Il rispetto delle disposizioni contenute nel GDPR costituisce un criterio di valutazione delle offerte per le aggiudicazioni negli appalti e necessita di essere attuato nell’esecuzione delle forniture e dei lavori. Qualora ciò non avvenga, si ha lo scioglimento del contratto per inadempimento. È questo il principio espresso, in Germania, dalla Camera degli appalti del Baden-Württemberg con la pronuncia del 13 luglio 2022.
Una società partecipante ad una gara di appalto europea, bandita da una società partecipata da enti pubblici ed avente ad oggetto l’approvvigionamento di software per l’amministrazione digitale, risultata inizialmente vincitrice, si è vista revocare l’aggiudicazione in quanto la sua offerta prevedeva l’utilizzo di servizi offerti da un subfornitore con sede negli USA.
A seguito del ricorso presentato da altro partecipante, la Camera degli appalti ha revocato l’aggiudicazione ed escluso la società dopo aver accertato che essa aveva trasferito dati personali verso gli Stati Uniti, luogo non sicuro in quanto gli USA attualmente non garantiscono un livello adeguato di protezione dei dati personali dei cittadini UE, che sia paragonabile alle tutele ed ai diritti loro offerti dal GDPR.
Nella giurisprudenza italiana si registra la pronuncia del TAR Veneto, resa il 4.1.2022, con cui il Tribunale amministrativo regionale ha bocciato l’aggiudicazione di un appalto relativo ad un sistema di controllo del traffico, ritenendo nella motivazione che la normativa sulla privacy (a cui la concorrente non risultava compliant) si colloca, per importanza, sullo stesso piano delle disposizioni sulla sicurezza degli ambienti di lavoro e sul rispetto dei diritti dei lavoratori.
Nello specifico, la proposta bocciata prevedeva la registrazione massiva di tutte le targhe dei veicoli in transito su un determinato percorso anziché solo di quelle dei veicoli per i quali era stata rilevata un’infrazione.
Per quanto riguarda contratti ed appalti privati, va inoltre rilevato che sempre più spesso essi contengono clausole sulla compliance alla normativa sulla privacy: in tali casi l’omissione dei relativi adempimenti, oltre a determinare un rischio di sanzione, integra anche un vero e proprio inadempimento contrattuale sotto il profilo civilistico.
