DPO – sentenza del TAR Friuli Venezia Giulia 13.9.2018 n. 287

Il DPO è un professionista del diritto; i diplomi ISO 27001 non sono abilitanti – sentenza del TAR Friuli Venezia Giulia 13.9.2018 n. 287.

I diplomi di Lead Auditor ISO 27001 non possono costituire requisito per l’attribuzione di un incarico di Data Protection Officer (DPO).

Il nucleo essenziale ed irriducibile della figura professionale del DPO è eminentemente giuridico, ed attiene alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali.

Lo ha affermato il TAR di Trieste nella sentenza n. 287 del 13.9.2018, annullando l’avviso, pubblicato da un’azienda sanitaria per il conferimento di un incarico di DPO ai sensi dell’art. 7 del D.lgs. 165/2001 (incarico di consulenza di elevata specializzazione), nella parte in cui prevedeva – come requisito di ammissione – il possesso del diploma di Lead Auditor (o di Auditor) ISO 27001.

La pronuncia del TAR dovrebbe indurre soprattutto le amministrazioni pubbliche ad un’approfondita riflessione sull’attribuzione dell’incarico di DPO, la cui nomina è obbligatoria ai sensi del GDPR: data la funzione del DPO, l’incarico dovrebbe essere affidato ad un giurista, e l’eventuale possesso di un diploma ISO 27001 non costituisce un titolo pertinente.