Privacy Academy

La ISO 27001 non è necessaria per assumere l'incarico di Data Protection Officer


Il TAR Friuli Venezia Giulia si pronuncia sui rapporti tra ISO e GDPR in relazione all'incarico di D.P.O. nelle PP.AA.





Sentenza n. 287/2018 del 5 settembre 2018













Il Fatto





In settembre il TAR Friuli ha pubblicato una delle primissime sentenze in materia di applicazione del G.D.P.R.
La questione riguardava l'espletamento di una procedura selettiva comparativa, attivata da una azienda sanitaria, per l'affidamento di un incarico di collaborazione professionale come D.P.O. (Data Protection Officer) ai sensi di quanto previsto dagli artt. 37-39 G.D.P.R..





Nel
caso di specie, l'azienda sanitaria in questione, data l'assenza di una figura
professionale interna in possesso delle competenze richieste dalla normativa
per l'assunzione dell'incarico di D.P.O. aveva indetto una selezione per titoli
e colloquio di “un esperto di normativa e prassi in materia di protezione
dati”.





Con
riguardo ai requisiti di partecipazione alla selezione, l'avviso richiedeva:





  • il possesso del diploma di laurea in Informatica
    o in Ingegneria informatica o in Giurisprudenza o equipollenti;
  • certificazione di Auditor o Lead Auditor per i
    Sistemi di Gestione per la Sicurezza delle informazioni secondo la norma
    ISO/IEC/27001.




Il
ricorrente, laureato in Giurisprudenza e non in possesso della certificazione
di Auditor o Lead Auditor ISO 27001, proponeva immediata impugnazione
dell'avviso di selezione, eccependo la violazione degli artt. 37 e 39 G.D.P.R.
sotto il profilo dell'eccesso di potere nella scelta dei requisiti di
partecipazione.





Da un
lato infatti, secondo la tesi del ricorrente, il possesso della certificazione
di Auditor o Lead Auditor ISO 27001 sarebbe non pertinente rispetto al ruolo
del D.P.O., perchè non atterrebbe ai compiti sussistenti in capo a questa
figura.

D'altro canto, era contestata
la stessa riconducibilità delle competenze del D.P.O. alla laurea in
Informatica o in Ingegneria Informatica, ritenendo che il predetto ruolo
potesse essere ricoperto compiutamente soltanto da un laureato in
Giurisprudenza.







La Decisione





Il TAR
Friuli Venezia Giulia ha accolto il ricorso del candidato ritenendo
l'impugnazione proposta, “manifestamente fondata” in relazione alla
indicazione della certificazione di Auditor o Lead Auditor ISO 27001 quale
requisito necessario ai fini dell'assunzione dell'incarico di Data Protection
Officer.





Il
Giudice Amministrativo ha infatti spiegato che la ISO 27001 ha prevalente
applicazione nell'ambito dell'attività di impresa e, anche se potenzialmente
estensibile all'attività delle pubbliche amministrazioni, in ogni caso non
pertiene indefettibilmente alla figura del Data Protection Officer.





Secondo
il Tar, il nucleo essenziale di tale figura si concreta nella “minuziosa
conoscenza e l'applicazione della disciplina di settore”
.

Infatti, continua il consesso
amministrativo, la certificazione ISO 27001 non coglie la “funzione di
garanzia”
insita nell'incarico di D.P.O., il quale non è deputato ad
incrementare la sicurezza nella gestione delle informazioni ma a tutelare il
diritto fondamentale dell'individuo alla tutela dei dati personali.







Considerazioni





L'assunto
del TAR coglie nel segno.





Lo
standard ISO/IEC 27001 è un sistema di norme tecniche finalizzato a raccogliere
le misure necessarie a garantire la sicurezza di un sistema di gestione delle
informazioni.





Il
campo applicativo della predetta norma è dunque non coincidente ma piuttosto
intersecante con quello coperto dalla normativa sulla protezione dei dati
personali.





La ISO
27001 ha ad oggetto le informazioni in generale, di ogni natura, tra le quali
sono ovviamente ricompresi i dati personali che però non ne costituiscono
l'oggetto precipuo.





L'obiettivo
della ISO 27001 è garantire la sicurezza delle informazioni, e quindi
assicurarsi che non sia compromessa la loro integrità, riservatezza,
disponibilità.





La
normativa specialistica in materia di protezione dei dati personali, invece, ha
ad oggetto specificamente questi ultimi, intesi come qualunque informazione
attraverso la quale, anche indirettamente possa risalirsi all'identità di una
persona fisica.





L'obiettivo
della normativa sulla protezione dei dati personali è garantire che il
trattamento degli stessi avvenga in modo lecito, controllabile, sicuro.





Le due
normative pertanto si incrociano con riguardo al profilo della sicurezza dei
dati personali; sicurezza che deve essere garantita al fine di scongiurare
eventi di violazione (cd. Data breaches).





L'utilizzo
di queste coordinate appena tracciate, unitamente all'analisi degli artt. 37,
38 e 39 G.D.P.R. Consente di comprendere agevolmente perchè la certificazione
da Auditor 27001, per quanto strumento senza dubbio utile, non sia condizione
né sufficiente né necessaria allo svolgimento dei compiti del D.P.O..





In
primis l'art. 37 par. 3 G.D.P.R. Pone l'accento soprattutto sulle competenze
giuridiche del D.P.O.: “Il responsabile della protezione dei dati è
designato in funzione delle qualità professionali, in particolare della
conoscenza specialistica della normativa e delle prassi in materia di
protezione dei dati, e della capacità di assolvere i compiti di cui
all'articolo 39”.





L'art.
39 G.D.P.R. Non elenca tra i compiti del D.P.O. quello di garantire la
sicurezza dei dati personali. Tale compito spetta in effetti al titolare, così
come previsto dall'art. 32 par. 1 G.D.P.R.: “il titolare del trattamento e
il responsabile del trattamento mettono in atto misure tecniche e organizzative
adeguate per garantire un livello di sicurezza adeguato al rischio”.





Tra le
attribuzioni del D.P.O., quella che più si avvicina al ruolo dell'Auditor è
contenuta nell'art. 39 par. 1 lett. b): “sorvegliare l'osservanza del
presente regolamento, di altre disposizioni dell'Unione o degli Stati membri
relative alla protezione dei dati nonché delle politiche del titolare del
trattamento o del responsabile del trattamento in materia di protezione dei
dati personali, compresi l'attribuzione delle responsabilità, la
sensibilizzazione e la formazione del personale che partecipa ai trattamenti e
alle connesse attività di controllo”.





Ebbene,
come è agevole notare, l'Auditor ha una funzione precipua di certificazione e
verifica; il D.P.O. di sorveglianza. L'unica ragione per cui al D.P.O. potrebbe
essere utile avere anche la qualifica di Auditor consiste nella più accurata
conoscenza delle misure necessarie per perseguire la sicurezza dei dati
personali che consentirebbe una sorveglianza più penetrante sulla applicazione
da parte del titolare dell'art. 32 G.D.P.R..





Tuttavia,
imporre che il D.P.O. possegga la qualifica di Auditor 27001, sembrerebbe anche
irragionevolmente pretendere che il Titolare si certifichi ISO 27001, e per una
ragione ovvia. Se si ritiene che essere Auditor sia circostanza necessaria per
sorvegliare l'adempimento degli oneri in materia di sicurezza, ciò vorrebbe
dire che tali oneri dovrebbero intendersi adempiuti soltanto ove siano
rispettati gli standard della ISO 27001.





Questo
adempimento però non è minimamente preteso dal G.D.P.R., il quale agli artt. 42
e 43, dispone che gli Stati membri incoraggino l'ottenimento di certificazioni
in materia di protezione dati, ma afferma al contempo esplicitamente che la
certificazione è volontaria (art. 42 par. 3).





Peraltro,
anche ove il titolare volesse certificarsi ISO 27001 non potrebbe mai spettare
al D.P.O. l'assolvimento di tale compito di certificazione, stante l'assenza di
terzietà assoluta e neutralità dello stesso rispetto al titolare (atteso
peraltro che il D.P.O. riceve un compenso professionale da parte del titolare
stesso, circostanza che potrebbe minarne la neutralità). Se, infatti, il D.P.O.
può svolgere anche compiti diversi da quelli suoi propri, ex art. 38 par. 6
G.D.P.R., tali compiti ulteriori non possono mai dare luogo ad un conflitto di
interessi.





Infine
l'art. 39 par. 2 specifica che è il titolare a dove sostenere il D.P.O.
nell'assolvimento dell'incarico “fornendogli le risorse necessarie per
assolvere tali compiti e accedere ai dati personali e ai trattamenti e per
mantenere la propria conoscenza specialistica”
.





Tale
ultima disposizione consacra l'idea per cui il D.P.O. deve essere un esperto in
materia di tutela dei dati personali, non un tuttologo, non un giurista/hacker,
non un informatico esperto di leggi. E' naturale che questa figura,
naturalmente ancipite subirà con gli anni uno sviluppo di competenze notevole,
grazie alla promozione di percorsi formativi ad hoc che creeranno figure dotate
di conoscenza tecnica approfondita su entrambi i rami coinvolti nell'ambito
della protezione dei dati personali.

Nel frattempo, però, emerge
uno sforzo reciproco dei giuristi di dotarsi di competenze tecniche, e dei
tecnici di competenze giuridiche, e appare iniquo e sproporzionato richiedere
il possesso di qualifiche non strettamente pertinenti ai ruoli da svolgere.
Nell'ambito di una procedura competitiva equa, il possesso di certificazione
ISO potrebbe svolgere al più un ruolo di requisito preferenziale al pari di
master specializzanti o di altri titoli accessori, il cui possesso non può
essere ritenuto condizione necessaria per l'assolvimento di compiti in materia
di protezione dati.











Articolo di
Avv. Valeria Curci - Data Protection Specialist






 Possiamo aiutarti?
Chat on WhatsApp