Categoria: Diritto amministrativo

CAM: Criteri Ambientali Minimi

CAM Criteri Ambientali MinimiLa tematica dei CAM, ossia dei Criteri Ambientali Minimi da indicare e prevedere direttamente nella legge di gara, è recentemente oggetto di frequenti e diversificati interventi giurisprudenziali, che si stanno occupando di aspetti sia sostanziali, che processuali.

Da segnalare sul tema due recenti arresti del Consiglio di Stato, il quale – dopo aver premesso che gli artt. 34 e 71 del d.lgs. n. 50 del 2016, oggi sostituiti dagli artt. 57 e 83 del d.lgs. n. 36 del 2023, impongono alla pubblica amministrazione di adeguare la lex specialis della gara ai criteri ambientali minimi, volti a individuare la soluzione progettuale, il prodotto o il servizio migliore sotto il profilo ambientale ed adottati, con riferimento a specifiche categorie di appalti e concessioni, con decreti del Ministero dell’ambiente e della sicurezza energetica e che, quindi, le stazioni appaltanti sono tenute ad inserire, nella documentazione di gara, le specifiche tecniche e le clausole contrattuali elaborate, tramite i decreti ministeriali, per il conseguimento degli obiettivi ambientali previsti dal Piano d’azione per la sostenibilità ambientale dei consumi nel settore della pubblica amministrazione – ha affermato che deve farsi riferimento principalmente proprio a tali prescrizioni ministeriali, che integrano la lex specialis, al fine di stabilire il segmento procedurale in cui collocare la verifica del rispetto dei criteri ambientali minimi (Cons. Stato, Sez. III, 21 gennaio 2022, n. 397). In particolare, il Supremo Consesso della Giustizia Amministrativa ha precisato che, laddove una determinata specifica tecnica assurga a criterio premiante, la sua verifica diventa logicamente necessaria già durante la procedura di gara, proprio ai fini dell’attribuzione del punteggio aggiuntivo, sebbene la sua assenza non possa determinare l’esclusione del concorrente, ma solo il mancato riconoscimento del premio; al contrario, laddove una determinata specifica tecnica sia imposta quale elemento essenziale dell’offerta, la proposta formulata deve contenere, a pena di esclusione, un impegno in tal senso, ma la verifica del rispetto di tale impegno non appartiene ontologicamente alla procedura di gara, potendo essere demandata ad un momento successivo all’aggiudicazione e, cioè, anche alla fase di esecuzione del contratto (Cons. Stato, Sez. V, 11 marzo 2025, n. 1990; Cons. Stato, Sez. V, 4 marzo 2025, n. 1857).

Per quanto attiene, invece, agli aspetti più squisitamente processuali, per la Sez. II Ter del TAR Lazio, la mancata previsione dei Criteri Ambientali Minimi (c.d. CAM) costituisce una clausola immediatamente lesiva e, pertanto, deve essere impugnata nel termine perentorio di 30 giorni decorrenti dalla pubblicazione del Bando di gara, con conseguente irricevibilità del ricorso proposto solamente dopo l’aggiudicazione definitiva (TAR Lazio, Roma, Sez. II Ter, 4 dicembre 2024 N. 21878).

E invero, la mancata previsione dei CAM ha “l’effetto di impedire la formulazione di “offerte consapevoli” da parte dei concorrenti” e, quindi, costituisce una clausola immediatamente lesiva.

La Sez. II del TAR Lazio arriva a tale conclusione ripercorrendo la giurisprudenza amministrativa la quale, dapprima “ha ammesso l’immediata impugnazione della lex specialis quando l’interesse a ricorrere dipende da clausole del bando che, in quanto contemplanti requisiti di ammissione alla procedura, risultino impeditive della partecipazione dell’interessato alla gara, oppure che prevedano oneri di partecipazione manifestamente incomprensibili o del tutto sproporzionati” e, poi, “A partire da Cons. Stato, Ad.Plen. 26 aprile 2018, n. 4 […] afferma che “In riferimento alla clausola immediatamente escludente che si assuma consistere nella difficoltà/impossibilità di formulare un’offerta, la casistica giurisprudenziale vi include anche le clausole che impongono oneri o termini procedimentali o adempimenti propedeutici alla partecipazione di impossibile soddisfazione o del tutto spropositati”; tra questi casi possono essere annoverati anche le prescrizioni “impongano obblighi contra ius, ovvero presentino gravi carenze nell’indicazione di dati essenziali per la formulazione dell’offerta””.

Il tema dei CAM è, però, un tema molto dibattuto nell’attuale panorama giurisprudenziale, dando vita a posizioni opposte.

Infatti, l’appena menzionata sentenza si pone in contrasto con una importante pronuncia del Consiglio di Stato, laddove viene affermato che “[…] La questione, con specifico riferimento ai c.a.m., è stata già affrontata da questa Sezione nella sentenza n. 2795/2023, che ha applicato alla specifica materia dedotta i princìpi sanciti dalla sentenza dell’Adunanza Plenaria n. 4/2018, nel senso dell’insussistenza di un onere di immediata impugnazione delle clausole che si assumo lesive per violazione della disciplina in materia di criteri ambientali minimi […]” e che “[…] Il Collegio ritiene di confermare in proposito la conclusione già espressa nella citata sentenza n. 2795/2023, condividendo gli argomenti posti a fondamento della stessa. Non si ravvisano, in particolare, ragioni per addivenire – come sollecitato – ad una rimeditazione di tale orientamento, posto che proprio i criteri sanciti dalla ricordata sentenza n. 4/2018 dell’Adunanza Plenaria, correttamente applicati dalla richiamata sentenza alla specifica fattispecie oggetto di giudizio, impediscono di addivenire ad un diverso esito interpretativo […]”, posto che “[…] In alcun modo, infatti, l’illegittimità dei criteri ambientali minimi influisce sulla formulazione dell’offerta: non solo in termini di impossibilità assoluta, ma neppure in termini di condizionamento relativo (Consiglio di Stato, sez. III, sentenza n. 1300 del 2024) […]” (enfasi aggiunta) (Cons. Stato, Sez. III, 27 maggio 2024, n. 4701; in termini Cons. Stato n. 2795/2023).

Sempre in tal guisa, cioè a dire nel senso di ritenere tempestivo il ricorso proposto contro l’aggiudicazione facendo valere la carenza dei CAM (tesi che registra maggiori favori nel panorama giurisprudenziale), si segnala la recente sentenza della Sezione II del TAR Lazio, Sede di Roma la quale, all’incirca un mese prima della pronuncia della Sezione II ter, ha così diversamente affermato: “Tuttavia, persuade maggiormente il contrario orientamento, sostenuto dal Consiglio di Stato nelle sentenze nn.ri 2795/2023, 4701/2024, 1300/2024. Secondo il consolidato orientamento della giurisprudenza amministrativo, avallato dall’Adunanza Plenaria del Consiglio di Stato (rif. n.1/2003, ma anche 4/2018), la lesività immediata del bando si può configurare solo per le clausole cd. “immediatamente escludenti”, tali essendo sia quelle che, in senso proprio e diretto, fissano requisiti illegittimi di accesso al procedimento selettivo, sia quelle che, in modo indiretto, impediscono tout court la formulazione di un’offerta seria e consapevole”, con la conseguenza che “è evidente che la violazione dei CAM, affermata nel ricorso, non abbia affatto impedito al ricorrente di presentare offerta, la quale è stata valutata e ammessa definitivamente nella graduatoria di gara. Il mancato recepimento dei CAM non si presenta, quindi, realmente impeditivo della partecipazione ovvero della presentazione dell’offerta, determinando piuttosto una violazione delle regole di ingaggio della competizione, destinate ad essere lesive solo con l’aggiudicazione definitiva, in conformità alla regola generale in tema di impugnazione dei bandi di gara(TAR Lazio, Sede di Roma, Sez. II, 11 novembre 2024, n. 19910).

Sull’argomento è intervenuto di recente anche il TAR Campania-Napoli (Sez. I 15 gennaio 2025 n. 427 e Sez. IV 17 gennaio 2025 n.488), il quale ha ribadito che la carenza dei criteri ambientali minimi non integra un vizio tale da imporre l’immediata e tempestiva impugnazione del bando di gara, non essendo al cospetto di un’ipotesi eccezionale di clausole immediatamente escludenti o impeditive della partecipazione.

Infine, per quanto concerne la questione della possibile ed eventuale eterointegrazione della disciplina di gara ad opera dei decreti CAM, la questione sembra oramai risolta nel senso negativo di ritenere, quindi, illegittima tale possibilità, atteso che il Supremo Consesso di Giustizia Amministrativa – in un importante arresto giurisprudenziale (Cons. Stato, Sez. III, 27 maggio 2024, n. 4701), poi ripreso in successive pronunce (TAR Lazio, Roma, Sez. II, 13 novembre 2024, n. 20198; Cons. Stato, Sez. III, 11 novembre 2024, n. 8171) – ha ribadito l’illegittimità della lex specialis che si limiti a un mero richiamo ai decreti CAM di riferimento, senza declinare puntualmente le specifiche tecniche e le clausole contrattuali applicabili alla prestazione oggetto di affidamento, con conseguente annullamento di tutti gli atti della procedura di gara, ivi compreso il provvedimento di aggiudicazione, in ragione della violazione di norme poste “a presidio di interessi superindividuali”.

Sul rifiuto del dipendente di accettare la nomina al trattamento dei dati personali

Può il dipendente rifiutarsi di sottoscrivere per accettazione la nomina a incaricato al trattamento dei dati personali sottopostagli dal datore di lavoro?

Il Regolamento (UE) 2016/679 (GDPR) ha introdotto la figura del Responsabile del Trattamento dei dati personali.

L’art. 28 GDPR prevede che “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato” e che “I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”.

All’art. 29 è poi previsto che “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

L’interessante ordinanza 504/2024 del Tribunale di Udine, Sezione Lavoro, afferma che “Le prestazioni rese dalla ricorrente (così come da chiunque operi in un ufficio postale) implicano necessariamente il trattamento in senso tecnico di dati personali altrui”.

Conseguentemente “Se dunque è vero che la nomina quale persona designata al trattamento dei dati personali ha natura unilaterale essendo un atto che promana dalla parte datoriale, è tuttavia altrettanto vero che ogni nomina/designazione per lo svolgimento di determinate mansioni/incarichi implica una accettazione da parte del destinatario di quell’atto (senza la quale la nomina non può produrre i propri effetti), che in base ai principi generali dell’ordinamento deve rivestire la stessa forma dell’atto presupposto. La mancata accettazione da parte del lavoratore dell’incarico conferitogli dal datore porta a conseguenze nella gestione del rapporto di lavoro che si producono su diversi piani: violazione del generale dovere di lealtà e correttezza nell’esecuzione del rapporto, inadempimento dei doveri contrattuali, integrazione di condotta disciplinarmente rilevante. Il rifiuto espressamente opposto dalla (omissis) di sottoscrivere la lettera di incarico e gli specifici impegni ivi indicati implica inevitabilmente il rifiuto di trattare tali dati rispettando la disciplina di legge e le indicazioni datoriali, nonché di formarsi adeguatamente e di aggiornarsi sul punto”.

Ricorda inoltre il Tribunale che l’art. 24 GDPR impone al Titolare del trattamento, di adottare “tenuto conto … dei rischi” connessi al trattamento dei dati personali “misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento”: in altre parole, in ragione delle generali esigenze di garanzia e tutela dei diritti dei cittadini sottese a tale impianto normativo, l’ordinamento impone alla società di organizzarsi in modo da assicurare il legittimo trattamento dei dati e di essere in grado di provare in qualsiasi momento (“dimostrare”) di aver adottato tali misure organizzative.

Nondimeno, gli artt. 29 e 32 co.4° del Reg. UE n. 2016/679 impongono al Titolare di formare adeguatamente ed aggiornare i propri designati al trattamento, stabilendo che il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento.

In forza di ciò, dunque, il datore di lavoro:

  • deve garantire che i dati delle persone fisiche trattati dai propri incaricati/designati avvenga nel rispetto degli obblighi di legge;
  • allo scopo deve formare adeguatamente i propri designati al trattamento e tenere aggiornata tale formazione;
  • risponde direttamente e a ogni effetto verso le persone fisiche i cui dati personali siano stati trattati illegittimamente dai propri incaricati;
  • deve adottare misure organizzative che le consentano altresì di “dimostrare” che questi ultimi trattino i dati personali altrui in modo legittimo.

Il Datore di lavoro si è insomma trovato, per un fatto determinato dalla volontà del proprio dipendente e comunque fuori dalla propria sfera di controllo, nelle condizioni di dover necessariamente sospendere dal servizio il lavoratore, posto che in caso contrario il datore di lavoro avrebbe senz’altro violato le norme di garanzia e di tutela sopra esaminate, esponendosi altresì inevitabilmente al rischio di incorrere in responsabilità sia di natura civilistica verso i soggetti interessati da eventuali trattamenti illegittimi (cfr. art. 82 GDPR) sia di natura amministrativa (cfr. artt. 83 e 84 GDPR).

A fronte di ciò, il datore di lavoro legittimamente può sospendere il dipendente, in attesa che vengano ripristinate le condizioni minime che consentano di operare nel rispetto della sopra richiamata disciplina di legge nazionale e comunitaria in tema di protezione e tutela dei dati personali.

Scarica qui il provvedimento del Tribunale di Udine e la nostra newsletter sul punto.

Illegittimo accedere alla casella e-mail del dipendente cessato

Non è consentito al datore di lavoro accedere alla casella e-mail aziendale del dipendente ormai cessato.

È quanto stabilito dal Garante per la Protezione dei dati personali con provvedimento 140/2024 del 7.3.2024.

Con tale provvedimento è stato infatti sanzionato un datore di lavoro che, dopo la cessazione del rapporto di lavoro con due dipendenti, ha mantenuto attivi per diversi mesi gli account di posta elettronica individualizzati assegnati a questi ultimi.

A tali account ha acceduto, in tale lasso di tempo, il rappresentante legale della società.

Non sono state ritenute legittime e preminenti le giustificazioni addotte dal datore di lavoro che aveva dichiarato:

  1. di avere mantenuto attivi i predetti account per avere accesso a reclami o richieste tecniche inviate dai clienti;
  2. che “l’accesso era assolutamente necessario al fine di garantire la continuità operativa dell’azienda, stante la rilevanza delle comunicazioni aziendali pervenute, tenuto conto anche del ruolo apicale rivestito dagli ex dipendenti”;
  3. che l’accesso alle caselle di posta elettronica dopo la cessazione del rapporto di lavoro è stato effettuato solamente con riferimento alle e-mail provenienti da determinati mittenti e relative ai rapporti aziendali, selezionate quindi mediante l’utilizzo di parole chiave

Il Garante ha osservato che il datore di lavoro, invece che limitarsi al mantenimento degli account assegnati ai reclamanti, contestualmente attivando un messaggio di risposta automatico volto ad informare i terzi della imminente disattivazione degli account e della possibilità di contattare altri e diversi indirizzi e-mail, per esigenze di continuità dell’attività svolta per un tempo proporzionato con le esigenze della stessa e senza accedere al contenuto dei medesimi – attività che, se posta in essere, sarebbe stata considerata lecita – ha invece direttamente acceduto al contenuto degli account mantenuti attivi successivamente alla cessazione del rapporto di lavoro.

Tale comportamento è stato considerato illecito, da un lato, sotto il profilo della mancata informativa all’interessato in ordine al fatto che dopo la cessazione del rapporto, la società avrebbe eseguito accessi sulla sua casella di posta aziendale individualizzata.

Il Titolare del trattamento, avrebbe dovuto fornire ai dipendenti una informativa che contenesse anche indicazioni sulle modalità di disattivazione dell’account da rimuovere, previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi, provvedendo altresì ad adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione.

Sotto altro profilo, il trattamento è stato inoltre considerato illecito poiché il datore di lavoro avrebbe effettuato una ricerca delle e-mail rilevanti dopo avere acceduto alla totalità delle e-mail, quantomeno, quindi, ai dati esteriori delle comunicazioni contenute negli account degli ex dipendenti.

E sul punto il Garante ha sottolineato che anche i dati esteriori delle comunicazioni stesse e i file allegati, oltre al contenuto dei messaggi di posta elettronica, riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 Cost.).

Conseguentemente la condotta tenuta dal datore di lavoro, in qualità di titolare del trattamento, consistita nel mantenere attivi, successivamente alla cessazione del rapporto di lavoro e delle cariche rivestite dai reclamanti all’interno della stessa, gli account di posta elettronica aziendale individualizzati, accedendo al contenuto dei medesimi, è stata dichiarata in contrasto con i principi di liceità, di minimizzazione e di limitazione della conservazione.

Scarica qui il provvedimento del Garante e la nostra Newsletter sul punto.

What Next? Le Città Metropolitane a 10 anni dalla loro istituzione

Con Ispro Istituzioni e Progetti la nostra senior partner Avv. Francesca Aliverti ha avuto il piacere e l’onore di intervenire nella giornata dell’8 aprile 2024 al seminario organizzato presso Palazzo Isimbardi da Città Metropolitana di Milano dal titolo What Next? finalizzato a stimolare una riflessione sul ruolo dell’ente di area vasta a 10 anni dalla sua istituzione.

Sono state monitorate e studiate le iniziative parlamentari e governative finalizzate a riformare – ancora una volta e sotto vari aspetti (dal sistema elettivo, alle funzioni fondamentali al sistema di finanziamento) – l’ente Città Metropolitana.

La lettura critica ai provvedimenti ha messo in evidenza la necessità di una riforma più strutturale su funzioni e modalità di finanziamento e ha voluto anche stimolare una riflessione sulla necessità di assegnare un ruolo può definito alle tre grandi città metropolitane italiane sulla falsariga dei modelli delle grandi metropoli europee.

Scarica il programma dell’evento, ovvero accedi alla pagina dedicata sul portale della Città Metropolitana di Milano.

Accedi qui per l’intervento dell’Avv. Francesca Aliverti.

Garante Privacy: limite di sette giorni per la conservazione dei metadati delle e-mail dei dipendenti

Con il documento di indirizzo 9978728 denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (scarica qui) in data 21.12.2023 il Garante per la protezione dei dati personali è intervenuto a stabilire il limite di durata della conservazione dei c.d. metadati delle email dei dipendenti.

Tale provvedimento è stato assunto sul presupposto del rischio che programmi  e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), conservando gli stessi per un esteso arco temporale.

Sulla base di tale considerazione, il Garante ha ricordato che, in attuazione del principio di “responsabilizzazione” (cfr. art. 5, par. 2, e 24 del Regolamento), spetta al titolare valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche – in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite – che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (cfr. cons. 90 e artt. 35 e 36 del Regolamento).

Sempre secondo il Garante, tale necessità ricorre, in particolare, in caso di raccolta e memorizzazione dei metadati relativi all’impiego della posta elettronica, stante la particolare “vulnerabilità” degli interessati nel contesto lavorativo, nonché il rischio di “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti”.

Alla luce delle disposizioni richiamate, l’attività di raccolta e conservazione dei soli c.d. metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, per un tempo che, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione – affinché sia ritenuto applicabile il comma 2 dell’art. 4 della L. n. 300/1970 – non può essere superiore di norma a poche ore o ad alcuni giorni,  in ogni caso non oltre sette giorni,  estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore.

Diversamente, la generalizzata raccolta e la conservazione di tali metadati, per un lasso di tempo più esteso – ancorché sul presupposto della sua necessità per finalità di sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo, del datore di lavoro -, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta l. n. 300/1970. Resta fermo che anche tale conservazione dovrà avvenire nel rispetto del principio di limitazione della conservazione.

In ragione di tale limitazione si rende quindi necessario valutare di:

  • intervenire nelle informativa privacy per i dipendenti, indicando specificamente il periodo di conservazione dei dati applicabile;
  • eseguire una DPIA (valutazione di impatto) sui diritti fondamentali degli interessati per la prosecuzione nel trattamento dei dati,
  • eseguire un test di bilanciamento laddove si invochi che la conservazione dei dati si basi su un interesse legittimo,
  • aggiornare le policy in tema di retention e conservazione dei dati;
  • addivenire a un accordo espresso con le rappresentanze sindacali o, in mancanza di queste, con l’Ispettorato Territoriale del Lavoro.

Scarica qui il documento di indirizzo citato e la nostra newsletter sul punto.