23 ottobre 2018
Privacy: il possesso della certificazione ISO 27001 come Auditor non può considerarsi requisito necessario nella selezione di un DPO per un'azienda pubblica
di Annalisa Spedicato
A seguito dell'impugnazione da parte di un candidato di un avviso pubblico per l'affidamento di un incarico di collaborazione professionale per un'Azienda sanitaria universitaria integrata finalizzato a ricoprire il ruolo di DPO (Data Protection Officer o Responsabile della Protezione dei dati personali), figura introdotta dall'art. 39 del Regolamento n. 679/2016 sul trattamento in materia di dati personali, il TAR del Friuli, con la sentenza n. 287/2018 depositata il 13 settembre, ha chiarito che, inserire nel bando, tra i requisiti necessari per la selezione del candidato, il possesso della certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001 risulta illegittimo.
I fatti
Il ricorrente aveva chiesto di partecipare alla selezione, ma nonostante fosse in possesso di rilevanti titoli curriculari, non possedeva la certificazione come Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001, indicata nell'avviso di selezione e richiesta per lo svolgimento di compiti complementari all'incarico di DPO da conferire, pertanto aveva precisato, in sede di presentazione della domanda di partecipazione che la richiesta della certificazione ISO non appariva pertinente all'incarico da affidare, in quanto, innanzitutto le aziende sanitarie universitarie integrate non possiedono la certificazione ISO/IEC/27001, ma anche perché la norma risultava precedente rispetto all'emanazione del GDPR e, quindi, il diploma di Auditor/Lead Auditor non poteva costituire una certificazione rilevante per un esperto che deve ricoprire il ruolo di DPO.
Il ricorrente, senza indugiare, impugnava l'avviso, contestando la richiesta del requisito, in quanto promossa in violazione degli artt. 37 e 39 del Reg. UE n. 679/2016. L'amministrazione pertanto era incorsa, secondo il ricorrente, in eccesso di potere per manifesta illogicità ed irrazionalità dei requisiti di partecipazione alla selezione. A parere del ricorrente, la richiesta del requisito del possesso della certificazione Auditor/Lead Auditor ISO/IEC/27001, oltre a risultare priva di attinenza riguardo alle mansioni specificamente richieste dal GDPR e agli stessi compiti enunciati nell'avviso, determinerebbe un'indebita sperequazione ai danni dei soggetti titolari della laurea in Giurisprudenza, i quali, ove ne fossero sprovvisti, non potrebbero partecipare alla selezione per difetto dei requisiti richiesti. Inoltre, i requisiti di partecipazione avrebbero consentito, in violazione dell'art. 7 del decreto n. 165/2001, il conferimento dell'incarico individuale, mediante contratti di lavoro autonomo, ad un soggetto mancante di "particolare e comprovata specializzazione" e comunque in possesso di una qualifica virtualmente inferiore a quella del personale di ruolo.
La decisione del TAR
Il TAR del Friuli ha accolto il ricorso del candidato, chiarendo nel merito che la certificazione ISO 27001 non costituisce un titolo abilitante ai fini dell'assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati, nell'alveo della disciplina introdotta dal GDPR, dovendosi considerare che:
- la norma ISO 27001 si applica prevalentemente nei contesti d'impresa (e ciò si evince anche dal fatto che i requisiti rivolti ad essa, dal legislatore nazionale e dall'ordinamento euro-unitario, si riferiscono sostanzialmente ai requisiti degli operatori economici, come ad esempio avviene nel caso dell'art. 93, comma 7, D. Lgs. n. 50 del 2016, in tema di garanzie per la partecipazione alle procedure di affidamento nei settori ordinari);
- la stessa norma fa comunque salva l'applicazione delle disposizioni speciali (euro-unitarie e nazionali) in materia di tutela dei dati personali e della riservatezza, ciò significa che la conoscenza approfondita e l'esperienza nel settore, indipendentemente dal possesso o meno della certificazione in parola, costituiscono il nucleo essenziale ed irriducibile della figura professionale di DPO, di cui il requisito giuridico è quello più rilevante per ricoprire il ruolo.
Di conseguenza, hanno precisato i giudici amministrativi, la suddetta certificazione non può essere ritenuta di per sé un requisito di ammissione alla selezione per ricoprire l'incarico di DPO in una pubblica amministrazione (né tanto meno assurgere a titolo equipollente al richiesto diploma di laurea), proprio perché essa non comprende (o non coglie appieno) la specifica funzione di garanzia connaturata all'incarico di DPO: il fine di garanzia connesso alla figura del DPO attiene, infatti, in primis, alla tutela del diritto fondamentale dell'individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo.
Tra l'altro, rilevano i giudici, i corsi di formazione per ottenere la certificazione ISO come Auditor sono di durata particolarmente contenuta e nei loro programmi trattano principalmente tematiche tecniche a scapito di profili giuridici, senza contare la totale assenza nei programmi formativi di tematiche riferibili all'attività e alla struttura delle pubbliche amministrazioni.
Concludendo, l'ammissione alla procedura selettiva per il ruolo di DPO non può essere subordinata al possesso della certificazione ISO trattandosi, a ben vedere, di un mero titolo curriculare (certamente valutabile in sede di giudizio sulle posizioni dei singoli candidati), ma non anche di un titolo formativo o abilitante, come tale all'altezza di essere considerato un requisito di accesso in un concorso pubblico per DPO.
Annalisa Spedicato
Avvocato esperto in IP, ICT e Privacy