APPROFONDIMENTI

Requisiti del Data Protection Officer

Uno sgaurdo alla Sentenza TAR 287/2018

19/09/2018

di Avv. Gianluca Marmorato

La recente Sentenza n. 287/2018 emessa dal TAR del Friuli Venezia Giulia ha affrontato la vexata questio relativa ai requisiti professionali del Data Protection Officer.

I Giudici Amministrativi si sono espressi infatti nel procedimento relativo alla richiesta di annullamento di un avviso pubblico per l’affidamento di incarico professionale di responsabile della protezione dei dati, pubblicato da un’Azienda Sanitaria.

Il bando pubblico prevedeva, per l’affidamento dell’incarico di DPO, quali requisiti il possesso del diploma di laurea in informatica o ingegneria informatica, ovvero in Giurisprudenza, nonché la certificazione di Auditor/Lead Auditor per i sistemi di gestione per la sicurezza delle informazioni secondo la norma ISO/IEC/27001.

Con ampia motivazione, il Collegio ha accolto il ricorso proposto, ritenendo illegittimo il requisito della certificazione di Auditor/Lead Audotor  quale presupposto determinante per accedere alla selezione per la funzione di Responsabile della Protezione di Dati.

Erroneamente da più parti vi è la convinzione che il ruolo di DPO necessiti di titoli formali, quali certificazioni ISO o iscrizione in ruoli/albi, nonostante sul punto il Regolamento Europeo 679/2016 si limiti ad individuare le caratteristiche generali di tale figura all’Art. 37[1] e al Considerando 97[2] non richiedendo dunque il possesso di alcun titolo; viene infatti espresso che la designazione deve essere effettuata in funzione delle qualità professionali, con particolare attenzione alla conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati.

Con documento integrativo del 13 dicembre 2016 il WP 29[3] ha cercato  di chiarire le caratteristiche professionali che devono essere possedute dal DPO (legali, tecnologiche e di processo), evidenziando la necessità di valutarle in ragione della sensibilità, complessità ed ampiezza dei dati trattati.

La Corte afferma che l’impugnazione sia “manifestamente fondata in relazione alla contestata individuazione della certificazione di Auditor/Lead Auditor ISO/IEC/27001 quale requisito di ammissione alla procedura selettiva” .

Precisa inoltre il Giudice Amministrativo che “la predetta certificazione non costituisce, come eccepito dal ricorrente, un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati, nell’alveo della disciplina introdotta dal GDPR, dovendosi considerare che: da un lato, la norma ISO 27001 trova prevalente applicazione nell’ambito dell’attività di impresa (basti rilevare che i riferimenti rivolti ad essa, dal legislatore nazionale e dall’ordinamento euro-unitario, attengono essenzialmente ai requisiti degli operatori economici, come ad esempio avviene nel caso dell’art. 93, comma 7, D. Lgs. n. 50 del 2016, in tema di garanzie per la partecipazione alle procedure di affidamento nei settori ordinari); dall’altro lato, la medesima norma, per quanto potenzialmente estensibile all’attività delle pubbliche amministrazioni, fa pur sempre salva l’applicazione delle disposizioni speciali (euro-unitarie e nazionali) in materia di tutela dei dati personali e della riservatezza (punto 18 “conformità” della citata norma ISO; cfr. in particolare: 18.1.1 e 18.1.4), sicché la minuziosa conoscenza e l’applicazione della disciplina di settore restano, indipendentemente dal possesso o meno della certificazione in parola”

Il merito della Sentenza qui cennata consiste precipuamente nell’aver espresso un’interpretazione giurisprudenziale, che si innesta all’interno di un acceso dibattito dottrinale, circa  la nuova figura del DPO introdotta con il GDPR, relativamente alle sua funzioni e titoli (ciò si auspica potrà essere illuminante anche di fronte alla capillare offerta formativa e certificatoria della quale il mercato didattico si sta saturando, enfatizzando proprio alcuni processi certificatori, che in realtà non sono richiesti quali presupposti formali).

Si conferma in ogni caso il ruolo delicato del Responsabile del trattamento dei dati, che deve avere competenze specifiche trasversali e sinergiche tra quelle tecniche circa la sicurezza e protezione dei dati, ed ovviamente quelle di natura giuridica, in considerazione della necessità di fornire la corretta interpretazione dei principi introdotti con il Regolamento Europeo GDPR, e che dovrà necessariamente trovare armonizzazione con il recentissimo D. Lgs 101 del 10 agosto 2018 che pone in essere le modifiche al Codice Privacy alla luce del dettato comunitario, senza trascurare peraltro la delicata Direttiva NIS relativa alla sicurezza delle reti infrastrutturali.  

 

[1] Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39

[2] Il livello necessario di conoscenza specialistica dovrebbe essere determinato in particolare in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento. Tali responsabili della protezione dei dati, dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente.

[3] Article 37 provides that the DPO ‘shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article 39’. Recital 97 provides that the necessary level of expert knowledge should be determined according to the data processing operations carried out and the protection required for the personal data being processed.

-Level of expertise: The required level of expertise is not strictly defined but it must be commensurate with the sensitivity, complexity and amount of data an organisation processes. For example, where a data processing activity is particularly complex, or where a large amount of sensitive data is involved, the DPO may need a higher level of expertise and support. There is also a difference depending on whether the organisation systematically transfers personal data outside the European Union or whether such transfers are occasional. The DPO should thus be chosen carefully, with due regard to the data protection issues that arise within the organisation.

-Professional qualities: Although Article 37(5) does not specify the professional qualities that should be considered when designating the DPO, it is a relevant element that DPOs should have expertise in national and European data protection laws and practices and an in-depth understanding of the GDPR. It is also helpful if the supervisory authorities promote adequate and regular training for DPOs. Knowledge of the business sector and of the organisation of the controller is useful. The DPO should also have sufficient understanding of the processing operations carried out, as well as the information systems, and data security and data protection needs of the controller. In the case of a public authority or body, the DPO should also have a sound knowledge of the administrative rules and procedures of the organisation.