoli 30 e, rispettivamente, 29 del Codicestesso.

RILEVATO

3. La materia oggetto del presente schema di regolamento è diparticolare delicatezza, sotto il profilo della protezione dei dati personali,in quanto può comportare il trattamento di "dati giudiziari" (comedefiniti dall'articolo 4, comma 1, lett. e), del Codice), per il quale sonopreviste particolari garanzie (artt. 20, 21 e 22 del Codice).

In particolare tale trattamento può rendersi necessario in sede diaccertamento, da parte dell'organo preposto alla tenuta dell'Elenco o comunquealla verifica dei presupposti per l'iscrizione nell'Elenco stesso, deirequisiti di onorabilità richiesti, anche ai fini del controllo delledichiarazioni sostitutive eventualmente prodotte dagli interessati ai sensi deld.P.R. 28 dicembre 2000, n. 445 (ad esempio, mediante acquisizione del certificatodel casellario giudiziale o dei carichi pendenti).

Il trattamento di tali dati è autorizzato da norme di legge chespecificano le finalità di rilevante interesse pubblico di cui all'articolo 21del Codice, in quanto, da un lato, la fattispecie in questione riguardal'applicazione della disciplina in materia di "requisiti di onorabilità"(art. 69 del Codice) e, dall'altro, la consultazione diretta, da parte di unapubblica amministrazione, degli archivi dell'amministrazione certificante"finalizzataäal controllo sulle dichiarazioni sostitutive presentate daicittadini" si considera operata per una finalità di rilevante interessepubblico (art. 43, comma 2, d.P.R. n. 445/2000).

Inoltre, il trattamento dei predetti dati richiede, come è noto,l'ulteriore requisito della previsione regolamentare che, in conformità almedesimo articolo 21 del Codice, individui i tipi di dati e di operazioni chel'Amministrazione competente è autorizzata, rispettivamente, a trattare e adeffettuare, ai fini dell'applicazione del provvedimento in esame; previsioneregolamentare che l'Amministrazione è tenuta a verificare nel più ampio ambitodei trattamenti di dati sensibili e giudiziari di competenza.

CONSIDERATO

4. Come già rilevato, gli articoli 9 e 10, al comma 2, disciplinano ilcontenuto minimo degli Elenchi dei fornitori qualificati SPC e degli Elenchidei servizi certificati erogabili dai medesimi fornitori, i quali, ai sensi delcomma 1, sono consultabili per via telematica. Ai fini del rispetto deiprincipi di finalità, pertinenza e non eccedenza dei dati trattati, di cuiall'articolo 11, comma 1, lettere b) e d) del Codice, è opportuno modificare lesuddette disposizioni, nel senso di rendere tassativo e determinato l'elencodei dati che devono essere registrati negli elenchi e che sono consultabili invia telematica. A tal fine, è necessario che, al comma 2 degli articoli 9 e 10,la parola: "almeno" sia soppressa.

5. Ai sensi degli articoli 9, comma 1 e 10, comma 1, gli Elenchi deifornitori del SPC e dei servizi certificati erogabili sono consultabili –come già incidentalmente osservato - in via telematica. Sul punto, appareauspicabile che il regolamento chiarisca ulteriormente il regime diconoscibilità dei suddetti elenchi, anche rispetto a quanto disposto dall'articolo7, comma 2, che si riferisce, tra l'altro, a dati e informazioni industriali"che non siano pubblici". In particolare, si potrebbero ancheprevedere diversi livelli di accesso ai dati contenuti negli elenchi, inrapporto alla funzione svolta dal soggetto legittimato alla consultazione, nelrispetto dei già citati principi di finalità, pertinenza e non eccedenza deidati trattati.

IL GARANTE

- esprime parere favorevole sullo schema di decreto delPresidente del Consiglio dei Ministri recante "regolamento per ladeterminazione dei livelli minimi dei requisiti richiesti per l'iscrizione aglielenchi dei fornitori qualificati del Sistema Pubblico di connettività (SPC) ,ai sensi dell'articolo 87 del Codice dell'amministrazione digitale di cui aldecreto legislativo 7 marzo 2005, n. 82 e successive modificazioni ", conla seguente condizione:

a) al comma 2 degli articoli 9 e 10, la parola:"almeno" sia soppressa (punto 4);

e con la seguente osservazione:

b) valuti l'Amministrazione l'opportunità di chiarireulteriormente il regime di conoscibilità degli Elenchi dei fornitori del SPC edei servizi certificati erogabili, eventualmente anche prevedendo diversilivelli di accesso ai dati contenuti negli elenchi, in rapporto alla funzionesvolta dal soggetto legittimato alla consultazione (punto 5);

- richiama l'attenzione dell'Amministrazione competente inordine:

a) all'esigenza di fornire agli interessati idonea informativa aisensi dell'articolo 13 del Codice, nonché a designare gli incaricati ed,eventualmente, anche il responsabile del trattamento, ai sensi degli articoli30 e, rispettivamente, 29 del Codice stesso (punto 2);

b) alla verifica della previsione regolamentare conforme all'articolo21 del Codice e concernente l'individuazione dei tipi di dati e di operazioniche l'Amministrazione competente è autorizzata, rispettivamente, a trattare ead effettuare, ai fini dell'applicazione del provvedimento in esame (punto 3).

Roma, 12 gennaio 2012

Il presidente
Pizzetti

Il relatore
Fortunato

Il segretario generale
De Paoli