Sentenza del Bundeskartellamt sulla protezione dei dati nella procedura di aggiudicazione delle gare d'appalto in Germania: Impatto sui trasferimenti di dati negli Stati Uniti
La Camera degli appalti del Bundeskartellamt emette una sentenza sulle considerazioni sui trasferimenti di dati negli Stati Uniti nella procedura di aggiudicazione della gara d'appalto
View 1.3K
words 464 read in 2 minutes, 19 Seconds
L'Ufficio federale dei cartelli ("Bundeskartellamt") ha pubblicato, il 22 febbraio 2023, la sua decisione della Camera degli appalti n. VK2-114/22, emessa il 13 febbraio 2023, in cui quest'ultimo ha dichiarato che una società non può essere esclusa da un'offerta di appalto a causa di possibili violazioni del regolamento generale sulla protezione dei dati (regolamento (UE) 2016/679) ("GDPR") relative all'utilizzo di una filiale tedesca di una società madre statunitense come responsabile del trattamento dei dati.
Contesto della decisione
In particolare, la Camera degli Appalti ha rilevato che il contenzioso tra i soggetti anonimi è sorto nell'ambito di una gara per la fornitura di servizi. Oltre a ciò, la Camera degli appalti ha sottolineato che l'aggiudicazione dell'offerta e i documenti contrattuali prevedevano requisiti in relazione alla protezione dei dati, compreso un requisito secondo cui l'intera prestazione del servizio, nella misura in cui potrebbe essere coinvolto l'accesso ai dati personali, deve essere effettuata senza eccezioni sul territorio di uno Stato membro dell'UE o del SEE o di un paese terzo ritenuto adeguato dalla Commissione europea, ai sensi dell'articolo 45 del GDPR.
Giudizi della Camera degli appalti
In aggiunta a quanto sopra, la Camera degli appalti ha stabilito che l'offerta della società non poteva essere squalificata per possibili violazioni del GDPR. A questo proposito, la Camera degli appalti ha ritenuto che avere una società madre statunitense per un responsabile del trattamento dei dati tedesco non fosse un motivo valido per presumere trasferimenti illeciti di dati negli Stati Uniti.
Più in particolare, la Camera degli appalti ha argomentato che la società tedesca che aveva partecipato all'offerta assicurava contrattualmente che i dati personali sarebbero stati trattati esclusivamente in Germania e che lo stesso era garantito da una penale contrattuale. Inoltre, la Procurement Chamber ha ritenuto che la società tedesca non potesse essere costretta dalla sua controllante americana a rilasciare i dati alla stessa, in quanto ciò violerebbe sia i requisiti contrattuali che legali.
Pertanto, la Camera degli appalti ha dichiarato che non vi erano motivi per ritenere che i dati non fossero sicuri nel caso in questione e ha chiarito che il fatto che il responsabile del trattamento tedesco avesse una società madre statunitense non significava automaticamente che i dati sarebbero stati trattati in gli Stati Uniti.
Risultati
In conclusione, la Camera degli appalti ha stabilito che una società non può essere esclusa da un'offerta di appalto a causa di possibili violazioni dei trasferimenti di dati ai sensi del GDPR esclusivamente in considerazione del suo utilizzo di una filiale tedesca di una società madre statunitense come responsabile del trattamento dei dati.
