Il ruolo di DPO nella Pubblica Amministrazione implica poteri notevoli. La giurisprudenza ha chiarito che il profilo è quello di un giurista, più che di un tecnico-informatico e sebbene il complesso intreccio di norme in materia di protezione dei dati non lo preveda espressamente, il ruolo di DPO in ambito pubblico comporta di fatto il riconoscimento, spesso ancora sottovalutato, di importanti funzioni di controllo dei procedimenti amministrativi, e conseguenti responsabilità, svolte in totale autonomia ed indipendenza.
Il tema dei requisiti professionali del DPO nella pubblica amministrazione solo recentemente è stato affrontato dalla giurisprudenza, seppur soltanto sotto il profilo della scelta di un soggetto esterno.
Nel tempo si sono diffusi sistemi di attestazione delle competenze professionali offerti da enti certificatori in modo volontario. Tali certificazioni (che non rientrano tra quelle disciplinate dall’art. 42 del GDPR) sono rilasciate anche all’esito della partecipazione ad attività formative e al controllo dell’apprendimento.
Esse, pur rappresentando, al pari di altri titoli, un valido strumento ai fini della verifica del possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a una abilitazione allo svolgimento del ruolo del DPO nella Pubblica Amministrazione né, allo stato, sono idonee a sostituire il giudizio rimesso alle amministrazioni nella valutazione dei requisiti necessari per svolgere i compiti previsti dall’art. 39 del GDPR, come ha chiarito il Garante per la Protezione dei Dati Personali.
Se nel settore privato la scelta del DPO è riservata all’esclusiva discrezionalità dell’azienda, che può optare per il fornitore esterno che preferisce o selezionare tra i suoi dipendenti come meglio crede quello ritenuto più idoneo sulla base di un giudizio insindacabile, negli enti pubblici essa è sottoposta alla rigorosa osservanza delle norme in tema di appalti e personale dipendente. Infatti, da un lato il D.Lgs. 50/2016 impone il rispetto dei principi irrinunciabili di economicità, efficacia, tempestività e correttezza in tema di affidamenti di appalti di servizi e dall’altro il D.Lgs. 165/2001 non consente di prescindere dai ruoli e funzione del personale in cui si articola l’organizzazione del singolo ente.
La sentenza del TAR Friuli Venezia Giulia – sede di Trieste n. 287/2018, , costituisce un importante precedente, che delinea il profilo professionale del DPO nella pubblica amministrazione, sradicando ogni fantasiosa e futura diversa interpretazione ed indentificandolo quale soggetto con prevalenti competenze di natura giuridica, prima ancora che tecnico-informatiche.
I giudici friulani, infatti, hanno chiarito che «in sede di conferimento, ai sensi dell’art. 7, D.Lgs. n. 165 del 2001, dell’incarico di responsabile della protezione dei dati personali, la certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni, secondo la norma ISO/IEC/27001, non può costituire tititolo abilitante ai fini dell’assunzione e dello svolgimento delle relative funzioni, il cui esercizio presuppone la minuziosa conoscenza e l’applicazione del Regolamento Ue 2016/679 e della complessiva disciplina di settore, (né tanto meno assurgere a titolo equipollente al richiesto diploma di laurea), proprio perché essa non coglie (o non coglie appieno) la specifica funzione di garanzia insita nell’incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai, come rilevato nel ricorso, alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo».
In questo ulteriore articolo abbiamo approfondito i temi legati all’affidamento dell’incarico di DPO nella Pubblica Amministrazione.
continua a leggere l’articolo di Amedeo Pisanti su Il Sole 24 Ore Diritto24
