venerdì, Marzo 29, 2024
Uncategorized

La selezione a DPO di un Ente pubblico non può essere condizionata al possesso di qualifiche informatiche

Il GDPR (General Data Protection Regulation)[1] ha introdotto numerose novità[2] nell’ambito della tutela della privacy, tra le quali spicca la figura del DPO (Data Protection Officer)[3], il cui inserimento presuppone competenze di carattere giuridico, informatico, di risk management e di analisi dei processi.

Con la sentenza n. 287 del 13/09/2018, il TAR Friuli Venezia Giulia ha chiarito che non può costituire titolo abilitante, ai fini dell’assunzione come DPO di un Comune o altro ente pubblico, la certificazione di “Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni, secondo la norma ISO/IEC/27001“, che presuppone il possesso dei principali elementi di conoscenza della normativa sulla salute e sicurezza nei luoghi di lavoro e delle competenze necessarie per una valutazione corretta della conformità di un SGSL rispetto alla norma di riferimento.

Il ricorso per l’annullamento del bando emesso dall’Azienda per l’Assistenza Sanitaria n. 3 Alto Friuli Collinare Medio Friuli era stato proposto da un avvocato del luogo, il quale aveva partecipato alla procedura e risultava pertanto, come rilevato dal TAR Friuli Venezia Giulia, “portatore di un interesse sufficientemente differenziato inteso a conseguire la corretta interpretazione ed applicazione della disciplina regolatrice della selezione nei propri confronti“.
Preliminarmente, il TAR adito ha dovuto chiarire alcuni profili relativi alla giurisdizione così come emersi nella comparsa di costituzione dell’ASL. In particolare, il collegio si è conformato all’orientamento delle Sezioni Unite della Corte di Cassazione, secondo cui “appartiene alla giurisdizione del giudice amministrativo la controversia relativa ad una procedura concorsuale volta al conferimento di incarichi ex art. 7, comma 6, d.lg. n. 165 cit., assegnati ad esperti, mediante contratti di lavoro autonomo di natura occasionale o coordinata e continuativa, per far fronte alle medesime esigenze cui ordinariamente sono preordinati i lavoratori subordinati della p.a.”[2]. Alla luce delle considerazioni anzidette e dei richiami giurisprudenziali, il TAR ha osservato che l’attinenza dell’incarico alle esigenze proprie dell’Azienda e la procedimentalizzazione della fase di individuazione del soggetto incaricato, mediante l’espletamento di una procedura selettiva di tipo comparativo, costituiscono chiaro indice della manifestazione del potere organizzatorio dell’Amministrazione e del corrispondente insorgere della giurisdizione amministrativa.

Chiarito questo profilo, il TAR è passato poi all’esame del merito della questione, rilevando che lo svolgimento delle funzioni proprie del Data Protection Officer presuppone la minuziosa conoscenza e l’applicazione delle disposizioni contenute all’interno del GDPR e della complessiva disciplina di settore. Il nucleo di tale conoscenza, tuttavia, è “la tutela del diritto fondamentale dell’individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo” e non la predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni. Tali conclusioni sono ulteriormente rafforzate dall’esame dei programmi dei corsi finalizzati all’acquisizione della certificazione ISO/IEC/27001, caratterizzati da una durata particolarmente contenuta (2/5 giorni), per un massimo di 40 ore, dalla netta prevalenza delle tematiche attinenti all’organizzazione aziendale (e ciò a discapito dei profili giuridici) e dall’assenza di contenuti riferibili all’attività e alla struttura delle pubbliche amministrazioni.

Siffatti rilievi consentono di escludere, una volta di più, che dal possesso della certificazione, conseguita nel contesto di tali corsi, possa essere fatta dipendere l’ammissione alla procedura selettiva, trattandosi, a ben vedere, di un mero titolo curriculare (certamente valutabile in sede di giudizio sulle posizioni dei singoli candidati) ma non anche di un titolo formativo o abilitante, come tale idoneo ad assurgere a requisito di accesso.

Pertanto, non può fungere da ostacolo al conferimento dell’incarico il possesso di una semplice certificazione come quella in discorso, che non va, dunque, considerata equipollente al diploma di laurea richiesto (segnatamente, in Giurisprudenza, Informatica ovvero Ingegneria informatica). Il motivo, secondo i giudici del Tribunale Amministrativo friulano, è che tale certificazione “non inquadra la specifica funzione di garanzia, coessenziale all’esercizio dei compiti assegnati dalla normativa euro-unitaria al Responsabile della Protezione dei Dati personali, il cui nucleo essenziale ed irriducibile non può che qualificarsi come eminentemente giuridico, in quanto polarizzato attorno alla necessità di tutelare il diritto fondamentale dell’individuo alla protezione dei dati personali, indipendentemente dalla qualificazione soggettiva del titolare delle informazioni, dalle modalità della loro propagazione e dalle forme di utilizzo“.

 

[1] Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, disponibile qui: http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32016R0679

[2] Simone Cedrola, Il nuovo scenario in tema di protezione dei dati personali alla luce dell’imminente applicazione del GDPR, Novembre 2017, disponibile qui: https://www.iusinitinere.it/nuovo-scenario-dati-personali-applicazione-gdpr-6131

[3] Simone Cedrola, Il Data Protection Officer: ruolo e funzioni, Gennaio 2018, disponibile qui: https://www.iusinitinere.it/data-protection-officer-dpo-ruolo-funzioni-6976

[4] Cassazione civile, sezioni unite, n. 13531 del 2016.

Andrea Amiranda

Andrea Amiranda è un Avvocato d'impresa specializzato in Risk & Compliance, con esperienza maturata in società strategiche ai sensi della normativa Golden Power. Dal 2020 è Responsabile dell'area Compliance di Ius in itinere. Contatti: andrea.amiranda@iusinitinere.it

Lascia un commento