Dal 25 maggio 2018, come tutti sanno, è entro in vigore il c.d. GDPR – General Data Protection Regulation – che ha introdotto obblighi stringenti per professionisti e imprese, volti ad elevare il livello di informazione e tutela dei dati personali.
Tra le novità di maggior rilievo vi è senza dubbio quella del c.d. Data Protection Officer (D.P.O), il quale, ai sensi dell’art. 37, viene designato dal titolare e dal responsabile del trattamento, “…ogni qualvolta: a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10”.
I ruoli assegnati ex art. 39 al D.P.O. risultano di triplice natura:
- un ruolo di consulenza “interna” in quanto, ai sensi della lettera a) è chiamato a fornire “…consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati”, nonché, ai sensi della lettera c) a fornire, quanto richiesto, un proprio parere motivato “in merito alla valutazione d’impatto sulla protezione dei dati”;
- un ruolo di sorveglianza, ai sensi delle lettere b e c, del rispetto delle normative in materia di protezione dei dati personali;
- di punto di raccordo con le autorità di controllo, con le quali è chiamato a cooperare.
Le origini della controversia dinnanzi al T.A.R.
In data 13 settembre 2018 è stata pronunciata la prima sentenza di un tribunale italiano in punto di DPO (Data Protection Officer).
Il ricorso da cui è scaturita la pronuncia in oggetto trae la propria origine da un avviso pubblico di un’azienda sanitaria volto all’assunzione di un soggetto per lo svolgimento non solo dei compiti espressamente individuati dall’art. 39 del GDPR ma anche delle seguenti ulteriori funzioni:
- “l’aggiornamento giuridico e impostazione organizzativo-metodologica per la gestione aziendale della privacy, per la redazione del registro dei trattamenti, per lo svolgimento di valutazioni di impatto sulla protezione dei dati (DPIA)”;
- Risk assessment relativo alla sicurezza informatica e alla conformità rispetto alle normative in punto di privacy, esteso anche alla compliance rispetto alle misure indicate nella Circolare AgID n°2/2017;
- la “partecipazione alle attività di formazione interna continua e specifica sulle tematiche della protezione dei dati”.
L’avviso, rivolto esclusivamente a personale esterno all’azienda sanitaria stessa, individuava tra i requisiti di partecipazione “…il possesso, in capo a ciascun candidato, del diploma di laurea in Informatica o Ingegneria Informatica, ovvero in Giurisprudenza o equipollenti, nonché la certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001…”.
Uno dei candidati, vedendosi dichiarata inammissibile la propria candidatura, si rivolgeva al Tribunale amministrativo territorialmente competente ritenendo:
- da un lato che l’avviso pubblico risultasse di oscura interpretazione, non comprendendosi se il requisito del possesso della certificazione ISO/IEC/27001 fosse requisito alternativo o ulteriore rispetto al possesso di una laurea in informatica o in giurisprudenza;
- dall’altro che il requisito del possesso di tale certificazione escludesse i laureati in giurisprudenza, quandanche le mansioni richieste fossero senza dubbio maggiormente confacenti ai laureati nella predetta materia.
La decisione del T.A.R.
Esaminata la questione, il Tribunale amministrativo accoglie il ricorso ritenendo illegittima la richiesta del possesso della certificazione ISO/IEC/27001 quale “titolo abilitante”. Ad avviso del T.A.R., infatti:
- detto requisito appare ultroneo rispetto ai compiti del DPO, trovando la suddetta certificazione “…prevalente applicazione nell’ambito dell’attività d’impresa” e poiché “…non coglie la specifica funzione di garanzia insita nell’incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali”;
- di contro la “…minuziosa conoscenza e l’applicazione della disciplina di settore restano, indipendentemente dal possesso o meno della certificazione in parola, il nucleo essenziale ed irriducibile della figura professionale ricercata dall’Azienda, il cui profilo, per le considerazioni anzidette, non può che qualificarsi come eminentemente giuridico”.