Interessante sentenza del Tar Friuli sui requisiti necessari per il ricoprire il ruolo di Dpo, figura prevista dal regolamento europeo sulla privacy (Gdpr)

di Annamaria Villafrate - La sentenza n. 287/2018 del Tribunale Amministrativo Regionale Friuli-Venezia Giulia del 13 settembre 2018 (sotto allegata) tratta della nomina del Responsabile per la protezione dei dati personali RPD (o DPO Data protection officer), figura contemplata dal regolamento europeo sulla privacy (Gdpr), chiarendo quali requisiti sono necessari per ricoprire tale ruolo. Nello specifico, accogliendo il ricorso di un partecipante alla selezione, il TAR ne condivide l'assunto secondo cui la certificazione di Auditor/Lead Auditor ISO/IEC/27001 non può costituire requisito di ammissione per ricoprire il ruolo di RPD o DPO previsto dal GDPR sulla protezione dei dati personali. Non solo perché la certificazione ISO é prevista da una normativa anteriore al GDPR, ma anche perché la disciplina sull' ISO/IEC/27001 fa salve in ogni caso le norme speciali europee e nazionali in materia di protezione dei dati personali, come il GDPR appunto.

La vicenda processuale

Il ricorrente impugna l'avviso pubblico prot. n. 16546 del 5.4.2018, che prevede l'affidamento di un incarico di collaborazione come responsabile protezione dati (RDP) e il decreto n. 73/2018, che ne dispone la pubblicazione. Questa la versione del ricorrente: stante l'assenza tra i dipendenti di una figura in grado di ricoprire il ruolo di RPD, ossia di un esperto in materia di normativa relativa alla protezione dei dati personali, l'Azienda sanitaria resistente e l'Azienda sanitaria Universitaria Integrata di Udine indicono una selezione per titoli ed eventuale colloquio per lo svolgimento delle mansioni indicate nell'art 39 del Regolamento (UE) 2016/679 noto come GDPR

. Dopo un lungo elenco di requisiti di partecipazione necessari al processo di selezione, oltre alla laurea in Giurisprudenza/Ingegneria/Informatica in via alternativa, l'avviso richiede la certificazione di Auditor/Lead Auditor ISO/IEC/27001. Il ricorrente, nel presentare domanda via e-mail, precisa di non essere in possesso della certificazione ISO/IEC/27001. Infatti, come ribadito nel ricorso, questo requisito non può essere ritenuto necessario ai fini della normativa prevista dal GDPR poiché la disciplina che contempla tale certificazione è anteriore al GDPR e quindi non pertinente al ruolo richiesto dall'Azienda selezionatrice.

ISO/IEC/27001: non è necessaria per il ruolo di RPD o DPO

Il Tar del Friuli Venezia Giulia ritiene fondato il ricorso "in relazione alla contestata individuazione della certificazione di Auditor/Lead Auditor ISO/IEC/27001 quale requisito di ammissione alla procedura selettiva". In effetti tale certificazione non è titolo abilitante a svolgere le funzioni previste dal GDPR. Essa infatti trova applicazione soprattutto nell'ambito dell'attività d'impresa. Non solo, la normativa che disciplina la certificazione ISO/IEC/27001 fa salve le norme speciali europee e nazionali in materia di protezione dei dati personali. "Ne consegue che la certificazione, indicata nell'avviso, di per sé non può costituire requisito di ammissione alla selezione in esame ( tanto meno assurgere a titolo equipollente al richiesto diploma di laurea), proprio perché essa non coglie (o non coglie appieno) la specifica funzione di garanzia insita nell'incarico conferito, il cui precipuo oggetto (…)" attiene "alla tutela del diritto fondamentale dell'individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo. Tali conclusioni sono ulteriormente rafforzate dall'esame dei programmi dei corsi finalizzati all'acquisizione della certificazione ISO/IEC/27001 (prodotti dal ricorrente sub all. 22 - lead auditor e all. 23 - internal auditor), caratterizzati da una durata particolarmente contenuta (2/5 giorni), per un massimo di 40 ore, dalla netta prevalenza delle tematiche attinenti all'organizzazione aziendale (e ciò a discapito dei profili giuridici) e dall'assenza di contenuti riferibili all'attività e alla struttura delle pubbliche amministrazioni".

Vai alla guida Gdpr: tutto quello che c'è da sapere

TAR Friuli Venezia Giulia sentenza n. 287-2018

Foto: 123rf.com
Altri articoli che potrebbero interessarti:
In evidenza oggi: