Requisiti del DPO, prima pronuncia di un TAR sulla figura introdotta dal GDPR

Il TAR Friuli Venezia Giulia, Sez. I, con Sent. 287/18, depositata il 13 settembre 2018, ha affrontato per la prima volta dall’entrata in vigore del Reg. (UE) 2016/679, la delicata materia dei requisiti necessari per svolgere lecitamente la funzione del Data Protection Officer, nello specifico in una P.A. (ASL).

Nella fattispecie, il Giudice Amministrativo ha ritenuto illegittimo, come requisito di ammissione alla procedura selettiva volta al conferimento dell’incarico di DPO, il possesso da parte del candidato della Certificazione ISO/IEC/27001.

Motivando la propria decisione, il TAR ha infatti ribadito che la figura del DPO ha carattere giuridico e che, più nello specifico, “la certificazione, indicata nell’avviso, di per sé non può costituire requisito di ammissione alla selezione in esame (né tanto meno assurgere a titolo equipollente al richiesto diploma di laurea), proprio perché essa non coglie (o non coglie appieno) la specifica funzione di garanzia insita nell’incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai, come rilevato nel ricorso, alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo.”

Ciò che resta, invece, nucleo essenziale del patrimonio di competenze dell’aspirante Responsabile della Protezione dei Dati è la conoscenza approfondita della normativa in materia di tutela dei dati personali, caratterizzandosi la figura, dunque, per un profilo “eminentemente giuridico“.

This entry was posted in News and tagged , . Bookmark the permalink.