La privacy by design and by default
La tematica della privacy by design and by default è già stata esaminata da chi scrive in una precedente pubblicazione su questa testata. Rinviando all’articolo precedente per un approfondimento, in questa sede si può brevemente specificare che il Regolamento generale europeo sulla protezione dei dati personali (regolamento UE 2016/679, d’ora in poi “GDPR”) introduce all’art. 25 il principio della protezione dei dati by design and by default (fin dalla progettazione e per impostazione predefinita): in sostanza, l’art. 25 prescrive che il titolare di un trattamento ponga in essere, fin dalla progettazione dello stesso, misure tecniche e organizzative adeguate (art. 25, par. 1, GDPR, protezione fin dalla progettazione) e che “siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” (art. 25, par. 2, GDPR, protezione dei dati per impostazione predefinita).
In quell’articolo, si poneva l’accento sulla differenza tra un sistema di alta tecnologia che tratta dati personali incorporato e i trattamenti realizzati su un foglio excel da una micro-impresa: nel primo caso, infatti, un intervento a valle implica un rilevante esborso economico per rendere compliant il sistema; nel secondo caso, invece, è, in genere, sufficiente dedicare qualche ora a modificare il sistema di gestione della privacy attraverso i fogli excel.
Sulla base di un ideale continuità con l’articolo precedente, appare interessante esaminare la questione della privacy by design and by default con il tema del subappalto nelle gare pubbliche aventi a oggetto lo sviluppo o la fornitura di beni e servizi nell’ambito dell’alta tecnologia.
L’Istituto del subappalto
Occorre effettuare preliminarmente una breve disamina dell’istituto del subappalto. Il subappalto è espressamente definito dal Codice dei contratti pubblici vigente (d.lgs. 50/2016) all’articolo 105, comma 2, secondo cui “il subappalto è il contratto con il quale l’appaltatore affida a terzi l’esecuzione di parte delle prestazioni o lavorazioni oggetto del contratto di appalto”. L’articolo 105, comma 2, del Codice dei contratti pubblici prevede, altresì, che “fatto salvo quanto previsto dal comma 5, l’eventuale subappalto non può superare la quota del 30 per cento dell’importo complessivo del contratto di lavori, servizi o forniture”. Il successivo comma 5 dell’articolo 105 del Codice dei contratti pubblici stabilisce, inoltre, che “per le opere di cui all’articolo 89, comma 11, e fermi restando i limiti previsti dal medesimo comma, l’eventuale subappalto non può superare il trenta per cento dell’importo delle opere e non può essere, senza ragioni obiettive, suddiviso”; le opere di cui all’articolo 89, comma 11, del Codice dei contratti pubblici sono quelle “per le quali sono necessari lavori o componenti di notevole contenuto tecnologico o di rilevante complessità tecnica, quali strutture, impianti e opere speciali”.
Successivamente il Decreto legislativo 18 aprile 2019, n. 32 (cosiddetto “sbloccacantieri”), convertito con modificazioni dalla Legge 14 giugno 2019, n. 55, e come modificato da ultimo dal Decreto legge 31 dicembre 2020, n. 183, ha previsto (con l’art. 1, comma 18) che “fino al 30 giugno 2021, in deroga all’articolo 105, comma 2, del medesimo codice, fatto salvo quanto previsto dal comma 5 del medesimo articolo 105, il subappalto è indicato dalle stazioni appaltanti nel bando di gara e non può superare la quota del 40 per cento dell’importo complessivo del contratto di lavori, servizi o forniture”.
Quindi, fino al 30 giugno 2021, il subappalto è permesso nel limite del 40% e, poi, si ritornerà all’originario limite del 30%; invece, il subappalto di lavori o componenti di notevole contenuto tecnologico o di rilevante complessità tecnica è sempre, e comunque, permesso nel solo limite del 30%.
Infine, l’art. 105, comma 4, del Codice dei contratti pubblici indica tra le condizioni necessarie per l’affidamento in subappalto la previa autorizzazione della stazione appaltante e l’indicazione all’atto dell’offerta da parte del concorrente delle lavorazioni, dei servizi, delle forniture o delle parti di essi che si intende subappaltare.
Appalto e avvalimento
L’istituto del subappalto, come sopra delineato in via estremamente sintetica, presenta notevoli punti d’intersezione con quello dell’avvalimento, previsto, in via generale, dall’art. 89 del Codice dei contratti pubblici, secondo cui “l’operatore economico, singolo o in raggruppamento di cui all’articolo 45, per un determinato appalto, può soddisfare la richiesta relativa al possesso dei requisiti di carattere economico, finanziario, tecnico e professionale di cui all’articolo 83, comma 1, lettere b) e c), necessari per partecipare ad una procedura di gara, e, in ogni caso, con esclusione dei requisiti di cui all’articolo 80, avvalendosi delle capacità di altri soggetti, anche partecipanti al raggruppamento, a prescindere dalla natura giuridica dei suoi legami con questi ultimi”.
Avvalimento e subappalto operano su piani diversi in quanto il primo attiene alla fase di gara mentre il subappalto è utilizzato nell’ambito della fase esecutiva del contratto di appalto.
La situazione degli appalti pubblici nel mercato hi tech italiano
Come è noto a chi abbia avuto l’opportunità di frequentare, a vario titolo, il mercato italiano degli appalti pubblici nel settore hi tech, in tale segmento si fa un uso elevato, per non dire smodato, dell’istituto del subappalto: l’offerta italiana di soluzioni hi tech per la PA è rappresentata da alcuni grandi gruppi (in alcuni casi si tratta della sede italiana di multinazionali estere; in altri casi, di alcuni grandi imprese italiane), i quali hanno la capacità di fornire alle stazioni appaltanti le garanzie richieste e i requisiti di bilancio necessari a vincere la gara ma, poi, non hanno, in concreto, né le risorse organizzative né, in buona misura, l’interesse a svolgere direttamente il lavoro, il quale, pertanto, è dato in subappalto ad altre società; non di rado, si verificano situazioni nelle quali appalti pubblici di primario interesse nel settore delle infrastrutture IT sono effettivamente eseguiti da un subappaltatore di quarto o quinto livello.
In tali casi, il limite massimo del 30% o 40% di subappalto, previsto dall’art. 105 del Codice degli appalti pubblici, è praticamente ignorato o osservato solo formalmente attraverso l’uso di formule alchemiche sul project management (per esempio: appalti di sviluppo software interamente eseguiti dai subappaltatori, ma con il rispetto formale del vincolo del 30% o del 40% in quanto l’appaltatore effettua una non ben precisata attività di project management che varrebbe fino al 60% o al 70% dell’appalto totale).
Subappalto e art 25 GDPR
Dall’angolo visuale del rispetto dell’art. 25 GDPR e della necessità di realizzare sistemi tecnologici che siano compliant con il precetto della privacy by design and by default, in presenza di lavori eseguiti da catene di subappaltatori, appare praticamente impossibile per il DPO della stazione appaltante (o per chiunque sia deputato ad effettuare delle verifiche sulla compliance in termini di privacy) poter dialogare con chi effettivamente esegue il lavoro di creazione di un sistema di alta tecnologia per assicurarsi che sia garantita la compliance con l’art. 25 o con le altre norme del GDPR.
A causa della crisi economica e degli effetti del lockdown implementato dal Governo Italiano per combattere il Covid-19, è altamente probabile che si assisterà, nella seconda metà del 2021 e nel 2022 (se non già al momento attuale), a fenomeni di fallimenti a catena delle PMI; il settore dell’high tech non sarà sicuramente risparmiato e si verificheranno (purtroppo) numerosi casi d’insolvenza anche nell’ambito delle imprese che operano nelle supply chain della fornitura di servizi e sistemi tecnologici alle pubbliche amministrazioni. Per altro verso, una parte non minoritaria del Recovery Fund sarà sicuramente investito nella digitisation dell’Italia.
Pertanto, nei prossimi mesi, è probabile che si assisterà a un intensificarsi di appalti pubblici nel settore della creazione d’infrastrutture IT unitamente a fenomeni d’insolvenza delle PMI che operano come subappaltatori del settore hi tech. In un tale scenario, appare di palmare evidenza l’importanza di contenere il ricorso al subappalto, cercando magari d’incentivare l’istituto dell’avvalimento, al fine di far diminuire i gradi di separazione tra la stazione appaltante e i soggetti che effettivamente eseguono la realizzazione di infrastrutture digitali per rendere maggiormente possibile (e soprattutto controllabile, a monte) il rispetto degli obblighi di compliance posti dal GDPR come il principio della privacy by design and by default.