DICHIARAZIONE DI ASSENZA DI CONFLITTO DI INTERESSI PER ATTIVITA’ EX D.LGS. 36/2023 E NON SOLO: RELATIVA STRUTTURA STANDARDIZZATA - RESA ED ACQUISIZIONE – QUID JURIS SUL FRONTE DELLA PRIVACY?

00 – ASPETTI DI DISCIPLINA GENERALE

L’attuazione della MISURA anti-corruzione “RESA ED ACQUISIZIONE DELLA DICHIARAZIONE DI ASSENZA DI CONFLITTO DI INTERESSI” da parte di soggetti del procedimento (istruttore, Responsabile del procedimento/RUP in D.Lgs. 36/2023 e membri del Gruppo di lavoro a supporto del RUP, etc.) rappresenta una attività delle PP.AA. determinante sicuramente un TRATTAMENTO DI DATO/DATI PERSONALI del  soggetto (solo persona fisica) che rende tale dichiarazione, usualmente dipendente della PA che è sine dubio Titolare del o meglio di tale specifico trattamento di dato/i personale/i.

Specificatamente per le operazioni/procedimenti amministrativi previsti dal D.Lgs. 36/2023 la PLATEA DEI SOGGETTI tenuti ad agire/operare IN REGIME DI TOTALE ASSENZA DI CONFLITTO DI INTERESSI (propri latu sensu personali con quello/i della PA al cui soddisfacimento le operazioni/i procedimenti sono preordinati) è ricavabile dalla lettura della speciale (dedicata) disposizione di cui all’art. 16 del D.Lgs. 36/2023 che rappresenta una specialistica integrazione del generalissimo disposto di cui all’art. 6bis della L. 241/1990:  ovvero qualunque “soggetto che, a qualsiasi titolo, interviene con compiti funzionali nella procedura di aggiudicazione o nella fase di esecuzione degli appalti o delle concessioni”.

Se l’art. 16 del D.Lgs. 36/2023 sembra evidentemente diretto ad una platea di soggetti operanti all’interno della PA devesi anche qui ricordare incidentalmente come tale istituto grava anche sugli operatori economici (OO.EE.) e dunque su soggetti esterni alla PA-Stazione Appaltante: soccorre al riguardo l'art. 95, comma l, lett. b) del codice, laddove prevede non innovativamente* - tra le cause di esclusione "non automatiche" - la fattispecie dell'operatore economico la cui partecipazione "determini una situazione di conflitto di interesse di cui all'articolo  16, non diversamente risolvibile" [*ciò in continuità con il previgente art. 80, comma 5, lett. d) del D.Lgs. 50/2016]. Interessante sul punto: Consiglio di Stato, Sez. V, 15 aprile 2026, n. 2982.

Incidentalmente devesi poi chiarire come l’attuazione concreta di detta MISURA pro anticorruzione, consistente come sopra descritto,  non è specificatamente imposta alle PP.AA. italiane da alcuna fonte normativa legislativa o regolamentare, ma rappresenta, a fronte di specifiche norme di legge (v. intra L. 241/1990) e/o di Regolamento (v. intra DPR 62/2013) che, come vietano al pubblico dipendente di agire intra PA essendo/versando in conflitto di interessi, gli impongono - in caso positivo (esistenza di conflitto di interessi) - di astenersi (=bloccarsi) rendendo al contempo (manifestando esternamente ed espressamente tale condizione) la cd. dichiarazione di astensione, sulla quale la PA - esattamente il Dirigente non esattamente del dipendente che rende la dichiarazione ma solo ed esattamente per ragioni di competenza quello posto a capo/presidiante il procedimento/l’attività che interessa il dipendente dichiarante – deve espressamente pronunciarsi e provvedere di conseguenza (ad es. nominando un sostituto o autorizzando comunque il dichiarante a procedere nell’attività). 

Invero, su indicazione espressa e vagamente cogente dei cd. atti di regolazione dell’ANAC (v. i suoi vari PNA, dal 2013 e anni seguenti: l’ultimo è il PNA 2025; Linee Guida, Pareri, FAQ, etc.) ogni bravo RPCT inserisce detta MISURA nel PTPCT intra o extra PIAO della  propria PA, esattamente per qualunque procedimento amministrativo (come vuole la legge) così rendendolo una cd. MISURA GENERALE, da attuarsi e verificarsi a mezzo monitoraggio infrannuale e finale.

In astratto, anche ove il PTPCT tacesse su tale MISURA, qualunque dipendente rientrante nella platea dei soggetti di cui sopra è comunque tenuto ex lege autovalutare per ciascun procedimento in cui è coinvolto se versa in conflitto di interessi (NB: anche meramente potenziale!!!) e quindi in caso positivo ad astenersi ed a rendere la correlata motivata dichiarazione di astensione. Il fatto che il PTCT la contempli rappresenta un modus procedendi concreto della PA che se da un lato riduce il rischio di corruzione (da qui il suo essere MISURA operativa all’uopo prevista ed attuata), dall’altro sicuramente  responsabilizza maggiormente il dichiarante la cui memoria professionale viene così ad essere ‘rinfrescata’ per/in ciascun procedimento ex D.Lgs. 36/2023: ovviamente, a fronte di un PTPCT contemplante detta MISURA, in caso di dichiarazione non resa e/o non acquisita da parte di chi aveva il compito di acquisirla (sollecitando all’uopo il soggetto tenuto a renderla) vi sono conseguenze disciplinari che ben potrebbero basarsi (essere prospettate dall’UPD) sul DOLO e non semplicemente sul piano della COLPA GRAVE del soggetto ‘inadempiente’, il che muta di non poco il regime e la gravità delle sue responsabilità e connesse conseguenze, se del caso ! La violazione delle prescrizioni di cui all' articolo 16 del D.Lgs. 36/2023 integra al contempo, per i dipendenti pubblici tenuti a rendere la dichiarazione prevista anche dal PTPCT, un comportamento contrario ai doveri d'ufficio sanzionabile disciplinarmente ai sensi dell' art. 16 del D.P.R. 62/2013.

In disparte, in tale evenienza, anche i necessari effetti negativi (=devono esserci!) sulla PERFORMANCE individuale del dipendente inadempiente atteso che per legge in Italia tutte le misure anti-corruzione sono anche OBIETTIVI DI PERFORMANCE, che poi alcuni PPTTPCT non lo dicano, rileva ben poco: l’OIV/NDV devono indagare in merito prima di avallare la Relazione sulla Performance!

Sia ben chiaro, altresì, come la non resa di tale dichiarazione di astensione, sussistendone i presupposti, ad opera del soggetto ad esso tenuto, determina una aperta violazione di legge con conseguenti effetti deleteri in termini possibile  annullabilità dell’atto (esattamente per ‘violazione di legge’: tale è !!!); ma sul punto la Gr del CDS è un pochino morbida, invero detta annullabilità (annullamento all’esito del giudizio dell’AGA) non è “sicura” in senso automatico, ma la regola è l’annullabilità dell’atto, salvo che l’Amministrazione dimostri rigorosamente che il conflitto – pur sussistente e non dichiarato – non ha inciso in alcun modo sul contenuto del provvedimento. Nella pratica giurisprudenziale, però, questa prova è difficile e l’annullamento è l’esito ordinario. La giurisprudenza del Consiglio di Stato è ormai ferma nel ritenere che la mancata astensione in presenza di conflitto di interessi (anche potenziale) integra un vizio procedimentale che determina l’annullabilità dell’atto finale [Fondamento: art. 6‑bis L. 241/1990; art. 97 Cost. (imparzialità); art. 7 d.P.R. 62/2013).Questo principio è affermato, tra le altre, da: Cons. Stato, Sez. VI, 22 marzo 2022, n. 2069; Cons. Stato, Sez. IV, 24 aprile 2023, n. 4129.

L’annullabilità non è qualificata come automatica perché il Consiglio di Stato ammette una sola via di salvezza dell’atto: l’Amministrazione deve provare in modo rigoroso e puntuale che la situazione di conflitto non ha inciso, neppure potenzialmente, sul contenuto della decisione. Testualmente (Cons. Stato n. 2069/2022): «l’illegittimità viene meno solo ove sia rigorosamente dimostrato che la situazione di incompatibilità non ha in alcun modo influenzato il contenuto del provvedimento». Onere della prova: interamente a carico della PA. Standard probatorio: elevatissimo (“in alcun modo”)

L’annullabilità è, di fatto, inevitabile in questi casi:

a) Funzionario che adotta o istruisce l’atto

• RUP
• responsabile del procedimento
• dirigente firmatario

in tali casi la dimostrazione di “irrilevanza” è quasi impossibile, perché il soggetto ha inciso direttamente nella formazione della volontà amministrativa.

b) Organi collegiali (commissioni, consigli, giunte)

qui la giurisprudenza è ancora più rigorosa perché la semplice partecipazione può condizionare la formazione della volontà collegiale. Cons. Stato, Sez. V, 13 febbraio 2024, n. 652:

• l’atto è annullabile in toto
• irrilevante che il voto del soggetto in conflitto non sia stato decisivo
• irrilevante la c.d. prova di resistenza

c) Conflitto non dichiarato

se il conflitto non è stato nemmeno dichiarato, la PA: questa evenienza  rafforza il vizio e rende la prova liberatoria ancora più difficile, invero la PA:

• non ha potuto valutare misure alternative
• non ha potuto disporre l’astensione

I pochi) casi in cui l’atto può reggere? La giurisprudenza ammette la non annullabilità solo in situazioni eccezionali, ad esempio:

• attività meramente vincolata
• ruolo del soggetto in conflitto del tutto marginale
• procedimento con automatismi oggettivi (es. quiz a correzione automatica, criteri matematici predeterminati).

01 – APPLICAZIONE DELLA DISCIPLINA SULLA PRIVACY

Come rilevato in apertura l’attuazione della MISURA anti-corruzione “RESA ED ACQUISIZIONE DELLA DICHIARAZIONE DI ASSENZA DI CONFLITTO DI INTERESSI” determina sicuramente presso la procedente PA un TRATTAMENTO DI DATO/DATI PERSONALI del  soggetto (solo persona fisica) che rende tale dichiarazione su richiesta della PA.

Nella prassi molto opportunamente i vari PP.TT.P.C.T prevedenti tale MISURA (DICHIARAZIONE DI ASSENZA DI CONFLITTO DI INTERESSI) ne recano in allegato anche i MODELLI STANDARD per la resa di tale dichiarazione (es. “MODELLO 3 - DICHIARAZIONE SULLA INSUSSISTENZA DI SITUAZIONI DI CONFLITTI DI INTERESSE NELLA PROCEDURA DI AGGIUDICAZIONE E/O NELLA FASE DI ESECUZIONE DELL’APPALTO/CONCESSIONE”) che poi la PA, una volta resa e firmata[1] dall’interessato acquisisce ‘agli atti’ come si suol dire (resta al fascicolo del procedimento: di gara; di negoziazione; di affidamento diretto; nessun caso escluso!): detti modelli, agevolanti gli addetti ai lavori, recano altresì correttamente in calce/sul retro la cd. INFORMATIVA PRIVACY sul conseguente/sotteso trattamento dei DATI PERSONALI contenuti in detta dichiarazione di assenza di conflitto di interessi  (ma ve ne sarebbero anche in caso di dichiarazione di presenza di conflitto di interessi: cd. dichiarazione di astensione) e chi scrive non disdegna una sua sottoscrizione con data e firma ‘per ricevuta’ da parte del ‘leggente’ la medesima all’atto della sottoscrizione della dichiarazione, cosa che non sempre si vede, tanto per dormire tranquilli in caso di indagini (non escluse quelle da parte il Garante della privacy)!

 Detta dichiarazione di assenza di conflitto di interessi è nella prassi resa  non in forma libera ma espressamente sempre con questa premessa del dichiarante “consapevole delle conseguenze penali di dichiarazioni mendaci, falsità in atti o uso di atti falsi, ai sensi dell’art. 76 D.P.R. 445/2000 e per quanto gli è dato sapere alla data della presente dichiarazione”, per cui in caso di dichiarazione mendace del dipendente dichiarante si integra il reato di cui all’art. 76 del DPR 445/2000!

Operativamente si pongono due questioni pratico-operative (cioè che devono trovare soluzioni espresse all’interno sia della DICHIARAZIONE che nella INFORMATIVA PRIVACY) non di secondaria importanza e forse non del tutto peregrine per gli esperti in materia di affidamenti ex D.Lgs. 36/2023:

a)     chi è che rende detta INFORMATIVA PRIVACY ai sensi di legge? Lo stesso soggetto che esige, acquisisce e poi detiene (tratta) la DICHIARAZIONE DI ASSENZA DI CONFLITTO DI INTERESSI - cui accede l’informativa resa – di cui ai modelli intra PTPCT?

b)    a chi deve essere resa la DICHIARAZIONE di cui al titolo del presente studio?

Risposte sintetiche ai due quesiti:

-          quanto al primo quesito sub a) la risposta è: IL TITOLARE DEL TRATTAMENTO (del dato), a mezzo del suo legale rappresentante ove titolare è una persona giuridica quale è una PA e quindi l’organo avente la sua rappresentanza legale generale (ex art. 13 co.1-incipit del GDPR);

-          quanto al secondo quesito sub b) a risposta è : esattamente al DIRIGENTE cui l’interno ordinamento della PA attribuisce la competenza sulla direzione/sorveglianza e responsabilità generale in ordine al corretto espletamento del procedimento specifico cui la dichiarazione resa afferisce e se questi ha nominato un Responsabile del procedimento ex L. 241/1990/RUP nel caso del D.Lgs. 36/2023 in persona fisica diversa da se medesimo anche a costui contestualmente (nel silenzio della legge, secondo argomentazioni logico-deduttive funzionali alla ratio e funzione della dichiarazione espressa che la PA pretende e dunque chiede ed acquisisce in attuazione di specifica-correlata MISURA GENERALE pro anticorruzione).

Basi si giuridiche, motivazioni logico-deduttive e risvolti pratico-operativi delle risposte date:

In ordine all’aspetto sub a) devesi ricordare secondo il GDPR (reg. UE 679/2016): 

1) quanto dispone nel caso di specie al suo art. 13 comma 1) incipit: “Articolo 13 Informazioni da fornire qualora i dati personali siano raccolti presso l'interessato 1. In caso di raccolta presso l'interessato di dati che lo riguardano, il titolare del trattamento fornisce all'interessato, nel (((l’ esatto))) momento in cui i dati personali sono ottenuti (((raccolti dalla PA procedente dallo stesso: es. a mezzo sua dichiarazione su conflitto di interessi))), le seguenti informazioni: (…)”

2) che, relativamente ai dati trattati da una PA, il titolare del trattamento è l’Amministrazione pubblica come ente, mai una persona fisica operante presso o alle dipendenze di essa. Ai sensi dell’art. 4, par. 7 GDPR: il titolare del trattamento è il soggetto che determina le finalità e i mezzi del trattamento dei dati personali. Nelle PP.AA.: il Comune, la Regione, il singolo Ministero, la specifica ASL, una data Università, etc., quale persona giuridica di diritto pubblico. Non sono Titolari secondo il GDPR:

• il dirigente
• il responsabile del procedimento
• il RPCT
• il singolo ufficio

tutti questi agiscono per conto del Titolare, ma non lo sostituiscono.

Il Titolare PA non agisce mai direttamente essendo un ente astratto (non ha fisicità cosciente)[2]. Quindi è ovvio che si esprime esclusivamente tramite i suoi organi: essi sono la “voce” del Titolare, esattamente coincidono fisicamente con il LEGALE RAPPRESENTANTE DELLA PA (quindi Sindaco, Presidente della Regione, Ministro, etc. a seconda di quanto prevede il rispettivo ordinamento giuridico (fonti di rango legislativo) in ordine a detta rappresentanza cd. generale dell’Ente: e nessun Regolamento di PA può derogare a tale funzione/competenza, incluso il Regolamento Privacy ove adottato o il PTPCT!

Non perché detti rappresentanti persone fisiche “trattino” i dati, ma perché:

• rappresentano l’ente;
• assumono le decisioni organizzative;
• approvano atti generali (PTPCT, regolamenti, nomine).

Il Titolare si rende operativo verso l’esterno e verso l’interno della PA tramite i Dirigenti operanti quali RESPONSABILI DEL TRATTAMENTO (MATERIALE) DEI DATI PERSONALI. Questi soggetti:

• 1.non decidono le finalità proprie del trattamento, che poi per le PA è sempre stabilito (c.d. base giudica) dalla legge;
• 2.attuano quelle stabilite per la PA dalla legge;
• 3.trattano i dati in qualità di persone ‘autorizzate al trattamento’ ma latu sensu:  meglio definirli/qualificarli/indicarli solo e sempre come Responsabili dei trattamenti: ciascuno ovviamente rispetto a quelli ricadenti sui procedimenti amministrativi affidati alle loro cure dalla Delibera organizzatoria (usualmente di Giunta) che ogni PA deve avere per legge: diversamente in ordine alla FUNZIONI = COMPETENZE (che l’art. 97 Cost. impone) sarebbe il CAOS AMMINISTRATIVO (è l’atto che stabilisce CHI FA COSA A LIVELLO DIRIGENZIALE = singole strutture in cui la PA si articola).

Da non confondersi con detto atto organizzativo di cui sopra al punto n. 3 di ogni PA v’è poi in ordine alla cd. filiera della PRIVACY l’atto organizzativo ad essa dedicato che pure deve esistere: senza atto organizzativo, il trattamento del dato è illegittimo secondo il GDPR, anche se la finalità è lecita: esso è un Regolamento sovente adottato sempre dall’organo Giunta. Nel GDPR non esiste un articolo che nomini espressamente   questo diverso ma necessario “atto organizzativo”, ma la necessità dell’atto organizzativo de quo è una costruzione sistematica, che deriva da più articoli del GDPR letti congiuntamente, in particolare dal principio di accountability. E’ l’art. 24 co. 1 del GDPR a rappresentare l’articolo che lo presuppone necessariamente. Esso è la norma cardine: “(..) il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. (..)”.

Perché l’art. 34 implica l’atto organizzativo formalmente espresso:

• il Titolare (ente pubblico) è astratto;
• le “misure organizzative” non possono esistere senza formalizzazione;
• la PA può agire solo tramite atti (principio di legalità e tipicità).

e nella PA, le misure organizzative prendono necessariamente forma di un atto organizzativo
(delibera, regolamento, PTPCT, disposizione dirigenziale, ecc.)

Infine vi sono i veri e propri Soggetti autorizzati al trattamento di cui all’art...