La decisione della Camera degli appalti del Baden-Württemberg che stabiliva una sorta di presunzione riguardo all’accessibilità dei dati da parte di Paesi terzi è stata ribaltata dall’OLG di Karlsruhe. Nessuna nuova regola generale per la protezione dei dati personali e sui rapporti tra GDPR europeo e USA prima del nuovo “Privacy Shield 2.0”.
Con pronuncia del 13 luglio 2022 (Az. 1 VK 23/22), la Vergabekammer Baden-Württemberg, la Camera degli appalti, ha introdotto quella che sembrava una nuova pietra miliare per la tutela dei dati personali.
Il caso riguardava una gara di appalto europea bandita dalla RKH Regionale Kliniken Holding und Services GmbH per l’acquisto di nuovi software per l’amministrazione digitale della dismissione di pazienti ospedalieri, ove tra i criteri di aggiudicazione del contratto era previsto, come requisito essenziale, il rispetto della normativa europea in materia di protezione dei dati e sicurezza informatica.
La società vincitrice dell’appalto, filiale di una società madre con sede negli Stati Uniti, aveva presentato l’offerta economicamente più vantaggiosa: tra le varie specifiche, essa precisava che per i servizi cloud e IT sarebbero stati impiegati solo server stanziati nell’Ue, e che non vi sarebbe stata alcuna divulgazione dei dati personali dei pazienti a Paesi terzi, salvo che ciò risultasse necessario per mantenere o fornire i servizi, o per conformarsi alla legge o a un ordine valido e vincolante di un ente governativo, così come per accordi tra società madre e filiale in attuazione dell’art. 28 GDPR.
Su ricorso di un’impresa concorrente, la procedura di aggiudicazione era stata impugnata innanzi alla Camera degli appalti per violazione dei requisiti del GDPR: la ricorrente contestava infatti la contrarietà della procedura di selezione rispetto ai limiti europei elaborati per la trasmissione di dati da un Paese membro agli Stati Uniti d’America (della caduta del c.d. Privacy Shield e della sentenza della Corte di giustizia c.d. “Schrems-II”, abbiamo già parlato QUI). Infatti, secondo parte attrice, l’impresa aggiudicatrice, trattando dati personali collocati su server accessibili per la società madre americana, aveva messo a rischio la riservatezza dei dati medico-sanitari dei pazienti, aggirando in tal modo la disciplina europea sulla privacy.
La Camera degli appalti ha accolto il ricorso e deciso l’esclusione della società vincitrice dalla gara per violazione dell’art. 57, comma 1, n. 4 VgV, per cui devono essere escluse le offerte sottoposte a modifiche o integrazioni rispetto ai documenti presentati in sede di gara, e degli artt. 44 e ss. GDPR, disciplinanti il trasferimento dei dati.
Secondo la ricostruzione fornita dall’autorità tedesca, l’azienda vincitrice, contrariamente a quanto dichiarato nell’offerta presentata, aveva infatti “inviato” alla società madre i dati dei pazienti, attuando un trasferimento invalido ai sensi degli artt. 44 e ss. del GDPR, sulla base di quella che si può definire a tutti gli effetti una presunzione di trasmissione dei dati: ha spiegato al riguardo che, in un contesto così definito, la condivisione di informazioni deve essere ipotizzata anche quando i dati oggetto di interesse risultino meramente accessibili, in forma potenziale, per il Paese terzo, risultando irrilevante che la trasmissione sia effettivamente avvenuta e che il server attraverso il quale i dati sono resi accessibili si trovi all’interno dell’Ue.
La Camera degli appalti aveva dunque deciso sulla base di un rischio latente di accesso dei dati da parte delle autorità statunitensi, prendendo una decisione di ampio respiro e in parte discutibile, così come riscontrato dalla LfDI del Baden-Württemberg, l’Autorità statale per la protezione dei dati, in una dichiarazione del 15 agosto 2022.
Secondo la LfDI il ragionamento della Camera appariva forzato nella parte in cui aveva equiparato l’accesso alla trasmissione dei dati omettendo di esaminare la tecnologia di crittografia utilizzata dall’offerente per la protezione delle informazioni collezionate, non considerando in questo senso l’approntamento da parte della società di efficaci contromisure (c.d. “misure tecnico-organizzative”) per escludere di fatto il pericolo di accesso.
Tali considerazioni hanno trovato conferma innanzi all’OLG di Karlsruhe su istanza della società soccombente. La decisione (del 7 settembre 2022) ha infatti ribaltato le conclusioni della Camera degli appalti fissando una serie di punti rilevanti per la regolazione della trasmissione dei dati.
Il Tribunale regionale superiore di Karlsruhe ha riportato come l’amministrazione aggiudicatrice possa generalmente supporre che un offerente rispetterà i suoi impegni contrattuali e che solamente nel caso in cui emergano dubbi concreti in senso contrario l’amministrazione aggiudicatrice potrà verificare l’adempimento della promessa di prestazione o la capacità dell’offerente a adempiere, ottenendo ulteriori informazioni. Conseguentemente, il fatto che la società aggiudicataria fosse una filiale di un gruppo americano non doveva per ciò solo far dubitare dell’adempimento della promessa di prestazione né, dall’altra parte, far presumere che, a causa dell’appartenenza al gruppo, sarebbero state impartite alla controllata istruzioni contrarie alla legge e al contratto.
In questo senso il Tribunale, in linea con quanto riportato dall’Autorità per la protezione dei dati del Baden-Württemberg, ha ribadito la necessità per i giudici di non cedere a divieti e a decisioni generalizzate in materia di trasmissione dei dati ma di attuare una valutazione caso per caso delle soluzioni alternative adottate dalle imprese per garantire l’adeguamento alle disposizioni del GDPR.
Tali riflessioni si sono inserite, come nuovi tasselli di un mosaico, all’interno del complesso quadro di valutazioni che circonda il tema della trasmissione dei dati di cittadini europei agli USA, precedendo di appena un mese la firma del nuovo Executive Order tra il Presidente americano Joe Biden e il Presidente della Commissione europea, rimasti d’intesa già da marzo 2022 per la stipulazione di un nuovo regolamento sullo scambio dei dati tra l’Unione europea e gli Stati Uniti, la cui disciplina, in assenza di una solida base normativa, era stata rimessa appunto alle decisioni dei Garanti e delle singole Corti nazionali ed europea.
Le decisioni tedesche rappresentano pertanto un ultimo spunto di riflessione per la regolazione del nuovo “Privacy Shield 2.0” in via di definizione, il quale dovrà fare tesoro di tutto lo studio e dell’esperienza maturata in questi anni per garantire una protezione effettiva dei dati personali.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale