Il Regolamento (UE) 2016/679 agli artt. 37-39 prevede l’istituzione di una nuova figura, quella del Responsabile della protezione dei dati (DPO)

L’importanza di tale figura è desumibile dal Considerando 97, laddove si prevede che in determinate circostanze “il titolare del trattamento o il responsabile del trattamento dovrebbe essere assistito da una persona che abbia una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati nel controllo del rispetto a livello interno del presente Regolamento (UE) 2016/679”. Da tale lettura si evince che i due aspetti fondamentali di tale ruolo, consistano nell’indipendenza rispetto agli altri soggetti del trattamento e nelle competenze e conoscenze specialistiche in materia.

L’art. 37 del Regolamento (UE) 2016/679 prevede che il DPO debba necessariamente essere designato quando:

  1. il trattamento venga effettuato da un’autorità pubblica;

  2. le attività principali del Titolare e del Responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

  3. le attività principali di suddetti soggetti consistano in trattamenti su larga scala di categorie particolari di dati.

Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.

Relativamente ai vantaggi che possono essere conseguiti designando un DPO interno all’organizzazione, egli ricopre un ruolo centrale presso la sua istituzione, di cui deve conoscere le problematiche o le principali rischiosità; egli deve giocare un ruolo chiave nel formulare pareri e nel cercare di risolvere i problemi in materia di protezione dei dati di quello specifico organismo. Allo stesso tempo, possono sorgere problemi, soprattutto se il Responsabile è nominato part-time e continua a ricoprire altre cariche nell’organismo di appartenenza.

Parallelamente, i DPO esterni devono avere una piena e profonda comprensione degli organismi per i quali prestano la loro opera e delle attività di trattamento. Devono, inoltre, essere pienamente e facilmente raggiungibili dal personale degli organismi in questione, dai soggetti interessati e dal Garante. I loro dati di contatto devono chiaramente figurare nei siti web delle rispettive autorità così come in tutto il materiale informativo.

La procedura per la stipulazione di un contratto di servizi con un DPO esterno può avvenire, nel caso si tratti di una società esterna che offra tale servizio, anche mediante la procedura negoziata di cui all’art. 36 comma 2 lett. b del d.lgs. n. 50/2016. Quindi,l'Amministrazione si determina ad instaurare la procedura per l’affidamento dell’incarico di Responsabile protezione dati dopo avere ritenuto necessario "reclutare le necessarie professionalità", avendo "appurato che il servizio in esame non rientra in gare centralizzate regionali e non è presente nel mercato elettronico della pubblica amministrazione.

L’art. 36, comma 2, lett. b) del d. lgs. n. 50/2016 consente alle stazioni appaltanti la facoltà di dare corso alla procedura semplificata nel caso di affidamento di contratti di importo pari o superiore a € 40.000,00 e inferiore a € 150.000,00; come testualmente previsto dalla disposizione richiamata, detta procedura negoziata deve essere preceduta dalla "consultazione, ove esistenti, di almeno dieci operatori economici per i lavori, e, per i servizi e le forniture di almeno cinque operatori economici individuati sulla base di indagini di mercato o tramite elenchi di operatori economici, nel rispetto di un criterio di rotazione degli inviti".

Le Linee Guida ANAC n. 4, approvate con deliberazione 1° marzo 2018, n. 206, precisano che la stazione appaltante assicura l'opportuna pubblicità dell'attività di esplorazione del mercato, scegliendo gli strumenti più idonei in ragione della rilevanza del contratto per il settore merceologico di riferimento e della sua contendibilità, da valutare sulla base di parametri non solo economici.

Per la pubblicità del bando l’amministrazione titolare del trattamento deve pubblicare un bando nella sezione dell’albo online e richiamato con un link nella sezione “amministrazione trasparente”.

La durata della pubblicazione è stabilita in ragione della rilevanza del contratto, per un periodo minimo identificabile in quindici giorni, salva la riduzione del suddetto termine per motivate ragioni di urgenza a non meno di cinque giorni" .

Il T.A.R. Friuli-Venezia Giulia sez. I - Trieste, sent. 18 luglio 2018, n. 252, in tema di pubblicità che bisogna dare al bando di gara, ha affermato che «La carenza della pubblicità dell'avviso rende del tutto inattendibile la procedura di selezione del contraente posta in essere dall'Amministrazione e, nel contempo, si dimostra direttamente lesiva della posizione del ricorrente, avendone illegittimamente precluso la partecipazione, nonostante egli risultasse in possesso dei titoli prescritti. Devono dunque essere annullati gli atti di gara oggetto del presente giudizio, potendosi prescindere dall'esame dei restanti motivi, da dichiararsi assorbiti, in ragione dell'accoglimento del primo profilo di censura».

L'Amministrazione nel caso di specie aveva omesso di dare corso alla prescritta pubblicazione dell'avviso, adempimento del quale non viene fornita prova alcuna. Neppure sussistono nel caso di specie i presupposti per dare corso all'affidamento diretto, ai sensi dell'art. 63, D. Lgs. n. 50 del 2016, d’altronde l'Amministrazione non ha neppure indicato quelle ragioni di "estrema urgenza derivante da eventi imprevedibili dall'amministrazione aggiudicatrice" che, se sussistenti, avrebbero consentito di derogare agli adempimenti previsti dalla procedura adottata ((art. 63, comma 2, lett. c).

Sempre il T.A.R. Friuli-Venezia Giulia sez. I - Trieste, con altra sentenza del . 13 settembre 2018, n. 287, ha ricordato che la certificazione ISO/IEC/27001 per la nomina del DPO nella pubblica amministrazione, non è requisito di ammissione alla selezione.

Il TAR ha osservato che la norma ISO 27001 trova prevalente applicazione nell'ambito dell'attività di impresa (come ad esempio avviene nel caso dell'art. 93, comma 7, D. Lgs. n. 50 del 2016, in tema di garanzie per la partecipazione alle procedure di affidamento nei settori ordinari); dall'altro lato, la medesima norma, per quanto potenzialmente estensibile all'attività delle pubbliche amministrazioni, fa pur sempre salva l'applicazione delle disposizioni speciali (euro-unitarie e nazionali) in materia di tutela dei dati personali e della riservatezza (punto 18 "conformità" della citata norma ISO.

La minuziosa conoscenza e l'applicazione della disciplina di settore restano, indipendentemente dal possesso o meno della certificazione in parola, il nucleo essenziale ed irriducibile della figura professionale ricercata mediante la procedura selettiva intrapresa dall'Azienda, il cui profilo, per le considerazioni anzidette, non può che qualificarsi come eminentemente giuridico.

Tale certificazione non può costituire requisito di ammissione alla selezione in esame perché essa non coglie appieno la specifica funzione di garanzia insita nell'incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai, come rilevato nel ricorso, alla tutela del diritto fondamentale dell'individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo.

Siffatti rilievi consentono di escludere, una volta di più, che dal possesso della certificazione, conseguita nel contesto di tali corsi, possa essere fatta dipendere l'ammissione alla procedura selettiva, trattandosi, a ben vedere, di un mero titolo curriculare (certamente valutabile in sede di giudizio sulle posizioni dei singoli candidati) ma non anche di un titolo formativo o abilitante, come tale idoneo ad assurgere a requisito di accesso.

Nel caso in cui si tratti di una prestazione d’opera professionale, la ricerca del DPO va fatta attraverso modalità più agili, quale l’avviso pubblico e la successiva comparazione dei curricula degli aspiranti. Si applicano, in tal caso gli articoli del codice civile regolatori del contratto di prestazione d’opera professionale.