Privacy: I Requisiti del DPO in una sentenza del TAR

Si commenta una interessante sentenza del TAR del Fiuli Venezia Giulia in merito alle competenze richieste per ricoprire il profilo di Responsabile della protezione dei dati.

I giudici amministrativi del Tribunale Amministrativo Regionale del Friuli Venezia Giulia (TAR Friuli Venezia Giulia, sez. I, sentenza 5 – 13 settembre 2018, n. 287) hanno fatto luce sui requisiti richiesti in capo al Responsabile per la protezione dei dati personali (di seguito DPO).

1) Il caso emerso a seguito di un bando di una asl per la selezione del DPO

Il caso sottoposto all'attenzione della giustizia amministrativa ha riguardato il bando pubblicato da una azienda sanitaria finalizzato alla selezione del DPO da inserire nella Asl in quanto la stessa era priva di un profilo professionale interno adeguato.
Nel bando, impugnato,  era stata prevista la selezione, per titoli ed eventuale colloquio, di un esperto di normativa e prassi in materia di protezione dei dati. L’incarico in questione avrebbe contemplato l’impostazione e lo svolgimento dei compiti indicati nell’art. 39 del GDPR, nella fase della sua prima applicazione; ci si riferisce al:

a)  dovere di informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35;

d) cooperare con l'autorità di controllo;

e) fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

All’interno dell’avviso veniva, inoltre, precisato che si considerano complementari rispetto ai compiti previsti dall’art. 39 GDPR e costituiscono oggetto dell’incarico, anche le seguenti funzioni da svolgere in raccordo  con le competenti strutture aziendali:  aggiornamento giuridico e impostazione organizzativo-metodologica per la gestione aziendale della privacy, per la redazione del registro dei trattamenti, per lo svolgimento di valutazioni di impatto sulla protezione dei dati (DPIA) secondo le linee guida del gruppo dei Garanti Privacy UE(WP29);  ricognizione ed assessment aziendale in termini di sicurezza informatica e privacy, in particolare: - conformità rispetto a GDPR; - conformità rispetto a quanto stabilito dalla Circolare dell’Agenzia per l’Italia Digitale del 18 aprile 2017, n. 2/2017 “Misure minime di sicurezza ICT per le Pubbliche Amministrazioni” DPCM 1 agosto 2015; - compliance audit e impostazione attività di adeguamento: - rispetto alle criticità emerse attraverso il ricorso a best practice, regolamenti/policy/procedure di sicurezza, linee guida, piani operativi; - rispetto alla contrattualistica nei rapporti con i fornitori con finalità di compliance alla normativa privacy e alle misure minime di sicurezza; - rispetto agli applicativi esistenti e alle valutazioni di acquisizione di nuovi prodotti secondo il paradigma della privacy by design; partecipazione alle attività di formazione interna continua e specifica sulle tematiche della protezione dei dati, anche tramite corsi in aula a favore dei dipendenti, al fine di responsabilizzare il management aziendale, i dirigenti di struttura e il personale addetto in ordine alle responsabilità connesse alla sicurezza e alla protezione dei dati”.
In merito ai requisiti che il candidato doveva possedere la azienda sanitaria richiedeva il possesso del diploma di laurea in Informatica o Ingegneria Informatica, ovvero in Giurisprudenza o equipollenti, nonché la certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001.
 

2) La sentenza del TAR

Il TAR ha ritenuto manifestamente fondata la contestata individuazione della certificazione di Auditor/Lead Auditor ISO/IEC/27001 quale requisito di ammissione alla procedura selettiva.
Rilevando sul punto che la predetta certificazione non costituisce un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati, nell’alveo della disciplina introdotta dal GDPR, dovendosi considerare che: da un lato, la norma ISO 27001 trova prevalente applicazione nell’ambito dell’attività di impresa dall’altro lato, la medesima norma, per quanto potenzialmente estensibile all’attività delle pubbliche amministrazioni, fa pur sempre salva l’applicazione delle disposizioni speciali (euro-unitarie e nazionali) in materia di tutela dei dati personali e della riservatezza, sicché la minuziosa conoscenza e l’applicazione della disciplina di settore restano, indipendentemente dal possesso o meno della certificazione in parola, il nucleo essenziale ed irriducibile della figura professionale del DPO, il cui profilo, per le considerazioni anzidette, non può che qualificarsi come eminentemente giuridico.
Ne consegue che la certificazione, indicata nell’avviso, di per sé non può costituire requisito di ammissione alla selezione in esame (né tanto meno assurgere a titolo equipollente al richiesto diploma di laurea), proprio perché essa non coglie (o non coglie appieno) la specifica funzione di garanzia insita nell’incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo.
Ad avviso dei giudici, tali conclusioni sono ulteriormente rafforzate dall’esame dei programmi dei corsi finalizzati all’acquisizione della certificazione ISO/IEC/27001, caratterizzati da una durata particolarmente contenuta (2/5 giorni), per un massimo di 40 ore, dalla netta prevalenza delle tematiche attinenti all’organizzazione aziendale (e ciò a discapito dei profili giuridici) e dall’assenza di contenuti riferibili all’attività e alla struttura delle pubbliche amministrazioni.
Siffatti rilievi consentono di escludere, una volta di  più, che dal possesso della certificazione, conseguita nel contesto di tali corsi, possa essere fatta dipendere l’ammissione alla procedura selettiva, trattandosi, a ben vedere, di un mero titolo curriculare (certamente valutabile in sede di giudizio sulle posizioni dei singoli candidati) ma non anche di un titolo formativo o abilitante, come tale idoneo ad assurgere a requisito di accesso.