Il Tar Friuli Venezia Giulia si esprime sul ricorso avverso l’aggiudicazione di gara per l’affidamento del servizio di Responsabile della Protezione dei Dati – Data Protection Officer.
Una figura importante negli enti pubblici e nelle aziende private ai fini dell’applicazione della normativa in materia di privacy, i cui requisiti professionali però non sono definiti con puntualità dalla normativa.
E dunque è rimessa alla discrezionalità delle stazioni appaltanti la fissazione dei requisiti di partecipazione del Responsabile della Protezione dei Dati ( che non necessariamente deve essere laureato in giurisprudenza o avere il titolo di avvocato).
Secondo il ricorrente la stazione appaltante avrebbe dovuto escludere il controinteressato perché egli non disporrebbe di una conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati personali, né tantomeno di una conoscenza approfondita delle norme e procedure amministrative applicabili agli enti pubblici.
Tar Friuli Venezia Giulia, Sez. I, 11/03/2022, n.128 respinge il ricorso:
4.Il ricorso è infondato.
L’art. 37, par. 5 del Reg Ue n. 679/2016 prevede che “Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.
Il successivo art. 39 prevede che “Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:
a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35; d) cooperare con l’autorità di controllo;
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
2.Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo”.
Il considerando 97 del regolamento appena citato prevede, tra le altre cose, che il livello necessario di conoscenza specialistica dovrebbe essere determinato in particolare in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento.
5.In base al quadro normativo appena tracciato emerge che il livello di conoscenza specialistica richiesto per ricoprire la qualifica di DPO non trova una definizione tassativa né prescrizioni puntuali richiedenti specifici titoli o attestazioni di sorta.
Piuttosto l’individuazione delle conoscenze specialistiche deve essere proporzionata alla sensibilità, complessità e quantità dei dati sottoposti a trattamento (in questo senso sono anche le c.d. “Linee guida sui responsabili della protezione dei dati”, adottate il 13 dicembre 2016 ed emendate il 5 aprile 2017 alle quali il ricorrente fa riferimento).
Come visto, l’articolo 37, paragrafo 5, non indica nemmeno le specifiche qualità o qualifiche professionali formali da prendere in considerazione nell’individuazione del DPO, limitandosi piuttosto a reputare pertinenti al riguardo la conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dei dati e un’approfondita conoscenza del RGPD, conoscenze queste ultime certamente non riservate a determinate qualifiche professionali.
6.In assenza di stringenti vincoli legali e testuali, pertanto, non può che essere rimessa alla discrezionalità delle singole amministrazioni di valutare le competenze richieste caso per caso, in modo da implementare adeguati criteri selettivi dei candidati.
Nel caso di specie la lex specialis ha previsto, tra i requisiti di partecipazione richiesti, l’iscrizione del candidato nell’albo professionale o nel registro commerciale, introducendo così elementi qualificanti non palesemente inadeguati o assolutamente inidonei a selezionare possibili candidature. Giova infatti al riguardo ripetere ancora una volta che la normativa sovraordinata richiamata dal ricorrente, differentemente da quel che si sostiene nel ricorso, non detta puntuali vincoli idonei ad integrare la legge di gara con effetto vincolante per l’amministrazione procedente.
Scendendo nel concreto, poi, il controinteressato ha dimostrato nel corso della procedura di gara di disporre di una conoscenza specialistica adeguata della normativa e delle prassi in materia di protezione dei dati personali: è in atti il suo curriculum vitae prodotto in data 26 ottobre 2021 dal cui esame emerge una significativa esperienza nel settore oggetto di gara e una serie di attestati specialistici tanto nell’ambito della protezione dei dati personali quanto in ambito di cybersecurity.
Sempre con riguardo alle conoscenze specialistiche e professionali, il Collegio condivide poi quanto affermato dall’Amministrazione nelle proprie difese atteso che la conoscenza specialistica in questione non richiede in senso stretto una formazione giuridica che debba necessariamente presuppore il titolo di laurea in giurisprudenza o il conseguimento del titolo di avvocato.
A ciò osta infatti – in assenza di precisi e pertinenti vincoli che possano eterointegrare la legge di gara e che siano desumibili dalla normativa di settore richiamata dal ricorrente – il principio della massima partecipazione e della libera concorrenza.
Dalle suesposte considerazioni discende pertanto l’infondatezza del primo motivo di gravame.
A cura di Roberto Donati – Giurisprudenza e Appalti