Iscriviti al sito e alla newsletter di Filodiritto.

Welcome kit in omaggio

La pubblicazione di contributi, approfondimenti, articoli e in genere di tutte le opere dottrinarie e di commento (ivi comprese le news) presenti su Filodiritto è stata concessa (e richiesta) dai rispettivi autori, titolari di tutti i diritti morali e patrimoniali ai sensi della legge sul diritto d'autore e sui diritti connessi (Legge 633/1941). La riproduzione ed ogni altra forma di diffusione al pubblico delle predette opere (anche in parte), in difetto di autorizzazione dell'autore, è punita a norma degli articoli 171, 171-bis, 171-ter, 174-bis e 174-ter della menzionata Legge 633/1941. È consentito scaricare, prendere visione, estrarre copia o stampare i documenti pubblicati su Filodiritto nella sezione Dottrina per ragioni esclusivamente personali, a scopo informativo-culturale e non commerciale, esclusa ogni modifica o alterazione. Sono parimenti consentite le citazioni a titolo di cronaca, studio, critica o recensione, purché accompagnate dal nome dell'autore dell'articolo e dall'indicazione della fonte, ad esempio: Luca Martini, La discrezionalità del sanitario nella qualificazione di reato perseguibile d'ufficio ai fini dell'obbligo di referto ex. art 365 cod. pen., in "Filodiritto" (https://www.filodiritto.com), con relativo collegamento ipertestuale. Se l'autore non è altrimenti indicato i diritti sono di Inforomatica S.r.l. e la riproduzione è vietata senza il consenso esplicito della stessa. È sempre gradita la comunicazione del testo, telematico o cartaceo, ove è avvenuta la citazione.

I requisiti per la nomina del Data Protection Officer e la certificazione Lead Auditor ISO 27001

01 febbraio 2019 -
I requisiti per la nomina del Data Protection Officer e la certificazione Lead Auditor ISO 27001

Di Alida Cilona

 

Il TAR per il Friuli Venezia Giulia, con sentenza n. 287/2018 si è soffermato sui requisiti di competenza del Responsabile della Protezione dei Dati personali, nuova figura introdotta dal Regolamento Europeo n. 2016/679, analizzando, in particolare, l’idoneità della certificazione Lead Auditor/Auditor ISO 27001 a costituire requisito essenziale per la nomina del medesimo.

 

Sommario:

1. Premessa

2. Il caso

3. I requisiti del DPO ai sensi del GDPR

4. GDPR e certificazioni in materia di protezione dei dati personali

5. La certificazione ISO/IEC 27001:2013

6. Conclusioni

 

1. Premessa

Con sentenza n. 287/2018 depositata il 13 settembre 2018, il Tribunale Amministrativo Regionale per il Friuli Venezia Giulia si è pronunciato, tra i primi, sul tema dei requisiti per la nomina del responsabile per la protezione dei dati personali previsto ai sensi degli articoli 37 e seguenti del Regolamento Europeo 2016/679 (GDPR).

2. Il caso

Il tribunale amministrativo è stato chiamato a pronunciarsi sulla legittimità dell’avviso pubblico di un’Azienda Sanitaria finalizzato all’affidamento di un incarico di collaborazione professionale per il ruolo di Responsabile della Protezione dei Dati personali (o Data Protection Officer - DPO) con il quale l’ente disponeva la selezione per titoli, ed eventuale colloquio, di un esperto sulla normativa e sulla prassi in materia di protezione dei dati personali per l’impostazione e lo svolgimento nella fase di prima applicazione dei compiti di responsabile della protezione dei dati.

Con riferimento ai requisiti per la partecipazione, l’avviso richiedeva il possesso, in capo a ciascun candidato, del diploma di laurea in Informatica o Ingegneria Informatica, ovvero in Giurisprudenza o equipollenti, nonché la certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC 27001.

L’avviso, unitamente al decreto con il quale ne era stata disposta la pubblicazione, veniva impugnato con ricorso da uno dei due soggetti candidatisi alla selezione, laureato in giurisprudenza ma privo della certificazione Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC 27001, senza attendere le determinazioni dell’Amministrazione relativamente alla propria domanda.

Chiedendo l’annullamento degli atti amministrativi per «violazione degli articoli 37 e 39 del Regolamento UE n. 679/2016; eccesso di potere per violazione di atti di regolazione; eccesso di potere per violazione di atto presupposto; eccesso di potere per manifesta illogicità ed irrazionalità dei requisiti di partecipazione alla selezione; eccesso di potere per sviamento», il ricorrente contestava la pertinenza, rispetto al ruolo da ricoprire, della «certificazione Auditor/Lead Auditor ISO/IEC/27001» richiesta dall’avviso, ritenendo che tale titolo, oltre a risultare privo di attinenza riguardo alle mansioni specificamente richieste dal GDPR e agli stessi compiti enunciati nell’avviso (e, in particolar modo, a quei compiti complementari ivi testualmente indicati), avrebbe determinato un’indebita sperequazione ai danni dei soggetti titolari della laurea in Giurisprudenza, i quali, ove ne fossero stati sprovvisti, non avrebbero potuto partecipare alla selezione per difetto dei requisiti richiesti.

Il ricorrente censurava, peraltro, anche la riconducibilità delle competenze necessarie per l’incarico di DPO alla laurea in informatica o in ingegneria informatica, indicate in avviso quali titoli alternativi alla laurea in giurisprudenza.

L’Amministrazione si costituiva resistendo nel merito e, nelle more del procedimento, si esprimeva con verbale sulla selezione dei candidati ritenendo non ammissibile la domanda presentata del ricorrente, in quanto privo della certificazione ISO/IEC 27001, e valutando positivamente il curriculum dell’unico altro candidato. L’Azienda sanitaria provvedeva, con decreto del Direttore Generale, alla designazione del responsabile della protezione dei dati decidendo, tuttavia, di assegnare provvisoriamente l’incarico, stante la pendenza del contenzioso, ad un proprio dipendente di ruolo.

Con motivi aggiunti, il ricorrente censurava anche il verbale di selezione ed il decreto di designazione del DPO, ribadendo la contestazione circa l’attinenza della certificazione ISO/IEC/27001 rispetto al profilo oggetto dell’incarico, sicché il possesso di tale titolo non avrebbe potuto assurgere a requisito di ammissione.

Rigettate preliminarmente le eccezioni in rito formulate dall’Azienda resistente (inammissibilità dell’impugnativa per difetto di giurisdizione e per originaria carenza del ricorso e dei motivi aggiunti), il Collegio ha infine sancito, nel merito, la fondatezza dell’impugnazione in relazione alla contestata individuazione della certificazione di Auditor/Lead Auditor ISO/IEC 27001 quale requisito di ammissione alla procedura selettiva.

Il TAR ha, invero, rilevato che «la predetta certificazione non costituisce, come eccepito dal ricorrente, un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati, nell’alveo della disciplina introdotta dal GDPR” e che “la minuziosa conoscenza e l’applicazione della disciplina di settore restano, indipendentemente dal possesso o meno della certificazione in parola, il nucleo essenziale ed irriducibile della figura professionale ricercata mediante la procedura selettiva intrapresa dall’Azienda, il cui profilo, per le considerazioni anzidette, non può che qualificarsi come eminentemente giuridico».

La sentenza ha, pertanto, statuito che la certificazione di Auditor/Lead Auditor ISO/IEC 27001, di per sé, non può costituire requisito di selezione del responsabile per la protezione dei dati personali, in quanto essa non coglie appieno la specifica funzione di garanzia insita nell’incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni, ma attiene alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme di utilizzo.

3. I requisiti del DPO ai sensi del GDPR

Il regolamento (UE) n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati, noto come GDPR (General Data Protection Regulation), entrato in vigore il 24 maggio 2016 e pienamente applicabile nei Paesi membri UE dal 25 maggio 2018, ha introdotto la nuova figura del Responsabile della Protezione dei Dati personali o DPO (Data Protection Officer), come disciplinata dagli articoli 37 e seguenti.

Già, prima d’ora, presente in altri Stati membri dell’Unione (Germania, Austria, Francia), il Data Protection Officer previsto dal GDPR ha il ruolo di assistere il titolare ed il responsabile del trattamento nell’applicazione della normativa in tema di protezione dei dati personali, assolvendo ad un ruolo di garanzia della conformità al Regolamento europeo, e più in generale alla normativa in tema di data protection, delle attività di trattamento dei dati.

Il Responsabile della Protezione dei Dati personali deve essere obbligatoriamente designato dal titolare o dal responsabile del trattamento dei dati nei casi previsti dall’articolo 37 del GDPR:

1. il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

2. le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

3. le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10. In ogni altro caso, il DPO può essere designato in via facoltativa.

La figura di cui agli articoli 37 e seguenti del GDPR può essere un dipendente del titolare o del responsabile del trattamento, oppure un soggetto esterno, anche persona giuridica, sulla base di un contratto di servizi.



About

  • Contatti
  • Redazione
  • Pubblicità
  • Avvertenze
  • Privacy
  • Cookie

Newsletter

Rimani aggiornato sulle novità e gli articoli più interessanti della redazione di Filodiritto, inserisci la tua mail:

Iscriviti alla newsletter

© Filodiritto 2001-2019

Filodiritto è un marchio di InFOROmatica S.r.l.
P.Iva 02575961202
Capitale sociale: 10.000,00 i.v.
Direttore responsabile: Antonio Zama
Tribunale Bologna 24.07.2007,
n.7770 - ISSN 2239-7752

Sempre aggiornato

Scrivi la tua mail per ricevere le ultime novità, gli articoli e le informazioni su eventi e iniziative selezionati dalla redazione di Filodiritto.

*  Email:

Leggi l'informativa sulla privacy

Sede legale e amministrativa InFOROmatica S.r.l. - Via Castiglione 81, 40124 - Bologna
Tel. 051.98.43.125 - Fax 051.98.43.529

Credits webit.it