Il caso nasce dalla impugnazione, ad opera di un professionista avvocato, di vari atti di gara di una ASL con i quali l’amministrazione ricercava un candidato al ruolo di DPO e prescriveva come requisito di assunzione il possesso della certificazione Auditor/Lead Auditor ISO/IEC/27001 accanto ad un titolo di laurea (ingegneria, giurisprudenza o informatica).
I giudici affermano che il GDPR attribuisce al DPO un ruolo di valutazione della conformità al diritto europeo ed agli atti di regolazione delle Autorità indipendenti delle modalità di trattamento adottate dall’azienda. Ancora, la stessa normativa europea, attribuisce al DPO un ruolo di garanzia di rispetto del diritto alla protezione dei dati personali dell’interessato nello svolgimento delle attività aziendali.
Su queste premesse il TAR nega che la certificazione possa essere requisito per la scelta del DPO. Infatti, essa attiene alla capacità di organizzazione aziendale, capacità che non rilevano rispetto alle funzioni imposte per il DPO dalla normativa di data protection, funzioni che non sono in alcun modo riconducibili alla predisposizione di meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nel trattamento, ma alla garanzia di tutela dei diritti degli interessati. Pertanto, ne discende che:
- il DPO svolge una funzione di valutazione di conformità dei trattamenti di dati alla normativa;
- la valutazione del DPO si estende alla regolazione delle Autorità amministrative anche europea;
- si impone – in capo al DPO – la conoscenza della giurisprudenza;
- integrata alla funzione di valutazione vi è anche (e sempre in capo al DPO) la funzione di tutela
delle ragioni degli interessati, funzione assimilabile a quella che compete ai difensori civici della
nostra amministrazione; - al DPO è richiesta in maniera caratterizzante ed imprescindibile la competenza giuridica e la
conoscenza non sommaria o preconcetta del dato normativo; - appare necessario un rapporto di vicinitas tra il funzionario e gli interessati.
