Con la Segnalazione n. AS 1636 del 2 gennaio 2020[1], l’AGCM (Autorità Garante della Concorrenza e del Mercato) “boccia” la prassi delle Pubbliche Amministrazioni di chiedere specifici titoli di studio o iscrizioni ad Albi professionali come requisito per il conferimento di incarico di DPO. Nello specifico, l’Antitrust ha segnalato che in alcune procedure di selezione sono richieste o la laurea in giurisprudenza o l’iscrizione nell’Albo Avvocati.
La scelta di introdurre requisiti ulteriori e non coerenti con le prescrizioni del GDPR è stata valutata dall’Autorità come un criterio “sproporzionato e discriminatorio”, ma non soltanto. Il rilievo ulteriore è che tale criterio di accesso non sia sufficiente per dimostrare il possesso delle competenze essenziali richieste dalla norma.
Già il TAR Friuli Venezia-Giulia, con la sent. 13/9/2018 n. 287[2] aveva escluso che il possesso di una certificazione di Auditor/Lead Auditor ISO/IEC 27001 potesse avere funzione di titolo abilitante per lo svolgimento di incarico di DPO, evidenziando invece come la conoscenza e l’applicazione della disciplina di settore siano “nucleo essenziale ed irriducibile della figura professionale” il cui profilo “non può che qualificarsi come eminentemente giuridico”. Anche in questo caso la soluzione è stata trovata andando alla lettera della norma per valutare la (in)coerenza dei requisiti richiesti per l’accesso alla procedura di selezione.
Viene da citare il celebre motto latino: in claris non fit interpretatio.
Il GDPR e le Linee Guida del WP29 non prescrivono qualità professionali collegate né derivanti da un determinato titolo di studio o un’abilitazione professionale, bensì un generale possesso di competenze tecniche necessarie per lo svolgimento adeguato della funzione di DPO. Fra tali competenze rientra la conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, nonché la capacità di assolvere i compiti di cui all’art. 39 GDPR. Criteri sostanziali ed effettivi, che badano all’efficace attuazione delle prescrizioni normative.
Sul piano operativo è ovviamente preferibile (e dunque può costituire un criterio preferenziale di selezione) avere conoscenza del settore di attività e dell’organizzazione del titolare, delle attività di trattamento svolte e dei mezzi impiegati. L’eventuale richiamo di una certificazione o di un determinato titolo di studio all’interno della procedura di selezione, inoltre, dovrebbe aver valore di fornire un’utile attestazione delle evidenze riguardanti il possesso dei requisiti indicati dall’art. 37 GDPR, ma non deve produrre l’effetto di ostacolare il principio generale della massima partecipazione alle gare pubbliche introducendo criteri irragionevoli o con effetti discriminatori.
Il
rischio, inoltre, è che tali criteri siano non soltanto sproporzionati, ma
anche non attinenti alle prescrizioni indicate dalla norma e che la procedura
di selezione si possa rischiosamente concludere con un DPO con molti titoli ma
ben poche competenze.
Con buona pace della
ricerca di una prevalenza della sostanza sulla forma e sui formalismi.
[1] https://www.agcm.it/dettaglio?db=C12563290035806C&uid=35365ED45E2A9499C12584E3004950CA&view=vw0301&title=AS1636-SELEZIONI%20PER%20L%27AFFIDAMENTO%20DEL%20SERVIZIO%20DI%20RESPONSABILE%20PROTEZIONE%20DATI&fs=21-Attivit%C3%A0%20di%20segnalazione%20al%20Parlamento%20e%20al%20Governo
[2] https://www.giustizia-amministrativa.it/portale/pages/istituzionale/ucm?id=5llmwh2mbe2jvpc536fumjhnyu
