Con la sentenza n. 287 del 13/09/2018 il Tribunale Amministrativo Regionale per il Friuli Venezia Giulia si è espresso sui requisiti che il Responsabile della Protezione dei dati personali (ormai noto anche come Data Protection Officer o “DPO”) – ovvero la nuova figura prevista dall’art. 37 del Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (comunemente denominato anche “GDPR”) – deve possedere per poter partecipare ai processi d selezione indetti dalle pubbliche amministrazioni. In particolare, il TAR ha accolto l’impugnazione del ricorrente che contestava l’individuazione della certificazione di Auditor/Lead Auditor ISO/IEC/27001 quale requisito di ammissione alla procedura di selezione. In primo luogo, il Tribunale amministrativo ha sostenuto che la suddetta non può costituire titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di DPO ai sensi del GDPR, dovendosi altresì considerare che la norma ISO 27001 si applica principalmente con riferimento all’attività di impresa. In secondo luogo ha precisato che la medesima norma, “per quanto possa essere potenzialmente estensibile all’attività delle pubbliche amministrazioni, fa pur sempre salva l’applicazione delle disposizioni speciali (euro-unitarie e nazionali) in materia di tutela dei dati personali e della riservatezza (punto 18 “conformità” della citata norma ISO; cfr. in particolare: 18.1.1 e 18.1.4)”. Tuttavia, rispetto al tema delle certificazioni quale titoli abilitanti per svolgere il ruolo di DPO, la pronuncia del TAR non presenta particolare carattere innovativo, ribadendo essa quanto già segnalato in precedenza dal Garante per la protezione dei dati personali secondo cui “il possesso di una specifica certificazione non deve essere considerato come abilitazione all ́esercizio di tale ruolo”; spetta infatti al titolare e al responsabile valutare il possesso dei requisiti professionali richiesti dal regolamento (Cfr. nuove Faq relative alla figura del Responsabile della protezione dei dati in ambito pubblico disponibili qui). Quel che tuttavia rileva maggiormente della decisione del TAR, in termini di novità, è il principio chiarificatore secondo cui il profilo del DPO non può che qualificarsi che come un profilo “eminentemente giuridico” dato che la minuziosa conoscenza e l’applicazione della disciplina normativa di settore restano, indipendentemente dal possesso o meno della certificazione in parola, il nucleo essenziale ed irriducibile della figura professionale ricercata. Pertanto il DPO, anche in base a quanto stabilito dal GDPR e delle Linee Guida del WP29 sui responsabili della protezione dei dati, dovrà essere dotato in primis delle necessarie competenze giuridiche, ovvero un’approfondita conoscenza della normativa e delle prassi in materia di protezione dei dati nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Le certificazioni che attestano competenze in tema di gestione della sicurezza delle informazioni costituiscono titoli qualificanti valutabili e ulteriori ma non un requisito indefettibile per svolgere tale funzione. Per consultare la sentenza in versione integrale clicca qui.