Nomina DPO: la prima sentenza italiana dopo l’entrata in vigore del GDPR
IL FATTO
Il caso oggetto della sentenza ha origine dalla dichiarazione di inammissibilità di una domanda di partecipazione ad un avviso pubblico di un’Azienda sanitaria relativo all’affidamento dell’incarico di collaborazione professionale come Data protection officer.
Il summenzionato avviso pubblico, infatti, dopo aver evidenziato l’impossibilità di individuare la figura del DPO tra i dipendenti della medesima amministrazione, disponeva la selezione per titoli ed eventuale colloquio, di un esperto sulla normativa e sulla prassi in materia di protezione dei dati al quale affidare l’incarico di collaborazione professionale per “l’impostazione e lo svolgimento nella fase di prima applicazione” dei compiti di DPO.
In base all’oggetto dell’avviso pubblico, oltretutto, il soggetto prescelto, oltre a dover svolgere i compiti tipici del DPO (previsti dall’art. 39 del GDPR), avrebbe dovuto svolgere le seguenti ulteriori funzioni: “l’aggiornamento giuridico e impostazione organizzativo-metodologica per la gestione aziendale della privacy, per la redazione del registro dei trattamenti, per lo svolgimento di valutazioni di impatto sulla protezione dei dati (DPIA)”; la ricognizione ed assessment aziendale in termini di sicurezza informatica e privacy, avendo riguardo, tra l’altro, alla conformità al GDPR, alle misure minime di sicurezza per la PA di cui alla Circolare AgID n. 2/2017, alle criticità emerse, alla contrattualistica con i fornitori, agli applicativi esistenti di cui si sarebbe dovuta svolgere una verifica di compliance rispetto al principio di privacy by design; la “partecipazione alle attività di formazione interna continua e specifica sulle tematiche della protezione dei dati”.
In sostanza il soggetto individuato come DPO avrebbe dovuto eseguire una serie di compiti specifici ulteriori rispetto a quelli previsti dall’art. 39 del GDPR.
Ma il punto più rilevante dell’avviso pubblico riguarda proprio i requisiti di partecipazione alla selezione. In esso si richiedeva, infatti, “il possesso, in capo a ciascun candidato, del diploma di laurea in Informatica o Ingegneria Informatica, ovvero in Giurisprudenza o equipollenti, nonché la certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001”.
Il primo profilo, oggetto di analisi del ricorso, è quello relativo alla corretta interpretazione da attribuire al testo dell’avviso pubblico: non sarebbe possibile comprendere, si sostiene, se la laurea in informatica, ingegneria informatica, giurisprudenza o equipollenti fosse o meno alternativa rispetto alla certificazione di auditor o lead auditor in base alla norma ISO/IEC/27001. Il dubbio parrebbe doversi sciogliere nel senso della mancanza di una alternativa e risolversi, invece, a favore della interpretazione secondo la quale la certificazione auditor o lead auditor ISO27001 rappresentasse un requisito ulteriore rispetto ai titoli di laurea summenzionati (considerata la presenza della congiunzione “nonché”).
Il secondo (e più rilevante) profilo affrontato nel ricorso era incentrato sul punto in cui l’avviso pubblico prevedeva (quale requisito ulteriore rispetto al possesso del diploma di laurea in Informatica o Ingegneria Informatica, ovvero in Giurisprudenza o equipollenti) la necessità che i candidati fossero dotati della “certificazione Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001”.
Il ricorrente, infatti, nella sua domanda di risposta all’avviso pubblico precisava di essere in possesso della laurea in giurisprudenza ma di non possedere, invece, “la certificazione Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni”.
Tra i motivi portati dal ricorrente all’attenzione del Tribunale Amministrativo Regionale vi è, innanzitutto, il fatto che la previsione della richiesta, tra i requisiti, qualifica di Auditor o Lead Auditor ISO/IEC/27001 si porrebbe in antitesi logica rispetto all’apertura alla candidatura dei titolari di laurea in giurisprudenza. Oltretutto, si sostiene, le competenze richieste dall’avviso pubblico sarebbero maggiormente compatibili con quelle tipiche dei laureati in giurisprudenza piuttosto che con quelle dei laureati in informatica o ingegneria informatica.
La motivazione della decisione
Nell’accogliere il ricorso il TAR motiva la propria decisione sulla scorta delle seguenti considerazioni. In primo luogo la certificazione 27001 “non costituisce un titolo abilitante” per le funzioni di DPO posto che la norma ISO27001 “trova prevalente applicazione nell’ambito dell’attività d’impresa” e, comunque, la “minuziosa conoscenza e l’applicazione della disciplina di settore restano, indipendentemente dal possesso o meno della certificazione in parola, il nucleo essenziale ed irriducibile della figura professionale ricercata dall’Azienda, il cui profilo, per le considerazioni anzidette, non può che qualificarsi come eminentemente giuridico”. La certificazione in oggetto, inoltre, secondo il TAR FVG, non può costituire requisito di ammissione (né equipollente al titolo di laurea richiesto) in quanto “non coglie la specifica funzione di garanzia insita nell’incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali”. E tale conclusione sarebbe confermata sulla scorta dell’analisi dei “programmi dei corsi finalizzati all’acquisizione della certificazione ISO/IEC/27001 prodotti dal ricorrente” che si caratterizzano per una durata contenuta e per la “netta prevalenza delle tematiche attinenti all’organizzazione aziendale (e ciò a discapito dei profili giuridici) e dall’assenza di contenuti riferibili all’attività e alla struttura delle pubbliche amministrazioni”. Oltretutto, si soggiunge, i dirigenti incaricati dalle Aziende resistenti, nelle more del giudizio, dei compiti di DPO non erano, comunque, in possesso della certificazione ISO/IEC/27001, e ciò confermerebbe ulteriormente la sua irrilevanza ai fini dello svolgimento dell’incarico di DPO.
Conclusioni
La sentenza in questione giunge ad una conclusione condivisibile sia pur conservando, nel percorso argomentativo, alcuni aspetti oscuri e che lasciano spazio a perplessità
I presupposti per la corretta individuazione della figura del DPO – sia da parte di soggetti pubblici che privati – sono racchiusi nella norma del quinto comma dell’art. 37 del GDPR, in base al quale il DPO “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all'articolo 39”. Di primaria importanza nell’interpretazione dei criteri di scelta è anche il considerando 97 del GDPR in base al quale il DPO dovrebbe essere “una persona che abbia una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati nel controllo del rispetto a livello interno” del GDPR e, infine, “il livello necessario di conoscenza specialistica dovrebbe essere determinato in particolare in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento”. Ad ulteriore specificazione delle modalità di individuazione del DPO assumono rilevanza fondamentale le linee guida sui responsabili della protezione dei dati adottate dall’Art. 29WP (attualmente il Comitato europeo per la protezione dei dati personali). Le linee guida, anzitutto, prevedono la possibilità (in linea rispetto a quanto previsto dal considerando 97 del GDPR) di distinguere il livello di conoscenze specialistiche richiesto al DPO a seconda, caso per caso, dellacomplessità del trattamento o del volume di dati sensibili oggetto del trattamento. Inoltre, si evidenzia come le qualità professionali da prendere in considerazione per la nomina del DPO non siano affatto specificate dall’art. 37 del GDPR. Pur non essendo individuate chiaramente le qualità professionali richieste, appare chiaro che il DPO debba avere conoscenze sulla normativa e sulle prassi nazionali ed europee in materia di protezione dei dati, ivi compreso il GDPR. Inoltre, il DPO dovrebbe conoscere lo specifico settore (in cui eserciti la sua professionalità), le operazioni di trattamento ivi svolte e le esigenze di sicurezza manifestategli dal titolare. Inoltre, il DPO operante nella PA, dovrebbe avere una familiarità con le norme e le procedure amministrative di riferimento. Sempre le linee guida dell’Art. 29WP, ad ulteriore specificazione delle competenze specialistiche che dovrebbero caratterizzare il DPO, indicano: familiarità con tecnologie informatiche e misure di sicurezza dei dati; capacità di promuovere una cultura della protezione dati all’interno dell’organizzazione del titolare o del responsabile.
Da questo punto di vista è chiaro che la motivazione della sentenza del TAR FVG, nel passaggio in cui statuisce che il profilo del DPO “non può che qualificarsi come eminentemente giuridico” non può intendersi nel senso di limitarne l’esercizio esclusivamente ai giuristi ma, invero, nel senso che a prescindere dal titolo di studio, in ogni caso, il DPO non possa non avere – ed essere in grado di dimostrarle –competenze nell’ambito giuridico così come delineato dall’Art. 29WP (ossia normativa e prassi nazionali ed europee in materia di protezione dei dati, compresa un’approfondita conoscenza del GDPR).
La prima considerazione che porta a ritenere corretta la decisione in esame nel punto in cui esclude che possa prevedersi quale condizione essenziale allo svolgimento dell’attività di DPO la qualifica di auditor o lead auditor ISO/IEC/27001 è quella secondo la quale le competenze specialistiche richieste al DPO (in base al GDPR e all’interpretazione della norma data dall’Art.29WP) variano a seconda dell’ambito in cui si troverà ad operare. La questione del “bollino” oltretutto era già stata risolta dal Garante privacy nel senso che – come previsto nelle FAQ del Garante in tema di responsabile della protezione dei dati personali – gli schemi proprietari di certificazione volontaria delle competenze professionali (che non rientrano tra quelle disciplinate dall’art. 42 del GDPR) pur rappresentando (al pari di altri titoli) “un valido strumento ai fini della verifica del possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a una ‘abilitazione’ allo svolgimento del ruolo del DPO né, allo stato, sono idonee a sostituire il giudizio rimesso alle PP.AA. nella valutazione dei requisiti necessari al DPO per svolgere i compiti previsti dall'art. 39 del GDPR”.
Anche per tale ragione la PA non può sostituire un giudizio effettivo sulle capacità del candidato (basato sulla verifica delle effettive competenze specialistiche piuttosto e non sul “massimo ribasso” offerto) al possesso, da parte del medesimo, di bollini o abilitazioni non previsti dal GDPR.
Per questo motivo, perciò, potrà anche tenersi in considerazione – nell’analisi comparativa delle esperienze professionali e del bagaglio di esperienze del singolo candidato a ricoprire il ruolo di DPO – delle eventuali abilitazioni, certificazioni, attestati di partecipazione a corsi etc., ma questi non potranno rappresentare una barriera illogica e condizionante la partecipazione al procedimento di selezione.
http://www.formicasrl.it/?p=134960NewsIL FATTO Il caso oggetto della sentenza ha origine dalla dichiarazione di inammissibilità di una domanda di partecipazione ad un avviso pubblico di un’Azienda sanitaria relativo all’affidamento dell’incarico di collaborazione professionale come Data protection officer. Il summenzionato avviso pubblico, infatti, dopo aver evidenziato l’impossibilità di individuare la figura del DPO tra i...RossellaRossella La Ferlaricer@areaprogetti.itAdministratorFORMICA "Sicurezza sul lavoro" di Giovanni Formica