RASSEGNA STAMPA

Data protection officer, l'avvocato è favorito

II data protection officer introdotto dal regolamento Gdpr sulla privacy è una figura che un «nucleo essenziale eminentemente giuridico»: è infatti chiamato a tutelare il diritto fondamentale dell'individuo alla protezione dei dati personali, nelle amministrazioni come nelle aziende.

L'avvocato, insomma, parte favorito se ha titoli in materia e l'Asl non può designare un altro al posto suo soltanto perché il legale non risulta in possesso della certificazione Iso/Iec/27001, che è utilizzata soprattutto nelle imprese e costituisce un mero titolo curriculare. Così la sentenza 287/18, pubblicato dalla prima sezione del Tar Friuli-Venezia Giulia. «Manifestamente fondata» è la censura dell'avvocato contro l'avviso dell'Asl che indica la certificazione di auditor/lead auditor come requisito d'accesso alla selezione accanto alla laurea in informatica, ingegneria informatica oppure in giurisprudenza o equipollenti. E promuove l'altro candidato che ha il bollino blu Iso, salvo poi designare momentaneamente come Dpo un proprio dirigente nelle more della causa. II punto è che la norma Isc/Iec/27001, in astratto estensibile alle p.a., non pub dare un titolo abilitante al posto di data protection officer: i corsi di formazione sono dedicati soprattutto all'organizzazione aziendale, durano fino a 40 ore e si concludono al massimo in cinque giorni.

L'Asl non coglie appieno la funzione di garanzia insita nell'incarico: il Dpo non deve escogitare meccanismi per incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma soprattutto garantire la tutela del diritto alla privacy, al di là dei come sono utilizzati e propagati i dati personali.

Insomma: il Dpo è anzitutto tenuto a conoscere in modo minuzioso la disciplina di settore e la relativa attuazione, mentre la norma Iso/Iec/27001 non pub che far salva l'applicazione delle norme Ue e nazionali in materia di privacy e pub essere valutata come un titolo ulteriore. D'altronde neanche il dirigente Asl è in possesso della certificazione di qualità eppure viene designato come Dpo, sia pure ad interim. L'amministrazione paga le spese di giudizio.

Da Italia Oggi del 04/10/2018

Informazioni aggiuntive