Il DPO deve essere un giurista (e non un certificatore ISO)

Il TAR Friuli Venezia Giulia ha avuto modo di pronunciarsi sulle competenze che un DPO deve avere e quelle che non è necessario abbia, in particolare con riferimento alla certificazione ISO.

Tale decisione è importante in quanto in occasione dell’entrata in vigore del Regolamento (UE) 2016/679 sulla privacy (comunemente noto come GDPR), in molti si sono proposti sul mercato come Responsabili della Protezione dei Dati (RPD), figura professionale chiave tra gli adempimenti di legge, pur non avendone i titoli, ma mutando le loro competenze dal mondo della certificazione d’impresa (segnatamente ISO).

Il fatto.

Il 5 aprile 2018, a firma del Direttore Generale dell’Azienda per l’Assistenza Sanitaria n. 3 Alto Friuli Collinare Medio Friuli, veniva pubblicato un avviso per l’affidamento di una «collaborazione professionale per limpostazione e lo svolgimento dei compiti di responsabile della protezione dei dati». L’avviso riguardava, più in particolare, la prestazione dei servizi di DPO e di assessment preliminare sia per l’AAS3 che – ai sensi degli artt. 37, comma 3, e seguenti del GDPR che consente che più enti pubblici abbiano un solo DPO – per all’Azienda Sanitaria Universitaria Integrata di Udine.

Riguardo ai requisiti di partecipazione alla selezione, l’avviso richiedeva il possesso, in capo a ciascun candidato, del diploma di laurea in Informatica o di Ingegneria Informatica, ovvero in Giurisprudenza o equipollenti, nonché la certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001.

Avverso l’avviso e relativo decreto di pubblicazione, proponeva ricorso un candidato non in possesso della suddetta certificazione ISO/IEC sostenendo che:

«la certificazione indicata quale requisito non appare pertinente, sia perché l’ASUIUD e l’AAS3 non possiedono la certificazione ISO/IEC/27001, sia perché la norma è antecedente rispetto all’emanazione del GDPR e, quindi, il diploma di Auditor/Lead Auditor non può essere una certificazione rilevante per un esperto di normativa e prassi da nominare quale DPO».

La decisione del TAR.

Il giudice amministrativo, superate le eccezioni processuali sollevate dall’amministrazione resistente, ha concluso per l’accoglimento del ricorso e, nel merito, ha valutato la rilevanza dei titoli “abilitanti” per lo svolgimento della funzione di DPO escludendo che la certificazione ISO/IEC rientri tra questi.

Lapidariamente il tribunale ha così stabilito che «la predetta certificazione non costituisce […] un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati» ritenendo la norma ISO subordinata al GDPR (come essa stessa riconosce – artt. 18.1.1 e 18.1.4), sicché la minuziosa conoscenza e l’applicazione della disciplina privacy costituisce, indipendentemente dal possesso o meno della certificazione ISO, il nucleo essenziale ed irriducibile della figura professionale del DPO, «il cui profilo non può che qualificarsi come eminentemente giuridico» (ndr: sottolineatura aggiunta).

La motivazione della sentenza continua cogliendo il diverso alveo della certificazione ISO 27001 rispetto al GDPR. La prima riguarda il sistema di gestione della sicurezza delle informazioni, laddove il GDPR attiene invece alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo.

L’analisi del DPO e il suo intervento, in altre parole, non sono volti a predisporre meccanismi atti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni, ma ha verificare che i trattamenti siano effettuati in modo da rispettare i diritti degli interessati.

Peraltro, il giudice sottolinea lo scarso impegno formativo necessario per ottenere la certificazione ISO (2/5 giorni, per un massimo di 40 ore) confrontato con la diversa formazione richiesta dal profilo giuridico, pur necessario (laurea), peraltro assente nel corso ISO. Siffatti rilievi, conclude il tribunale «consentono di escludere, una volta di più, che dal possesso della certificazione, conseguita nel contesto di tali corsi, possa essere fatta dipendere l’ammissione alla procedura selettiva, trattandosi, a ben vedere, di un mero titolo curriculare, ma non anche di un titolo formativo o abilitante, come tale idoneo ad assurgere a requisito di accesso».

L’importanza di conoscere le norme ISO.

Seppur vero quanto precede, e cioè che la funzione di DPO è eminentemente giuridica e che attiene alla tutela di diritti fondamentali e non all’efficienza organizzativa aziendale, voglio spezzare una lancia a favore della normativa ISO, e in particolare della norma ISO/IEC 29134 (Privacy Impact Assessment – Methodology) che aiuta a impostare e organizzare le attività del DPO in particolare nella fase di rilevazione dei rischi e valutazione di impatto (PIA), e della norma ISO/IEC 29151 (Code of practice for personally identifiable information protection). Quest’ultima definisce i controlli e le relative linee guida per la loro attuazione recependo in buona parte quanto già contenuto nella ISO/IEC 27001.

Queste norme sono frutto del lavoro di gruppi eterogenei di esperti che, a livello internazionale e nel corso di decenni, hanno recepito le best practice non solo nella gestione delle informazioni, ma anche in ordine alla vulnerabilità di strumenti e pratiche aziendali che senz’altro hanno rilevanza anche in ambito privacy.

Il giurista che quindi si cimenta nello studio di tali norme facilita l’incontro tra diritto e pratica e arricchisce senza dubbio il suo bagaglio professionale per un miglior servizio al cliente. Senza tralasciare peraltro il fatto che, a parte l’applicazione delle norme di diritto, la privacy è soprattutto processo, liste di controllo e metodologia applicata e innervata nelle funzioni aziendali: un buon DPO deve senz’altro essere un giurista, ma un ottimo DPO non può prescindere dalla conoscenza delle norme ISO pertinenti.

Tribunale Amministrativo Regionale Friuli Venezia Giulia, 5 settembre 2018, n. 287 (leggi la sentenza)

Francesco Rampone – f.rampone@lascalaw.com

© RIPRODUZIONE RISERVATA

Print Friendly

Condividi su

Potrebbe interessarti anche

Legittima la conservazione ventennale del provvedimento di archiviazione di indagini penali. Con ...

Privacy

Il consenso al trattamento dati per comunicazioni commerciali può essere chiesto come legittimo cor...

Privacy

Quante volte abbiamo visto servizi giornalistici sensazionalistici dove l’intervistato a sua insap...

Privacy