La sentenza n. 287/2018 depositata il 13 settembre scorso dal Tribunale Amministrativo Regionale per il Friuli-Venezia Giulia, rappresenta una delle primissime decisioni in tema di nomina del Responsabile per la protezione dei dati personali (DPO, Data Protection Officer), prevista dal Regolamento Generale per la Protezione dei Dati (RGPD).
Il caso oggetto della sentenza, trae origine dalla dichiarazione di inammissibilità di una domanda di partecipazione ad un avviso pubblico di un’Azienda Sanitaria, relativo all’affidamento dell’incarico di collaborazione professionale come DPO. Il summenzionato avviso pubblico prevedeva determinati requisiti di partecipazione alla selezione. In esso si richiedeva, infatti, “il possesso, in capo a ciascun candidato, del diploma di laurea in Informatica o Ingegneria Informatica, ovvero in Giurisprudenza o equipollenti, nonché la certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001”.
Nel caso di specie il ricorrente precisava di essere in possesso della laurea in giurisprudenza ma di non possedere, invece, “la certificazione Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni”.
Nell’accogliere il ricorso, il TAR motiva la propria decisione affermando che nell’analisi comparativa delle esperienze professionali e del bagaglio di esperienze del singolo candidato a ricoprire il ruolo di DPO, potrà anche tenersi in considerazione delle eventuali abilitazioni, certificazioni, attestati di partecipazione a corsi etc., ma questi non potranno rappresentare una barriera illogica e condizionante la partecipazione al procedimento di selezione.
Tale decisione è stata presa considerando che, in primo luogo, la certificazione 27001 non costituisce un titolo abilitante per le funzioni di DPO. In secondo luogo, la certificazione in oggetto non può costituire requisito di ammissione (né equipollente al titolo di laurea richiesto) in quanto non coglie la specifica funzione di garanzia insita nell’incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali.