La sentenza del TAR Friuli Venezia Giulia del 13 settembre 2018, n 287 L’indeterminatezza in ordine ai criteri di selezione ed alle modalità di valutazione

dei requisiti richiesti ai potenziali candidati per ricoprire l’incarico di DPO, ha determinato l’emergere di una serie di contestazioni, approdate alle sedi giudiziarie, in ordine soprattutto alle procedure relative alla selezione per incarichi presso enti pubblici.

Preliminarmente occorre infatti ricordare che, nel settore privato, stante l’assenza di indicazioni vincolanti ex lege, i criteri della selezione/designazione sono rimessi alla discrezionalità del titolare (o del responsabile), con gli unici vincoli di invalidità delle clausole del bando di selezione che risultassero discriminatorie o invasive/lesive della sfera privata della persona (si pensi a clausole limitative di genere, o di vincoli ai diritti dei lavoratori genitori, od ancora limitative delle scelte personali di vita e di coscienza).

In riferimento ai bandi di selezione per l’incarico di DPO presso ente pubblico, invece, si sono poste alcune questioni sulle quali la giurisprudenza dei TAR ha offerto alcuni interessanti spunti di riflessione.

In particolare, si consideri la decisione del TAR del Friuli Venezia Giulia in materia di formazione del DPO, resa con sentenza del 13 Settembre 2018333 _{che, a} detta di molti commentatori, inaugura quello che potrà diventare un filone giurisprudenziale attinente le questioni giuridico-interpretative aventi ad oggetto il ruolo del Data Protection Officer.

La vicenda sottoposta alla cognizione del TAR aveva ad oggetto un ricorso presentato avverso l'avviso pubblico prot. n. 16546 del 5.4.2018, con il quale l’Azienda per l'assistenza sanitaria n. 3 del Friuli bandiva l'affidamento di un incarico di collaborazione professionale per l'impostazione e lo svolgimento dei compiti di DPO. Rilevata l’assenza, tra i propri dipendenti, di una figura professionale idonea a svolgere l’incarico in questione, era stata prevista la selezione, per titoli ed eventuale colloquio, di un esperto di normativa e prassi in

143

materia di protezione dei dati. Nel bando, dopo aver indicato i compiti che il soggetto vincitore della selezione sarebbe andato a svolgere in qualità di DPO, al paragrafo 3, venivano elencati i requisiti indispensabili ai fini della partecipazione alla selezione. Nello specifico, veniva richiesto il possesso, in capo a ciascun candidato, del diploma di laurea in Informatica o Ingegneria Informatica, ovvero in Giurisprudenza o equipollenti, nonché la certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001.

Occorre sin d’ora rilevare che la norma ISO/IEC/27001 (Tecnologia delle informazioni - Tecniche di sicurezza - Sistemi di gestione della sicurezza delle informazioni - Requisiti) è una norma tecnica di carattere internazionale (che si distingue da quella UNI, di rilevanza nazionale), che definisce i requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni, e riguarda gli aspetti relativi alla sicurezza logica, fisica ed organizzativa dei sistemi. Si tratta della norma tecnica più famosa al mondo avente ad oggetto la gestione delle informazioni aziendali.

Il ricorrente, all’atto di richiesta di partecipazione alla selezione, produceva vari titoli curriculari, tra cui la laurea in Giurisprudenza, dichiarando tuttavia di non possedere la certificazione richiesta. A tal riguardo precisava che “la certificazione indicata quale requisito non appare pertinente, sia perché l’ASUIUD334 _{e l'AAS3}335 _{non possiedono la certificazione ISO/IEC/27001, sia} perché la norma è antecedente rispetto all'emanazione del GDPR e, quindi, il diploma di Auditor/Lead Auditor non può essere una certificazione rilevante per un esperto di normativa e prassi da nominare quale DPO”.

Senza attendere le determinazioni dell’Amministrazione, il ricorrente proponeva l’immediata impugnazione dell’avviso pubblico, rilevando la violazione degli artt. 37 e 39 del Reg. UE n. 679/2016 nonché l’eccesso di potere con riferimento alla violazione di atti di regolazione; la violazione di atto presupposto; la manifesta illogicità ed irrazionalità dei requisiti di partecipazione alla selezione.

334 _{L’abbreviazione sta per “Azienda Sanitaria Universitaria Integrata di Udine”.}

335 _{L’abbreviazione sta per “Azienda per l'Assistenza Sanitaria n. 3 Alto Friuli Collinare Medio}

144

In particolare, il ricorrente contestava la richiesta, tra i requisiti utili ad ottenere l’incarico, del possesso della certificazione Auditor/Lead Auditor ISO/IEC/27001, ritenendo che tale titolo, poiché privo di attinenza riguardo alle mansioni specificamente richieste dal GDPR e agli ultronei compiti enunciati nell’avviso, determinerebbe un’indebita sperequazione a danno delle persone laureate (in Giurisprudenza o Informatica) ma non in possesso della richiamata certificazione. Sub specie, il ricorrente evidenziava il dubbio interpretativo circa la necessità del possesso di tale certificazione quale requisito alternativo a quello della laurea ovvero ulteriore ad essa (considerata la presenza della congiunzione “nonché”). Inoltre, contestava la scelta di ammettere alla selezione i laureati in Ingegneria/Informatica, evidenziando che le competenze necessarie per lo svolgimento dell’incarico non possono essere ricondotte alla laurea in Informatica o in Ingegneria informatica, e ritenendo che il profilo professionale oggetto della selezione possa essere ricoperto soltanto da un laureato in giurisprudenza.

In seguito, con motivi aggiunti, il ricorrente impugnava il successivo verbale adottato con decreto del Direttore Generale, con cui veniva designato quale Responsabile per la protezione dei dati l’altro (unico) candidato. In particolare, la commissione specificava, nel verbale, di non ritenere ammissibile la candidatura presentata dal ricorrente, proprio in virtù del mancato possesso della certificazione ISO/IEC/27001.

Il Giudice, dopo aver rigettato le eccezioni di rito336_{, pronunciandosi nel merito,} sanciva che il possesso della richiesta certificazione ISO/IEC/27001, di per sé,

336 _{Le eccezioni presentate dalla resistente erano relative al difetto di giurisdizione del Giudice}

Amministrativo, a favore di quello ordinario. Il TAR ha rilevato che, poiché “l’oggetto della

controversia attiene all’assegnazione di un incarico, mediante l’espletamento di una selezione comparativa, direttamente riconducibile ad esigenze proprie dell’Amministrazione, connesse all’esercizio di funzioni istituzionali (tra le quali devono essere incluse le competenze e le responsabilità in tema di protezione dei dati, introdotte e regolate dal GDPR)”, la giurisdizione

appartiene al giudice amministrativo, stante l’orientamento delle Sezioni Unite in virtù del quale “appartiene alla giurisdizione del giudice amministrativo la controversia relativa ad una

procedura concorsuale volta al conferimento di incarichi ex art. 7, comma 6, d.lg. n. 165 cit., assegnati ad esperti, mediante contratti di lavoro autonomo di natura occasionale o coordinata e continuativa, per far fronte alle medesime esigenze cui ordinariamente sono preordinati i lavoratori subordinati della p.a.” (Cass. S.U. n. 13531 del 2016). La seconda eccezione era

relativa alla carenza di interesse del ricorso e dei motivi aggiunti. Il TAR a tal riguardo ha osservato che “il ricorrente, in quanto soggetto partecipante alla procedura, risulta portatore di

un interesse sufficientemente differenziato inteso a conseguire la corretta interpretazione ed applicazione della disciplina regolatrice della selezione nei propri confronti”. Il fine ultimo del

145

non può costituire requisito di ammissione alla selezione in esame (né tanto meno assurgere a titolo equipollente al richiesto diploma di laurea). Tale certificazione, infatti, non può essere considerata quale titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di Responsabile della sicurezza dei dati, in considerazione della circostanza per cui, da un lato, la norma ISO 27001 trova prevalente applicazione nell’ambito dell’attività di impresa, e non del settore pubblico (che è il caso che qui interessa)337; dall’altro lato, “la medesima norma, per quanto potenzialmente estensibile all’attività delle pubbliche amministrazioni, fa pur sempre salva l’applicazione delle disposizioni speciali (euro-unitarie e nazionali) in materia di tutela dei dati personali e della riservatezza (punto 18 “conformità” della citata norma ISO; cfr. in particolare: 18.1.1 e 18.1.4), sicché la minuziosa conoscenza e l’applicazione della disciplina di settore restano, indipendentemente dal possesso o meno della certificazione in parola, il nucleo essenziale ed irriducibile della figura professionale ricercata mediante la procedura selettiva intrapresa dall’Azienda, il cui profilo, per le considerazioni anzidette, non può che qualificarsi come eminentemente giuridico”338.

Sul punto, il Giudice chiarisce che la certificazione in questione non coglie (o non coglie a pieno) la specifica funzione di garanzia insita nell’incarico di DPO, il cui precipuo oggetto non è la predisposizione di meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni, ma, più estensivamente, attiene alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali: la predisposizione degli strumenti idonei a garantire tale tutela costituisce solo uno degli aspetti attraverso il quale si realizza il compito del DPO, ma non certo l’unico. In ragione di tali circostanze, si afferma che il DPO deve possedere delle conoscenze ulteriori e più specifiche di quelle attestate dalla certificazione basata sulla norma ISO 27001339.

curriculari da questi eventualmente allegati, con ciò ampliando le possibilità di assegnazione dell’incarico. Cfr. sent. TAR Friuli Venezia Giulia 13 settembre 2018 n. 287.

337 _{Si legge al riguardo nella sentenza “basti rilevare che i riferimenti rivolti ad essa [certificazione}

ISO 27001], dal legislatore nazionale e dall’ordinamento euro-unitario, attengono essenzialmente

ai requisiti degli operatori economici, come ad esempio avviene nel caso dell’art. 93, comma 7, D. Lgs. n. 50 del 2016, in tema di garanzie per la partecipazione alle procedure di affidamento nei settori ordinari”. Ibidem, p. 4.1.1 e 4.1.2

338 _{Ibidem, p. 5.}

339 _{Il Giudice prosegue “Tali conclusioni sono ulteriormente rafforzate dall’esame dei programmi}

146

Alla luce delle considerazioni svolte, il TAR esclude, pertanto, che dal possesso della certificazione in esame possa essere fatta dipendere l’ammissione alla procedura selettiva, trattandosi, a ben vedere, di un mero titolo curriculare, certamente valutabile in sede di giudizio sulle posizioni dei singoli candidati, ma non anche di un titolo formativo o abilitante, come tale idoneo ad assurgere a requisito di accesso.

A sostegno di quest’orientamento, il Giudice rileva altresì che l’Azienda, nelle more del giudizio, ha incaricato dello svolgimento dei compiti di DPO i propri dirigenti, i quali risultavano carenti proprio della certificazione ISO/IEC/27001. La sentenza in esame costituisce un interessante ed utilissimo spunto ai fini dell’interpretazione dell’art. 37 GDPR, per due ordini di ragioni. La prima, che si pone in linea con quanto già evidenziato dal Garante, riguarda la conferma della non obbligatorietà del possesso di certificazioni idonee a comprovare le competenze in materia di data protection, sia che si tratti di certificazioni nazionali, sia che si tratti di quelle internazionali. La seconda, invece, riguarda la presa di posizione del TAR a favore del profilo giuridico del DPO. La motivazione della sentenza, nel passaggio in cui indica che il profilo del DPO “non può che qualificarsi come eminentemente giuridico”, deve essere intesa non già nel senso di limitare l’esercizio della professione esclusivamente agli operatori del diritto ma, invero, nel senso che, a prescindere dal titolo di studio, il DPO debba necessariamente possedere competenze di carattere giuridico, così come già specificato dal WP29. Del resto, nella maggior parte dei casi, le aziende hanno già al loro interno delle figure in grado di sopperire alle esigenze tecniche, mentre spesso mancano figure legali specializzate in materia di protezione dei dati personali.

È chiaro, altresì, che il DPO dovrà in ogni caso implementare ulteriori conoscenze, di carattere tecnico e informatico340, data la complessità delle

durata particolarmente contenuta (2/5 giorni), per un massimo di 40 ore, dalla netta prevalenza delle tematiche attinenti all’organizzazione aziendale (e ciò a discapito dei profili giuridici) e dall’assenza di contenuti riferibili all’attività e alla struttura delle pubbliche amministrazioni”

Ibidem, p. 5.

340_{È necessario che il DPO conosca le tecnologie rilevanti ed utili nell’ambito dei trattamenti,}

come, a titolo esemplificativo, i servizi di cloud storage, data lakes, I.o.T., A.I., blockchain e smart

contracts, anche al fine di assicurare la sicurezza e la resilienza dei sistemi informatici in modo da

147

problematiche che possono venire in rilievo e rispetto alle quali egli dovrà fornire soluzioni di carattere più pratico che teorico; nonché in considerazione della necessità di poter scientemente confrontarsi con gli addetti ai sistemi informatici. Da tale sentenza, ed in generale dall’analisi sin qui svolta emerge, dunque, con evidenza, la scelta del legislatore di non condizionare l’accesso alla professione al possesso di un titolo specifico ed ultroneo rispetto alla laurea (preferibilmente in materie giuridiche), idoneo a comprovare il possesso di determinate competenze in materia di protezione dei dati personali.

In relazione alla scelta del legislatore, avallata come visto dalla giurisprudenza, permangono alcune perplessità.

Premesso che non può che condividersi la scelta del TAR di non riconoscere come vincolante il possesso di una certificazione inerente qualificazioni meramente tecniche, resta il dubbio sulla possibilità di richiedere una certificazione attestante il possesso delle conoscenze e competenze di carattere giuridico.

Sul punto, sebbene tale scelta, possa essere spiegata in considerazione del fatto che il DPO sia chiamato a svolgere un ruolo a servizio dell’interesse del titolare (sarà pertanto specifico interesse di quest’ultimo individuare il soggetto più competente a coadiuvarlo nella sua azione) appare utile sottolineare che procedura di certificazione potrebbe offrire almeno tre benefici:

1) Verificare la sussistenza delle competenze richieste;

2) Garantire la conformità dell’attestazione per i candidati, per un periodo di tempo delimitato, ossia fin quando i requisiti sono effettivamente presenti, potendo poi essere rinnovata a seguito di eventuale nuovo esame;

3) Aiutare il titolare del trattamento ad essere considerato effettivamente compliant rispetto alla normativa, poiché questi potrà avvalersi di un soggetto realmente idoneo a garantire il rispetto del diritto alla protezione dei dati personali341.

341 _{L’elencazione dei benefici del processo certificatorio era già stata proposta da E. LAUCHAD,}

DPO certification should be regulated, op. cit. Tuttavia, sebbene si ritiene di poter essere

d’accordo sui primi due punti, con riferimento al terzo si è scelto di individuarne uno differente rispetto a quello riscontrabile nel lavoro sopracitato. Lauchad, infatti, sostiene che “it helps at

148

Ed ancora, accanto alle ragioni esposte, ne emerge una ulteriore. Infatti, in considerazione del ruolo chiave che il DPO gioca ai fini della tutela del fondamentale interesse alla protezione dei dati personali, dovrebbe ritenersi necessario per le aziende private e per enti pubblici potersi dotare di soggetti realmente idonei a ricoprire l’incarico in esame, e tale idoneità verrebbe appunto assicurata dal possesso di una certificazione rilasciata da formatori pubblici e privati, ma su programmi e modelli determinati ex lege o dall’Autorità Garante; ancora meglio, dallo stesso EDPB con un modello di certificazione unica, valida in tutti gli Stati membri 342.