di Dario Ferrara
Il data protection officer introdotto dal regolamento Gdpr sulla privacy è una figura che un «nucleo essenziale eminentemente giuridico»: è infatti chiamato a tutelare il diritto fondamentale dell’individuo alla protezione dei dati personali, nelle amministrazioni come nelle aziende. L’avvocato, insomma, parte favorito se ha titoli in materia e l’Asl non può designare un altro al posto suo soltanto perché il legale non risulta in possesso della certificazione Iso/Iec/27001, che è utilizzata soprattutto nelle imprese e costituisce un mero titolo curriculare. Così la sentenza 287/18, pubblicato dalla prima sezione del Tar Friuli-Venezia Giulia.
«Manifestamente fondata» è la censura dell’avvocato contro l’avviso dell’Asl che indica la certificazione di auditor/lead auditor come requisito d’accesso alla selezione accanto alla laurea in informatica, ingegneria informatica oppure in giurisprudenza o equipollenti. E promuove l’altro candidato che ha il bollino blu Iso, salvo poi designare momentaneamente come Dpo un proprio dirigente nelle more della causa. Il punto è che la norma Iso/Iec/27001, in astratto estensibile alle p.a., non può dare un titolo abilitante al posto di data protection officer: i corsi di formazione sono dedicati soprattutto all’organizzazione aziendale, durano fino a 40 ore e si concludono al massimo in cinque giorni. L’Asl non coglie appieno la funzione di garanzia insita nell’incarico: il Dpo non deve escogitare meccanismi per incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma soprattutto garantire la tutela del diritto alla privacy, al di là dei come sono utilizzati e propagati i dati personali. Insomma: il Dpo è anzitutto tenuto a conoscere in modo minuzioso la disciplina di settore e la relativa attuazione, mentre la norma Iso/Iec/27001 non può che far salva l’applicazione delle norme Ue e nazionali in materia di privacy e può essere valutata come un titolo ulteriore. D’altronde neanche il dirigente Asl è in possesso della certificazione di qualità eppure viene designato come Dpo, sia pure ad interim. L’amministrazione paga le spese di giudizio.
Fonte: