LEGAL BIM: ACDAT E CONDIVISIONE DEI DATI, PUNTI DI CONTATTO COL GDPR

Il BIM fa della condivisione dei dai dati uno dei propri punti di forza. L’approccio Open BIM ed il correlato utilizzo di formati aperti e non proprietari, trova anche in tale aspetto la propria motivazione.

Consentire agli operatori del settore degli appalti pubblici di lavorare continuando ad utilizzare gli strumenti informatici prescelti è alla base della “filosofia” Open BIM sposata anche dal legislatore italiano in materia di appalti pubblici.[1]

A tal fine il D.M. 560/2017, al l’art. 4, richiede che lo scambio delle informazioni avvenga in un luogo a ciò deputato: L’AcDat.

L’AcDat è definita dal citato art. 4, come: “un ambiente digitale di raccolta organizzata e condivisione di dati relativi ad un'opera e strutturati in informazioni relative a modelli ed elaborati digitali prevalentemente riconducibili ad essi, basato su un'infrastruttura informatica la cui condivisione è regolata da precisi sistemi di sicurezza per l'accesso, di tracciabilità e successione storica delle variazioni apportate ai contenuti informativi, di conservazione nel tempo e relativa accessibilità del patrimonio informativo contenuto, di definizione delle responsabilità nell'elaborazione dei contenuti informativi e di tutela della proprietà intellettuale”.



[1] DIRITTO DI ACCESSO NELLE PROCEDURE DI AFFIDAMENTO E DI ESECUZIONE DEI CONTRATTI PUBBLICI. LA SOLUZIONE OPEN BIM di Andrea Versolato e Massimo Stefani – Appalt&Contratti – Maggioli Editore

Da tale definizione si ricava che risulta di fondamentale importanza per il legislatore che coloro che accedono all’ambiente di condivisione dei dati siano tracciati, sia ai fini della sicurezza dei dati contenuti nell’ambiente di condivisione stesso, sia per l’individuazione e la riconducibilità di eventuali responsabilità.

Tracciare un soggetto all’interno di un ambiente di condivisione dei dati significa, in altre parole, trattarne i dati personali, individuandolo correttamente e monitorandone le azioni all’interno AcDat.

Risulta di tutta evidenza, alla luce di quanto suesposto, il collegamento con le fattispecie disciplinate dal GDPR.

La materia del trattamento dei dati personali è disciplinata dal Regolamento UE 2016/679, “Regolamento Generale sulla Protezione dei Dati” anche noto con l’acronimo inglese GDPR (General Data Protection Regulation), dal D.lgs 196/2003, “Codice in materia di protezione dei dati personali” come modificato sia dall’entrata in vigore del predetto regolamento che dal D.Lgs. 101/2018, rubricato “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”.

Il citato Regolamento UE, al considerando n. 73, definisce col termine “profilazione” tutte quelle attività consistenti  “in una forma di trattamento automatizzato dei dati personali che valuta aspetti personali concernenti una persona fisica, in particolare al fine di analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato, ove ciò produca effetti giuridici che la riguardano o incida in modo analogo significativamente sulla sua persona”.

Come è dato leggere nel citato considerando nella profilazione rientrano, quindi, anche le valutazioni di aspetti personali collegati all’attività lavorativa e alla collocazione di eventuali responsabilità dalla stessa derivanti.

Gli ambienti di condivisione dei dati, per rispondere alle esigenze di tracciabilità degli accessi, di riconducibilità della successione storica delle modifiche apportate ai contenuti informativi nonché la riconducibilità delle eventuali responsabilità, così come previsto dall’art. 4 del D.M. 560/2018, pertanto, devono inevitabilmente procedere con un’attività di profilazione, così come definita dal GDPR al considerando n. 73, di coloro i quali hanno accesso all’AcDat.

Il legislatore europeo con il considerando n. 24 del Regolamento UE 2016/679 afferma che: “è opportuno che anche il trattamento dei dati personali degli interessati che si trovano nell'Unione ad opera di un titolare del trattamento o di un responsabile del trattamento non stabilito nell'Unione sia soggetto al presente regolamento quando è riferito al monitoraggio del comportamento di detti interessati, nella misura in cui tale comportamento ha luogo all'interno dell'Unione.”.

Con il considerando n. 60 del Regolamento UE 2016/679 il legislatore sostiene che: “inoltre l'interessato dovrebbe essere informato dell'esistenza di una profilazione e delle conseguenze della stessa. In caso di dati personali raccolti direttamente presso l'interessato, questi dovrebbe inoltre essere informato dell'eventuale obbligo di fornire i dati personali e delle conseguenze in cui incorre se si rifiuta di fornirli”.

Il considerando n. 63 del detto regolamento UE afferma, inoltre, che “ogni interessato dovrebbe pertanto avere il diritto di conoscere e ottenere comunicazioni in particolare in relazione alla finalità per cui i dati personali sono trattati, ove possibile al periodo in cui i dati personali sono trattati, ai destinatari dei dati personali, alla logica cui risponde qualsiasi trattamento automatizzato dei dati e, almeno quando è basato sulla profilazione, alle possibili conseguenze di tale trattamento.”

Se ne ricava che a qualunque interessato che si trovi nell’Unione europea, i cui dati personali siano collocati all’interno di una AcDat utilizzata per la realizzazione di un appalto con l’approccio BIM che implichi una profilazione dell’attività lavorativa, dovranno essere fornite le garanzie richieste dalla normativa in materia. Dovrà, pertanto, il soggetto interessato i cui dati siano presenti all’interno dell’ambiente di condivisione essere informato di come saranno trattati, della base giuridica e delle finalità di detto trattamento, per quanto tempo saranno conservati, l’autorità di controllo a cui potrà rivolgersi nel caso ritenga sia stata operata una violazione dei suoi diritti ed ogni altra informazione che risulti necessaria secondo quanto disposto dell’art. 13 del, nel caso in cui dati siano stati raccolti presso l’interessato, e dall’art. 14 del Regolamento UE 2016/679 nel caso in cui i dati non siano stati raccolti presso l’interessato.

Il GDPR prevede poi all’art. 37  che il titolare e il responsabile del trattamento designano sistematicamente un responsabile per la protezione dei dati (Data Protection Officier) ogniqualvolta: “a)  il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; b)  le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure c)  le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10. 2  è obbligatorio individuare un Responsabile per il trattamento dei dati (Data Protection Officier)”.

Ne deriva che nel caso di un appalto pubblico da eseguirsi con l’approccio BIM, e quindi fruendo di un ambiente di condivisione dei dati, sarà obbligatoria, vuoi per la natura della committenza (Autorità Pubblica o Organismo di diritto pubblico), vuoi anche per il tipo di dati trattati (casellario giudiziario, carichi pendenti, antimafia), la nomina di un responsabile per la protezione dei dati o Data Portaction Officier (DPO) che dir si voglia.

Quelli esposti in realtà sono soltanto alcuni dei punti di contatto tra GDPR e Legal Bim dovuta alla condivisione dei dati.

Il fatto che nell’AcDat, fondamentale per lo scambio dei dati tra tutti i soggetti che vi intervengono, siano presenti dati personali di varia natura, suggerisce che la corretta costruzione di un appalto utilizzando l’approccio BIM non può esimersi dall’applicazione di tutti i principi e i dettami del Regolamento UE 2016/679. Ivi compresi i principi di privacy by default e privacy by design stabiliti dall’art. 25.

L’art. 25 del Regolamento 2016/679 statuisce infatti che: “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”.

Ed ancora che: “Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica

In altre parole e per concludere, nel disegnare un appalto che contempli l’approccio BIM e che veda in quell’ecosistema digitale che è l’AcDat il luogo ove una miriade di informazioni personali anche particolari ed il cui contenuto, se non correttamente disciplinato nell’accesso, potrebbe tradursi in una grave lesione delle norme poste a tutela della privacy, non può prescindere dalla costruzione di un adeguato sistema di trattamento dei dati personali.

Così come l’ANAC con il documento di integrazione delle Linee Guida n. 1, relative all’ “Uso di metodi e strumenti elettronici specifici quali quelli di modellazione per l’edilizia e le infrastrutture nelle procedure di affidamento dei servizi attinenti all’architettura e all’ingegneria. Equo compenso” ha precisato che con riferimento alla “proprietà dei dati e delle modalità di condivisione e gestione delle informazioni”, che “riguardo a quest’ultimo sarebbe preferibile che le stazioni appaltanti si dotassero, per ciascuna delle procedure di gara per le quali si farà ricorso ai metodi e gli strumenti elettronici, di un proprio ambiente di condivisione, come definito dall’articolo 2 del decreto n. 560/2017” è anche auspicabile che ciascuno di questi ambienti, in ossequio ai principi della privacy by design e della privacy by default e per rispondere pienamente ai dettai del GDPR, adotti un proprio sistema privacy specificamente studiato per la sigola commessa “BIM”.

Richiedi subito informazioni!