Home>News>GDPR, Hot topics, Lavoro, P.A.>TAR: il titolo di Auditor ISO 27001 non è pre-requisito del DPO

TAR: il titolo di Auditor ISO 27001 non è pre-requisito del DPO

Il Tribunale Amministrativo Regionale per il Friuli Venezia Giulia ha stabilito con sentenza n. 287 del 13/9/2018 che le certificazioni di Auditor o Lead Auditor ISO 27001 non possono essere poste come requisito per la partecipazione ad una gara indetta da una pubblica amministrazione per l’attribuzione del ruolo di Data Protection Officer (DPO).

Il lascito della sentenza è che – anche alla luce dei criteri del GDPR e delle interpretazioni rese dal WP29 il DPO deve avere in primis le necessarie competenze giuridiche (vale a dire: un’approfondita conoscenza della normativa e delle prassi in materia di data protection, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento); i diplomi che attestano competenze in tema sistemi di gestione della sicurezza delle informazioni (SGSI) possono formare titoli qualificanti valutabili ma non un requisito indefettibile.

La pronuncia accoglie l’impugnazione del ricorrente che contestava l’individuazione della certificazione di Auditor/Lead Auditor ISO/IEC/27001 (standard internazionale che definisce i requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni) quale requisito di ammissione alla procedura selettiva per il conferimento dell’incarico di DPO di un’Azienda di Assistenza Sanitaria.

Il collegio giudicante ha sottolineato come tale certificazione non possa costituire “un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati, nell’alveo della disciplina introdotta dal GDPR“, dovendosi innanzitutto considerare che “la norma ISO 27001 trova prevalente applicazione nell’ambito dell’attività di impresa“.

In secondo luogo, il TAR precisa che “la medesima norma, per quanto potenzialmente estensibile all’attività delle pubbliche amministrazioni, fa pur sempre salva l’applicazione delle disposizioni speciali (euro-unitarie e nazionali) in materia di tutela dei dati personali e della riservatezza (punto 18 “conformità” della citata norma ISO; cfr. in particolare: 18.1.1 e 18.1.4), sicché la minuziosa conoscenza e l’applicazione della disciplina di settore restano, indipendentemente dal possesso o meno della certificazione in parola, il nucleo essenziale ed irriducibile della figura professionale ricercata mediante la procedura selettiva intrapresa dall’Azienda, il cui profilo, per le considerazioni anzidette, non può che qualificarsi come eminentemente giuridico“.

 

 

2018-09-17T11:23:57+00:00 17 settembre 2018|GDPR, Hot topics, Lavoro, P.A.|