GDPR: la certificazione di Auditor o Lead Auditor ex ISO/IEC/27001 non è un requisito per la nomina del Responsabile della protezione dei dati

04/12/2018 10:55

Commento a cura dell'avv. Gianluca Fasano

TAR Friuli Venezia Giulia (Sez. I), sent. 5 – 13 settembre 2018, n. 287

La conoscenza e l'applicazione della disciplina dettata dal GDPR rappresentano il nucleo essenziale ed irriducibile della figura professionale di responsabile della protezione dei dati ai sensi del Regolamento (UE) 2016/679, pertanto un titolo attinente alla certificazione ISO/IEC/27001 non è idoneo ad assurgere a requisito di accesso ad una selezione per detto profilo.


Il giudizio in esame verte sui requisiti di partecipazione ad una selezione pubblica per l'affidamento di un incarico di collaborazione professionale, previa selezione per titoli ed eventuale colloquio, per lo svolgimento dei compiti di responsabile della protezione dei dati ex Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (Regolamento generale sulla protezione dei dati, comunemente abbreviato in GDPR), avviso indetto congiuntamente da due Aziende sanitarie pubbliche.


Nello specifico, l'incarico in questione avrebbe contemplato l'impostazione e lo svolgimento dei compiti indicati nell'art. 39 del GDPR, nella fase della sua prima applicazione.


I requisiti di partecipazione alla selezione, di cui all'avviso oggetto di impugnativa, richiedevano il possesso del diploma di laurea in Informatica o Ingegneria Informatica, ovvero in Giurisprudenza o equipollenti, nonché la certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001.


Proprio su quest'ultimo requisito, in particolare, si incentrava l'impugnativa: l'incoerenza della certificazione di Auditor/Lead Auditor secondo lo standard ISO/IEC/27001 rispetto alle mansioni specificamente richieste dal GDPR. Tale titolo determinerebbe un'indebita sperequazione ai danni dei soggetti titolari della laurea in Giurisprudenza e sprovvisti della certificazione medesima, secondo l'assunto del ricorrente.


Preliminarmente, il Collegio affronta le censure di inammissibilità del ricorso e, in particolare, l'eccezione di difetto di giurisdizione, facendo espresso richiamo al prevalente insegnamento delle Sezioni Unite della Corte di Cassazione, secondo cui "appartiene alla giurisdizione del giudice amministrativo la controversia relativa ad una procedura concorsuale volta al conferimento di incarichi ex art. 7, comma 6, d.lgs. n. 165 cit., assegnati ad esperti, mediante contratti di lavoro autonomo di natura occasionale o coordinata e continuativa, per far fronte alle medesime esigenze cui ordinariamente sono preordinati i lavoratori subordinati della p.a." (Cass. S.U. n. 13531 del 2016).


Anche la più recente giurisprudenza amministrativa ha seguito tale insegnamento, precisando che "vale un'interpretazione estensiva della nozione di «assunzione dei dipendenti delle pubbliche amministrazioni» fatta propria dall'art. 63 co. 4 del d.lgs. 30 marzo 2001, n. 165, nella quale debbono ritenersi incluse non soltanto le procedure concorsuali volte all'assunzione di lavoratori subordinati, ma anche quelle aventi specificamente ad oggetto il conferimento di incarichi ex art. 7 co. 6 del medesimo d.lgs. n. 165/2001, assegnati a esperti mediante contratti di lavoro autonomo di natura occasionale, o coordinata e continuativa, per far fronte alle medesime esigenze cui ordinariamente sono preordinati i lavoratori subordinati della pubblica amministrazione" (da ultimo, T.A.R. Toscana, Sez. I, n. 557 del 2018; Cons. Stato, Sez. IV, 1176 del 2017).


La giurisdizione amministrativa, quindi, va dichiarata ogniqualvolta la controversia riguardi una procedura comparativa indetta da un'amministrazione pubblica, quale che sia la veste formale data all'instaurando rapporto lavorativo e sempre che le mansioni siano in concreto direttamente riconducibili ad esigenze proprie dell'Amministrazione, connesse all'esercizio di funzioni istituzionali, come nella fattispecie.


Passando alla trattazione del merito, il Tar ritiene che la certificazione di Auditor/Lead Auditor ISO/IEC/27001 non possa rappresentare un valido requisito di ammissione alla procedura selettiva, posto che essa non costituisce un titolo abilitante ai fini dell'assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati, nell'alveo della disciplina introdotta dal GDPR.


Peraltro, la norma ISO 27001 trova prevalente applicazione nell'ambito dell'attività di impresa - mentre l'avviso impugnato è stato pubblicato da aziende pubbliche - e quand'anche la si volesse considerare estensibile all'attività delle pubbliche amministrazioni fa pur sempre salva l'applicazione delle disposizioni speciali in materia di tutela dei dati personali e della riservatezza. In considerazione di ciò, la conoscenza e l'applicazione della disciplina di settore restano il nucleo essenziale ed irriducibile della figura professionale ricercata con l'avviso pubblico, a prescindere dal possesso o meno della certificazione in parola.


Un ulteriore argomento a sostegno della decisione il Tar lo desume dall'esame dei programmi dei corsi finalizzati all'acquisizione della certificazione contestata, percorsi formativi caratterizzati da una durata particolarmente contenuta (2/5 giorni), per un massimo di 40 ore, nonché dalla netta prevalenza delle tematiche attinenti all'organizzazione aziendale non riferibili alla struttura delle pubbliche amministrazioni.


Il Collegio si spinge su di un ulteriore livello argomentativo allorché sostiene che: la certificazione, indicata nell'avviso, di per sé non può costituire requisito di ammissione alla selezione in esame "… proprio perché essa non coglie (o non coglie appieno) la specifica funzione di predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai … alla tutela del diritto fondamentale dell'individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo".


A riprova del proprio itinerario argomentativo il Collegio richiama la circostanza che entrambi i dirigenti incaricati dalle due Aziende, nelle more del giudizio, dello svolgimento dei compiti di responsabile della protezione dei dati, risultano in effetti carenti proprio della certificazione ISO/IEC/27001.


Sulla scorta di tali considerazioni, il Tribunale giunge ad escludere che il possesso della certificazione possa rappresentare il discrimine per l'ammissione alla procedura selettiva, trattandosi di un "mero titolo curriculare (certamente valutabile in sede di giudizio sulle posizioni dei singoli candidati) ma non anche di un titolo formativo o abilitante, come tale idoneo ad assurgere a requisito di accesso".