La sentenza in oggetto pone la giurisprudenza (e la futura dottrina) italiana ad una presa di posizione in merito alla natura e all’identificazione dei requisiti per la nomina del Data Protection Officer. Una sentenza che farà discutere a lungo.
La sentenza del TAR Friuli Venezia Giulia, sez. I, sentenza 5 – 13 settembre 2018, n. 287 ha affrontato una situazione giuridica del tutto nuova nel panorama giurisprudenziale italiano: la determinazione dei requisiti necessari per la nomina del Data Protection Officer e la corretta identificazione della natura di tale figura.
Il caso in esame
Il fatto ha avuto ad oggetto la nomina del DPO ad opera dell’Azienda per l’Assistenza Sanitaria n. 3 Alto Friuli Collinare Medio Friuli congiuntamente all’Azienda Sanitaria Universitaria Integrata di Udine, ai sensi dell’art. 37 del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, per lo svolgimento dei compiti previsti nell’art. 39 del medesimo regolamento.
La selezione per titoli (ed eventualmente colloquio) ha richiesto il possesso di un titolo di laurea (Informatica, Ingegneria Informatica, Giurisprudenza o titoli equipollenti) e la certificazione di Auditore/Lead Auditor per i Sistemi di Gestione per la Sicurezza Informatica, secondo la norma ISO/IEC/27001.
Uno dei candidati, impugnando l’avviso pubblico di selezione ha messo in luce l’impossibilità di assurgere a requisito utile ai fini dell’assunzione e dello svolgimento delle funzione di DPO, la certificazione prevista dalla norma internazionale ISO/IEC/27001.
La sentenza, snocciolando questioni sia procedurali e che sostanziali, ha evidenziato – in maniera del tutto innovativa – l’assenza di una tale certificazione quale requisito necessario per la nomina di un DPO e ha individuato, compatibilmente con quanto emerge dal Considerando 97 e l’art. 37 del Regolamento Ue, la natura giuridica del Responsabile della Protezione dei dati personali.
I profili giuridici
Dall’analisi della sentenza emergono due elementi chiave:
- l’attuale mancanza di una precisazione univoca e condivisa dei requisiti necessari per una corretta determinazione della figura del DPO (nei casi previsti per la sua nomina dall’art. 37, comma 1, lettere a), b), c) del Regolamento UE 2016/679);
- la qualificazione della natura del DPO come giuridica, discendente da un analisi integrale del Regolamento UE 679/2016.
Infatti, giudici hanno evidenziato come la presenza della certificazione ISO/IEC/27001 rappresenti solo “un mero titolo curriculare (certamente valutabile in sede di giudizio sulle posizioni dei singoli candidati) ma non anche di un titolo formativo o abilitante, come tale idoneo ad assurgere a requisito di accesso”, tendendo a sottolineare la diversa specificità della certificazione in oggetto rispetto alla platea di conoscenze e competenze tecniche in materia di protezione dei dati ed utili ai fini di configurare la nomina di un DPO.
Escludendo, dunque, la qualificazione di “titolo abilitante” della certificazione prevista dalla ISO/IEC/27001 che indentifica i requisiti utili a gestire un sistema di gestione della sicurezza delle informazioni.
I requisiti di nomina del DPO
Per quanto attiene ai requisiti di nomina del DPO previsti nell’art. 37, si presenta connotato da una certa vaghezza circa i i requisiti necessari ad individuare il DPO, limitandosi ad enunciare che la designazione – ad opera del Responsabile del Trattamento – deve mirare a ricercare un soggetto «in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati» ed il Considerando 97 del Regolamento UE 679/2016, non aggiunge certo molto quando evidenzia come “il titolare del trattamento o il responsabile del trattamento dovrebbe essere assistito da una persona che abbia una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati nel controllo del rispetto a livello interno del presente regolamento”.
Sebbene la norma e il Considerando del Regolamento, insieme, non chiariscono in maniera dettagliata e inequivocabile i requisiti professionali e tecnici che la figura del DPO deve possedere, pongono nella giusta prospettiva il problema attinente alla sua natura.
Infatti, a fortiori ratione, appare possibile notare l’esito a cui giungono i giudici circa la natura della figura del DPO: “[…] la minuziosa conoscenza e l’applicazione della disciplina di settore restano, indipendentemente dal possesso o meno della certificazione in parola, il nucleo essenziale ed irriducibile della figura professionale ricercata mediante la procedura selettiva intrapresa dall’Azienda, il cui profilo, per le considerazioni anzidette, non può che qualificarsi come eminentemente giuridico”.
La qualificazione della natura del DPO come giuridica emerge non solo dal contesto dei compiti attribuiti al DPO dall’art. 39, ma anche dalla generale platea di requisiti che l’art. 37 ed il Considerando 97 pongono alla base della sua nomina.
Riflessioni conclusive
La sentenza in oggetto ha compiuto un primo grande passo verso la corretta identificazione della natura del Responsabile della protezione dei dati personali e ha sicuramente posto le basi per un’ampio dibattito dottrinale sul punto.
I successivi passi da svolgere potrebbero orientarsi verso una sempre maggiore tipizzazione della figura, con la auspicabile previsione di una abilitazione europea che permetta di appurare in maniera condivisa ed inequivocabile gli standard di competenza professionale, tecnica e di esperienza che debbono connotare una tale figura e di superare le incertezze che hanno dato luogo alla sentenza in oggetto.
Tipizzare la figura del Responsabile della protezione dei dati personali significa non solo dare concretezza e tutela ad una figura altamente professionale, ma anche al sistema giuridico-sociale che se ne avvale.
