HomeSentenzeArticoliLegislazionePrivacyRicercaChi siamo
Il nuovo regolamento privacy, quali adempimenti per le società a partecipazione pubblica
di Roberto Camporesi 25 maggio 2018
Materia: privacy / tutela dati personali

Il nuovo regolamento privacy, quali adempimenti per le società a partecipazione pubblica

R. Camporesi  -  studio BP & associati Bologna – Rimini

 

Indice

1. premessa; 2. Il Responsabile Protezione Dati (RPD); 3. L’istituzione del Registro delle attività di trattamento (art. 30 e cons. 171). 4. Società a partecipazione pubblica: ipotesi ricostruttive della natura; 5. Società a partecipazione pubblica e organismi di diritto pubblico;  6. Conclusioni

 

1. Premessa

Come noto il Regolamento sulla privacy entra in vigore 25/05/2018.  L’articolo 99(“ Entrata in vigore e applicazione”) recita. “1.   Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea. 2.   Esso si applica a decorrere da 25 maggio 2018. Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.”

Anche le società a partecipazione pubblica sono soggette alla disciplina che, come sovente accade, pone un delicato problema interpretativo. La disciplina della privacy è differente se deve essere applicata da un soggetto di diritto privato ovvero da un soggetto di natura privata.

Tale diversità dipende dal fatto che i soggetti di natura pubblica - come in proseguo qualificati – debbono rispondere anche degli adempimenti sulla trasparenza, venendo così a crearsi un sottile equilibrio nel momento in cui  si ravvedano esigenze di trasparenza (ostensione dati ovvero comunicazioni ai richiedenti) - al fine di tutelare  comportamenti elettivi dissuasivi di pratiche illecite, capaci di inibire azioni corruttive – e la tutela dei dati personali.

Per quanto attiene gli obblighi sulla trasparenza, previsti dal d.lgs n. 33/2013, le società a partecipazione pubblica vengono ad essere qualificate sia nella categoria di enti privato sottoposti a controllo pubblico, che nell’ambito delle categoria, quella dei soggetti di diritto privato  che sono considerate società soltanto partecipate.

Rimanendo in ambito della disciplina della trasparenza emerge che il profilo soggettivo è previsto dall’art. 2 bis comma 2 lett. b) del D.lgs. 33/2013, che qualifica le società a controllo pubblico rinviando alla relativa nozione desumibile dalle definizioni dell’art. 2 del TUSPP[1] e segnatamente la lettera m)[2], nonché è altresì previsto anche dall’art. 2 comma 1 del D.lgs. 33/2013 per quanto attiene alla società soltanto partecipate.

La distinzione tra le due categorie di società è essenziale: infatti le società a controllo pubblico applicano la disciplina sulla trasparenza sia sulla propria organizzazione che su tutte le proprie attività svolte; diversamente le società partecipate adempiono agli obblighi di trasparenza solo per le attività che sono considerate di servizio pubblico secondo la disciplina comunitaria e nazionale. [3]

Pertanto le società a partecipazione pubblica possono applicare l’intera disciplina della trasparenza propria delle PA.

Passando all’esame della disciplina della privacy emergono i seguenti elementi di differenziazione rispetto la relativa disciplina applicabile da soggetti privati.

Le tre priorità operative fissate dal Garante per l’applicazione del Regolamento sono così sintetizzabili:

-       la designazione del Responsabile della protezione dei dati (RPD) (art. 37-39);

-       l’istituzione del Registro delle attività di trattamento (art.30 e cons. 171;

-       la notifica delle violazioni dei dati personali, i cosiddetti data breach (art. 33 e 34).

2. Il Responsabile Protezione Dati (RPD)

La vera novità del nuovo regolamento riguarda questa figura (art. 37,38 e 39), la cui nomina è resa obbligatoria nella Pubblica amministrazione, con qualche eccezione, come ad esempio i piccoli comuni che potranno condividerlo.  Il Responsabile dovrà essere esperto di Dati personali, avrà compiti interni ed esterni e sarà lui il più indicato per effettuare la ricognizione per realizzare il Registro delle attività di trattamento Si ricorda che il RPD è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai propri compiti. Tale figura, di alto livello professionale, può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure adempiere ai suoi compiti in base a un contratto di servizi e quindi può essere un libero professionista.

3. L’istituzione del Registro delle attività di trattamento (art. 30 e cons. 171).

Altro passaggio essenziale della nuova disciplina della privacy è l’istituzione del Registro delle attività di trattamento (art. 30 e cons. 171). Essenziale avviare quanto prima la ricognizione dei trattamenti svolti presso i comuni e le loro principali caratteristiche (finalità del trattamento, descrizione delle categorie di dati e interessati, categorie di destinatari cui è prevista la comunicazione, misure di sicurezza, tempi di conservazione, e ogni altra informazione che il titolare ritenga opportuna al fine di documentare le attività di trattamento svolte) funzionale all’istituzione del registro. La ricognizione sarà l’occasione per verificare anche il rispetto dei principi fondamentali (art. 5), la liceità del trattamento (verifica dell’idoneità della base giuridica, artt. 6, 9 e 10) nonché l’opportunità di introdurre misure a protezione dei dati fin dalla progettazione e per impostazione (privacy by design e by default, art. 25), in modo da assicurare, entro il 25 maggio 2018, la piena conformità dei trattamenti in corso[4].

Sono già disponibili, su siti internet ad accesso gratuito, alcuni esempi di ceck list di verifica avente ad oggetto il Registro dei Trattamento del Titolare

 

N.

Quesito/requisito

Si

No

Note

1

L'organizzazione ha un numero di dipendenti pari o superiore a 250?

 

 

 

2

Sono effettuati trattamenti che possono presentare un rischio per i diritti e le libertà degli interessati?

 

 

 

3

In caso di risposta negativa al quesito n. 1) ma affermativa al n. 2), il trattamento è occasionale?

 

 

 

4

In caso di risposta negativa al quesito n. 1) ma affermativa al n. 2), il trattamento include “categorie particolari di dati di cui all'articolo 9, paragrafo 1 (che sono gli odierni dati sensibili, con l'aggiunta dei dati genetici e biometrici), o i dati personali relativi a condanne penali e a reati di cui all'articolo 10”?

 

 

 

5

Contiene il registro il nome e i dati di contatto del titolare del trattamento?

 

 

 

6

Sono indicati il nome e i dati di contratto, ove sussistenti:

...del contitolare del trattamento?

...del rappresentante del titolare del trattamento? 

...del responsabile della protezione dei dati?

 

 

 

7

Sono esplicitate le finalità dei trattamenti effettuati?

 

 

 

8

Per ciascun trattamento sono individuate le categorie di interessati (ad es., dipendenti, clienti/utenti, fornitori, ecc.)?

 

 

 

9

Per ciascun trattamento sono individuate le categorie di dati, sono cioè rintracciati:

·         dati che rivelano l'origine razziale o etnica (art. 9)?

·         dati che rivelano le opinioni politiche (art. 9)?

·         dati che rivelano le convinzioni religiose o filosofiche (art. 9)?

·         dati che rivelano l'appartenenza sindacale (art. 9)?

·         dati genetici (artt. 4, par. 1, n. 13 e 9)?

·         dati biometrici (artt. 4, par . 1, n. 14 e 9)?

·         dati relativi alla salute (artt. 4, par. 1, n. 15 e 9)?

·         dati relativi alla vita/orientamento sessuale (art. 9)?

·         dati relativi a condanne penali e reati (art. 10)?

 

 

 

10

Per ciascun trattamento sono indicate le categorie di destinatari, cui i dati sono o saranno comunicati?

 

 

 

11

Vi sono trattamenti in cui i dati sono comunicati a destinatari di Paesi terzi ovvero di organizzazioni internazionali?

 

 

 

12

Contiene il registro l'indicazione dei trattamenti che includono  i trasferimenti di dati personali verso un paese Terzo o un'organizzazione internazionale?

 

 

 

13

In caso di risposta affermativa al quesito n. 12), il registro include  l'identificazione del paese terzo o dell'organizzazione internazionale?

 

 

 

14

In caso di risposta affermativa al quesito n. 11), per i trasferimenti di cui al secondo comma dell'articolo 49, il registro documenta le prescritte garanzie adeguate (per l'art. 49, comma 2, “Il trasferimento di cui al paragrafo 1, primo comma, lettera g) [che sia effettuato a partire da un registro che, a norma del diritto dell'Unione o degli Stati membri, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in
grado di dimostrare un legittimo interesse], non può riguardare la totalità dei dati personali o intere categorie di dati personali contenute nel registro. Se il registro è destinato a essere consultato da persone aventi un
legittimo interesse, il trasferimento è ammesso soltanto su richiesta di tali persone o qualora tali persone ne siano i destinatari?)

 

 

 

15

E' individuata la base giuridica (ad es., contratto, legge, standard internazionale, ecc.) di ciascun trattamento?

 

 

 

16

Detta base giuridica consente, per ciascun trattamento, di definire un tempo massimo di gestione/conservazione dei dati?

 

 

 

17

Sono indicati i termini ultimi previsti per la cancellazione delle diverse categorie di dati?

 

 

 

18

Sono descritte le misure di sicurezza tecniche e quelle organizzative di cui all'articolo 32, par. 1, tra cui, a titolo di esempio:

·         la pseudonimizzazione e la cifratura dei dati personali?

·         la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento?

·         la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico?

·         una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento?

 

 

 

19

Dette misure garantiscono un livello di sicurezza adeguato al rischio?

 

 

 

20

Ha il titolare aderito ad un codice di condotta (art. 40) o ad un sistema di certificazione (art. 42)?

 

 

 

21

In quale misura il detto codice di condotta/sistema di certificazione include adempimenti in materia di misure di sicurezza dei trattamenti?

 

 

 

22

Il registro contiene l'informazione circa l'adesione del titolare al codice di condotta/sistema di certificazione?

 

 

 

23

Esplicita il registro le misure tecniche ed organizzative implementate e riconducibili al codice di condotta e/o al sistema di certificazione

 

 

 

24

Reca il registro la data della sua emissione?

 

 

 

25

E' specificato se si tratta di prima emissione o di successiva revisione?

 

 

 

26

E', il registro, sottoscritto dalla funzione che in base al sistema di procure e deleghe dell'organizzazione è deputata a farlo?

 

 

 

27

E' stabilita la modalità di conservazione del registro?

 

 

 

28

E' definito l'ambito di distribuzione interna del registro?

 

 

 

29

E' individuata la funzione responsabile della conservazione e distribuzione interna del registro?

 

 

 

30

Il titolare ha pianificato la revisione del registro?



 

 

 

 

Un’altra caratteristica della disciplina contenuta nel Regolamento è quella delle sanzioni che risultano particolarmente onerose fino a raggiungere i 20 milioni di euro in caso di inadempimento.

Stante l’imminente scadenza del 25 maggio appare dunque necessario prendere in considerazione gli adempimenti.

4. Società a partecipazione pubblica: ipotesi ricostruttive della natura

Per le società a partecipazione pubblica occorrerà preliminarmente definire quale disciplina applicare: se quelle dei soggetti privati o quella dei soggetti pubblici.

La questione appare indubbiamente controversa. Infatti è innegabile che con l’entrata in vigore del Testo unico in materia di società a partecipazione pubblica (d.lgs. 1175/2016) avvenuta il 23/09/2019 non vi è più alcun dubbio che tali società non possano essere considerate enti di diritto pubblico.

In questo senso l’art. 37 (“ Designazione del responsabile della protezione dei dati”) del regolamento esplicita:

“1. Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:

a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”.

Ne consegue che le società applicano la disciplina delle privacy applicabile ai soggetti pubblici se ricadano nelle categorie delle “pubbliche autorità” o “organismi di diritto pubblico”.

Ora occorre ricostruire un percorso ermeneutico per verificare se la società a partecipazione pubblica possa ricadere nella nozione di autorità pubblica od organismo pubblico e ciò con specifico riferimento alla società in house, il cui inquadramento in passato ha suscitato notevoli dubbi.

Il TUSPP definisce la società in house all’art. 2 (definizione) alla lettera m) “società in house”: le società sulle quali un’amministrazione esercita il controllo analogo congiunto, nelle quali la partecipazione di capitali privati avviene nelle forme di cui all’articolo 16, comma 1, e che soddisfano il requisito dell’attività prevalente di cui all’articolo 16, comma 3”.

Si ritiene prendere in considerazione autorevole dottrina parafrasando un proprio scritto[5] quale approdo condiviso sulle ultime tendenze interpretative della società in house alla luce del TUSPP. Rilevano ai fini di interesse del presente lavoro:

-       Già prima dell’introduzione del testo unico, segnalavano un’evoluzione in senso privatistico della disciplina applicabile alle società a partecipazione pubblica.  Emergerebbe una già confermata tendenziale equiparazione della società a partecipazione pubblica a società affidataria “almeno in proporzione al peso relativo nell’ambito dell’insieme degli enti pubblici che congiuntamente controllano la società strumentale” a qualsiasi altra società di capitali, così da assoggettarla,  in linea di principio, alla medesima disciplina (in tal senso, già l’art. 4, comma 13, decreto 95/2012), sia nel senso di ridimensionare i “diritti speciali” attribuibili al socio pubblico, conformemente ai principi elaborati dalla giurisprudenza comunitaria in tema di golden shares [6];  

-       L’inquadramento della società a partecipazione pubblica trova il punto di arrivo, rispetto alla qualificazione in senso privatistico delle società a partecipazione pubblica, è dato, infine, dal principio espresso dall’art. 1, comma 3, t.u., secondo cui “Per tutto quanto non derogato dalle disposizioni del presente decreto, si applicano alle società a partecipazione pubblica le norme sulle società contenute nel codice civile e le norme generali di diritto privato[7];

-       Si conferma quindi l’impostazione fatta propria dal legislatore che sembrerebbe quindi confermare l’idea (già anticipata da significative pronunce giurisprudenziali) per cui la mera partecipazione pubblica non è idonea ad alterare le caratteristiche tipologiche della società di capitali o a drasticamente mutare la natura degli interessi rilevanti per ogni altra società lucrativa, premessa da cui conseguirebbe il tendenziale  riconoscimento, nei confronti dei suoi soci (pubblici e privati), di quegli stessi diritti (amministrativi e patrimoniali) che ad essi spetterebbero negli omologhi tipi societari a partecipazione privata [8].

-       Si aggiunga inoltre che lo statuto della società a partecipazione pubblica non  parrebbe ricavabile esclusivamente dalla meccanica applicazione delle disposizioni di diritto societario, ma- tramite il riferimento alle “norme generali di diritto privato”- potrebbe implicare il richiamo, oltre che di leggi speciali in materia civile e commerciale, anche di quei principi generali di efficienza e di concorrenza, che ispirano la conduzione di qualsiasi impresa privata e impediscono di avallare quei comportamenti antieconomici, che ben possono scoraggiare l’investimento dei privati nella società [9]. Tale lettura sembra, del resto, coerente con l’ulteriore previsione del testo unico, secondo cui “Le disposizioni contenute nel presente decreto sono applicate avendo riguardo all’efficiente gestione delle partecipazioni pubbliche, alla tutela e promozione della concorrenza e del mercato, nonché alla razionalizzazione e riduzione della spesa pubblica” (art. 1, comma 2). 

Si condividono le conclusioni di seguito riportate, enunciate dalla dottrina più sopra richiamata, quali nuovi canoni interpretativi sulle società in house:

-       L’art. 1, comma 3, TUSPP, consente di derogare al diritto societario comune, ma solo se ciò è espressamente previsto dal testo unico (“(p)per quanto non derogato dalle disposizioni del presente decreto”). Tale precisazione sembra implicare l’inammissibilità sia delle deroghe contenute in precedenti o diversi provvedimenti normativi sia, a maggior ragione, di quelle riqualificazioni - effettuate dalla giurisprudenza in diversi ambiti - della società in ente pubblico, in base al riscontro, nella concreta fattispecie, di indici sintomatici della sua pubblicità[10].

-       L’art. 1, comma 3, TUSPP, inoltre, deve essere letto in combinato disposto con quel principio di proporzionalità delle deroghe rispetto alla disciplina privatistica”  previsto dalla legge delega tra i suoi criteri direttivi (art. 18, comma 1, lett. a della legge delega MADIA), il quale parrebbe da intendere:

-       b.1, innanzitutto, nel senso che le deroghe alla disciplina societaria sono ammissibili solo in quanto necessarie rispetto al fine pubblico che ne giustifica l’introduzione (prospettandosi, in caso contrario, una violazione della legge delega ex art. 76 Cost.), e,

-       b.2 che, in presenza di diverse soluzioni astrattamente idonee a conseguire il medesimo risultato, deve essere privilegiata quella che meno si scosta dalla disciplina codicistica e dai principi generali dell’ordinamento societario[11];

-       c) Viene ulteriormente confermata la dimensione imprenditoriale della società a partecipazione pubblica, nonché a riconoscerne l’essenzialità dello scopo lucrativo[12], pare provenire da quella previsione della legge delega, secondo cui la “regolazione dei flussi finanziari, sotto qualsiasi forma, tra amministrazione pubblica e società partecipate” deve avvenire secondo i criteri di “parità di trattamento tra imprese pubbliche e private e operatore di mercato” (art. 18, comma 1, lett. l)). L’ “operatore di mercato” richiamato dalla norma pare, infatti, corrispondere a quella figura di “investitore privato, operante in normali condizioni di mercato”, ovvero, di “investitore in regime di mercato che persegua l’obiettivo della massima redditività dei propri investimenti” introdotta, come noto, dalla normativa europea in materia di aiuti di Stato. Nella prospettiva del legislatore, perciò, la pubblica amministrazione, nel rapportarsi alla società partecipata, dovrà operare secondo una logica di profitto o, quantomeno, tendere alla rimuneratività dell’investimento effettuato, come qualsiasi investitore privato[13].

Si deve concludere che la società in house non può essere inquadrata come pubblica autorità’ in quanto il legislatore comunitario intendeva fare riferimento a quei soggetti che hanno inequivocabilmente natura pubblica e che, in ragione di tale natura, esercitano poteri in veste di pubblica autorità. La società  a partecipazione pubblica, sulla base delle illustrate disposizioni contenute nel TUSPP, non può essere qualificata come ente pubblico e neppure come pubblica amministrazione.

Diverse conclusioni si raggiungono invece analizzando la disciplina del codice dei contratti circa i soggetti qualificabili come Organismi pubblici.

5. Società a partecipazione pubblica e organismi di diritto pubblico

Le linee Guida sui responsabili della protezione dei dati (RPD) del gruppo di lavoro art. 29 in materia di protezione dei dati personali al paragrafo 2.1.1 (“autorità pubblica o organismo pubblico”) precisa che le due locuzioni utilizzate dal Regolamento non identificano una specifica forma giuridica del soggetto ma sottendono che lo svolgimento di funzioni pubbliche e l’esercizio. Alla nota numero 12 si legge “Si vedano per esempio, le definizioni di ente pubblico o organismo pubblico contenute nell’art. 2 paragrafi 1 e 2 della direttiva 2003/98/CE del Parlamento Europeo e del Consiglio del 17 novembre 2003 relativi al riutilizzo dell’informazione del settore pubblico”.

La Direttiva richiamata rinvia, a sua volta, alla nozione di “organismo pubblico” prevista dalle Direttive sugli appalti pubblici (92/50/CE; 93/36/CE; 93/37/CE e 98/04/CE) con la precisazione, forse pleonastica, che non rientrano in tale definizione le “Imprese Pubbliche”.

Se così è si deve rilevare che il Nuovo codice degli appalti – d.lgs 50/2016 – di recepimento delle ultime direttive comunitarie in tema di appalti e concessioni pubbliche, stabilisce:

-       organismo di diritto pubblico (art. 3): qualsiasi organismo, anche in forma societaria, il cui elenco non tassativo è contenuto nell'allegato IV:

-       1) istituito per soddisfare specificatamente esigenze di interesse generale, aventi carattere non industriale o commerciale;

-       2) dotato di personalità giuridica;

-       3) la cui attività sia finanziata in modo maggioritario dallo Stato, dagli enti pubblici territoriali o da altri organismi di diritto pubblico oppure la cui gestione sia soggetta al controllo di questi ultimi oppure il cui organo d'amministrazione, di direzione o di vigilanza sia costituito da membri dei quali più della metà è designata dallo Stato, dagli enti pubblici territoriali o da altri organismi di diritto pubblico.;

-       Impresa pubbliche (art. 3) le imprese sulle quali le amministrazioni aggiudicatrici possono esercitare, direttamente o indirettamente, un'influenza dominante o perché ne sono proprietarie, o perché vi hanno una partecipazione finanziaria, o in virtù delle norme che disciplinano dette imprese. L'influenza dominante è presunta quando le amministrazioni aggiudicatrici, direttamente o indirettamente, riguardo all'impresa, alternativamente o cumulativamente:

-       1) detengono la maggioranza del capitale sottoscritto;

-       2) controllano la maggioranza dei voti cui danno diritto le azioni emesse dall'impresa;

-       3) possono designare più della metà dei membri del consiglio di amministrazione, di direzione o di vigilanza dell'impresa.

A questo punto ci si permette definire il seguente schema

 

 Tipologia di società

Qualificazione giuridico amministrativa

Applica la disciplina privacy delle Pubbliche amministrazioni

Società partecipata

Impresa pubblica

No

Società controllata

Impresa pubblica

NO

Società controllata

Organismo di diritto pubblico

SI

Società in house

Impresa pubblica

NO

Società in house

Organismo di diritto pubblico

SI

 

Risulta quindi derimente definire la classificazione di organismo di diritto pubblico cogliendo le differenze con l’impresa pubblica.

 

La giurisprudenza sovranazionale ha precisato nel corso degli anni i tratti distintivi dell’istituto in esame, soprattutto con riferimento al cd. “requisito teleologico”, fornendo alcuni criteri interpretativi per stabilire quando si è in presenza di ‘esigenze di carattere generale avente carattere non industriale o commerciale”. La Corte di Giustizia CE ha sottolineato in varie pronunce che la natura non industriale o commerciale dei bisogni istituzionalmente soddisfatti può dirsi sussistente allorché si tratti di bisogni che, da un lato, sono soddisfatti in modo diverso dall’offerta di beni e servizi sul mercato e, dall’altro, al cui soddisfacimento lo Stato preferisce provvedere direttamente ovvero con modalità organizzative tali da consentirgli di mantenere un’influenza dominante. Sulla base dei pronunciamenti della Corte, altri indizi che potrebbero deporre in tal senso sono costituiti: dall’assenza di concorrenza sul mercato; dalla mancanza del perseguimento di uno scopo di lucro a titolo principale e di assunzione di rischi collegati a tale attività; dal finanziamento pubblico eventuale dell’attività in questione.[14]  Nella disciplina degli appalti nei cd. settori speciali (energia, acqua, trasporti, poste), a tali figure soggettive si aggiungono le imprese pubbliche, imprese sulle quali le amministrazioni aggiudicatrici possono esercitare, direttamente o indirettamente, un’influenza dominante, in quanto proprietarie, aventi una partecipazione finanziaria, o in virtù di norme che disciplinano le imprese in questione (articolo 3, comma 28, Codice appalti, articolo 2, paragrafo 1, Direttiva 2004/17/CE). A differenza dell’organismo di diritto pubblico, preordinato come specificato in precedenza, al soddisfacimento di bisogni generali a carattere non industriale o commerciale, l’impresa pubblica si caratterizza per lo svolgimento di un’attività economica a carattere, per definizione, imprenditoriale. La Corte di giustizia ha individuato alcuni indici che rivelano la qualità di impresa e, al contempo, escludono il carattere non industriale o commerciale dei bisogni: l’agire in normali condizioni di mercato, il perseguimento di uno scopo di lucro e l’assunzione del rischio collegato all’attività esercitata (vedi, in particolare, sentenza Corte di Giustizia CE 10/5/2001 in cause riunite C-229/99 e 260199; sentenza Corte di Giustizia CE 22/5/2003, C. 18/2001),

Inoltre, si ricorda che il Protocollo sui servizi di interesse generale allegato al Trattato di Lisbona (COM(2007)725 def) ha chiarito che: “affinché un determinato servizio si configuri come attività economica ai sensi delle regole del mercato interno (libera circolazione dei servizi e libertà di stabilimento), deve possedere la caratteristica essenziale di essere fornito dietro retribuzione. Tuttavia, non occorre necessariaménte che il servizio sia pagato dai beneficiari. Il carattere economico di un servizio non dipende dallo status giuridico del prestatore (ad esempio un ente non a scopo di lucro) né dalla natura del servizio, bensì delle effettive modalità di prestazione, organizzazione e finanziamento di una determinata attività, In pratica, [,,,] ne consegue che la stragrande maggioranza dei servizi può essere considerata “attività economica ai sensi delle norme del trattato CE in materia di mercato interno (articoli 43 e 49).

La Corte di giustizia dell’Unione europea, ha ancora di recente statuito che l’organismo di diritto pubblico si caratterizza per la sua strumentalità rispetto ad esigenze di interesse generale, necessarie affinché l’amministrazione partecipante possa esercitare la sua attività, nel perseguire le quali il soggetto partecipato «si lasci guidare da considerazioni diverse da quelle economiche», quand’anche parte della sua operatività si svolta sul mercato.[15]

6. Conclusioni

In conclusione le società a partecipazione pubblica, in house in particolare, se sono qualificabili secondo il Codice dei Contratti come organismi di diritto pubblico, applicano la disciplina sulla privacy, come precisato dal nuovo Regolamento per le Pubbliche Amministrazioni.

 

 


[1] Testo Unico in materia di società a partecipazione pubblica – D.lgs. 175/2016

[2] Art. 2 comma 1 lett. m del TUSPP:le società sulle quali un’ amministrazione esercita il controllo analogo congiunto, nelle quali la partecipazione di capitali privati avviene nelle forme di cui all’articolo 16, comma 1, e che soddisfano il requisito dell’attività prevalente di cui all’articolo 16, comma 3

[3] Cfr Linee guide Anac n  1134 dell’8 novembre 2017 al  § 2.3.2: le società soltanto partecipate sono quelle  che non sono a controllo pubblico ma che sono partecipate direttamente e/o per il tramite di società a controllo pubblica da parte di una PA

[4] Articolo 39 - Compiti del responsabile della protezione dei dati

1.   Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:

a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti c che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35;

d) cooperare con l'autorità di controllo; e

e) fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

2.   Nell'eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del medesimo.

 

[5] Elisabetta Codazzi -  Le “nuove” società in house: controllo cd. analogo e assetti organizzativi tra specialità della disciplina e “proporzionalità delle deroghe”. VIII Convegno annuale dell’associazione italiana dei professori universitari di diritto commerciale “orizzonti del diritto commerciale” “il diritto commerciale verso il 2020: i grandi dibattiti in corso, i grandi cantieri aperti” Roma, 17-18 febbraio 2017.

[6] In quest’ottica, il nostro legislatore, come noto, ha dovuto procedere all’abrogazione dell’art. 2450 c.c., nonché alla riformulazione dell’art. 2449, comma 1, c.c., in quanto tali norme (consentendo allo Stato o ad altro ente pubblico di nominare uno o più amministratori o sindaci “senza alcuna partecipazione azionaria”, ovvero senza la previsione di alcun limite o condizione), si ponevano quale fonte di un potere “ingiustificato” e “sproporzionato” a favore del socio pubblico.  In linea con tale impostazione pare, del resto, anche l’intervento legislativo in materia di cd. “golden powers” (decreto legge 15 marzo 2012, n. 21), che, nell’attribuire al Governo italiano poteri speciali sugli assetti proprietari e sull’operatività straordinaria di talune imprese operanti nei settori economici strategici, si è astenuto dall’introdurre “congegni di diritto societario  a contenuto “singolare” piegati ad esigenze pubblicistiche”

[7] Precisa Assonime, Osservazioni allo schema di decreto legislativo recante testo unico in materia di società a partecipazione pubblica (atto n. 297), 6/2016,  6, come il senso della disposizione è quello “di aggiungere vincoli solo laddove le regole di diritto comune e i vincoli già esistenti (…) sono insufficienti”.

[8]  Sul fatto che l’interesse pubblico non sia idoneo ad alterare il tipo societario, conducendo alla configurazione di una società diversa da quella contemplata dal codice civile, Cons. Stato, Adunanza della Commissione speciale del 16 marzo 2016, cit., par 6.;  si veda, Cons. Stato, sez. VI, 20 marzo 2012, n. 1574,, in Giorn. dir. amm., 2012, 766 ss., che precisa come dopo la riforma del diritto societario del 2003 “l’interesse sociale non ha una connotazione omogenea e unitaria, in quanto confluiscono nell’assetto societario non solo interessi eterogenei che fanno capo ai singoli soci (…) ma anche interessi riferibili a soggetti terzi”.  Per quanto riguarda la necessaria lucratività delle società a partecipazione pubblica, osserva Cass., sez. I, 12 aprile 2005, n. 7536, in Soc., 2005, 985, come, “Una diversa conclusione vanificherebbe di fatto il valore della pubblicità legale, in materia, per la tutela delle aspettative dei terzi che entrano in contatto con la società; questi si vedrebbero esposti al rischio di contrattare con una società che persegue fini essenzialmente diversi da quelli desumibili dalla sua natura giuridica, come è definita dalla legge. Ciò vale anche per coloro che acquistano partecipazioni sociali: nel contrasto tra la natura giuridica dichiarata nella stessa denominazione sociale, e gli scopi sociali desumibili da una laboriosa ricostruzione delle modificazioni dello statuto, deve essere tutelato l'affidamento riposto nella prima”. 

[9] La stessa scelta di assoggettare le società a partecipazione pubblica alle disposizioni del codice civile pare rispondere ai principi di economicità dell’azione amministrativa e alle esigenze di tutela della concorrenza (in quanto la prevalenza del diritto civile postula "l’eliminazione dei regimi di esclusiva e la piena espansione della concorrenza nel mercato"): Corte Conti, Sezione delle Autonomie, Gli organismi partecipati degli enti territoriali, deliberazione n. 24/2015, 31.

[10] Anche sul punto Cons. St., Adunanza della Commissione speciale, cit., sub art. 1.

[11] Tra le altre, per esempio, Corte Giust. CE, grande sezione, 23 ottobre 2007, p.to 73

[12] In merito al riconoscimento dello scopo lucrativo delle società a partecipazione pubblica – non scontato per parte della dottrina gius-amministrativista -  si veda, di recente, PETTITI, Gestione e autonomia nelle società titolari di affidamenti, cit., 72 ss.  e 130 ss.; ritiene inderogabile la lucratività della società a partecipazione pubblica, in particolare, GOISIS, Il problema, cit., spec. 53 ss. 45 Commissione CE, Comunicazione relativa all’applicazione della disciplina degli aiuti di Stato alla partecipazione delle autorità pubbliche nei capitali delle imprese, in Boll. CE, 9/1984, 93.

[13] Secondo quanto precisato dalla Comunicazione citata, “non vi è aiuto pubblico quando, in occasione di nuovo capitale in imprese, tale apporto si verifica in circostanze che sarebbero accettabili per un investitore privato operante nelle normali condizioni di economia di mercato” (par. 3.2.).   Più concretamente, come chiarito da Commissione Europea, Orientamenti sugli aiuti di Stato per il salvataggio e la ristrutturazione di imprese non finanziarie in difficoltà, Comunicazione 2014/C 249/01, par. 45 e 47, l’intervento dello Stato membro a sostegno delle imprese in difficoltà può avvenire previa presentazione di un “piano di ristrutturazione realistico, coerente e di ampia portata che ripristini la redditività a lungo termine del beneficiario”,  ovvero, una redditività realizzabile “(…) entro un lasso di tempo ragionevole e sulla base di ipotesi realistiche circa le condizioni operative future (…)”, fermo restando che “La redditività a lungo termine viene raggiunta quando un’impresa è in grado di fornire un adeguato rendimento del capitale investito dopo aver coperto la totalità dei suoi costi, compreso l’ammortamento e gli oneri finanziari. L’impresa dovrebbe essere in grado di competere sul mercato in base ai propri meriti” (par. 52)

[14] Sentenze: 22 maggio 2003, causa C-18/C1; 16 ottobre 2003, causa C-283/00; 27 febbraio 2003, causa C373/00).

[15] sentenza 5 ottobre 2017, C-567/15, UAB LitSpecMet; resa con riguardo ad una società fornitrice di locomotive e vetture ferroviarie e della relativa manutenzione per la società ferroviaria lituana; quali pronunce più risalenti del giudice europeo in termini con quella da ultimo menzionata possono essere richiamate le sentenze 10 novembre 1998, C-360/96, BFI Holding e 10 maggio 2001, C-223/99 e C-260/99, Ente Autonomo Fiera internazionale di Milano). Cfr anche recente Consiglio di Stato sez. V 18/12/2017 n. 5930.

 
HomeSentenzeArticoliLegislazioneLinksRicercaScrivici