DPO e avvisi pubblici. Requisiti privi di attinenza. Prime sentenze in Italia

24/09/2018
di Valentina Pesi

Nomina del Responsabile per la Protezione dei Dati e Pubblica Amministrazione. A pochi mesi dal fatidico traguardo del 25 maggio, nascono i primi dibattiti in merito alle disposizioni del Regolamento Privacy UE.

Una delle prime pronunce è quella del Tar del Friuli Venezia Giulia che, nella sentenza n. 287 dello scorso 13 settembre, annulla l’avviso emanato da una Pubblica Amministrazione finalizzato alla selezione per l’affidamento dell’incarico di Data Protection Officer.

Nella fattispecie in esame, il ricorrente aveva dichiarato inammissibile la domanda di partecipazione all’avviso emanato da un’Azienda sanitaria che “rilevata l’assenza tra i dipendenti di una figura professionale corrispondente al profilo richiesto” aveva disposto la selezione “per titoli ed eventuale colloquio, di un esperto di normativa e prassi in materia di protezione dei dati”. Oggetto dell’incarico evidenziato dall’avviso “l’impostazione e o svolgimento nella fase di prima applicazione” delle attività del Responsabile per la Protezione dei Dati.

In aggiunta ai compiti specifici previsti per tale figura, esplicitati dall’art. 39 del General Data Protection Regulation, la risorsa selezionata avrebbe dovuto espletare ulteriori funzioni quali, a titolo esemplificativo, “l’aggiornamento giuridico e impostazione organizzativo-metodologica per la gestione aziendale della privacy, per la redazione del registro dei trattamenti, per lo svolgimento di valutazioni di impatto sulla protezione dei dati (DPIA)”; “la ricognizione ed assessment aziendale in termini di sicurezza informatica e privacy”, “la partecipazione alle attività di formazione interna continua e specifica sulle tematiche della protezione dei dati”.

social_media_18237596_xxlRispetto ai requisiti di partecipazione al suddetto avviso – e qui il punto centrale della contestazione – l’Ente richiedeva “il possesso, in capo a ciascun candidato, del diploma di laurea in Informatica o Ingegneria Informatica, ovvero in Giurisprudenza o equipollenti, nonché la certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001”.

Il ricorrente, impugnando l’avviso, senza attendere di conoscere l’esito rispetto alla propria candidatura, aveva fatto ricorso evidenziando che il titolo della certificazione di auditor o lead auditor in base alla norma ISO/IEC/27001 “oltre a risultare privo di attinenza riguardo alle mansioni specificamente richieste dal GDPR e agli stessi compiti enunciati nell’avviso…, determinerebbe un’indebita sperequazione ai danni di soggetti titolari della laurea in giurisprudenza, i quali, ove ne fossero sprovvisti, non potrebbero partecipare alla selezione per difetto dei requisiti richiesti”.

La sovra citata qualifica di Auditor o Lead Auditor ISO/IEC/27001 richiesta sarebbe stata in contraddizione con l’apertura della candidatura a soggetti in possesso di laurea in giurisprudenza, peraltro considerata maggiormente conforme alle competenze richieste rispetto alla laurea in informatica o ingegneria informatica.

Alla luce dell’analisi delle motivazioni addotte dal ricorrente, il TAR aveva accolto il ricorso confermando che la Certificazione 27001 in oggetto “non costituisce un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni” di DPO. Di fatto tale norma “trova applicazione soprattutto nell’ambito dell’attività di impresa” e “la minuziosa conoscenza e applicazione della disciplina di settore restano, indipendentemente dal possesso o meno dalla certificazione in parola, il nucleo essenziale ed irriducibile della figura professionale ricercata dall’Azienda, il cui profilo, per le considerazioni anzidette, non può che qualificarsi come eminentemente giuridico”.

Il TAR non aveva quindi ritenuto la certificazione richiesta un requisito di ammissione proprio perché non in grado di “cogliere la specifica garanzia insita nell’incarico conferito”. Ulteriore conferma a rafforzamento di quanto decretato è stata l’analisi dei programmi dei corsi finalizzati all’acquisizione della certificazione in oggetto, ISO/IEC/27001, che oltre ad una durata contenuta sono contraddistinti da una prevalenza rilevante di tematiche relative all’organizzazione aziendale e “dall’assenza di contenuti riferibili all’attività e alla struttura delle pubbliche amministrazioni”. Ulteriore punto di contraddizione, l’affidamento dei compiti di RPD da parte delle due Aziende dello svolgimento a soggetti non in possesso della certificazione, ad ulteriore conferma della sua scarsa rilevanza ai fini delle attività oggetto dell’incarico.

In base a tutte le motivazioni sovra esposte il TAR ha accolto il ricorso condannando l’Azienda Sanitaria a corrispondere le spese di giudizio al ricorrente.

Un precedente importante quello rappresentato dalla sentenza del 13 settembre che fornisce spunti di fondamentale rilevanza per le Pubbliche Amministrazioni alle prese con analisi di mercato, manifestazioni di interesse e avvisi pubblici per l’affidamento di incarichi e progetti finalizzati al raggiungimento della conformità normativa secondo le nuove disposizioni definite dal GDPR. Chiamati a rispondere in prima linea agli adempimenti del Regolamento gli Enti dovranno attenersi alle prescrizioni normative con particolare diligenza evitando il rischio di incorrere in “eccesso di potere per violazione di atti di regolazione” e rimanendo nel perimetro di pertinenza rispetto alle finalità.

Riproduzione riservata ©

ALTRE NEWS

Cloud, Frediani: “Accendere i riflettori sulle norme”

L´avvocato esperta di diritto informatico: “Il tema della sicurezza delle soluzioni accentra il dibattito, ma serve riflettere anche sugli aspetti normativi”di Valentina Frediani, avvocato esperta… Leggi Tutto

La Relazione del Garante: i punti salienti

Il 28 giugno scorso, presso la Sala Koch di Palazzo Madama, il Garante per la protezione dei dati personali rappresentato dal presidente Antonello Soro e… Leggi Tutto

Controlli sui pc dei dipendenti: solo se “mirati” e resi noti

Il datore di lavoro non può controllare il contenuto del computer del dipendente senza averlo preventivamente informato, violando così il rispetto della sua libertà e… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.