+39-0941.327734 abbonati@ambientediritto.it
Giurisprudenza: Giurisprudenza Sentenze per esteso massime | Categoria: Appalti, Pubblica amministrazione Numero: 287 | Data di udienza: 5 Settembre 2018

* PUBBLICA AMMINISTRAZIONE – APPALTI – Affidamento dell’incarico di responsabile della sicurezza dei dati (GDPR) – Certificazione di Auditor ISO/IEC/27001 – Requisito di ammissione – Illegittimità – Mero titolo curriculare.


Provvedimento: Sentenza
Sezione: 1^
Regione: Friuli Venezia Giulia
Città: Trieste
Data di pubblicazione: 13 Settembre 2018
Numero: 287
Data di udienza: 5 Settembre 2018
Presidente: Settesoldi
Estensore: Bardino


Premassima

* PUBBLICA AMMINISTRAZIONE – APPALTI – Affidamento dell’incarico di responsabile della sicurezza dei dati (GDPR) – Certificazione di Auditor ISO/IEC/27001 – Requisito di ammissione – Illegittimità – Mero titolo curriculare.



Massima

 

TAR FRIULI VENEZIA GIULIA, Sez. 1^ – 13 settembre 2018, n. 287


PUBBLICA AMMINISTRAZIONE – APPALTI – Affidamento dell’incarico di responsabile della sicurezza dei dati – Certificazione di Auditor ISO/IEC/27001 – Requisito di ammissione – Illegittimità – Mero titolo curriculare.

La certificazione di Auditor/Lead Auditor ISO/IEC/27001  non costituisce un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati, nell’alveo della disciplina introdotta dal GDPR, dovendosi considerare che  la norma ISO 27001 trova prevalente applicazione nell’ambito dell’attività di impresa, e che la stessa, per quanto potenzialmente estensibile all’attività delle pubbliche amministrazioni, fa pur sempre salva l’applicazione delle disposizioni speciali (euro-unitarie e nazionali) in materia di tutela dei dati personali e della riservatezza. Ne consegue che la certificazione indicata, di per sé, non può costituire requisito di ammissione alla selezione per l’affidamento dell’incarico di responsabile della protezione dei dati, trattandosi di un mero titolo curriculare (certamente valutabile in sede di giudizio sulle posizioni dei singoli candidati) ma non anche di un titolo formativo o abilitante, come tale idoneo ad assurgere a requisito di accesso.

Pres. Settesoldi, Est. Bardino – F.B.R. c. Azienda per l’Assistenza Sanitaria n. 3 Alto Friuli Collinare Medio Friuli (avv. D’Orlando)


Allegato


Titolo Completo

TAR FRIULI VENEZIA GIULIA, Sez. 1^ - 13 settembre 2018, n. 287

SENTENZA

 

TAR FRIULI VENEZIA GIULIA, Sez. 1^ – 13 settembre 2018, n. 287

Pubblicato il 13/09/2018

N. 00287/2018 REG.PROV.COLL.
N. 00135/2018 REG.RIC.

REPUBBLICA ITALIANA

IN NOME DEL POPOLO ITALIANO

Il Tribunale Amministrativo Regionale per il Friuli Venezia Giulia

(Sezione Prima)

ha pronunciato la presente


SENTENZA

ex art. 60 cod. proc. amm.;
sul ricorso numero di registro generale 135 del 2018, integrato da motivi aggiunti, proposto dall’avv. Fabio Balducci Romano, in proprio, con domicilio digitale come da PEC da Registri di Giustizia;


contro

Azienda per l’Assistenza Sanitaria n. 3 Alto Friuli Collinare Medio Friuli, in persona del legale rappresentante pro tempore, rappresentato e difeso dall’avvocato Laura D’Orlando, con domicilio digitale come da PEC da Registri di Giustizia e domicilio eletto presso l’avv. Giulia Milo in Trieste, via di Mercato Vecchio 3;

nei confronti

Manuel Cacitti, non costituito in giudizio;

per l’annullamento

per quanto riguarda il ricorso introduttivo:

– dell’avviso pubblico prot. n. 16546 del 5.4.2018, per l’affidamento di un incarico di collaborazione professionale per l’impostazione e lo svolgimento nella fase di prima applicazione dei compiti di responsabile della protezione dei dati;

– del decreto del Direttore Generale dell’AAS3 n. 73 del 29.3.2018, recante in oggetto “Estensione convenzione con ASUIUD per le funzioni ICT in applicazione Regolamento (UE) 2016/679 e avviso pubblico di selezione per l’affidamento di un incarico di lavoro autonomo per l’impostazione e l’avvio delle funzioni di DPO”;

– di ogni altro atto presupposto, consequenziale e comunque connesso;

per quanto riguarda i motivi aggiunti:

– del decreto del Direttore Generale dell’AAS3 n. 112 del 22.5.2018, recante in oggetto “Designazione del responsabile per la protezione dei dati (DPO – data protection officer) per la AAS 3”, non notificato né comunicato;

– del verbale prot. 21288 del 4.5.2018 relativo alla selezione ai fini dell’affidamento di un incarico di collaborazione professionale per l’impostazione e lo svolgimento nella fase di prima applicazione dei compiti di responsabile della protezione dei dati, comunicato in data 1.6.2018;

– di ogni altro atto presupposto, consequenziale e comunque connesso.

Visti il ricorso, i motivi aggiunti e i relativi allegati;
Visti gli atti di costituzione in giudizio di Azienda per L’Assistenza Sanitaria n. 3 Alto Friuli Collinare Medio Friuli;
Visti tutti gli atti della causa;

Relatore nella camera di consiglio del giorno 5 settembre 2018 il dott. Nicola Bardino e uditi per le parti i difensori come specificato nel verbale;

Sentite le stesse parti ai sensi dell’art. 60 cod. proc. amm.;

1. Viene impugnato l’avviso pubblico prot. n. 16546 del 5.4.2018, per l’affidamento di un incarico di collaborazione professionale per l’impostazione e lo svolgimento dei compiti di responsabile della protezione dei dati, unitamente al decreto n. 73 del 2018, a firma del Direttore Generale dell’Azienda resistente, con il quale ne è stata disposta la pubblicazione.

Il ricorrente espone che, con tale ultimo decreto, rilevata l’assenza tra i dipendenti di una figura professionale corrispondente al profilo richiesto, era stata prevista la selezione, per titoli ed eventuale colloquio, di un esperto di normativa e prassi in materia di protezione dei dati.

A tale soggetto si sarebbe dovuto conferire l’incarico di collaborazione professionale da parte dell’Azienda resistente, congiuntamente all’Azienda Sanitaria Universitaria Integrata di Udine, ai sensi degli artt. 37 e seguenti del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (Regolamento generale sulla protezione dei dati, comunemente abbreviato in GDPR).

Nello specifico, l’incarico in questione avrebbe contemplato l’impostazione e lo svolgimento dei compiti indicati nell’art. 39 del GDPR, nella fase della sua prima applicazione.

All’interno dell’avviso (all. 2 del ricorso), veniva inoltre precisato che “si considerano complementari rispetto ai compiti previsti dall’art. 39 GDPR e costituiscono oggetto dell’incarico, anche le seguenti funzioni da svolgere in raccordo con le con le competenti strutture aziendali:

f) aggiornamento giuridico e impostazione organizzativo-metodologica per la gestione aziendale della privacy, per la redazione del registro dei trattamenti, per lo svolgimento di valutazioni di impatto sulla protezione dei dati (DPIA) secondo le linee guida del gruppo dei Garanti Privacy UE(WP29);

g) ricognizione ed assessment aziendale in termini di sicurezza informatica e privacy, in particolare:

– conformità rispetto a GDPR;

– conformità rispetto a quanto stabilito dalla Circolare dell’Agenzia per l’Italia Digitale del 18 aprile 2017, n. 2/2017 “Misure minime di sicurezza ICT per le Pubbliche Amministrazioni” DPCM 1 agosto 2015;

– compliance audit e impostazione attività di adeguamento:

– rispetto alle criticità emerse attraverso il ricorso al best practice, regolamenti/policy/procedure di sicurezza, linee guida, piani operativi;

– rispetto alla contrattualistica nei rapporti con i fornitori con finalità di compliance alla normativa privacy e alle misure minime di sicurezza;

– rispetto agli applicativi esistenti e alle valutazioni di acquisizione di nuovi prodotti secondo il paradigma della privacy by design;

h) partecipazione alle attività di formazione interna continua e specifica sulle tematiche della protezione dei dati, anche tramite corsi in aula a favore dei dipendenti, al fine di responsabilizzare il management aziendale, i dirigenti di struttura e il personale addetto in ordine alle responsabilità connesse alla sicurezza e alla protezione dei dati”.

Infine, riguardo ai requisiti di partecipazione alla selezione, l’avviso (paragrafo 3) richiedeva il possesso, in capo a ciascun candidato, del diploma di laurea in Informatica o Ingegneria Informatica, ovvero in Giurisprudenza o equipollenti, nonché la certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001.

2. Il ricorrente, con messaggio di posta elettronica certificata del 16 aprile 2018 (all. 8), chiedeva di partecipare alla selezione, producendo, a corredo, cospicui titoli curriculari; egli aveva peraltro cura di precisare in relazione ai requisiti di ammissione, di essere laureato in Giurisprudenza e di non possedere “la certificazione Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001, indicata in via alternativa dall’avviso. Si precisa, comunque, che la certificazione indicata quale requisito non appare pertinente, sia perché l’ASUIUD e l’AAS3 non possiedono la certificazione ISO/IEC/27001, sia perché la norma è antecedente rispetto all’emanazione del GDPR e, quindi, il diploma di Auditor/Lead Auditor non può essere una certificazione rilevante per un esperto di normativa e prassi da nominare quale DPO”.

Egli, inoltre, senza attendere le determinazioni dell’Amministrazione relativamente alla propria domanda, proponeva l’immediata impugnazione dell’avviso e del decreto, poc’anzi richiamati, proponendo i seguenti motivi:

– (1) Violazione degli artt. 37 e 39 del Reg. UE n. 679/2016; eccesso di potere per violazione di atti di regolazione; eccesso di potere per violazione di atto presupposto; eccesso di potere per manifesta illogicità ed irrazionalità dei requisiti di partecipazione alla selezione; eccesso di potere per sviamento; viene in particolare contestata:

– – sotto un primo profilo, (1.1) la pertinenza rispetto al ruolo da ricoprire della “certificazione Auditor/Lead Auditor ISO/IEC/27001”, richiesta dall’avviso, ritenendo che tale titolo, oltre a risultare privo di attinenza riguardo alle mansioni specificamente richieste dal GDPR e agli stessi compiti enunciati nell’avviso (e, in particolar modo, a quei compiti complementari ivi testualmente indicati), determinerebbe un’indebita sperequazione ai danni dei soggetti titolari della laurea in Giurisprudenza, i quali, ove ne fossero sprovvisti, non potrebbero partecipare alla selezione per difetto dei requisiti richiesti. Sotto tale aspetto, il ricorrente contesta la congruità della previsione del requisito, sia, secondo l’interpretazione che egli ritiene preferibile, per il caso in cui la suddetta certificazione debba essere considerata equipollente alla laurea, sia nella diversa e avversata ipotesi in cui l’avviso vada invece interpretato nel senso che entrambi i titoli debbano coesistere in capo a ciascun candidato (opzione interpretativa, quest’ultima, che avrebbe poi comportato l’esclusione del ricorrente, proprio perché privo della certificazione);

– – sotto un secondo profilo, (1.2) la riconducibilità delle competenze, necessarie per lo svolgimento dell’incarico, alla laurea in Informatica o in Ingegneria informatica, ritenendo che il profilo professionale oggetto della selezione possa essere ricoperto soltanto da un laureato in giurisprudenza;

– (2) Violazione dell’art. 7 del d.lgs. 165/2001; i requisiti di partecipazione consentirebbero, in violazione della norma richiamata, il conferimento dell’incarico individuale, mediante contratti di lavoro autonomo, ad un soggetto privo di “particolare e comprovata specializzazione” e comunque in possesso di una qualifica potenzialmente inferiore a quella del personale di ruolo.

Si costituiva l’Amministrazione, resistendo nel merito.

3. Con motivi aggiunti, depositati il 5 luglio 2018, il ricorrente impugnava il successivo verbale prot. n. 21288 del 4 maggio 2018, relativo alla selezione in esame, nonché il decreto del Direttore Generale n. 112 del 22 maggio 2018 avente ad oggetto la designazione del responsabile per la protezione dei dati.

Nel predetto verbale, in particolare, la commissione costituita ai fini della selezione del soggetto cui affidare l’incarico, riteneva non ammissibile la domanda presentata dal ricorrente, non possedendo quest’ultimo la certificazione ISO/IEC/27001; nel contempo, veniva espressa una valutazione positiva in favore del curriculum dell’unico candidato restante, l’odierno controinteressato, dott. Cacitti.

Nel secondo provvedimento (decreto n. 112 del 2018), l’Azienda faceva proprio l’esito della selezione, preferendo tuttavia assegnare provvisoriamente l’incarico, stante la pendenza del presente giudizio, al dott. Stefano Bergagna, proprio dipendente di ruolo, considerato che quest’ultimo, “dirigente responsabile della SOC Direzione amministrativa delle funzioni ospedaliere di questa Azienda, possiede adeguato curriculum professionale e formativo e non presenta profili di incompatibilità ai fini dell’espletamento dell’incarico di DPO”. Si proponeva pertanto di “di affidare al dipendente dr. Stefano Bergagna, in via provvisoria e per il solo periodo di tempo necessario alla definitiva individuazione di idoneo professionista al quale affidare l’incarico, le funzioni di DPO (Data Protection Officer – Responsabile trattamento dati) per la AAS 3, secondo quanto previsto dal regolamento generale sulla protezione dei dati – Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016”.

Analogo decreto veniva adottato dall’Azienda Sanitaria Universitaria Integrata di Udine (che non è però parte del giudizio), la quale nominava a titolo provvisorio l’Ing. Zangrando.

Nei motivi aggiunti sono proposte le seguenti ulteriori censure:

– (1) Violazione dell’art. 7, co. 6, del d.lgs. 165/2001e degli artt. 46, 71 e 75 del D.P.R. 445/2000; eccesso di potere per violazione dell’avviso pubblico del 5.4.2018; eccesso di potere per carenza di istruttoria e sviamento; il ricorrente contesta l’esistenza e il contenuto dei titoli curriculari esposti dal controinteressato (laureato in Informatica e titolare della certificazione ISO/IEC/27001), rilevando come nessuna valutazione o verifica sarebbe stata condotta in proposito dalla commissione;

– (2) Eccesso di potere per violazione dell’avviso pubblico del 5.4.2018; eccesso di potere per violazione dei principi di non discriminazione, ragionevalezza e favor partecipationis; la mancanza della certificazione ISO/IEC/27001 non avrebbe potuto determinare l’esclusione del ricorrente, dal momento che tale requisito doveva essere ritenuto alternativo rispetto al possesso della laurea, e ciò in ragione di un’interpretazione dell’avviso maggiormente adesiva rispetto al principio del favor partecipationis;

– (3) Violazione degli artt. 37 e 39 del Reg. UE n. 679/2016; eccesso di potere per violazione di atti di regolazione; eccesso di potere per violazione di atto presupposto; eccesso di potere per manifesta illogicità ed irrazionalità dei requisiti di partecipazione alla selezione; eccesso di potere per violazione del canone di proporzionalità; sviamento; sostanzialmente riproducendo il motivo 1.1 del ricorso introduttivo, viene contestata l’attinenza della certificazione ISO/IEC/27001 rispetto al profilo oggetto dell’incarico, sicché il possesso di tale titolo non potrebbe assurgere a requisito di ammissione.

L’Azienda resisteva ai motivi aggiunti nel merito, contestando inoltre il difetto di giurisdizione dell’adito Tribunale nonché la carenza di interesse in capo al ricorrente, in mancanza dell’atto conclusivo del procedimento (l’affidamento definitivo al soggetto dichiarato vincitore) e, in ogni caso, considerata la sopravvenuta indisponibilità ad assumere l’incarico da parte del controinteressato.

4. Ritiene il Collegio che sussistano i presupposti per definire il giudizio nella presente sede cautelare, con sentenza in forma semplificata ai sensi dell’art. 60 del cod. proc. amm., eventualità di cui le parti sono state ritualmente informate nel corso dell’udienza, come attestato nel relativo verbale.

4.1 In via preliminare, vanno rigettate entrambe le eccezioni in rito, così come formulate dall’Azienda resistente.

4.1.1 In merito al dedotto profilo di inammissibilità dell’impugnativa, per difetto di giurisdizione, deve essere innanzitutto osservato che l’oggetto della controversia attiene all’assegnazione di un incarico, mediante l’espletamento di una selezione comparativa, direttamente riconducibile ad esigenze proprie dell’Amministrazione, connesse all’esercizio di funzioni istituzionali (tra le quali devono essere incluse le competenze e le responsabilità in tema di protezione dei dati, introdotte e regolate dal GDPR), cui non può farsi fronte, secondo quanto esplicitamente dichiarato nell’impugnato decreto n. 73 del 2018, con il personale in servizio.

Sul punto, deve essere così richiamato il prevalente insegnamento delle Sezioni Unite della Corte di Cassazione, secondo cui “appartiene alla giurisdizione del giudice amministrativo la controversia relativa ad una procedura concorsuale volta al conferimento di incarichi ex art. 7, comma 6, d.lg. n. 165 cit., assegnati ad esperti, mediante contratti di lavoro autonomo di natura occasionale o coordinata e continuativa, per far fronte alle medesime esigenze cui ordinariamente sono preordinati i lavoratori subordinati della p.a.” (Cass. S.U. n. 13531 del 2016).

Tale indirizzo risulta ampiamente confermato e sviluppato negli arresti della più recente giurisprudenza amministrativa, cui il Collegio intende dare seguito, la quale ha precisato che “vale un’interpretazione estensiva della nozione di «assunzione dei dipendenti delle pubbliche amministrazioni» fatta propria dall’art. 63 co. 4 del d.lgs. 30 marzo 2001, n. 165, nella quale debbono ritenersi incluse non soltanto le procedure concorsuali volte all’assunzione di lavoratori subordinati, ma anche quelle aventi specificamente ad oggetto il conferimento di incarichi ex art. 7 co. 6 del medesimo d.lgs. n. 165/2001, assegnati a esperti mediante contratti di lavoro autonomo di natura occasionale, o coordinata e continuativa, per far fronte alle medesime esigenze cui ordinariamente sono preordinati i lavoratori subordinati della pubblica amministrazione. La giurisdizione amministrativa va affermata, pertanto, ogniqualvolta la controversia riguardi una procedura concorsuale indetta da un’amministrazione pubblica, quale che sia la tipologia dell’instaurando rapporto lavorativo. Il requisito della concorsualità sussiste in forza della natura comparativa della selezione, ancorché l’avviso di indizione si limiti a rinviare ad un atto di scelta motivata” (da ultimo, T.A.R. Toscana, Sez. I, n. 557 del 2018; vd. inoltre, Cons. Stato, Sez. IV, 1176 del 2017).

Alla luce delle considerazioni anzidette e dei richiami giurisprudenziali, si deve pertanto osservare che l’attinenza dell’incarico alle esigenze proprie dell’Azienda e la procedimentalizzazione della fase di individuazione del soggetto incaricato, mediante l’espletamento di una procedura selettiva di tipo comparativo, costituiscono chiaro indice della manifestazione del potere organizzatorio dell’Amministrazione e del corrispondente insorgere della giurisdizione amministrativa.

Non appare invece pertinente il richiamo, rivolto dall’Amministrazione ad una precedente pronuncia di questo Tribunale (n. 130 del 2018), con la quale era stata declinata la giurisdizione in relazione ad altra fattispecie, nella quale risultava invero assente, a differenza di quanto si è poc’anzi osservato, “il pre-requisito della funzionalità dell’incarico conferito alle esigenze proprie dell’Amministrazione”.

Nella vicenda di cui è causa, all’opposto, l’incarico attiene infatti a compiti di protezione dei dati intestati all’Azienda sanitaria, funzionalmente connessi ai servizi da questa espletati, in tutto e per tutto omogenei rispetto alle mansioni cui è di norma preposto il personale, come risulta confermato, in linea fattuale, dall’attribuzione dell’incarico, ancorché in via temporanea e nelle more del giudizio, ad un dirigente in servizio, ciò che è avvenuto ad opera dell’impugnato decreto n. 112 del 2018 e del parallelo provvedimento n. 500 del 2018, adottato dall’Azienda sanitaria di Udine.

4.1.2 Quanto al secondo profilo di inammissibilità (originaria carenza di interesse del ricorso e dei motivi aggiunti), va osservato che il ricorrente, in quanto soggetto partecipante alla procedura, risulta portatore di un interesse sufficientemente differenziato inteso a conseguire la corretta interpretazione ed applicazione della disciplina regolatrice della selezione nei propri confronti.

Da un lato, infatti, l’azione proposta mira (come si desume dal complesso delle censure contenute nel ricorso introduttivo) a delimitare il perimetro dei soggetti ammessi e a depotenziare i titoli curriculari da questi eventualmente allegati, con ciò ampliando le possibilità di assegnazione dell’incarico.

Dall’altro lato (come si deduce essenzialmente dal contesto dei motivi aggiunti), l’impugnativa coglie gli effetti escludenti derivanti dall’applicazione (e dall’avversata interpretazione) dell’avviso, nella parte in cui esige il conseguimento, da parte dei candidati, della certificazione ISO/IEC/27001, effetti che risultano cristallizzati nel verbale prot. n. 21288 del 2018 (che sancisce l’inammissibilità della domanda dell’avv. Balducci Romano) e nel decreto n. 112 del 2018 (quest’ultimo, infatti, nel recepire integralmente il verbale, individua il controinteressato quale soggetto vincitore, confermando l’esclusione del ricorrente), dando così luogo a puntuali arresti procedimentali come tali immediatamente lesivi e suscettibili di impugnazione.

Ne consegue che, qualora tali esiti escludenti fossero rimossi, a prescindere dalla sopravvenuta rinuncia del soggetto risultato vincitore, verrebbero conseguentemente meno le ragioni preclusive alla valutazione nel merito della posizione del ricorrente e, in caso di giudizio favorevole, all’auspicato affidamento dell’incarico.

5. Venendo al merito dell’impugnazione, ritiene il Collegio che essa sia manifestamente fondata in relazione alla contestata individuazione della certificazione di Auditor/Lead Auditor ISO/IEC/27001 quale requisito di ammissione alla procedura selettiva (censura n. 1.1, introdotta nel ricorso, reiterata nei motivi aggiunti al n. 3).

Sul punto va rilevato che la predetta certificazione non costituisce, come eccepito dal ricorrente, un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati, nell’alveo della disciplina introdotta dal GDPR, dovendosi considerare che: da un lato, la norma ISO 27001 trova prevalente applicazione nell’ambito dell’attività di impresa (basti rilevare che i riferimenti rivolti ad essa, dal legislatore nazionale e dall’ordinamento euro-unitario, attengono essenzialmente ai requisiti degli operatori economici, come ad esempio avviene nel caso dell’art. 93, comma 7, D. Lgs. n. 50 del 2016, in tema di garanzie per la partecipazione alle procedure di affidamento nei settori ordinari); dall’altro lato, la medesima norma, per quanto potenzialmente estensibile all’attività delle pubbliche amministrazioni, fa pur sempre salva l’applicazione delle disposizioni speciali (euro-unitarie e nazionali) in materia di tutela dei dati personali e della riservatezza (punto 18 “conformità” della citata norma ISO; cfr. in particolare: 18.1.1 e 18.1.4), sicché la minuziosa conoscenza e l’applicazione della disciplina di settore restano, indipendentemente dal possesso o meno della certificazione in parola, il nucleo essenziale ed irriducibile della figura professionale ricercata mediante la procedura selettiva intrapresa dall’Azienda, il cui profilo, per le considerazioni anzidette, non può che qualificarsi come eminentemente giuridico.

Ne consegue che la certificazione, indicata nell’avviso, di per sé non può costituire requisito di ammissione alla selezione in esame (né tanto meno assurgere a titolo equipollente al richiesto diploma di laurea), proprio perché essa non coglie (o non coglie appieno) la specifica funzione di garanzia insita nell’incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai, come rilevato nel ricorso, alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo.

Tali conclusioni sono ulteriormente rafforzate dall’esame dei programmi dei corsi finalizzati all’acquisizione della certificazione ISO/IEC/27001 (prodotti dal ricorrente sub all. 22 – lead auditor e all. 23 – internal auditor), caratterizzati da una durata particolarmente contenuta (2/5 giorni), per un massimo di 40 ore, dalla netta prevalenza delle tematiche attinenti all’organizzazione aziendale (e ciò a discapito dei profili giuridici) e dall’assenza di contenuti riferibili all’attività e alla struttura delle pubbliche amministrazioni.

Siffatti rilievi consentono di escludere, una volta di più, che dal possesso della certificazione, conseguita nel contesto di tali corsi, possa essere fatta dipendere l’ammissione alla procedura selettiva, trattandosi, a ben vedere, di un mero titolo curriculare (certamente valutabile in sede di giudizio sulle posizioni dei singoli candidati) ma non anche di un titolo formativo o abilitante, come tale idoneo ad assurgere a requisito di accesso.

Il che appare tanto più vero quando solo si consideri che entrambi i dirigenti incaricati dalle due Aziende dello svolgimento, nelle more del giudizio, dei compiti di responsabile della protezione dei dati, risultano in effetti carenti (come si desume agevolmente dall’esame dei rispettivi curricula – all. 2 e 3 depositati il 30 agosto 2018) proprio della certificazione ISO/IEC/27001, la cui mancanza ha però contraddittoriamente determinato l’avversato giudizio di non ammissione, formulato nei confronti del ricorrente.

In conclusione, per le considerazioni anzidette, devono essere annullati gli atti impugnati nel presente giudizio, in relazione al primo motivo di ricorso (punto 1.1) e alla corrispondente terza censura esposta nei motivi aggiunti, potendosi prescindere dall’esame delle restanti doglianze, stante il carattere integralmente satisfattivo della pronuncia di accoglimento.

6. Le spese seguono la soccombenza e sono liquidate come da dispositivo.

P.Q.M.

Il Tribunale Amministrativo Regionale per il Friuli Venezia Giulia (Sezione Prima), definitivamente pronunciando sul ricorso, come in epigrafe proposto, lo accoglie nei sensi e per gli effetti di cui in motivazione.

Condanna l’Azienda per l’Assistenza Sanitaria n. 3 Alto Friuli Collinare Medio Friuli a rifondere al ricorrente le spese di giudizio, che liquida nella misura di euro 1.500,00, oltre ad imposte e ad oneri se dovuti.

Ordina che la presente sentenza sia eseguita dall’autorità amministrativa.

Così deciso in Trieste nella camera di consiglio del giorno 5 settembre 2018 con l’intervento dei magistrati:

Oria Settesoldi, Presidente
Manuela Sinigoi, Consigliere
Nicola Bardino, Referendario, Estensore

L’ESTENSORE
Nicola Bardino
        
IL PRESIDENTE
Oria Settesoldi
        
        
IL SEGRETARIO

Iscriviti alla Newsletter GRATUITA

Ricevi gratuitamente la News Letter con le novità di AmbienteDiritto.it e QuotidianoLegale.

N.B.: se non ricevi la News Letter occorre una nuova iscrizione, il sistema elimina l'e-mail non attive o non funzionanti.

ISCRIVITI SUBITO


Iscirizione/cancellazione

Grazie, per esserti iscritto alla newsletter!