La ISO 27001 non è necessaria per assumere l’incarico di Data Protection Officer

Il TAR Friuli Venezia Giulia si pronuncia sui rapporti tra ISO e GDPR in relazione all’incarico di D.P.O. nelle PP.AA.

Sentenza n. 287/2018 del 5 settembre 2018

Il Fatto

In settembre il TAR Friuli ha pubblicato una delle primissime sentenze in materia di applicazione del G.D.P.R.
La questione riguardava l’espletamento di una procedura selettiva comparativa, attivata da una azienda sanitaria, per l’affidamento di un incarico di collaborazione professionale come D.P.O. (Data Protection Officer) ai sensi di quanto previsto dagli artt. 37-39 G.D.P.R..

Nel caso di specie, l’azienda sanitaria in questione, data l’assenza di una figura professionale interna in possesso delle competenze richieste dalla normativa per l’assunzione dell’incarico di D.P.O. aveva indetto una selezione per titoli e colloquio di “un esperto di normativa e prassi in materia di protezione dati”.

Con riguardo ai requisiti di partecipazione alla selezione, l’avviso richiedeva:

  • il possesso del diploma di laurea in Informatica o in Ingegneria informatica o in Giurisprudenza o equipollenti;
  • certificazione di Auditor o Lead Auditor per i Sistemi di Gestione per la Sicurezza delle informazioni secondo la norma ISO/IEC/27001.

Il ricorrente, laureato in Giurisprudenza e non in possesso della certificazione di Auditor o Lead Auditor ISO 27001, proponeva immediata impugnazione dell’avviso di selezione, eccependo la violazione degli artt. 37 e 39 G.D.P.R. sotto il profilo dell’eccesso di potere nella scelta dei requisiti di partecipazione.

Da un lato infatti, secondo la tesi del ricorrente, il possesso della certificazione di Auditor o Lead Auditor ISO 27001 sarebbe non pertinente rispetto al ruolo del D.P.O., perchè non atterrebbe ai compiti sussistenti in capo a questa figura. D’altro canto, era contestata la stessa riconducibilità delle competenze del D.P.O. alla laurea in Informatica o in Ingegneria Informatica, ritenendo che il predetto ruolo potesse essere ricoperto compiutamente soltanto da un laureato in Giurisprudenza.

La Decisione

Il TAR Friuli Venezia Giulia ha accolto il ricorso del candidato ritenendo l’impugnazione proposta, “manifestamente fondata” in relazione alla indicazione della certificazione di Auditor o Lead Auditor ISO 27001 quale requisito necessario ai fini dell’assunzione dell’incarico di Data Protection Officer.

Il Giudice Amministrativo ha infatti spiegato che la ISO 27001 ha prevalente applicazione nell’ambito dell’attività di impresa e, anche se potenzialmente estensibile all’attività delle pubbliche amministrazioni, in ogni caso non pertiene indefettibilmente alla figura del Data Protection Officer.

Secondo il Tar, il nucleo essenziale di tale figura si concreta nella “minuziosa conoscenza e l’applicazione della disciplina di settore”. Infatti, continua il consesso amministrativo, la certificazione ISO 27001 non coglie la “funzione di garanzia” insita nell’incarico di D.P.O., il quale non è deputato ad incrementare la sicurezza nella gestione delle informazioni ma a tutelare il diritto fondamentale dell’individuo alla tutela dei dati personali.

Considerazioni

L’assunto del TAR coglie nel segno.

Lo standard ISO/IEC 27001 è un sistema di norme tecniche finalizzato a raccogliere le misure necessarie a garantire la sicurezza di un sistema di gestione delle informazioni.

Il campo applicativo della predetta norma è dunque non coincidente ma piuttosto intersecante con quello coperto dalla normativa sulla protezione dei dati personali.

La ISO 27001 ha ad oggetto le informazioni in generale, di ogni natura, tra le quali sono ovviamente ricompresi i dati personali che però non ne costituiscono l’oggetto precipuo.

L’obiettivo della ISO 27001 è garantire la sicurezza delle informazioni, e quindi assicurarsi che non sia compromessa la loro integrità, riservatezza, disponibilità.

La normativa specialistica in materia di protezione dei dati personali, invece, ha ad oggetto specificamente questi ultimi, intesi come qualunque informazione attraverso la quale, anche indirettamente possa risalirsi all’identità di una persona fisica.

L’obiettivo della normativa sulla protezione dei dati personali è garantire che il trattamento degli stessi avvenga in modo lecito, controllabile, sicuro.

Le due normative pertanto si incrociano con riguardo al profilo della sicurezza dei dati personali; sicurezza che deve essere garantita al fine di scongiurare eventi di violazione (cd. Data breaches).

L’utilizzo di queste coordinate appena tracciate, unitamente all’analisi degli artt. 37, 38 e 39 G.D.P.R. Consente di comprendere agevolmente perchè la certificazione da Auditor 27001, per quanto strumento senza dubbio utile, non sia condizione né sufficiente né necessaria allo svolgimento dei compiti del D.P.O..

In primis l’art. 37 par. 3 G.D.P.R. Pone l’accento soprattutto sulle competenze giuridiche del D.P.O.: “Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.

L’art. 39 G.D.P.R. Non elenca tra i compiti del D.P.O. quello di garantire la sicurezza dei dati personali. Tale compito spetta in effetti al titolare, così come previsto dall’art. 32 par. 1 G.D.P.R.: “il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.

Tra le attribuzioni del D.P.O., quella che più si avvicina al ruolo dell’Auditor è contenuta nell’art. 39 par. 1 lett. b): “sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”.

Ebbene, come è agevole notare, l’Auditor ha una funzione precipua di certificazione e verifica; il D.P.O. di sorveglianza. L’unica ragione per cui al D.P.O. potrebbe essere utile avere anche la qualifica di Auditor consiste nella più accurata conoscenza delle misure necessarie per perseguire la sicurezza dei dati personali che consentirebbe una sorveglianza più penetrante sulla applicazione da parte del titolare dell’art. 32 G.D.P.R..

Tuttavia, imporre che il D.P.O. possegga la qualifica di Auditor 27001, sembrerebbe anche irragionevolmente pretendere che il Titolare si certifichi ISO 27001, e per una ragione ovvia. Se si ritiene che essere Auditor sia circostanza necessaria per sorvegliare l’adempimento degli oneri in materia di sicurezza, ciò vorrebbe dire che tali oneri dovrebbero intendersi adempiuti soltanto ove siano rispettati gli standard della ISO 27001.

Questo adempimento però non è minimamente preteso dal G.D.P.R., il quale agli artt. 42 e 43, dispone che gli Stati membri incoraggino l’ottenimento di certificazioni in materia di protezione dati, ma afferma al contempo esplicitamente che la certificazione è volontaria (art. 42 par. 3).

Peraltro, anche ove il titolare volesse certificarsi ISO 27001 non potrebbe mai spettare al D.P.O. l’assolvimento di tale compito di certificazione, stante l’assenza di terzietà assoluta e neutralità dello stesso rispetto al titolare (atteso peraltro che il D.P.O. riceve un compenso professionale da parte del titolare stesso, circostanza che potrebbe minarne la neutralità). Se, infatti, il D.P.O. può svolgere anche compiti diversi da quelli suoi propri, ex art. 38 par. 6 G.D.P.R., tali compiti ulteriori non possono mai dare luogo ad un conflitto di interessi.

Infine l’art. 39 par. 2 specifica che è il titolare a dove sostenere il D.P.O. nell’assolvimento dell’incarico “fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica”.

Tale ultima disposizione consacra l’idea per cui il D.P.O. deve essere un esperto in materia di tutela dei dati personali, non un tuttologo, non un giurista/hacker, non un informatico esperto di leggi. E’ naturale che questa figura, naturalmente ancipite subirà con gli anni uno sviluppo di competenze notevole, grazie alla promozione di percorsi formativi ad hoc che creeranno figure dotate di conoscenza tecnica approfondita su entrambi i rami coinvolti nell’ambito della protezione dei dati personali. Nel frattempo, però, emerge uno sforzo reciproco dei giuristi di dotarsi di competenze tecniche, e dei tecnici di competenze giuridiche, e appare iniquo e sproporzionato richiedere il possesso di qualifiche non strettamente pertinenti ai ruoli da svolgere. Nell’ambito di una procedura competitiva equa, il possesso di certificazione ISO potrebbe svolgere al più un ruolo di requisito preferenziale al pari di master specializzanti o di altri titoli accessori, il cui possesso non può essere ritenuto condizione necessaria per l’assolvimento di compiti in materia di protezione dati.

Articolo di
Avv. Valeria Curci – Data Protection Specialist