La “certificazione Auditor/Lead Auditor ISO/IEC/27001”, richiesta come requisito di ammissione in una procedura per l’affidamento dell’incarico di responsabile della protezione dei dati, non può costituire requisito di ammissione alla selezione perché non coglie (o non coglie appieno) la specifica funzione di garanzia insita nell’incarico, il cui oggetto non è costituito dalla predisposizione di meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai, alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo.
Tar Friuli Venezia Giulia, sentenza 13 settembre 2018, n. 287, Pres. Settesoldi, Est. Bardino
Il fatto
Due ASL indicono una procedura comparativa per l’affidamento di un incarico di collaborazione professionale ex art. 7, c. 6 D.Lgs. 165/2001 per l’impostazione e lo svolgimento dei compiti di responsabile della protezione dei dati personali trattati con selezione per titoli ed eventuale colloquio.
Tra i requisiti di partecipazione, veniva richiesto oltre il possesso del diploma di laurea in Informatica o Ingegneria Informatica, ovvero in Giurisprudenza o equipollenti, anche la certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001.
Un candidato non ammesso in quanto sfornito di tale ultimo titolo adisce pertanto al Tar contestando:
- la pertinenza rispetto al ruolo da ricoprire della “certificazione Auditor/Lead Auditor ISO/IEC/27001”, ritenendo che il titolo, oltre che privo di attinenza riguardo alle mansioni specificamente richieste dal GDPR e agli stessi compiti enunciati nell’avviso, determinerebbe un’indebita sperequazione ai danni dei soggetti titolari della laurea in Giurisprudenza, i quali, ove ne fossero sprovvisti, non potrebbero partecipare alla selezione per difetto dei requisiti richiesti;
- la riconducibilità delle competenze, necessarie per lo svolgimento dell’incarico, alla laurea in Informatica o in Ingegneria informatica, ritenendo che il profilo professionale oggetto della selezione possa essere ricoperto soltanto da un laureato in giurisprudenza.
La sentenza
Il Tar ritiene il ricorso fondato in relazione alla contestata individuazione della certificazione di Auditor/Lead Auditor ISO/IEC/27001 quale requisito di ammissione alla procedura selettiva.
Infatti la predetta certificazione non costituisce, come eccepito dal ricorrente, un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati, nell’alveo della disciplina introdotta dal GDPR, dovendo considerare che:
- da un lato, la norma ISO 27001 trova prevalente applicazione nell’ambito dell’attività di impresa (basti rilevare che i riferimenti rivolti ad essa, dal legislatore nazionale e dall’ordinamento euro-unitario, attengono essenzialmente ai requisiti degli operatori economici, come ad esempio avviene nel caso dell’art. 93, comma 7, D. Lgs. n. 50 del 2016, in tema di garanzie per la partecipazione alle procedure di affidamento nei settori ordinari);
- dall’altro lato, la medesima norma, per quanto potenzialmente estensibile all’attività delle pubbliche amministrazioni, fa pur sempre salva l’applicazione delle disposizioni speciali (euro-unitarie e nazionali) in materia di tutela dei dati personali e della riservatezza (punto 18 “conformità” della citata norma ISO; cfr. in particolare: 18.1.1 e 18.1.4), sicché la minuziosa conoscenza e l’applicazione della disciplina di settore restano, indipendentemente dal possesso o meno della certificazione in parola, il nucleo essenziale ed irriducibile della figura professionale ricercata mediante la procedura selettiva intrapresa dall’Azienda, il cui profilo, per le considerazioni anzidette, non può che qualificarsi come eminentemente giuridico.
Ne consegue che la certificazione, indicata nell’avviso, di per sé non può costituire requisito di ammissione alla selezione in esame (né tanto meno assurgere a titolo equipollente al richiesto diploma di laurea), proprio perché essa non coglie (o non coglie appieno) la specifica funzione di garanzia insita nell’incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai, come rilevato nel ricorso, alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo.
Tali conclusioni sono ulteriormente rafforzate dall’esame dei programmi dei corsi finalizzati all’acquisizione della certificazione ISO/IEC/27001, caratterizzati da una durata particolarmente contenuta (2/5 giorni), per un massimo di 40 ore, dalla netta prevalenza delle tematiche attinenti all’organizzazione aziendale (e ciò a discapito dei profili giuridici) e dall’assenza di contenuti riferibili all’attività e alla struttura delle pubbliche amministrazioni.
Conclusioni
I rilievi del collegio consentono quindi di escludere che dal possesso della certificazione, conseguita a seguito dei corsi indicati, possa essere fatta dipendere l’ammissione alla procedura selettiva, trattandosi, a ben vedere, di un mero titolo curriculare ma non anche di un titolo formativo o abilitante, come tale idoneo ad assurgere a requisito di accesso.
Il che appare tanto più vero quando il giudice evidenzia che i dirigenti incaricati dalle due Aziende dello svolgimento, nelle more del giudizio, dei compiti di responsabile della protezione dei dati, risultano in effetti carenti proprio della certificazione ISO/IEC/27001, la cui mancanza ha però contraddittoriamente determinato il giudizio di non ammissione, formulato nei confronti del ricorrente.
Pertanto l’avviso di selezione e il conseguente provvedimento di esclusione del ricorrente sono annullati.
di Simonetta Fabris