Sta suscitando molte discussioni tra gli addetti ai lavori la sentenza del TAR per il Friuli Venezia Giulia n. 287 del 13/09 u.s. che annulla la procedura concorsuale finalizzata alla nomina del DPO da parte dell’Azienda per l’Assistenza Sanitaria n. 3 Alto Friuli Collinare Medio Friuli. I giudici amministrativi sono dunque intervenuti in merito ai requisiti che deve rivestire il DPO (Data Protection Officer, la figura di Responsabile della Protezione dei Dati introdotta dal GDPR). In particolare, la sentenza interviene sul ruolo delle certificazioni durante la fase di selezione di questo ruolo da parte delle pubbliche amministrazioni.
Indice degli argomenti
Il profilo del DPO è eminentemente giuridico?
Secondo i giudici del TAR, “la minuziosa conoscenza e l’applicazione della disciplina di settore restano, indipendentemente dal possesso o meno della certificazione in parola, il nucleo essenziale ed irriducibile della figura professionale ricercata mediante la procedura selettiva intrapresa dall’Azienda, il cui profilo, per le considerazioni anzidette, non può che qualificarsi come eminentemente giuridico”.
Scendendo nel dettaglio della sentenza, il Collegio del TAR ha ritenuto che l’impugnazione “sia manifestamente fondata in relazione alla contestata individuazione della certificazione di Auditor/Lead Auditor ISO/IEC/27001 quale requisito di ammissione alla procedura selettiva”.
Continuando, si legge: “Sul punto va rilevato che la predetta certificazione non costituisce, come eccepito dal ricorrente, un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati, nell’alveo della disciplina introdotta dal GDPR, dovendosi considerare che: da un lato, la norma ISO 27001 trova prevalente applicazione nell’ambito dell’attività di impresa (basti rilevare che i riferimenti rivolti ad essa, dal legislatore nazionale e dall’ordinamento euro-unitario, attengono essenzialmente ai requisiti degli operatori economici, come ad esempio avviene nel caso dell’art. 93, comma 7, D. Lgs. n. 50 del 2016, in tema di garanzie per la partecipazione alle procedure di affidamento nei settori ordinari); dall’altro lato, la medesima norma, per quanto potenzialmente estensibile all’attività delle pubbliche amministrazioni, fa pur sempre salva l’applicazione delle disposizioni speciali (euro-unitarie e nazionali) in materia di tutela dei dati personali e della riservatezza (punto 18 “conformità” della citata norma ISO; cfr. in particolare: 18.1.1 e 18.1.4)”.
La sentenza stabilisce quindi che “la minuziosa conoscenza e l’applicazione della disciplina di settore restano, indipendentemente dal possesso o meno della certificazione in parola, il nucleo essenziale ed irriducibile della figura professionale ricercata mediante la procedura selettiva intrapresa dall’Azienda”.
I giudici amministrativi concludono quindi che la certificazione indicata nell’avviso non può costituire requisito di ammissione alla selezione in esame (né tanto meno assurgere a titolo equipollente al richiesto diploma di laurea), proprio perché essa non coglie (o non coglie appieno) la specifica funzione di garanzia insita nell’incarico conferito.
La figura del DPO: il parere dell’esperto
In merito a tutta la faccenda, ricordiamo che l’articolo 35 del GDPR, al comma 5, stabilisce che “Il Responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”.
Alla luce di ciò, secondo Guglielmo Troiano, avvocato presso P4I – Partners4Innovation, “nel merito la sentenza non è niente di eccezionale e stravolgente. Verte su una questione pacifica e non controversa. Cioè sul fatto che il DPO è una figura professionale che non richiede certificazioni, abilitazioni o iscrizioni in particolari albi professionali. È chiaro così da anni ma una PA, invece, aveva vincolato il bando per il DPO al possesso di una certificazione particolare. Quindi il TAR ha annullato il bando”.
In particolare, osserva l’avvocato Salvatore Coppola, “il tribunale friulano ha stabilito che l’esclusione da un avviso pubblico per l’affidamento di un incarico da DPO non può dipendere dal mancato possesso della certificazione di auditor. Per tale motivo il tribunale amministrativo ha accolto il ricorso di un avvocato escluso perché non in possesso di una certificazione specifica di auditor. Tanto appare conforme con il GDPR, che non richiede attestazioni formali sul possesso delle conoscenze come pure non è richiesta l’iscrizione ad appositi albi professionali. Pertanto, ogni titolo o certificazione rappresenterebbe semplicemente un valore aggiunto da considerare al fine di giudicare le singole candidature. Detto ciò, potrebbero ritenersi illegittimi anche i bandi che richiedono specifiche lauree per la nomina del DPO?”. Sempre secondo l’avvocato Coppola vale in tutti i casi “il principio dell’accountability, colonna portante del GDPR, che richiede ai titolari del trattamento di adottare le misure più adeguate e tra queste vi rientra certamente la scelta del DPO. I titolari, pertanto, potranno scegliere il DPO più adatto alle loro esigenze ovvero il migliore che possano permettersi“.
Il consiglio da dare alle società e alle aziende, secondo Diego Padovan, Data Protection Officer, è invece “quello di puntare su un team di lavoro che ricopra il ruolo di DPO più che su una singola persona, interpretando in questo modo il GDPR che in merito non dà indicazioni stringenti”. Chiaramente, vista l’importanza del ruolo e delle decisioni che dovrà prendere durante le fasi di adeguamento al Regolamento UE, è preferibile che come DPO (o come capo del team di DPO), soprattutto nelle grandi aziende, venga preferita una figura manageriale. Più che titoli o certificazioni, poi, sarebbe preferibile puntare su una figura che abbia già esperienza sul campo, soprattutto per rispondere correttamente in questioni che comportino responsabilizzazioni nelle scelte effettuate relativamente alle procedure tecniche approvate dal titolare del trattamento dei dati (che, lo ricordiamo, deve rispondere al principio di accountability previsto dal GDPR stesso). Secondo Padovan, “la multidisciplinarietà in fase di applicazione del regolamento alle pratiche aziendali è utile per affrontare correttamente sia gli aspetti tecnici (pensiamo ad esempio all’applicazione delle misure minime di sicurezza ICT), sia quelli legali (quando è il caso di ricorrere alla normativa): un avvocato o un giurista è infatti essenziale per la corretta lettura della norma (non dimentichiamo che il Regolamento UE è una norma sovranazionale e che la legge 101/18 ha introdotto delle complessità ulteriori), mentre il ruolo dell’ingegnere o del tecnico è quello di fungere da ponte per l’impostazione dei processi o le soluzioni di sicurezza”.
Alla luce di tutto ciò, staremo a vedere quali potranno essere le conseguenze di questa sentenza e come le aziende e le pubbliche amministrazioni procederanno all’adeguamento al GDPR.
