Il Presidente dell’Autorità nazionale anticorruzione (ANAC), l’avv. Giuseppe Busia, è intervenuto con un comunicato del 3 luglio 2024, al fine garantire la tutela dei dati personali in occasione delle informazioni trasmesse alla Banca dati nazionale dei contratti pubblici (BDNCP).
L’Autorità – avendo riscontrato frequenti violazioni in materia – desidera porre l’attenzione di tutte le Amministrazioni e dei soggetti coinvolti sull’importanza “di evitare l’inserimento di dati personali tra le informazioni relative alle procedure di affidamento pubblicate mediante le Piattaforme di Approvvigionamento Digitali (PAD), oltre che sui siti istituzionali”.
In sintesi, l’Autorità ha posto l’attenzione sulla necessità di essere attenti nella selezione dei dati personali che devono essere effettivamente impiegati, alla luce anche del coinvolgimento di dati particolari (ex sensibili) nelle procedure aventi ad oggetto affidamenti relativi a servizi sociosanitari. Sul punto l’ANAC ha inteso palesare un completo allineamento alle posizioni espresse in materia dall’Autorità Garante per la protezione dei dati personali, richiamando il “Parere del Garante su uno schema di decreto legislativo concernente il riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle Pa” pubblicato il 7 febbraio 2013 (indicizzato sul sito www.garanteprivacy.it come doc-web n. 2243168)
Inoltre, il Presidente sottolinea la necessità di distinguere tra i dati personali, sì necessari ma che dovranno essere messi a disposizione dei soli uffici incaricati, da quelle informazioni che potranno essere pubblicate online in forma anonima, avendo cura di non scendere nel dettaglio di particolari e personali situazioni di disagio. È interessante notare che il Presidente Busia, nell’ambito di un comunicato a portata generale, abbia voluto puntualizzare l’assoluta inidoneità della sostituzione del nome e cognome degli interessati con le sole iniziali. Come noto agli studiosi e consulenti della materia, la pseudonimizzazione richiede soluzioni differenti e da valutarsi caso per caso (vale la pena ricordare il provvedimento WP216 del Gruppo di Lavoro art. 29 per la protezione dei dati o il documento “Tecniche di pseudonimizzazione e buone pratiche” dell’Agenzia dell’Unione Europea per la cybersecurity”).
Fin da subito, tutti i soggetti coinvolti dovranno verificare i contenuti dei documenti già pubblicati in relazione alle procedure di affidamento, assicurandosi di non aver pubblicato dati personali; in caso contrario dovranno essere coinvolti i propri DPO per intervenire prontamente, anche comunicando all’ANAC la necessità di rimuovere tempestivamente i dati personali. A tal fine è stato pubblicato dall’Autorità un modello ad hoc che dovrà essere impiegato per la richiesta di rimozione dei dati, specificando il CIG identificativo della procedura di riferimento.