Gare telematiche, l’assenza di marcatura temporale è vizio insanabile dell’offerta

Gare telematiche e presentazione dell’offerta: quando è esperibile il soccorso istruttorio?

Con la recente sentenza dello scorso 24 giugno 2020, il Consiglio di stato conduce un’importante riflessione in materia di gare telematiche e presentazione dell’offerta in via telematica. Come è noto, il Codice dei contratti pubblici (d.lgs. 18 aprile 2016, n. 50) prevede l’attivazione, nei casi di mera irregolarità, del rimedio del soccorso istruttorio di cui all’art. 83, comma 9, del Codice.

Nel caso in esame, in particolare, il disciplinare della gara telematica stabiliva che l’offerta economica fosse trattenuta sul sistema informatico utilizzato dai concorrenti e scaricata sulla piattaforma informatica della stazione appaltante solo dopo l’ammissione e la valutazione dell’offerta tecnica.

Proprio per garantire che essa fosse stata formulata prima della scadenza del bando e in uno all’offerta tecnica, il concorrente era tenuto a provvedere alla sua “marcatura temporale”, operazione che “chiude” la busta telematica contenente l’offerta, contrassegnandola con un codice composto da numeri e lettere da caricarsi sulla piattaforma telematica insieme ai documenti necessari all’ammissione: solo successivamente, dopo l’attribuzione dei punteggi all’offerta tecnica, il concorrente doveva scaricare l’offerta economica sulla piattaforma della stazione appaltante, munita della predetta marcatura temporale.

Secondo l’opinione consolidata del Consiglio di Stato, nel caso delle gare telematiche, la conservazione dell’offerta è affidata allo stesso concorrente: questi sarà tenuto a custodire l’offerta all’interno della memoria del proprio personal computer nella fase che intercorre tra il termine di presentazione e la procedura di upload.

Per quanto concerne la marcatura temporale, il Consiglio di Stato ritiene che l’identità del numero seriale della marcatura temporale inserita all’atto della presentazione dell’offerta e quella apposta sull’offerta nella fase di upload costituisce un adempimento essenziale al fine di garantire che l’offerta non sia stata modificata o sostituita in data successiva al termine ultimo perentorio di presentazione delle offerte” (Cons. Stato, III, 3 ottobre 2016, n. 4050).

Pertanto, l’Autorità giudiziaria ritiene che la marcatura temporale costituisce un elemento costitutivo dell’offerta stessa: di conseguenza, non vi è alcuna possibilità di applicare il rimedio del soccorso istruttorio alle carenze dell’offerta tecnica ed economica, ai sensi dell’art. 83, comma 9, del d.lgs. 18 aprile 2016, n. 50.

 

Come garantire la correttezza delle procedure di gara? Hedya propone i percorsi innovativi “Il codice dei contratti pubblici” e “Tecniche di redazione degli atti amministrativi”

 

Le recenti posizioni del Consiglio di stato evidenziano tutta la complessità delle gare telematiche, richiedendo nuove competenze per le PA nella gestione delle comunicazioni con tutti i soggetti richiedenti, per adeguarsi ai canoni di trasparenza e digitalizzazione in corso.

Per tali ragioni, Hedya propone gli innovativi percorsi di formazione:

 

I percorsi formativi sono rivolti al personale di enti pubblici e privati, a tutti i datori di lavoro e liberi professionisti interessati alla materia.

 

Inoltre, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

/da

Data breach Unicredit, il Garante infligge una sanzione pecuniaria da 600 mila euro

 

Il Data Breach Unicredit: quali criticità?

Con il recente Provvedimento del 10 giugno 2020, il Garante ha ingiunto all’istituto bancario Unicredit S.p.A. di pagare la somma di 600 mila euro a titolo di sanzione amministrativa pecuniaria per le violazioni verificatesi nel corso del biennio 2016 – 2017.

La società bancaria, in data 25 luglio 2017, aveva comunicato al Garante di aver subito un’intrusione informatica, verificatasi in due momenti distinti in un arco temporale compreso tra aprile 2016 e luglio 2017: tali attacchi, in particolare, sono stati perpetrati attraverso le utenze di alcuni dipendenti di un partner commerciale esterno (la società Penta Finanziamenti Italia S.r.l.); adoperando l’applicativo “Speedy Arena”, hanno così determinato accessi non autorizzati a dati personali riferiti a circa 762.000 interessati.

Nel complesso, all’esito delle risultanze istruttorie compiute dall’Autorità, è risultato che i dati oggetto della violazione consistevano in:

  • Dati anagrafici e di contatto;
  • Professione;
  • Livello di studio;
  • Estremi identificativi di un documento di riconoscimento e informazioni relativi a datore di lavoro;
  • Salario;
  • Importo del prestito, stato del pagamento, “approssimazione della classificazione creditizia del cliente” e codice Iban.

Alla luce di tali evidenze, il Garante ha adottato, in data 28 marzo 2019, il provvedimento n. 87 n. 9104006, con il quale ha dichiarato illecito il trattamento dei dati personali posto in essere da Unicredit, in qualità di titolare del trattamento, perché effettuato in violazione:

  • Delle misure minime di sicurezza previste dagli artt. 33 e ss. del Codice e dal disciplinare tecnico di cui all’Allegato B) al Codice stesso. Con particolare riferimento alle misure minime di sicurezza, l’Autorità ha constatato l’utilizzo di un non idoneo sistema di autorizzazione dell’applicativo Speedy Arena e l’assenza del “limite di accesso” dei profili di autorizzazione ai soli dati necessari per effettuare le operazioni di trattamento
  • Delle misure prescritte con il provvedimento 192 del 12 maggio 2011, recante “Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie”. In tal caso, l’Autorità ha verificato l’inadeguatezza e la non corretta conservazione dei log di tracciamento delle operazioni svolte sull’applicativo Speedy Arena, alla mancata implementazione di alert per le operazioni svolte attraverso il citato applicativo e alla mancata esecuzione di attività di audit interni di controllo;

 

In sintesi, sfruttando alcune debolezze della sicurezza dell’applicativo, la Società ha subito l’intrusione di soggetti ignoti attraverso le credenziali assegnate al personale Penta: questi hanno avuto accesso ai dati personali presenti in pratiche di finanziamento che non rientravano nell’ambito del mandato di Penta, determinando in questo modo il data breach oggetto della comunicazione del 25 luglio 2017.

 

 

Come assicurare la collaborazione tra le varie figure professionali? Hedya propone un percorso formativo innovativo sulle “Nuove Professioni Digitali”

 

Le posizioni del Garante evidenziano la necessità, per aziende, società e Pubbliche Amministrazioni, di percorsi formativi:

  • integrati, che coinvolgano le varie figure professionali;
  • mirati ad assicurare la sicurezza del trattamento;
  • aggiornati su tutte le principali questioni connesse al GDPR.

 

Per tali ragioni, Hedya propone il percorso formativo innovativoLe Nuove Professioni Digitali”. Se il Codice dell’Amministrazione Digitale (D.Lgs. 82/2005 o semplicemente CAD) e la normativa collegata (Linee Guida AgID) ci presentano il Responsabile Transizione al Digitale e Responsabile della Conservazione Documentale, il Regolamento Europeo 2016/679 (GDPR) schiera in campo il Responsabile per la protezione dei dati personali e l’Amministratore di sistema.  Si tratta di nuove figure professionali, la cui formazione deve necessariamente essere di natura trasversale, che convivono della nuova P.A. Digitale e che ne guidano il cambiamento.

 

Hedya propone inoltre un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

  1. Formazione e consulenza in materia di Digitalizzazione

Hedya supporta le Pubbliche Amministrazioni anche attraverso servizi di consulenza mirati, in materia di digitalizzazione, sui temi più critici connessi agli obblighi e agli adempimenti prescritti dalla legge.

Per tali ragioni, Hedya propone il percorso formativo “IL RESPONSABILE PER LA TRANSIZIONE AL DIGITALEper il corretto svolgimento dei compiti del Responsabile per la Transizione al Digitale, considerato il driver della transizione al Digitale.

Il percorso è rivolto:

  • a tutti coloro che all’interno delle Pubbliche Amministrazioni sono coinvolti, a vario titolo, nei processi di trasformazione alla modalità digitale;
  • a tutti coloro che sono stati nominati e che svolgono attualmente il ruolo di Responsabile per la Transizione al Digitale.

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

/da