Il Tar Friuli-Venezia Giulia, Sez. I, con la sentenza n. 128 dell’11 marzo 2022, si è pronunciato sul ricorso avverso l’aggiudicazione di gara per l’affidamento del servizio di Responsabile della Protezione dei Dati – Data Protection Officer, stabilendo che è rimessa alla discrezionalità delle stazioni appaltanti la fissazione dei requisiti di partecipazione del Responsabile della Protezione dei Dati purchè gli stessi siano qualificanti e non palesemente inadeguati o assolutamente inidonei a selezionare possibili candidature.
L’oggetto del ricorso
Il ricorrente, giunto secondo in una procedura avente ad oggetto “l’affidamento del servizio di Responsabile della Protezione dei Dati – Data Protection Officer”, ha impugnato l’aggiudicazione in favore del controinteressato.
Il ricorrente lamenta che il Comune avrebbe dovuto escludere il controinteressato in quanto lo stesso non disporrebbe di una conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati personali, né tantomeno di una conoscenza approfondita delle norme e procedure amministrative applicabili agli enti pubblici.
Il quadro normativo
La figura del Responsabile della protezione dei dati è regolamentata dagli articoli 37-39 del Regolamento UE n. 679/2016 (oltrechè il considerando 97), dove vengono individuati i soggetti tenuti a ricoprire questo ruolo, i compiti che devono assumere e dettando le regole per una corretta designazione.
L’art. 37, par. 5 del Regolamento UE n. 679/2016 prevede che “Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.
Il considerando 97 del Regolamento UE n. 679/2016 prevede, tra le altre cose, che il livello necessario di conoscenza specialistica dovrebbe essere determinato in particolare in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento.
Quindi, dalla normativa emerge che il livello di conoscenza specialistica richiesto per ricoprire la qualifica di DPO non trova una definizione tassativa né prescrizioni puntuali richiedenti specifici titoli o attestazioni di sorta.
L’articolo 37, paragrafo 5, non indica nemmeno le specifiche qualità o qualifiche professionali formali da prendere in considerazione nell’individuazione del DPO, limitandosi piuttosto a reputare pertinenti al riguardo la conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dei dati e un’approfondita conoscenza del RGPD, conoscenze queste ultime certamente non riservate a determinate qualifiche professionali.
La decisione del Tar
Il Collegio ha quindi affermato il principio per cui in assenza di stringenti vincoli legali e testuali, pertanto, non può che essere rimessa alla discrezionalità delle singole amministrazioni di valutare le competenze richieste caso per caso, in modo da implementare adeguati criteri selettivi dei candidati.
Nel caso di specie la lex specialis ha previsto, tra i requisiti di partecipazione richiesti, l’iscrizione del candidato nell’albo professionale o nel registro commerciale, introducendo così elementi qualificanti non palesemente inadeguati o assolutamente inidonei a selezionare possibili candidature.
Inoltre, il controinteressato ha dimostrato nel corso della procedura di gara di disporre di una conoscenza specialistica adeguata della normativa e delle prassi in materia di protezione dei dati personali. Per questi motivi, il Tar Friuli-Venezia Giulia ha respinto il ricorso e dichiarato il principio in base al quale è rimessa alla discrezionalità delle stazioni appaltanti la fissazione dei requisiti di partecipazione del Responsabile della Protezione dei Dati, purchè siano criteri adeguati e coerenti con l’oggetto della gara.
Questo articolo ti è stato utile?
Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.