Il Tribunale Amministrativo Regionale per il Friuli Venezia Giulia (Sezione Prima) ha accolto il ricorso promosso da un avvocato contro gli atti della procedura "Designazione del responsabile per la protezione dei dati (DPO – data protection officer) per la AAS 3" (avviso pubblico prot. n. 16546 del 5.4.2018 decreto del Direttore Generale dell'AAS 3 n. 73 del 29.3.2018 e ogni altro atto presupposto, consequenziale e comunque connesso, incluso il decreto di designazione).
Riguardo ai requisiti di partecipazione alla selezione, l’avviso (paragrafo 3) richiedeva il possesso, in capo a ciascun candidato, del diploma di laurea in Informatica o Ingegneria Informatica, ovvero in Giurisprudenza o equipollenti, nonché la certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001. Il ricorso ha impugnato, sotto il profilo della legittimità, l'avviso e gli atti connessi e, in accoglimento del ricorso, il giudice amministrativo ha provveduto all'annullamento della designazione del RPD/DPO.
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
Sentenza n. 287/2018 TAR per il Friuli Venezia Giulia
MOTIVAZIONI ANNULLAMENTO
Nel merito dell’impugnazione, il TAR Ritenuto che la stessa "sia manifestamente fondata in relazione alla contestata individuazione della certificazione di Auditor/Lead Auditor ISO/IEC/27001 quale requisito di ammissione alla procedura selettiva (censura n. 1.1, introdotta nel ricorso, reiterata nei motivi aggiunti al n. 3). Sul punto va rilevato che la predetta certificazione non costituisce, come eccepito dal ricorrente, un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati, nell’alveo della disciplina introdotta dal GDPR, dovendosi considerare che:
da un lato, la norma ISO 27001 trova prevalente applicazione nell’ambito dell’attività di impresa (basti rilevare che i riferimenti rivolti ad essa, dal legislatore nazionale e dall’ordinamento euro-unitario, attengono essenzialmente ai requisiti degli operatori economici, come ad esempio avviene nel caso dell’art. 93, comma 7, D. Lgs. n. 50 del 2016, in tema di garanzie per la partecipazione alle procedure di affidamento nei settori ordinari);
dall’altro lato, la medesima norma, per quanto potenzialmente estensibile all’attività delle pubbliche amministrazioni, fa pur sempre salva l’applicazione delle disposizioni speciali (euro-unitarie e nazionali) in materia di tutela dei dati personali e della riservatezza (punto 18 “conformità” della citata norma ISO; cfr. in particolare: 18.1.1 e 18.1.4), sicché la minuziosa conoscenza e l’applicazione della disciplina di settore restano, indipendentemente dal possesso o meno della certificazione in parola, il nucleo essenziale ed irriducibile della figura professionale ricercata mediante la procedura selettiva intrapresa dall’Azienda, il cui profilo, per le considerazioni anzidette, non può che qualificarsi come eminentemente giuridico.Ne consegue che la certificazione, indicata nell’avviso, di per sé non può costituire requisito di ammissione alla selezione in esame (né tanto meno assurgere a titolo equipollente al richiesto diploma di laurea), proprio perché essa non coglie (o non coglie appieno) la specifica funzione di garanzia insita nell’incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai, come rilevato nel ricorso, alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo. Tali conclusioni sono ulteriormente rafforzate dall’esame dei programmi dei corsi finalizzati all’acquisizione della certificazione ISO/IEC/27001 (prodotti dal ricorrente sub all. 22 – lead auditor e all. 23 – internal auditor), caratterizzati da una durata particolarmente contenuta (2/5 giorni), per un massimo di 40 ore, dalla netta prevalenza delle tematiche attinenti all’organizzazione aziendale (e ciò a discapito dei profili giuridici) e dall’assenza di contenuti riferibili all’attività e alla struttura delle pubbliche amministrazioni. Siffatti rilievi consentono di escludere, una volta di più, che dal possesso della certificazione, conseguita nel contesto di tali corsi, possa essere fatta dipendere l’ammissione alla procedura selettiva, trattandosi, a ben vedere, di un mero titolo curriculare (certamente valutabile in sede di giudizio sulle posizioni dei singoli candidati) ma non anche di un titolo formativo o abilitante, come tale idoneo ad assurgere a requisito di accesso".