Il requisito dell’iscrizione all’albo professionale degli avvocati ai fini dell’affidamento del servizio di responsabile protezione dati non è necessariamente in grado di dimostrare il possesso delle competenze tecniche per lo svolgimento adeguato del servizio e si palesa del tutto sproporzionato e discriminatorio perché idoneo a escludere in modo ingiustificato dalla competizione soggetti esperti della materia, ma non iscritti all’albo.
Le PP.AA. devono valutare con attenzione i requisiti da inserire nei propri bandi per la selezione dei RPD al fine di evitare restrizioni all’accesso alle selezioni che possano risultare sproporzionate e ingiustificate.
Autorità Garante per la concorrenza e il mercato, segnalazione 2 gennaio 2020, n. AS1636 [1]
A margine
L’Autorità della Concorrenza e del Mercato, a seguito della ricezione di una segnalazione su possibili criticità concorrenziali nelle procedure di affidamento del servizio di Responsabile Protezione Dati (RPD) da parte di alcuni ee.ll. ha svolto alcune osservazioni, ai sensi dell’art. 21 della legge n. 287/90 [2], al fine di rimuovere gli ostacoli all’operatività dei soggetti attivi in questo settore.
In particolare, l’Autorità ha verificato che alcuni Comuni e Unioni di Comuni, nel selezionare un RPD esterno, richiedono l’iscrizione nell’albo professionale degli avvocati o la laurea in giurisprudenza.
Conseguentemente l’AGCM ha formulato una specifica segnalazione sul punto.
La segnalazione
L’Autorità chiarisce che, rispetto ai requisiti che il RPD deve possedere, la normativa in vigore non fa riferimento a specifici titoli di studio, né richiede iscrizioni agli albi professionali.
Si ricorda, infatti, che l’art. 37 del Regolamento (UE) 2016/679 (RGPD) [3] stabilisce che anche le Amministrazioni Pubbliche, in quanto titolari del trattamento dei dati personali, provvedano a designare un RPD destinato ad assolvere funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento. Il comma 5 dell’art. 37 del Regolamento [3] prevede che «il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39».
Le Linee guida [4] sui responsabili della protezione dati, elaborate dal Gruppo di lavoro ‘Articolo 29’ per la protezione dei dati, sulla base dell’art. 37, comma 6, del Regolamento [3], consentono di designare un RPD esterno.
Sul tema delle qualità professionali richieste al RPD, nelle citate Linee Guida si legge: «l’articolo 37, paragrafo 5, non specifica le qualità professionali da prendere in considerazione nella nomina di un RPD; tuttavia, sono pertinenti al riguardo la conoscenza da parte del RPD della normativa e delle prassi nazionali ed europee in materia di protezione dei dati e un’approfondita conoscenza del RGPD [3]. Proficua anche la promozione di una formazione adeguata e continua rivolta ai RPD da parte delle Autorità di controllo. È utile la conoscenza dello specifico settore di attività e della struttura organizzativa del titolare del trattamento; inoltre, il RPD dovrebbe avere buona familiarità con le operazioni di trattamento svolte nonché con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dal titolare. Nel caso di un’autorità pubblica o di un organismo pubblico, il RPD dovrebbe possedere anche una conoscenza approfondita delle norme e procedure amministrative applicabili». Le Linee Guida prevedono, inoltre, che «il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento. Per esempio, se un trattamento riveste particolare complessità oppure comporta un volume consistente di dati sensibili, il RPD avrà probabilmente bisogno di un livello più elevato di conoscenze specialistiche e di supporto.
Fra le competenze e conoscenze specialistiche pertinenti rientrano le seguenti:
- conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dei dati, compresa un’approfondita conoscenza del RGPD; [3]
- familiarità con le operazioni di trattamento svolte;
- familiarità con tecnologie informatiche e misure di sicurezza dei dati;
- conoscenza dello specifico settore di attività e dell’organizzazione del titolare/del responsabile;
- capacità di promuovere una cultura della protezione dati all’interno dell’organizzazione del titolare/del responsabile».
Né il Regolamento [3] né le Linee guida [4] sopra citate, quindi, richiedono un’abilitazione professionale per l’esercizio del ruolo di RDP. Analogamente, non vi è traccia di simili requisiti al punto 2.5.2 relativo alle “Qualifiche, competenze e posizione del RPD” del Manuale, predisposto da cinque Autorità (Polonia, Spagna, Bulgaria, Croazia e Italia), destinato ai Responsabili della protezione dei dati nei settori pubblici e parapubblici per il rispetto del Regolamento generale sulla protezione dei dati dell’Unione Europea. Né, infine, il Garante per la protezione dei dati personali individua come necessari tali requisiti, così come emerge nelle FAQ pubblicate [5] sul sito.
Sul punto, atteso che le norme che disciplinano le funzioni e i requisiti del RPD non individuano un determinato titolo di studio ai fini dello svolgimento di tale incarico, l’Autorità invita le Pubbliche Amministrazioni che intendano richiedere un titolo di studio specifico a tenere in dovuta considerazione la proporzionalità tra quanto richiesto e la complessità del compito da svolgere nel caso concreto.
Infatti, con specifico riferimento al requisito dell’iscrizione all’albo professionale degli avvocati, esso appare discriminatorio e non giustificato. Tale requisito, invero, non è necessariamente in grado di dimostrare il possesso delle competenze tecniche per lo svolgimento adeguato del servizio e si palesa, nel caso di specie, del tutto sproporzionato e discriminatorio, perché idoneo a escludere in modo ingiustificato dalla competizione soggetti esperti della materia, ma non iscritti all’albo.
In conclusione, sulla base di quanto precede, l’Autorità auspica che gli ee.ll. segnalati valutino con attenzione i requisiti da inserire nei propri bandi per la selezione dei RPD al fine di evitare restrizioni all’accesso alle selezioni che possano risultare sproporzionate e ingiustificate.