DPO e avvisi pubblici. Requisiti privi di attinenza. Prime sentenze in Italia

24/09/2018
di Valentina Pesi

Nomina del Responsabile per la Protezione dei Dati e Pubblica Amministrazione. A pochi mesi dal fatidico traguardo del 25 maggio, nascono i primi dibattiti in merito alle disposizioni del Regolamento Privacy UE.

Una delle prime pronunce è quella del Tar del Friuli Venezia Giulia che, nella sentenza n. 287 dello scorso 13 settembre, annulla l’avviso emanato da una Pubblica Amministrazione finalizzato alla selezione per l’affidamento dell’incarico di Data Protection Officer.

Nella fattispecie in esame, il ricorrente aveva dichiarato inammissibile la domanda di partecipazione all’avviso emanato da un’Azienda sanitaria che “rilevata l’assenza tra i dipendenti di una figura professionale corrispondente al profilo richiesto” aveva disposto la selezione “per titoli ed eventuale colloquio, di un esperto di normativa e prassi in materia di protezione dei dati”. Oggetto dell’incarico evidenziato dall’avviso “l’impostazione e o svolgimento nella fase di prima applicazione” delle attività del Responsabile per la Protezione dei Dati.

In aggiunta ai compiti specifici previsti per tale figura, esplicitati dall’art. 39 del General Data Protection Regulation, la risorsa selezionata avrebbe dovuto espletare ulteriori funzioni quali, a titolo esemplificativo, “l’aggiornamento giuridico e impostazione organizzativo-metodologica per la gestione aziendale della privacy, per la redazione del registro dei trattamenti, per lo svolgimento di valutazioni di impatto sulla protezione dei dati (DPIA)”; “la ricognizione ed assessment aziendale in termini di sicurezza informatica e privacy”, “la partecipazione alle attività di formazione interna continua e specifica sulle tematiche della protezione dei dati”.

social_media_18237596_xxlRispetto ai requisiti di partecipazione al suddetto avviso – e qui il punto centrale della contestazione – l’Ente richiedeva “il possesso, in capo a ciascun candidato, del diploma di laurea in Informatica o Ingegneria Informatica, ovvero in Giurisprudenza o equipollenti, nonché la certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001”.

Il ricorrente, impugnando l’avviso, senza attendere di conoscere l’esito rispetto alla propria candidatura, aveva fatto ricorso evidenziando che il titolo della certificazione di auditor o lead auditor in base alla norma ISO/IEC/27001 “oltre a risultare privo di attinenza riguardo alle mansioni specificamente richieste dal GDPR e agli stessi compiti enunciati nell’avviso…, determinerebbe un’indebita sperequazione ai danni di soggetti titolari della laurea in giurisprudenza, i quali, ove ne fossero sprovvisti, non potrebbero partecipare alla selezione per difetto dei requisiti richiesti”.

La sovra citata qualifica di Auditor o Lead Auditor ISO/IEC/27001 richiesta sarebbe stata in contraddizione con l’apertura della candidatura a soggetti in possesso di laurea in giurisprudenza, peraltro considerata maggiormente conforme alle competenze richieste rispetto alla laurea in informatica o ingegneria informatica.

Alla luce dell’analisi delle motivazioni addotte dal ricorrente, il TAR aveva accolto il ricorso confermando che la Certificazione 27001 in oggetto “non costituisce un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni” di DPO. Di fatto tale norma “trova applicazione soprattutto nell’ambito dell’attività di impresa” e “la minuziosa conoscenza e applicazione della disciplina di settore restano, indipendentemente dal possesso o meno dalla certificazione in parola, il nucleo essenziale ed irriducibile della figura professionale ricercata dall’Azienda, il cui profilo, per le considerazioni anzidette, non può che qualificarsi come eminentemente giuridico”.

Il TAR non aveva quindi ritenuto la certificazione richiesta un requisito di ammissione proprio perché non in grado di “cogliere la specifica garanzia insita nell’incarico conferito”. Ulteriore conferma a rafforzamento di quanto decretato è stata l’analisi dei programmi dei corsi finalizzati all’acquisizione della certificazione in oggetto, ISO/IEC/27001, che oltre ad una durata contenuta sono contraddistinti da una prevalenza rilevante di tematiche relative all’organizzazione aziendale e “dall’assenza di contenuti riferibili all’attività e alla struttura delle pubbliche amministrazioni”. Ulteriore punto di contraddizione, l’affidamento dei compiti di RPD da parte delle due Aziende dello svolgimento a soggetti non in possesso della certificazione, ad ulteriore conferma della sua scarsa rilevanza ai fini delle attività oggetto dell’incarico.

In base a tutte le motivazioni sovra esposte il TAR ha accolto il ricorso condannando l’Azienda Sanitaria a corrispondere le spese di giudizio al ricorrente.

Un precedente importante quello rappresentato dalla sentenza del 13 settembre che fornisce spunti di fondamentale rilevanza per le Pubbliche Amministrazioni alle prese con analisi di mercato, manifestazioni di interesse e avvisi pubblici per l’affidamento di incarichi e progetti finalizzati al raggiungimento della conformità normativa secondo le nuove disposizioni definite dal GDPR. Chiamati a rispondere in prima linea agli adempimenti del Regolamento gli Enti dovranno attenersi alle prescrizioni normative con particolare diligenza evitando il rischio di incorrere in “eccesso di potere per violazione di atti di regolazione” e rimanendo nel perimetro di pertinenza rispetto alle finalità.

Riproduzione riservata ©

ALTRE NEWS

Piano ispettivo del Garante 2016, ecco chi sarà coinvolto

Approvato, dal Garante per la protezione dei dati personali, il piano ispettivo per il primo semestre 2016. Con deliberazione del 10 marzo l’Autorità ha definito… Leggi Tutto

Archiviazione della Posta elettronica: tra normativa e vantaggi di business

Posta Elettronica in azienda. E’ obbligatoria la conservazione? In quali modi e termini deve avvenire? I dati registrano la crescita del numero di messaggi scambiati…. Leggi Tutto

FE: Circolare 18/E del 24 giugno 2014 dell’Agenzia delle Entrate

L’Agenzia delle Entrate, con la Circolare 18/E del 24 giugno 2014, ha fornito chiarimenti sulla disciplina in materia di fatturazione elettronica introdotta a seguito del recepimento… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.