mercoledì, 17 ottobre 2018

W la Privacy

W la Privacy

Sentenza Tar: il DPO è profilo giuridico e la certificazione di Lead Auditor non costituisce titolo abilitante

03/10/2018

MILANO - Il Tar Friuli Venezia Giulia è di recente intervenuto sui requisiti che deve rivestire il DPO nel contesto del nuovo Regolamento europeo sulla privacy e sul ruolo delle certificazioni ai fini della selezione da parte delle pubbliche amministrazioni di questo ultimo ruolo. Il ruolo del Dpo (data protection officer) è eminentemente giuridico, secondo l’organo giurisdizionale amministrativo.

Il Tribunale amministrativo regionale ha annullato una procedura concorsuale finalizzata alla nomina di in Dpo in ambito pubblico precisando che “Venendo al merito dell’impugnazione, ritiene il Collegio che essa sia manifestamente fondata in relazione alla contestata individuazione della certificazione di Auditor/Lead Auditor ISO/IEC/27001 quale requisito di ammissione alla procedura selettiva (censura n. 1.1, introdotta nel ricorso, reiterata nei motivi aggiunti al n. 3).

Sul punto va rilevato che la predetta certificazione non costituisce, come eccepito dal ricorrente, un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati, nell’alveo della disciplina introdotta dal GDPR, dovendosi considerare che: da un lato, la norma ISO 27001 trova prevalente applicazione nell’ambito dell’attività di impresa (basti rilevare che i riferimenti rivolti ad essa, dal legislatore nazionale e dall’ordinamento euro-unitario, attengono essenzialmente ai requisiti degli operatori economici, come ad esempio avviene nel caso dell’art. 93, comma 7, D. Lgs. n. 50 del 2016, in tema di garanzie per la partecipazione alle procedure di affidamento nei settori ordinari); dall’altro lato, la medesima norma, per quanto potenzialmente estensibile all’attività delle pubbliche amministrazioni, fa pur sempre salva l’applicazione delle disposizioni speciali (euro-unitarie e nazionali) in materia di tutela dei dati personali e della riservatezza (punto 18 “conformità” della citata norma ISO; cfr. in particolare: 18.1.1 e 18.1.4), sicché la minuziosa conoscenza e l’applicazione della disciplina di settore restano, indipendentemente dal possesso o meno della certificazione in parola, il nucleo essenziale ed irriducibile della figura professionale ricercata mediante la procedura selettiva intrapresa dall’Azienda, il cui profilo, per le considerazioni anzidette, non può che qualificarsi come eminentemente giuridico.

Ne consegue che la certificazione, indicata nell’avviso, di per sé non può costituire requisito di ammissione alla selezione in esame (né tanto meno assurgere a titolo equipollente al richiesto diploma di laurea), proprio perché essa non coglie (o non coglie appieno) la specifica funzione di garanzia insita nell’incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai, come rilevato nel ricorso, alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo” .

(Articolo di Fulvio Sarzana)

 


maggiori informazioni su:
www.federprivacy.org



pagina precedente

Una miniguida per aiutare a capire gli aspetti principali a muovere i primi passi nel mondo Privacy.

Acquistala ora a soli 8,00 Euro
Ethos Academy

Linea diretta con l'esperto di privacy

Per i professionisti della videosorveglianza

Vi sveliamo i segreti della privacy rispondendo alle vostre domande.
Videosorveglianza e Privacy: un tema scottante che alimenta dubbi e incertezze tra i professionisti della sicurezza.
Un servizio online come opportunità di ulteriore informazione, con espoerti che danno risposte complete su riferimenti normativi.

Scopri Helpdesk