Data Protection Officer: una sentenza del TAR
A seguito di un ricorso, con la sentenza n° 287 del 2018, il TAR del Friuli Venezia Giulia ha annullato un avviso pubblico che vincolava il conferimento di un incarico di Data Protection Officer, la nuova figura di responsabile in materia di protezione dei dati personali introdotta dal Regolamento GDPR, al posesso della certificazione ISO/IEC/27001.
“Predetta certificazione - recita la sentenza - non costituisce (...) un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati, nell’alveo della disciplina introdotta dal GDPR, dovendosi considerare che: da un lato, la norma trova prevalente applicazione nell’ambito dell’attività di impresa (...) dall’altro lato, la medesima norma, per quanto potenzialmente estensibile all’attività delle pubbliche amministrazioni, fa pur sempre salva l’applicazione delle disposizioni speciali (euro-unitarie e nazionali) in materia di tutela dei dati personali e della riservatezza (punto 18 “conformità” della citata norma ISO; cfr. in particolare: 18.1.1 e 18.1.4), sicché la minuziosa conoscenza e l’applicazione della disciplina di settore restano, indipendentemente dal possesso o meno della certificazione in parola, il nucleo essenziale ed irriducibile della figura professionale ricercata mediante la procedura selettiva intrapresa dall’Azienda, il cui profilo, per le considerazioni anzidette, non può che qualificarsi come eminentemente giuridico”.