a cura di Harmonia SCF

Portiamo a conoscenza della clientela che avesse ritenuto necessario incaricare un DPO per lo svolgimento dei compiti di responsabile della protezione dei dati o che ne fosse obbligata, che il TAR Friuli Venezia Giulia ha avuto modo di pronunciarsi sulle competenze che lo stesso DPO deve avere e quelle che non è necessario abbia, in particolare con riferimento alla certificazione ISO.

Tale decisione è importante in quanto in occasione dell’entrata in vigore del Regolamento (UE) 2016/679 sulla privacy (comunemente noto come GDPR), in molti si sono proposti sul mercato come Responsabili della Protezione dei Dati (RPD), figura professionale chiave tra gli adempimenti di legge per chi ritenesse di istituire la funzione o per chi ne fosse obbligato, pur non avendone i titoli, ma mutando le loro competenze dal mondo della certificazione d’impresa (segnatamente ISO).

Senza ritenere rilevante riportare il fatto che ha portato tale tema al Tribunale Amministrativo, segnaliamo invece che il giudice amministrativo ha valutato la rilevanza dei titoli “abilitanti” per lo svolgimento della funzione di DPO escludendo che la certificazione ISO/IEC rientri tra questi.

Lapidariamente il tribunale ha così stabilito che «la predetta certificazione non costituisce […] un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati» ritenendo la norma ISO subordinata al GDPR (come essa stessa riconosce – artt. 18.1.1 e 18.1.4), sicché la minuziosa conoscenza e l’applicazione della disciplina privacy costituisce, indipendentemente dal possesso o meno della certificazione ISO, il nucleo essenziale ed irriducibile della figura professionale del DPO, «il cui profilo non può che qualificarsi come eminentemente giuridico».

La motivazione della sentenza continua cogliendo il diverso alveo della certificazione ISO 27001 rispetto al GDPR. La prima riguarda il sistema di gestione della sicurezza delle informazioni, laddove il GDPR attiene invece alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo.

L’analisi del DPO e il suo intervento, in altre parole, non sono volti a predisporre meccanismi atti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni, ma a verificare che i trattamenti siano effettuati in modo da rispettare i diritti degli interessati.

Peraltro, il giudice sottolinea lo scarso impegno formativo necessario per ottenere la certificazione ISO (2/5 giorni, per un massimo di 40 ore) confrontato con la diversa formazione richiesta dal profilo giuridico, pur necessario (laurea), peraltro assente nel corso ISO. Siffatti rilievi, conclude il tribunale «consentono di escludere, una volta di più, che dal possesso della certificazione, conseguita nel contesto di tali corsi, possa essere fatta dipendere l’ammissione alla procedura selettiva, trattandosi, a ben vedere, di un mero titolo curriculare, ma non anche di un titolo formativo o abilitante, come tale idoneo ad assurgere a requisito di accesso».

Le società che avessero incaricato un DPO, sono pregate di verificare quanto sopra riportato per evitare di incorrere in errori di interpretazione ed applicazione della normativa cd GDPR Privacy o contattare Harmonia SCF per una consultazione in merito.