Il Regolamento Europeo 679/2016, pur istituendo la figura del DPO a livello comunitario, si limita a indicare in forma abbastanza generica, quali debbano essere le sue competenze senza darne una definizione. L’art. 37 si limita infatti a precisare che “il responsabile della protezione dati è designato in funzione delle qualità professionali; in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. In pratica tutto e niente, specialmente laddove si consideri che non sono previsti, né a livello nazionale né europeo, albi o organismi professionali che disciplinino titoli o percorsi formativi per svolgere la delicata funzione di Responsabile della Protezione dei Dati Personali. E ciò vale non solo in ambito privato, ma anche in quello pubblico.

È in sintesi lasciata al preponente la massima discrezionalità sulla persona cui affidare la sicurezza dei dati personali conservati e la responsabilità, tra l’altro, di gestire i rapporti con le autorità garanti. Ha tentato di porre un rimedio al problema il Gruppo di Lavoro articolo 29 (Article 29 Working Party) che ha fornito ulteriori indicazioni specificando che il DPO deve rispondere alòmeno ai seguenti requisiti:

• Il livello di conoscenza specialistico deve essere proporzionato alla sensibilità, complessità e quantità dei dati sottoposti a trattamento.
• Le qualità professionali devono attenere alla conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione di dati, da approfondire con riferimento al GDPR. È riconosciuta utile la conoscenza e familiarità con lo specifico settore di attività e struttura organizzativa del titolare, nonché con i sistemi informativi e le specifiche esigenze di sicurezza e protezione. Nel caso di autorità o organismi pubblici, il DPO dovrebbe possedere una conoscenza approfondita di norme e procedure amministrative.
• La capacità di assolvere ai suoi compiti deve essere valutata con riferimento alle sue qualità personali anche in termini deontologici.

È, pertanto, onere del titolare o del responsabile della protezione dei dati valutare compiutamente le conoscenze specialistiche del soggetto da designarsi, nonché la sua idoneità ad assolvere le funzioni previste dall’articolo 39 del GDPR. E ciò con una valutazione ex ante dello stato dell’arte. In questo contesto, considerando anche che l’attività di DPO è stata prospettata come sbocco lavorativo, si è assistito ad un proliferare di offerte formative e, addirittura, spaccio di titoli all’apparenza abilitativi ma che, allo stato, non hanno alcun valore.

La sentenza n. 287/2018 del TAR Friuli Venezia Giulia
Viene adesso ad aggiungersi per aumentare quello che già sembra un piccolo caos da molti (specialmente dal legislatore) non compreso, una pronunzia del TAR Friuli Venezia Giulia, che, con la sentenza n. 287/2018, si è soffermato sui requisiti di competenza del DPO. Una sentenza nel merito difficilmente censurabile, ma aberrante a livello applicativo della norma. Il caso può essere così sintetizzato. Un’Azienda Sanitaria disponeva la selezione per titoli ed eventuale colloquio del suo DPO, chiedendo come requisiti che i candidati avessero almeno il diploma di laurea in Informatica o Ingegneria Informatica, ovvero in Giurisprudenza o equipollenti nonché, espressamente, la certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC 27001. Il bando veniva impugnato da un laureato in giurisprudenza privo della certificazione Auditor/Lead Auditor richiesta, senza neppure attendere le determinazioni dell’Amministrazione relativamente alla ammissibilità della propria domanda.

Chiedeva quindi l’annullamento per «violazione degli articoli 37 e 39 del Regolamento UE n. 679/2016; eccesso di potere per violazione di atti di regolazione; eccesso di potere per violazione di atto presupposto; eccesso di potere per manifesta illogicità ed irrazionalità dei requisiti di partecipazione alla selezione; eccesso di potere per sviamento», contestando la pertinenza della certificazione richiesta. Sosteneva, inoltre, che la pretesa da parte dell’Azienda che i candidati disponessero di detto titolo, determinava un’indebita sperequazione ai danni dei laureati in Giurisprudenza che ne fossero sprovvisti.

Il TAR si è pronunciato e, nel merito, ha ritenuto la fondatezza dell’impugnazione in relazione alla contestata individuazione della certificazione di Auditor/Lead Auditor ISO/IEC 27001 quale requisito di ammissione alla procedura selettiva. Ergo, chi vuole nominare un DPO usando lo strumento del bando pubblico, non può permettersi di chiedere che i candidati siano in possesso di un titolo o qualifiche che possano essere considerate elementi di valutazione. Secondo il giudice amministrativo detta certificazione non costituisce un titolo abilitante ai fini dello svolgimento delle funzioni di DPO; pertanto la conoscenza e l’applicazione della normativa restano, indipendentemente dal possesso o meno della certificazione.

La sentenza ha quindi statuito che la certificazione Auditor/Lead Auditor ISO/IEC 27001 non costituisce requisito di selezione del DPO, poiché non coglie appieno la funzione di garanzia insita nell’incarico, il cui precipuo oggetto non è la predisposizione di meccanismi volti ad incrementare efficienza e sicurezza nella gestione delle informazioni, ma attiene alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme di utilizzo. In linea con i principi cardine del GDPR che pongono al centro dell’intera disciplina la figura dell’Interessato.

In questo contesto emerge la necessità di un intervento legislativo che definisca caratteristiche e qualifiche del DPO ai fini non solo attuativi del GDPR, ma anche per chiarire caratteristiche e competenze dei responsabili di migliaia di dati personali (forse milioni) che ogni giorno tratta. In una situazione nella quale non è chiaro chi possa ricoprire una carica così importante, un intervento legislativo è quanto mai opportuno e urgente. Ciò anche al fine di evitare che in molti, specialmente giovani, possano seguire il canto di sirene che promettono certificazioni abilitanti prima e senza che le stesse abbiano avuto alcun riconoscimento.