Set 24

Privacy: illegittima la richiesta del possesso della certificazione ISO/IEC/27001 quale titolo abilitante per il conferimento di incarico di Data Protection Officer (TAR Friuli Venezia Giulia, Sez. I, sentenza 13 settembre 2018, n. 287)

Con sentenza n. 287/2018, il Tar Friuli Venezia Giulia ha annullato gli atti di una procedura selettiva indetta da un’Azienda Ospedaliera per l’affidamento dell’incarico di Data Protection Officer (“DPO”), affermando che la certificazione di Auditor/Lead Auditor ISO/IEC/27001 non può essere individuata quale requisito di ammissione alla selezione.

Nella specie, l’avviso pubblico richiedeva il possesso, quali requisiti di partecipazione, del diploma di laurea in Informatica o Ingegneria Informatica, ovvero in Giurisprudenza o equipollenti, nonché della certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni ISO/IEC/27001.
Il TAR friulano ha condiviso le doglianze del ricorrente, escluso per mancato possesso della suddetta certificazione, affermando che la stessa non può costituire titolo abilitante ai fini dell’assunzione dello svolgimento delle funzioni di “DPO”, in ragione della stretta attinenza degli standard ISO 27001 all’attività di impresa, come peraltro dimostra, la rilevanza che essi hanno nelle procedure di affidamento di appalti pubblici (i.e. in tema di garanzia provvisoria, ai sensi dell’art. 93, comma 7, D.Lgs. n. 50/2016).
Il Collegio ha affermato, inoltre, che la certificazione suddetta non può costituire requisito di ammissione alla procedura per il conferimento dell’incarico di “DPO”, poiché è un requisito curriculare che mira a consentire la predisposizione di meccanismi di incrementamento dei livelli di sicurezza e gestione delle informazioni. Al contrario, lo standard ISO 27001 non può essere considerato quale requisito abilitante e idoneo a garantire la tutela del diritto fondamentale dell’individuo alla protezione dei dati personali, il quale rappresenta il nucleo essenziale e irriducibile della figura professionale di “DPO”, il cui profilo deve, pertanto, qualificarsi come eminentemente giuridico.

TAR_FRIULI_287_2018