Spunti di riflessione relativi ai “Bandi di gara on-line” nella PA: principi organizzativi, criticità, ruoli nella gestione del sistema informatico e regole di accessibilità

Dall’1 gennaio 2011 le pubbliche amministrazioni hanno l’obbligo di pubblicare sul proprio sito (o su quello di amministrazioni affini ovvero su siti web condivisi) tutti gli atti amministrativi che necessitano di pubblicità legale (bandi di concorso, delibere, determine ecc.). L’art. 32 della legge n.69/09, infatti, ha disposto che le pubblicazioni che ad oggi vengono effettuate in forma cartacea non abbiano più effetto di pubblicità legale a decorrere dal 1° gennaio 2011, mentre relativamente alla pubblicazione sulla stampa quotidiana di bilanci e per atti e provvedimenti concernenti procedure a evidenza pubblica (come i bandi di gara) tale termine decorrerà dal 1° gennaio 2013.

Le nuove procedure che consentono alle PA di gestire on-line i propri bandi di gare si basano sul sistema delle aste elettroniche, ossia su un sistema informatico di negoziazione costituito da soluzioni e strumenti elettronici e telematici che consentono la presentazione delle offerte e la classificazione delle stesse secondo metodologie e criteri predefiniti, realizzato in conformità dell’articolo 77 del codice e con modalità e soluzioni che impediscono di operare variazioni sui documenti, sulle registrazioni di sistema e sulle altre rappresentazioni informatiche e telematiche degli atti e delle operazioni compiute nell’ambito delle procedure” (art. 289 del DPR 05/10/2010 n. 207). 

Appare subito evidente come nella gestione di questi procedimenti debba essere prestata massima attenzione alle misure di sicurezza informatica che garantiscono l’attendibilità non solo dei documenti informatici, ma anche delle operazioni effettuate dagli utenti che accedono e operano sulla piattaforma telematica. Ecco, quindi, che diventa di fondamentale importanza l’implementazione di un sistema di registrazione dei log che, nel rispetto del principio di necessità, pertinenza e non eccedenza, consenta di garantire la sicurezza su tutto ciò che avviene dall’avvio della procedura di gara fino alla sua conclusione (attraverso il c.d. audit log).

Possiamo notare, inoltre, che in questa specifica materia i richiami a normative più tecniche e tra loro confinanti (come il CAD e il Codice Privacy) sono numerosi: basti pensare che lo stesso art. 289 del DPR sopra richiamato prevede che “le attività e le operazioni effettuate nell’ambito del sistema informatico di negoziazione sono attribuite ai soggetti attraverso i sistemi di autenticazione informatica (User ID e PW) previsti dalla stazione appaltante ai sensi dell’articolo 1, comma 1, lettera b), del decreto legislativo 7 marzo 2005, n. 82, e si intendono compiute nell’ora e nel giorno risultanti dalle registrazioni di sistema. Le registrazioni di sistema sono effettuate, conservate ed archiviate in conformità di quanto previsto dall’articolo 43 del decreto legislativo 7 marzo 2005, n. 82”.

Nell’implementare tale sistema, poi, i singoli enti (stazioni appaltanti) possono avvalersi anche di un apposito soggetto per la gestione tecnica dei sistemi informatici di negoziazione.  
La gestione dei ruoli e delle responsabilità nell’implementazione di un servizio di Gare on-line e il coordinamento tra le varie figure responsabili coinvolte divengono, quindi, di estremo rilievo per la corretta organizzazione del procedimento.
Pertanto, accanto alle figure del responsabile del trattamento (art. 29 d.lgs. 196/2003) e del procedimento di conservazione dei documenti informatici (il cui coordinamento è auspicato e previsto dall’art. 44, comma 1 bis del CAD per la verifica e la gestione delle misure di sicurezza e organizzative in ambito privacy), si colloca con un ruolo di fondamentale importanza anche quella del “Gestore del sistema informatico”. Similmente alle figure citate, infatti, anche tale soggetto deve assumere un ruolo di responsabilità rispetto all’ente di riferimento (stazione appaltante), garantendo il rispetto di determinate attività.

Ai sensi dell’art. 290 del DPR 05/10/2010 n. 207, “Regolamento di esecuzione e attuazione del decreto legislativo 12 aprile 2006, n. 163”, il gestore del sistema informatico:

• è incaricato dalla stazione appaltante dei servizi di conduzione tecnica e delle applicazioni informatiche necessarie al funzionamento delle procedure telematiche;
• è responsabile del rispetto dei principi in tema di sicurezza di cui al decreto legislativo 30 giugno 2003, n. 196 (e nel caso di soggetto esterno alla stazione appaltante, deve fornirne idonea garanzia);
• assume il ruolo di responsabile del trattamento dei dati (ex art. 29 d.lgs. 196/2003), curando anche gli adempimenti di competenza della stazione appaltante, qualora la stessa ne faccia richiesta, in ordine alla operatività dei processi di accesso e utilizzo dei sistemi informatici.

A ben vedere, quindi, se nella generalità dei casi la nomina di responsabile del trattamento ex art. 29 del Codice Privacy è facoltativa, nel caso specifico diventa un adempimento obbligatorio per tutti i titolari del trattamento (stazione appaltante). 
In virtù di quanto sopra evidenziato, tale soggetto potrebbe essere nominato anche quale “responsabile della conservazione”, nel caso in cui la stazione appaltante non abbia già un sistema centralizzato dove archiviare e conservare i documenti informatici relativi alla Gara on-line.   

Dal punto di vista organizzativo, pertanto, l’ente pubblico e il gestore della piattaforma on line devono implementare le misure di sicurezza richieste dal Codice Privacy e tenere sotto controllo con regolarità le proprie prestazioni, intraprendendo, se necessario, le eventuali azioni correttive. In particolare, è necessario prevedere:

• la possibilità di fornire prova che i processi coinvolti nella gestione della piattaforma on-line siano controllabili, in modo da monitorarne la conformità con i termini generali e particolari applicabili alle sue attività;
• la definizione di regole di utilizzo delle credenziali di accesso ai dati;
• l’utilizzo di sistemi di crittografia per i dati sensibili e per le informazioni riservate (es. per le buste contenenti le offerte);
• sistemi di tracciamento e conservazione di tutte le operazioni compiute;
• la segretezza e correttezza del processo in genere.

È evidente, pertanto, che le procedure telematiche di acquisto devono rispettare tutte le misure di sicurezza minime, idonee e necessarie[1] (Codice Privacy e Provv. Garante), poiché il gestore del sistema sarà responsabile dal punto di vista giuridico e informatico (in solido con l’ente) di tutto ciò che accade sulla piattaforma.

Lo stesso diritto di accesso ai documenti amministrativi deve essere garantito a tutti gli interessati e potrà essere esercitato direttamente con l’interrogazione delle registrazioni di sistema che contengono la documentazione in formato elettronico degli atti della procedura.

Per concludere l’analisi delle ultime normative relative ai bandi di gara on line, è opportuno trattare le norme di cui al DPCM del 26/04/2011 in tema di pubblicazione nei siti informatici di atti e provvedimenti concernenti procedure a evidenza pubblica, adottato ai sensi dell’art. 32 della legge n.69/09. L’art. 3 del DPCM prevede le modalità di pubblicazione degli atti e dei provvedimenti delle PA; in particolare le Pubbliche Amministrazioni sono tenute ad assicurare che le informazioni presenti nei siti siano conformi e corrispondenti alle informazioni contenute nei provvedimenti amministrativi originali dei quali si fornisce comunicazione tramite il sito, così come stabilito dall’art. 54, comma 4, del Codice dell’Amministrazione Digitale (CAD). Sempre in base all’art. 54, comma 3, del CAD i dati devono essere godibili gratuitamente, senza la necessità di accreditarsi o identificarsi con credenziali personali di accesso.

Il DPCM, poi, all’art. 3 prescrive che i “documenti” amministrativi pubblicati sui siti debbano essere documenti amministrativi informatici originali o copie informatiche di documenti cartacei; mentre gli atti pubblicati, oltre ai requisiti propri di tutti gli atti amministrativi, devono rispettare tutte le norme del Codice dell’Amministrazione digitale relative alla formazione e validità dei documenti secondo quanto previsto dagli art. 20 e ss. del CAD.

Dal punto di vista dell’accessibilità e fruibilità, invece, l’art. 4 del DPCM stabilisce le specifiche modalità attraverso cui i siti delle PA devono portare a conoscenza dei terzi i dati relativi ai bandi di gara. In particolare, la pubblicazione deve avvenire in una sezione appositamente creata “direttamente raggiungibile dalla home page, dotata di caratteristiche di indirizzabilià e di ergonomicità tali da consentire un’immediata e agevole consultazione”, sulla scorta di quanto disposto dall’art. 53 del CAD, il quale stabilisce che i siti delle PA devono rispettare i criteri di accessibilità, elevata usabilità e reperibilità. Pare opportuno evidenziare, inoltre, che i bandi di gara devono essere pubblicati in ogni caso in base alle regole e ai termini di cui al D. Lgs 163/2006 (Codice degli appalti), per ciascun tipo di procedura.

L’art. 6 del DPCM, infine, richiama un’altra norma importante del CAD, l’articolo 57 bis^[2], relativo all’indice degli indirizzi delle pubbliche amministrazioni digitali. È necessario, infatti, che le PA, al fine di applicare correttamente le regole di cui al citato decreto, registrino l’indirizzo web del sito informatico nell’indice degli indirizzi delle pubbliche amministrazioni e ne assicurino sempre l’adeguato aggiornamento. 

* avv. Graziano Garrisi e avv. Simonetta Zingarelli – Digital&Law Department – Studio Legale Lisi – www.studiolegalelisi.it