Responsabile alla protezione dei dati
Home » News » Focus

Spetta alla giurisdizione amministrativa la valutazione dei requisiti e della competenza giuridica per l’incarico di DPO presso le Pubbliche Amministrazioni e gli Enti Locali

Gorga Michele

Versione PDF del documento

Le pubbliche amministrazione, senza eccezioni e senza deroghe, sono tenute a conferire obbligatoriamente l’incarico di responsabile alla protezione dei dati a una figura con funzioni dirigenziali che non sia incompatibile ovvero in conflitto d’interesse o in posizione di condizionamento funzionale con il titolare o con il responsabile al trattamento dei dati.

Responsabile alla protezione dei dati

Quando la figura, mediante il procedimento di interpello interno, non è presente nella struttura dell’Ente allora l’amministrazione deve fare necessariamente ricorso a un professionista esterno e l’assegnazione dell’incarico dovrà avvenire mediante l’espletamento di una selezione comparativa, direttamente riconducibile ad esigenze proprie dell’Amministrazione, connesse all’esercizio di funzioni istituzionali, tra le quali devono essere incluse le competenze e le responsabilità in tema di protezione dei dati, introdotte e regolate dal GDPR.
Nella selezione di tale professionista poi le amministrazioni pubbliche, a pena di nullità del procedimento di selezione, devono procedere ai sensi dell’art. 26, comma 3, della Legge 23/12/1999 n. 488 e l’art. 1 del D.L. 6 luglio 2012 n. 95, convertito con modificazioni in legge 7 agosto 2012 n. 135 recante: “Disposizioni urgenti per la revisione della spesa pubblica con invarianza dei servizi ai cittadini”, norma che prevede la nullità dei relativi contratti stipulati dalle pubbliche amministrazioni in violazione degli obblighi di approvvigionamento del servizio se non effettuato attraverso gli strumenti di acquisto messi a disposizione da Consip S.p.A. e dalle centrali di committenza regionali di riferimento.

La competenza

Per quanto attiene ai conflitti relativi al procedimento di selezione la competenza, senza ombra di dubbio, è in capo al giudice amministrativo in quanto sulla base del prevalente insegnamento delle Sezioni Unite della Corte di Cassazione (S.U. n. 13531 del 2016) : “appartiene alla giurisdizione del giudice amministrativo la controversia relativa ad una procedura concorsuale volta al conferimento di incarichi ex art. 7, comma 6, D.lg. n. 165 cit., assegnati ad esperti, mediante contratti di lavoro autonomo di natura occasionale o coordinata e continuativa, per far fronte alle medesime esigenze cui ordinariamente sono preordinati i lavoratori subordinati della p.a.” . Tale indirizzo, poi, è stato ampiamente confermato negli arresti della più recente giurisprudenza amministrativa sicché nella fattispecie specifica per la selezione e l’incarico a tempo determinato del Data Protection Officer vale un’interpretazione estensiva della nozione di «assunzione dei dipendenti delle pubbliche amministrazioni» fatta propria dall’art. 63 co. 4 del d.lgs. 30 marzo 2001, n. 165, nella quale debbono ritenersi incluse non soltanto le procedure concorsuali volte all’assunzione di lavoratori subordinati, ma anche quelle aventi specificamente ad oggetto il conferimento di incarichi ex art. 7 co. 6 del medesimo d.lgs. n. 165/2001, assegnati a esperti mediante contratti di lavoro autonomo di natura occasionale, o coordinata e continuativa, per far fronte alle medesime esigenze cui ordinariamente sono preordinati i lavoratori subordinati della pubblica amministrazione.
Sulla cattiva prassi di alcune amministrazioni che nell’intendo di delimitare il perimetro dei soggetti che potenzialmente potrebbero avere interesse a partecipare ai relativi bandi o avvisi di selezione, e ciò attraverso pratiche elusive messe in atto per depotenziare i loro titoli curriculari, ovvero mediante avvisi di selezione che eversivamente, sulla base della falsa esigenza di restringimento della concorrenza e della parità di trattamento esigono, ad esempio, da parte dei candidati, certificazione ISO/IEC/27001 o altre simili, ovvero la pregressa esperienza di non declinate attività nel campo delle c.d. “Sicurezza informatica”, di recente ha avuto modo di pronunciarsi la giurisdizione amministrativa.
Così il TAR per il Friuli Venezia Giulia con sentenza n. 287/2018 ha ritenuto manifestamente fondata la contestazione dell’avviso che richiedeva, ai fini dell’ammissione alla selezione, il possesso da parte del concorrente della certificazione di Auditor/Lead Auditor ISO/IEC/27001, non essendo tale certificazione affatto abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati nell’alveo della disciplina introdotta dal GDPR. In merito ha ben spiegato il giudice amministrativo che, da un lato la certificazione ISO 27001 trova prevalente applicazione nell’ambito dell’attività di impresa, dall’altro lato, la medesima, per quanto potenzialmente estensibile all’attività delle pubbliche amministrazioni, è certificazione irrilevante ai fini della selezione del DPO, in quanto la normativa fa pur sempre salva l’applicazione delle disposizioni speciali in materia di tutela dei dati personali e della riservatezza che è un profilo riconducibile ad una figura professionale che non può che qualificarsi come eminentemente giuridico.
Nel nostro ordinamento giuridico i professionisti, con profilo eminentemente giuridico, non sono altro che quelli che professionalmente svolgono attività di rappresentanza, assistenza e consulenza legale e tra questi vanno annoverati quegli avvocati con esperienza d’iscrizione all’albo professionale che professionalmente sono in grado di garantire la tutela del diritto fondamentale dell’individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione.
Per l’incarico di responsabile alla protezione dei dati non occorrono, quindi, abilitazioni “tecniche” speciali e neanche abilitazioni ISO o diverse da quelle già esistenti, ma come ha ben spiegato l’Autorità Garante nazionale della privacy, bensì comprovata esperienza in materia di protezione dei dati presso la Pubblica Amministrazione e la documentata esperienza lavorativa professionale e semmai consolidate conoscenze giuridiche-amministrative dell’organizzazione della P.A. e degli Enti Locali.

Volume consigliato

Il Responsabile della Protezione dei Dati (Data Protection Officer-DPO)

Il Responsabile della Protezione dei Dati (Data Protection Officer-DPO)

Stefano Comellini, 2018, Maggioli Editore

L’opera è un’analisi dei compiti e dei margini di attività della nuova figura del “Responsabile dei dati personali” (anche noto come DPO, acronimo di Data Protection Officer), in consi- derazione degli adempimenti che imprese e soggetti pubblici devono...



© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it