Responsabile alla protezione dei dati
Quando la figura, mediante il procedimento di interpello interno, non è presente nella struttura dell’Ente allora l’amministrazione deve fare necessariamente ricorso a un professionista esterno e l’assegnazione dell’incarico dovrà avvenire mediante l’espletamento di una selezione comparativa, direttamente riconducibile ad esigenze proprie dell’Amministrazione, connesse all’esercizio di funzioni istituzionali, tra le quali devono essere incluse le competenze e le responsabilità in tema di protezione dei dati, introdotte e regolate dal GDPR.
Nella selezione di tale professionista poi le amministrazioni pubbliche, a pena di nullità del procedimento di selezione, devono procedere ai sensi dell’art. 26, comma 3, della Legge 23/12/1999 n. 488 e l’art. 1 del D.L. 6 luglio 2012 n. 95, convertito con modificazioni in legge 7 agosto 2012 n. 135 recante: “Disposizioni urgenti per la revisione della spesa pubblica con invarianza dei servizi ai cittadini”, norma che prevede la nullità dei relativi contratti stipulati dalle pubbliche amministrazioni in violazione degli obblighi di approvvigionamento del servizio se non effettuato attraverso gli strumenti di acquisto messi a disposizione da Consip S.p.A. e dalle centrali di committenza regionali di riferimento.
La competenza
Per quanto attiene ai conflitti relativi al procedimento di selezione la competenza, senza ombra di dubbio, è in capo al giudice amministrativo in quanto sulla base del prevalente insegnamento delle Sezioni Unite della Corte di Cassazione (S.U. n. 13531 del 2016) : “appartiene alla giurisdizione del giudice amministrativo la controversia relativa ad una procedura concorsuale volta al conferimento di incarichi ex art. 7, comma 6, D.lg. n. 165 cit., assegnati ad esperti, mediante contratti di lavoro autonomo di natura occasionale o coordinata e continuativa, per far fronte alle medesime esigenze cui ordinariamente sono preordinati i lavoratori subordinati della p.a.” . Tale indirizzo, poi, è stato ampiamente confermato negli arresti della più recente giurisprudenza amministrativa sicché nella fattispecie specifica per la selezione e l’incarico a tempo determinato del Data Protection Officer vale un’interpretazione estensiva della nozione di «assunzione dei dipendenti delle pubbliche amministrazioni» fatta propria dall’art. 63 co. 4 del d.lgs. 30 marzo 2001, n. 165, nella quale debbono ritenersi incluse non soltanto le procedure concorsuali volte all’assunzione di lavoratori subordinati, ma anche quelle aventi specificamente ad oggetto il conferimento di incarichi ex art. 7 co. 6 del medesimo d.lgs. n. 165/2001, assegnati a esperti mediante contratti di lavoro autonomo di natura occasionale, o coordinata e continuativa, per far fronte alle medesime esigenze cui ordinariamente sono preordinati i lavoratori subordinati della pubblica amministrazione.
Sulla cattiva prassi di alcune amministrazioni che nell’intendo di delimitare il perimetro dei soggetti che potenzialmente potrebbero avere interesse a partecipare ai relativi bandi o avvisi di selezione, e ciò attraverso pratiche elusive messe in atto per depotenziare i loro titoli curriculari, ovvero mediante avvisi di selezione che eversivamente, sulla base della falsa esigenza di restringimento della concorrenza e della parità di trattamento esigono, ad esempio, da parte dei candidati, certificazione ISO/IEC/27001 o altre simili, ovvero la pregressa esperienza di non declinate attività nel campo delle c.d. “Sicurezza informatica”, di recente ha avuto modo di pronunciarsi la giurisdizione amministrativa.
Così il TAR per il Friuli Venezia Giulia con sentenza n. 287/2018 ha ritenuto manifestamente fondata la contestazione dell’avviso che richiedeva, ai fini dell’ammissione alla selezione, il possesso da parte del concorrente della certificazione di Auditor/Lead Auditor ISO/IEC/27001, non essendo tale certificazione affatto abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati nell’alveo della disciplina introdotta dal GDPR. In merito ha ben spiegato il giudice amministrativo che, da un lato la certificazione ISO 27001 trova prevalente applicazione nell’ambito dell’attività di impresa, dall’altro lato, la medesima, per quanto potenzialmente estensibile all’attività delle pubbliche amministrazioni, è certificazione irrilevante ai fini della selezione del DPO, in quanto la normativa fa pur sempre salva l’applicazione delle disposizioni speciali in materia di tutela dei dati personali e della riservatezza che è un profilo riconducibile ad una figura professionale che non può che qualificarsi come eminentemente giuridico.
Nel nostro ordinamento giuridico i professionisti, con profilo eminentemente giuridico, non sono altro che quelli che professionalmente svolgono attività di rappresentanza, assistenza e consulenza legale e tra questi vanno annoverati quegli avvocati con esperienza d’iscrizione all’albo professionale che professionalmente sono in grado di garantire la tutela del diritto fondamentale dell’individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione.
Per l’incarico di responsabile alla protezione dei dati non occorrono, quindi, abilitazioni “tecniche” speciali e neanche abilitazioni ISO o diverse da quelle già esistenti, ma come ha ben spiegato l’Autorità Garante nazionale della privacy, bensì comprovata esperienza in materia di protezione dei dati presso la Pubblica Amministrazione e la documentata esperienza lavorativa professionale e semmai consolidate conoscenze giuridiche-amministrative dell’organizzazione della P.A. e degli Enti Locali.
Volume consigliato
Il Responsabile della Protezione dei Dati (Data Protection Officer-DPO)
Quando deve essere designato un DPO? Chi deve nominarlo? Chi può essere nominato DPO e quali requisiti sono richiesti? DPO dipendente oppure soggetto esterno? Quale atto formale di nomina occorre in ambito pubblico? Se il DPO è un dipendente pubblico quale qualifica deve avere? Qual è la posizione del DPO nell’ente/azienda? Quali sono i suoi compiti?Aggiornata al D.lgs. del 10 agosto 2018, n. 101 in materia di privacy, questa pratica Guida risponde alle domande sopra enunciate e fornisce un’analisi dei compiti e dei margini di attività della nuova figura del “Responsabile dei dati personali” (anche noto come DPO, acronimo di Data Protection Officer), in considerazione degli adempimenti che imprese e soggetti pubblici devono affrontare per effetto del Regolamento UE 2016/679.Il testo è strutturato in numerosi quesiti di taglio pratico, ai quali l’autore fornisce una soluzione sulla scorta del testo normativo, delle linee guida adottate dal Gruppo di Lavoro ex art. 29 (WP29) e delle più recenti indicazioni fornite dal Garante della Privacy.Stefano ComelliniAvvocato in Bologna, patrocinante in Cassazione, si occupa prevalentemente di Diritto Industriale, Diritto dell’In- formatica e delle Telecomunicazioni nonché della disciplina della Privacy. E’ iscritto nell’elenco dei rappresentanti presso la EUIPO (Ufficio dell’Unione Europea per la proprietà intellettuale). Relatore in convegni, è particolarmente attivo sui social network, dove svolge attività di divulgazione giuridica. Nel 2002, il sito www.comellini.it, da lui cu- rato, ha ottenuto, dalla giuria di “Italex Award 2002 – il premio per i migliori siti giuridici italiani”, il riconoscimento di migliore studio legale online.Soluzioni di Diritto è una collana che offre soluzioni operative per la pratica professionale o letture chiare di problematiche di attualità. Uno strumento di lavoro e di approfondimento spendibile quotidianamente.L’esposizione è lontana dalla banale ricostruzione manualistica degli istituti ov- vero dalla sterile enunciazione di massime giurisprudenziali.Si giunge a dare esaustive soluzioni ai quesiti che gli operatori del diritto incon- trano nella pratica attraverso l’analisi delle norme, itinerari dottrinali e giuri- sprudenziali e consigli operativi sul piano processuale.
Stefano Comellini | 2018 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento