il Tar Friuli Venezia Giulia interviene sui requisiti che deve rivestire il DPO nel contesto del nuovo Regolamento europeo sulla privacy e sul ruolo delle certificazioni ai fini della selezione da parte delle pubbliche amministrazioni di questo ultimo ruolo.
Il ruolo del Dpo ( data protection officer) e’ eminentemente giuridico, secondo l’organo giurisdizionale amministrativo.
Nella fattispecie Il Tribunale amministrativo regionale annulla una procedura concorsuale finalizzata alla nomina di in Dpo in ambito pubblico precisando che “Venendo al merito dell’impugnazione, ritiene il Collegio che essa sia manifestamente fondata in relazione alla contestata individuazione della certificazione di Auditor/Lead Auditor ISO/IEC/27001 quale requisito di ammissione alla procedura selettiva (censura n. 1.1, introdotta nel ricorso, reiterata nei motivi aggiunti al n. 3).
Sul punto va rilevato che la predetta certificazione non costituisce, come eccepito dal ricorrente, un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati, nell’alveo della disciplina introdotta dal GDPR, dovendosi considerare che: da un lato, la norma ISO 27001 trova prevalente applicazione nell’ambito dell’attività di impresa (basti rilevare che i riferimenti rivolti ad essa, dal legislatore nazionale e dall’ordinamento euro-unitario, attengono essenzialmente ai requisiti degli operatori economici, come ad esempio avviene nel caso dell’art. 93, comma 7, D. Lgs. n. 50 del 2016, in tema di garanzie per la partecipazione alle procedure di affidamento nei settori ordinari); dall’altro lato, la medesima norma, per quanto potenzialmente estensibile all’attività delle pubbliche amministrazioni, fa pur sempre salva l’applicazione delle disposizioni speciali (euro-unitarie e nazionali) in materia di tutela dei dati personali e della riservatezza (punto 18 “conformità” della citata norma ISO; cfr. in particolare: 18.1.1 e 18.1.4), sicché la minuziosa conoscenza e l’applicazione della disciplina di settore restano, indipendentemente dal possesso o meno della certificazione in parola, il nucleo essenziale ed irriducibile della figura professionale ricercata mediante la procedura selettiva intrapresa dall’Azienda, il cui profilo, per le considerazioni anzidette, non può che qualificarsi come eminentemente giuridico.
Ne consegue che la certificazione, indicata nell’avviso, di per sé non può costituire requisito di ammissione alla selezione in esame (né tanto meno assurgere a titolo equipollente al richiesto diploma di laurea), proprio perché essa non coglie (o non coglie appieno) la specifica funzione di garanzia insita nell’incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai, come rilevato nel ricorso, alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo” .
La sentenza integrale e’ disponibile qui
https://www.giustizia-amministrativa.it/cdsintra/cdsintra/AmministrazionePortale/DocumentViewer/index.html?ddocname=5LLMWH2MBE2JVPC536FUMJHNYU&q=
Tali