Non serve il corso formativo per il responsabile privacy

Al responsabile della protezione dei dati non può essere pretesa una particolare certificazione. La nuova figura introdotta dal regolamento europeo sulla privacy (e conosciuta anche come Dpo, data protection officer) è richiesta sia dalle aziende private sia dalle pubbliche amministrazioni.

E proprio una Asl si è trovata nelle condizioni, non avendo al proprio interno profili adeguati, di reclutare attraverso un avviso pubblico un consulente esterno. I requisiti indicati sono stati, però, ritenuti eccessivi dal Tar del Friuli Venezia Giulia, che ha iniziato a meglio delineare, con la prima decisione in materia, i contorni di questa nuova figura.

Va, infatti, detto che il regolamento europeo, applicato in tutta la Ue dal 25 maggio, non dà indicazioni puntuali circa i requisiti che deve avere il Dpo. Si limita ad affermare che quest’ultimo deve «essere designato in funzione delle qualità professionali», ovvero della conoscenza della normativa sulla privacy e della capacità di assolvere i compiti che il regolamento gli assegna. Non si fa, dunque, riferimento ad alcun titolo di studio o ad altre caratteristiche. A ciò si aggiunga che il Garante della privacy italiano ha precisato che al responsabile della protezione dei dati «non sono richieste specifiche attestazioni formali o l’iscrizione in appositi albi». Deve, piuttosto, offrire la «consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali».

La Asl friulana oggetto della decisione del Tar aveva declinato le indicazioni del regolamento e del Garante chiedendo ai candidati la laurea in ingegneria o ingegneria informatica oppure in giurisprudenza o equipollenti, nonché una particolare certificazione: quella in auditor/lead auditor per i sistemi di gestione per la sicurezza di informazioni secondo la norma Iso/Iec/27001.

Uno dei due candidati al posto di Dpo, munito della “sola” laurea in giurisprudenza, impugnava davanti al Tar la richiesta della Asl, contestando la congruità del requisito della certificazione. E i giudici amministrativi della prima sezione gli hanno dato ragione con la sentenza 287/2018.

La certificazione «non costituisce - ha affermato il Tar - un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della protezione dei dati». E hanno aggiunto che è «la minuziosa conoscenza e l’applicazione della disciplina» sulla privacy, indipendentemente dalla certificazione, «il nucleo essenziale ed irriducibile» del Dpo, il cui profilo «non può che qualificarsi come eminentemente giuridico».