Il Tar Latina, in accoglimento delle ns. tesi a difesa del Rti aggiudicatario, ha rigettato il ricorso avverso il provvedimento di esclusione dalla procedura aperta dell'Asl Latina, ai sensi dell’art. 60 c.1 del d. lgs 50/2016, tramite piattaforma telematica per la fornitura in noleggio full risk di un sistema RIS-PACS e CLS con relativi componenti.
Occorre premettere che il capitolato tecnico richiama espressamente, nell’ambito della normativa di riferimento (Cap. 1.2.), il Regolamento di cui alla Determinazione AgID 628/2021, il quale prescrive i requisiti di qualificazione dei servizi cloud per la PA, con riferimento ai c.d. “dati e servizi critici”, precisando altresì, al cap. 2, che la piattaforma oggetto dell’appalto deve essere conforme alla citata normativa. 16.2. Lo stesso stabilisce, inoltre, con chiarezza che l’offerta deve prevedere una “Piattaforma servente in cloud nel rispetto della Determinazione AgID n. 628/2021 del 15 dicembre 2021 e smi” (punto 2, pag.8 “Oggetto dell’appalto”.
16.3. Il punto 4.13 dello stesso atto (“architettura servente”) dispone, inoltre, che: «le ditte partecipanti sono libere di presentare qualsiasi tipo di soluzione architetturale considerando tuttavia che il sistema nel suo complesso dovrà essere in grado di razionalizzare i flussi di lavori ed offrire elevati livelli di affidabilità dovrà essere scalabile e modulare, garantendo sempre le massime prestazioni e implementando criteri di Disaster Recovery e Business Continuity. La soluzione architetturale proposta deve rispettare i requisiti previsti dalla normativa vigente e dalle direttive AgID e ACN per ospitare dati classificati “critici” della pubblica amministrazione.
Inoltre, come riportato nel paragrafo sicurezza, per tutta la durata del contratto dovrà essere adeguata alla normativa vigente, alle direttive AgID e ACN per quanto attiene il trattamento di dati sanitari critici e di cybersicurezza». 16.4. Nell’ambito del “Chiarimento n. 30” è stato, inoltre, puntualizzato dalla stazione appaltante che: «secondo la direttiva AgID 628/2021 tutti i sistemi della Pubblica Amministrazione che trattano dati critici devono migrare sul cloud certificato per la PA. In particolare il sistema deve essere ospitato su un’infrastruttura cloud pubblica qualificata o cloud privata/ibrida qualificata o cloud privata qualificata.
Fermo restando la possibilità di prevedere cache locali al fine di garantire la libertà architetturale delle proposte ed il rispetto della direttiva AgID».
16.5. Ciò posto, occorre altresì mettere in luce che l’architettura del sistema proposto dalla ricorrente contempla, pacificamente, lo storage – cioè il trattamento e immagazzinamento dei dati in questione, che hanno natura sanitaria e quindi “critica”, in quanto oggetto di particolare protezione a tutela della riservatezza dei soggetti interessati - presso i Data Center della stessa ASL Latina, a Latina e Formia, che (pure incontestatamente) non sono qualificati ai sensi della normativa AgID, in quanto mai sottoposti a processo di qualificazione e, dunque, classificati, nell’ambito della stessa, come “gruppo B” (con previsione di dismissione e migrazione obbligatoria verso cloud qualificato). 17. In considerazione di quanto esposto, le censure veicolate con il ricorso e i motivi aggiunti, che possono essere trattate unitariamente, vertendo su questioni strettamente connesse, non possono essere condivise.
17.1. Deve preliminarmente rilevarsi che il profilo di doglianza inerente il lamentato difetto di motivazione da cui sarebbe affetto l’originario provvedimento di esclusione – oltre che infondato, essendo chiare le ragioni dell’adozione del provvedimento, come riportate al superiore punto 2.1. – deve ritenersi improcedibile per sopravvenuta carenza di interesse, alla luce dell’integrazione motivazionale contenuta nel provvedimento di conferma del 15 gennaio 2024.
17.2. È, inoltre, privo di fondamento il rilievo secondo cui la prescrizione espulsiva sarebbe stata illegittimamente introdotta dal “chiarimento n. 30”, atteso che la qualificazione del sistema di “archiviazione” dei dati risulta invece – per quanto riportato ai superiori punti 16.1., 16.2 e 16.3 – essere stata prescritta direttamente dal capitolato tecnico, tramite l’esplicito rinvio alla Determinazione AGID n. 628/2021 del 15 dicembre 2021 e a quanto dalla stessa in proposito disposto (riportato al superiore punto 16.1).
17.3. Non può, peraltro, essere condiviso il rilievo di parte ricorrente secondo cui tale requisito rileverebbe solo per la fase di esecuzione del contratto, dovendo lo stesso, per come descritto dal capitolato, essere considerato un requisito imprescindibile della conformità della soluzione tecnica offerta a quella richiesta dalla stazione appaltante in conformità alla normativa vigente.
17.4. A ciò consegue che l’offerta proponente un sistema fondato su un’architettura servente non qualificata a termini della normativa vigente, chiaramente richiamata dal capitolato tecnico e dunque integrativa della disciplina di gara, non poteva che essere considerata difforme dalle prescrizioni della lex specialis e, in quanto tale, oggetto di necessaria esclusione, così che nessun fraintendimento dell’offerta può addebitarsi alla commissione, che risulta, invece, avere dato corretta applicazione alle citate disposizioni.
17.5. Né può condividersi l’ulteriore assunto di parte ricorrente secondo il quale la previsione, contenuta sempre nell’ambito del punto 4.13 del capitolato, per cui “le ditte partecipanti sono libere di presentare qualsiasi tipo di soluzione architetturale”, avrebbe conferito ai concorrenti ampio margine di scelta circa il sistema proposto, atteso che la stessa, per quanto sopra rilevato in merito alla cogenza del requisito della qualificazione del Data Center dell’amministrazione, non può che ritenersi riferita ad ulteriori elementi dell’offerta (quali, ad esempio, come condivisibilmente osservato dall’ASL resistente, software, hardware e altri elementi di funzionalità in relazione ai quali sarebbe stato possibile proporre tecnologie equivalenti o migliorative (in quanto accessori dell’architettura servente), non potendo la “libertà architetturale” invocata dalla ricorrente essere esercitata in violazione delle normative vigenti.
17.6. Inoltre e per altro verso la previsione inerente la possibilità di prevedere “cache locali” sui Data Center in questione non determina la lamentata contraddittorietà dell’azione dell’ASL resistente, posto che, come chiarito da quest’ultima, le stesse sono destinate a contenere i dati in questione per un arco temporale assai limitato, cioè quello necessario alla refertazione, dunque in una situazione ben diversa da quella prospettata dall’offerta della ricorrente, nella quale i dati sanitari critici sono detenuti stabilmente presso un’infrastruttura non qualificata che deve, dunque, ritenersi non sicuro.