L’Anac, attraverso il Comunicato del Presidente Avv. Giuseppe Busia del 31 luglio scorso, ha reso pubblico un Vademecum contenente indicazioni per evitare violazioni dei dati personali nei provvedimenti pubblicati online sulla BDNCP e/o sul sito istituzionale delle Amministrazioni.

Il Vademecum, elaborato e approvato dal Consiglio dell’Autorità il 3 luglio 2024, è stato inserito nel citato Comunicato per ragioni di massima diffusione, tenuto conto che i RUP interessati dal provvedimento sono 227.884 e le Stazioni Appaltanti 41.272.

Le indicazioni in merito all’inserimento di dati personali nelle informazioni trasmesse alla BDNCP e/o pubblicate sul sito istituzionale delle Amministrazioni si sono rese necessario perché, nella Banca dati Anac dei contratti pubblici è stata riscontrata, come testualmente indicato dall’Autorità nella presentazione dell’iniziativa:

• una casistica di utilizzo improprio di dati personali soprattutto nell’ambito sociosanitario.

Per questo motivo, l’Autorità ha raccomandato a tutte le stazioni appaltanti di prestare una particolare attenzione al tema, proponendo anche vari consigli e indicazioni da seguire rispetto alla pubblicazione online di atti.

Sono state prese anche misure cautelative di oscuramento dei dati a fronte di evidenze o segnalazioni, possibili anche tramite un apposito modello.

Il richiamo dell’Autorità è volto a non diffondere dati personali quando si pubblicano le procedure di affidamento. La criticità riguarda, in particolare gli affidamenti relativi a servizi sociosanitari, tra cui servizi assistenziali e di supporto alla persona e alla famiglia, con diffusione dei dati cosiddetti sensibili, ossia idonei a rivelare lo stato di salute nonché situazioni di disagio economico-sociale degli interessati.

Informazioni, che invece sono strettamente riservate e caratterizzate da tutele di maggior rigore e più ampie garanzie a protezione dei diritti degli interessati.

Per evitare il ripetersi della problematica segnalata, che dà luogo ad una violazione della normativa in materia di protezione dei dati personali, con conseguenti responsabilità in capo all’autore della diffusione e all’Amministrazione, l’Autorità ha fornito alcuni consigli e indicazioni alle Amministrazioni e a tutti i soggetti coinvolti”.

Il Vademecum è di seguito riportato.

L'Autorità desidera richiamare l'attenzione di tutte le Amministrazioni e di tutti gli attori coinvolti sulla necessità di evitare l'inserimento di dati personali tra le informazioni relative alle procedure di affidamento pubblicate mediante le Piattaforme di Approvvigionamento Digitali (PAD), oltre che sui siti istituzionali.

Nel contesto delle attività di analisi dei dati raccolti presso la Banca Dati Nazionale dei Contratti Pubblici (BDNCP) è emersa una casistica significativa di affidamenti dove l’oggetto descrittivo della procedura riporta dati personali.

Le verifiche eseguite hanno accertato che una maggioranza di casi è relativa ad affidamenti di servizi sociosanitari, tra cui servizi assistenziali e di supporto alla persona e alla famiglia: in tali casi si tratterebbe di dati particolari (c.d. “sensibili”), idonei a rivelare lo stato di salute nonché situazioni di disagio economico sociale degli interessati.

Com’è noto, tali categorie di informazioni sono strettamente riservate e sono caratterizzate da tutele di maggior rigore e più ampie garanzie a protezione dei diritti degli interessati.

Come già riportato nel “Parere del Garante su uno schema di decreto legislativo concernente il riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle PA” del 7 febbraio 2013, le Amministrazioni sono tenute a garantire la massima attenzione nella selezione dei dati personali da utilizzare, sin dalle fasi iniziali di redazione dei documenti soggetti a pubblicazione, in particolare nel caso di dati sensibili.

A tal riguardo, giova ricordare l’indicazione di non riportare dati personali nel testo di provvedimenti pubblicati online, menzionandoli solo negli atti a disposizione degli uffici, come pure di indicare delicate situazioni di disagio personale solo sulla base di espressioni di carattere più generale o, se del caso, di codici numerici.

Appare altresì opportuno evidenziare come la prassi seguita da alcune Amministrazioni di sostituire il nome e cognome dell’interessato con le sole iniziali non è sufficiente a considerare anonimizzati i dati personali contenuti negli atti e documenti pubblicati online.

Si rammenta che la pubblicazione di dati personali tramite la BDNCP e il sistema di pubblicità legale rappresenta una violazione della normativa in materia di protezione dei dati personali, con conseguenti responsabilità in capo all’autore della diffusione e all'Amministrazione.

Da ultimo, si invitano le Amministrazioni e tutti i soggetti coinvolti a verificare attentamente i contenuti dei documenti pubblicati in relazione alle procedure di affidamento, assicurandosi che non contengano dati personali o informazioni sensibili non necessarie.

A tal riguardo, si richiede di coinvolgere adeguatamente i Responsabili per la Protezione dei Dati (RPD) e i soggetti che rappresentano i titolari del trattamento, anche al fine di implementare le opportune misure preventive e correttive.

L’Autorità, in qualità di titolare della BDNCP, ha adottato le opportune misure tecnico-organizzative per minimizzare i rischi e garantire l’oscuramento dei dati a fronte di evidenze e/o segnalazioni della presenza di tali fenomeni.

Al contempo, i RUP, che avessero già inserito dati personali nell’oggetto del bando, dovranno rimuoverli e segnalarli tempestivamente all’ANAC per farli rimuovere, utilizzando il modello allegato al presente comunicato, nel quale dovranno essere indicati i dati personali da rimuovere e il CIG identificativo della procedura a cui gli stessi si riferiscono.