DPO, arriva la prima sentenza italiana sui requisiti

26/09/2018



Il Tribunale Amministrativo Regionale del Friuli–Venezia Giulia, lo scorso 13 settembre, si è pronunciato in merito alla nomina del Responsabile per la protezione dei dati personali (DPO). È la prima volta dall’entrata in vigore del GDPR che un Tribunale italiano si esprime in materia

Riassumiamo in breve i motivi del ricorso. Un’Azienda sanitaria friulana aveva indetto un avviso pubblico per il conferimento di un incarico professionale per la selezione di un Responsabile per la protezione dei dati personali (DPO). Uno dei candidati escluso dalla procedura di selezione ha deciso di adire all’Autorità competente.

Il Caso

L’avviso pubblico, diretto ad un esperto in materia di protezione dei dati, richiedeva al vincitore del concorso, oltre allo svolgimento dei compiti espressamente indicati nell’art. 39 dal GDPR (General Data Protection Regulation), anche ulteriori specifiche funzioni non rientranti tra quelle di un Data Protection Officer. Inoltre, il bando prevedeva che i candidati fossero in possesso dei seguenti requisiti: “il possesso, in capo a ciascun candidato, del diploma di laurea in Informatica o Ingegneria Informatica, ovvero in Giurisprudenza o equipollenti, nonché la certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001”.
Il ricorrente, a seguito della dichiarazione d’inammissibilità della propria domanda (il partecipante nella propria candidatura precisava di essere in possesso solo della Laurea in Giurisprudenza) lamentava due ordini di problemi. Il primo riguardava la corretta interpretazione dei requisiti richiesti. Dall’avviso pubblico non era, infatti, possibile determinare chiaramente se la certificazione di  auditor o lead auditor in base alla norma ISO/IEC/27001 fosse un requisito alternativo ai titoli di laurea menzionati nell’avviso stesso. Il secondo motivo del ricorso, invece, chiedeva ai giudici di esprimersi sulla necessità o meno che i candidati fossero in possesso  della summenzionata certificazione. Invero, secondo il ricorrente, le competenze richieste dall’avviso pubblico erano più vicine a quelle tipiche dei laureati in giurisprudenza piuttosto che a quelle dei laureati in informatica o ingegneria informatica.

La decisione del TAR

Il Tribunale Amministrativo Regionale ha accolto il ricorso in questione (sentenza 287/2018). Secondo i giudici amministrativi, infatti, la certificazione 27001 “non costituisce un titolo abilitante” per le funzioni di DPO. Essa garantisce la competenza di un soggetto alla predisposizione di meccanismi atti ad incrementare e migliorare l’efficienza e la sicurezza nella gestione delle informazioni. In realtà, come ha rilevato la Corte, la certificazione ISO 27001 nulla attesta in ordine alle capacità di un individuo di porre in essere meccanismi volti alla protezione dei dati personali, ciò che invero è richiesto a chi ricopre il ruolo di DPO. Pertanto, il Tribunale Amministrativo friulano ha ritenuto che la certificazione ISO27001 non potesse giammai costituire un requisito d’ammissione per la carica di Responsabile per la protezione dei dati personali.

Quali requisiti professionali quindi dovrebbe avere un DPO?

La sentenza n. 287/2018 ribadisce che per una corretta individuazione della figura del DPO e delle sue mansioni è necessario fare riferimento a quanto disposto dalla normativa in materia,  in particolare agli art. 37 e 39 del GDPR. Purtroppo, in questa prima sentenza non vengono definite in maniera specifica le qualità professionali necessarie per rivestire il ruolo di DPO. Ciò che, però, appare chiaro è che il Responsabile per la protezione dei dati personali deve necessariamente avere specialistiche conoscenze sulla normativa e sulle prassi nazionali ed europee in materia di protezione dei dati, ivi compreso il GDPR, e conoscere le procedure del settore in cui andrà ad operare. (Fonte: Benedetta Greco, https://www.psbprivacyesicurezza.it)