HOME

/

DIRITTO

/

PRIVACY 2024

/

PRIVACY: I REQUISITI DEL DPO IN UNA SENTENZA DEL TAR

Privacy: I Requisiti del DPO in una sentenza del TAR

Privacy: Una sentenza del TAR del Fiuli Venezia Giulia si pronuncia sulle competenze richieste per ricoprire il ruolo di DPO

Ascolta la versione audio dell'articolo

Si commenta una interessante sentenza del TAR del Fiuli Venezia Giulia in merito alle competenze richieste per ricoprire il profilo di Responsabile della protezione dei dati.

I giudici amministrativi del Tribunale Amministrativo Regionale del Friuli Venezia Giulia (TAR Friuli Venezia Giulia, sez. I, sentenza 5 – 13 settembre 2018, n. 287) hanno fatto luce sui requisiti richiesti in capo al Responsabile per la protezione dei dati personali (di seguito DPO).

1) Il caso emerso a seguito di un bando di una asl per la selezione del DPO

Il caso sottoposto all'attenzione della giustizia amministrativa ha riguardato il bando pubblicato da una azienda sanitaria finalizzato alla selezione del DPO da inserire nella Asl in quanto la stessa era priva di un profilo professionale interno adeguato.
Nel bando, impugnato,  era stata prevista la selezione, per titoli ed eventuale colloquio, di un esperto di normativa e prassi in materia di protezione dei dati. L’incarico in questione avrebbe contemplato l’impostazione e lo svolgimento dei compiti indicati nell’art. 39 del GDPR, nella fase della sua prima applicazione; ci si riferisce al:

a)  dovere di informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35;

d) cooperare con l'autorità di controllo;

e) fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

All’interno dell’avviso veniva, inoltre, precisato che si considerano complementari rispetto ai compiti previsti dall’art. 39 GDPR e costituiscono oggetto dell’incarico, anche le seguenti funzioni da svolgere in raccordo  con le competenti strutture aziendali:  aggiornamento giuridico e impostazione organizzativo-metodologica per la gestione aziendale della privacy, per la redazione del registro dei trattamenti, per lo svolgimento di valutazioni di impatto sulla protezione dei dati (DPIA) secondo le linee guida del gruppo dei Garanti Privacy UE(WP29);  ricognizione ed assessment aziendale in termini di sicurezza informatica e privacy, in particolare: - conformità rispetto a GDPR; - conformità rispetto a quanto stabilito dalla Circolare dell’Agenzia per l’Italia Digitale del 18 aprile 2017, n. 2/2017 “Misure minime di sicurezza ICT per le Pubbliche Amministrazioni” DPCM 1 agosto 2015; - compliance audit e impostazione attività di adeguamento: - rispetto alle criticità emerse attraverso il ricorso a best practice, regolamenti/policy/procedure di sicurezza, linee guida, piani operativi; - rispetto alla contrattualistica nei rapporti con i fornitori con finalità di compliance alla normativa privacy e alle misure minime di sicurezza; - rispetto agli applicativi esistenti e alle valutazioni di acquisizione di nuovi prodotti secondo il paradigma della privacy by design; partecipazione alle attività di formazione interna continua e specifica sulle tematiche della protezione dei dati, anche tramite corsi in aula a favore dei dipendenti, al fine di responsabilizzare il management aziendale, i dirigenti di struttura e il personale addetto in ordine alle responsabilità connesse alla sicurezza e alla protezione dei dati”.
In merito ai requisiti che il candidato doveva possedere la azienda sanitaria richiedeva il possesso del diploma di laurea in Informatica o Ingegneria Informatica, ovvero in Giurisprudenza o equipollenti, nonché la certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001.
 

2) La sentenza del TAR

Il TAR ha ritenuto manifestamente fondata la contestata individuazione della certificazione di Auditor/Lead Auditor ISO/IEC/27001 quale requisito di ammissione alla procedura selettiva.
Rilevando sul punto che la predetta certificazione non costituisce un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati, nell’alveo della disciplina introdotta dal GDPR, dovendosi considerare che: da un lato, la norma ISO 27001 trova prevalente applicazione nell’ambito dell’attività di impresa dall’altro lato, la medesima norma, per quanto potenzialmente estensibile all’attività delle pubbliche amministrazioni, fa pur sempre salva l’applicazione delle disposizioni speciali (euro-unitarie e nazionali) in materia di tutela dei dati personali e della riservatezza, sicché la minuziosa conoscenza e l’applicazione della disciplina di settore restano, indipendentemente dal possesso o meno della certificazione in parola, il nucleo essenziale ed irriducibile della figura professionale del DPO, il cui profilo, per le considerazioni anzidette, non può che qualificarsi come eminentemente giuridico.
Ne consegue che la certificazione, indicata nell’avviso, di per sé non può costituire requisito di ammissione alla selezione in esame (né tanto meno assurgere a titolo equipollente al richiesto diploma di laurea), proprio perché essa non coglie (o non coglie appieno) la specifica funzione di garanzia insita nell’incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo.
Ad avviso dei giudici, tali conclusioni sono ulteriormente rafforzate dall’esame dei programmi dei corsi finalizzati all’acquisizione della certificazione ISO/IEC/27001, caratterizzati da una durata particolarmente contenuta (2/5 giorni), per un massimo di 40 ore, dalla netta prevalenza delle tematiche attinenti all’organizzazione aziendale (e ciò a discapito dei profili giuridici) e dall’assenza di contenuti riferibili all’attività e alla struttura delle pubbliche amministrazioni.
Siffatti rilievi consentono di escludere, una volta di  più, che dal possesso della certificazione, conseguita nel contesto di tali corsi, possa essere fatta dipendere l’ammissione alla procedura selettiva, trattandosi, a ben vedere, di un mero titolo curriculare (certamente valutabile in sede di giudizio sulle posizioni dei singoli candidati) ma non anche di un titolo formativo o abilitante, come tale idoneo ad assurgere a requisito di accesso.

Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy

La tua opinione ci interessa

Accedi per poter inserire un commento

Sei già utente di FISCOeTASSE.com?
ENTRA

Registrarsi, conviene.

Tanti vantaggi subito accessibili.
1

Download gratuito dei tuoi articoli preferiti in formato pdf

2

Possibilità di scaricare tutti i prodotti gratuiti, modulistica compresa

3

Possibilità di sospendere la pubblicità dagli articoli del portale

4

Iscrizione al network dei professionisti di Fisco e Tasse

5

Ricevi le newsletter con le nostre Rassegne fiscali

I nostri PODCAST

Le novità della settimana in formato audio. Un approfondimento indispensabile per commercialisti e professionisti del fisco

Leggi anche

LA RUBRICA DEL LAVORO · 29/10/2024 Fascicolo informatico d'impresa: pubblicate le linee guida

Le linee guida per la creazione, gestione e accesso al fascicolo informatico d'impresa presso i SUAP . Cos'è, a cosa serve, modalità di accesso

Fascicolo informatico d'impresa: pubblicate le linee guida

Le linee guida per la creazione, gestione e accesso al fascicolo informatico d'impresa presso i SUAP . Cos'è, a cosa serve, modalità di accesso

Controllo mail dipendenti: nuove sanzioni dal Garante

Ancora una sanzione significativa dal Garante per la privacy per utilizzo di un software di controllo e back up delle mail dei dipendenti

Cybersicurezza: Direttiva UE 2022/2557 CER e decreto attuativo

Cos'è la direttiva UE 2022/2557 CER (Critical entities resilience) per la sicurezza fisica e cibernetica dell'Unione europea da attuare entro il 18 ottobre. Il decreto attuativo

L'abbonamento adatto
alla tua professione

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

Maggioli Editore

Copyright 2000-2024 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.

Pagamenti via: Pagamenti Follow us on:

Follow us on:

Pagamenti via: Pagamenti

Maggioli Editore

Copyright 2000-2021 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.