Agenzia Formativa
Qualità al servizio delle PA e delle aziende
Entra in area riservata:
Entra in area riservata:
Agenzia Formativa
Qualità al servizio delle PA
e delle aziende

Incarico di Responsabile della protezione dei dati personali: requisiti di partecipazione


In sede di conferimento dell’incarico di D.P.O. (Data Protection Officer – Responsabile trattamento dati), la certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni, secondo la norma ISO/IEC/27001, non può costituire titolo abilitante ai fini dell’assunzione e dello svolgimento delle relative funzioni, il cui esercizio presuppone la minuziosa conoscenza e l’applicazione del Regolamento UE 2016/679 (G.D.P.R.) e della complessiva disciplina di settore.

Questo il principio espresso dal Tar Friuli Venezia Giulia con la sentenza n. 287 del 13 settembre 2018.

Nel caso di specie l’amministrazione, dopo aver accertato l’impossibilità di utilizzare le risorse umane disponibili al suo interno ai fini dell’espletamento dell’incarico di DPO, aveva indetto una procedura selettiva di tipo comparativo, per titoli ed eventuale colloquio, per il conferimento di un incarico individuale, mediante contratto di lavoro autonomo, ad un soggetto esperto di normativa e prassi in materia di protezione dei dati.

Riguardo ai requisiti di partecipazione alla selezione, l’avviso richiedeva il possesso, in capo a ciascun candidato, del diploma di laurea in Informatica o Ingegneria Informatica, ovvero in Giurisprudenza o equipollenti, nonché la certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001.

Come evidenziato dai giudici amministrativi, la certificazione ISO/IEC/27001 non ha nessuna attinenza rispetto allo svolgimento delle funzioni di responsabile della sicurezza dei dati, in quanto il profilo del DPO “non può che qualificarsi come eminentemente giuridico”, in quanto polarizzato attorno alla necessità di tutelare il diritto fondamentale dell’individuo alla protezione dei dati personali.

È da escludersi, quindi, che il possesso certificazione ISO/IEC/27001 possa assurgere a requisito di ammissione alla procedura selettiva volta al conferimento dell’incarico di responsabile per la protezione dei dati (DPO – data protection officer).

A tal proposito si ricorda che il Garante privacy, nelle Faq relative alla figura del Responsabile della Protezione dei Dati (RPD), aveva già evidenziato come la normativa attuale non preveda l´obbligo per i candidati di possedere specifiche attestazioni formali o l’iscrizione in appositi albi, essendo al contrario necessario che il D.P.O. possieda un’approfondita conoscenza della normativa e delle prassi in materia di protezione dei dati personali, nonché delle norme e delle procedure amministrative che caratterizzano tale specifico settore.

 

Se sei interessato ad approfondire le implicazioni pratiche e eventuali questioni interpretative concernenti il Regolamento generale dell’Ue sulla protezione dei dati (RGPD), iscriviti al seminario di studi “La tutela della Privacy dopo il GDPR: cosa è cambiato nelle P.A.


Richiedi informazioni