DPO e avvisi pubblici. Requisiti privi di attinenza. Prime sentenze in Italia

Nomina del Responsabile per la Protezione dei Dati e Pubblica Amministrazione. A pochi mesi dal fatidico traguardo del 25 maggio, nascono i primi dibattiti in merito alle disposizioni del Regolamento Privacy UE.

Una delle prime pronunce è quella del Tar del Friuli Venezia Giulia che, nella sentenza n. 287 dello scorso 13 settembre, annulla l’avviso emanato da una Pubblica Amministrazione finalizzato alla selezione per l’affidamento dell’incarico di Data Protection Officer.

Nella fattispecie in esame, il ricorrente aveva dichiarato inammissibile la domanda di partecipazione all’avviso emanato da un’Azienda sanitaria che “rilevata l’assenza tra i dipendenti di una figura professionale corrispondente al profilo richiesto” aveva disposto la selezione “per titoli ed eventuale colloquio, di un esperto di normativa e prassi in materia di protezione dei dati”. Oggetto dell’incarico evidenziato dall’avviso “l’impostazione e o svolgimento nella fase di prima applicazione” delle attività del Responsabile per la Protezione dei Dati.

In aggiunta ai compiti specifici previsti per tale figura, esplicitati dall’art. 39 del General Data Protection Regulation, la risorsa selezionata avrebbe dovuto espletare ulteriori funzioni quali, a titolo esemplificativo, “l’aggiornamento giuridico e impostazione organizzativo-metodologica per la gestione aziendale della privacy, per la redazione del registro dei trattamenti, per lo svolgimento di valutazioni di impatto sulla protezione dei dati (DPIA)”; “la ricognizione ed assessment aziendale in termini di sicurezza informatica e privacy”, “la partecipazione alle attività di formazione interna continua e specifica sulle tematiche della protezione dei dati”.

Rispetto ai requisiti di partecipazione al suddetto avviso – e qui il punto centrale della contestazione – l’Ente richiedeva “il possesso, in capo a ciascun candidato, del diploma di laurea in Informatica o Ingegneria Informatica, ovvero in Giurisprudenza o equipollenti, nonché la certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001”.

Il ricorrente, impugnando l’avviso, senza attendere di conoscere l’esito rispetto alla propria candidatura, aveva fatto ricorso evidenziando che il titolo della certificazione di auditor o lead auditor in base alla norma ISO/IEC/27001 “oltre a risultare privo di attinenza riguardo alle mansioni specificamente richieste dal GDPR e agli stessi compiti enunciati nell’avviso…, determinerebbe un’indebita sperequazione ai danni di soggetti titolari della laurea in giurisprudenza, i quali, ove ne fossero sprovvisti, non potrebbero partecipare alla selezione per difetto dei requisiti richiesti”.

La sovra citata qualifica di Auditor o Lead Auditor ISO/IEC/27001 richiesta sarebbe stata in contraddizione con l’apertura della candidatura a soggetti in possesso di laurea in giurisprudenza, peraltro considerata maggiormente conforme alle competenze richieste rispetto alla laurea in informatica o ingegneria informatica.

Alla luce dell’analisi delle motivazioni addotte dal ricorrente, il TAR aveva accolto il ricorso confermando che la Certificazione 27001 in oggetto “non costituisce un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni” di DPO. Di fatto tale norma “trova applicazione soprattutto nell’ambito dell’attività di impresa” e “la minuziosa conoscenza e applicazione della disciplina di settore restano, indipendentemente dal possesso o meno dalla certificazione in parola, il nucleo essenziale ed irriducibile della figura professionale ricercata dall’Azienda, il cui profilo, per le considerazioni anzidette, non può che qualificarsi come eminentemente giuridico”.

Il TAR non aveva quindi ritenuto la certificazione richiesta un requisito di ammissione proprio perché non in grado di “cogliere la specifica garanzia insita nell’incarico conferito”. Ulteriore conferma a rafforzamento di quanto decretato è stata l’analisi dei programmi dei corsi finalizzati all’acquisizione della certificazione in oggetto, ISO/IEC/27001, che oltre ad una durata contenuta sono contraddistinti da una prevalenza rilevante di tematiche relative all’organizzazione aziendale e “dall’assenza di contenuti riferibili all’attività e alla struttura delle pubbliche amministrazioni”. Ulteriore punto di contraddizione, l’affidamento dei compiti di RPD da parte delle due Aziende dello svolgimento a soggetti non in possesso della certificazione, ad ulteriore conferma della sua scarsa rilevanza ai fini delle attività oggetto dell’incarico.

In base a tutte le motivazioni sovra esposte il TAR ha accolto il ricorso condannando l’Azienda Sanitaria a corrispondere le spese di giudizio al ricorrente.

Un precedente importante quello rappresentato dalla sentenza del 13 settembre che fornisce spunti di fondamentale rilevanza per le Pubbliche Amministrazioni alle prese con analisi di mercato, manifestazioni di interesse e avvisi pubblici per l’affidamento di incarichi e progetti finalizzati al raggiungimento della conformità normativa secondo le nuove disposizioni definite dal GDPR. Chiamati a rispondere in prima linea agli adempimenti del Regolamento gli Enti dovranno attenersi alle prescrizioni normative con particolare diligenza evitando il rischio di incorrere in “eccesso di potere per violazione di atti di regolazione” e rimanendo nel perimetro di pertinenza rispetto alle finalità.