L’art. 37, par. 5 del Reg Ue n. 679/2016 prevede che “Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all'articolo 39”.

Il successivo art. 39 prevede che “Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:

a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35; d) cooperare con l'autorità di controllo;

e) fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Nell'eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del medesimo”.

Il considerando 97 del regolamento appena citato prevede, tra le altre cose, che il livello necessario di conoscenza specialistica dovrebbe essere determinato in particolare in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento.

In base al quadro normativo appena tracciato emerge che il livello di conoscenza specialistica richiesto per ricoprire la qualifica di DPO non trova una definizione tassativa né prescrizioni puntuali richiedenti specifici titoli o attestazioni di sorta.

Piuttosto l’individuazione delle conoscenze specialistiche deve essere proporzionata alla sensibilità, complessità e quantità dei dati sottoposti a trattamento (in questo senso sono anche le c.d. “Linee guida sui responsabili della protezione dei dati”, adottate il 13 dicembre 2016 ed emendate il 5 aprile 2017 alle quali il ricorrente fa riferimento).

Come visto, l’articolo 37, paragrafo 5, non indica nemmeno le specifiche qualità o qualifiche professionali formali da prendere in considerazione nell’individuazione del DPO, limitandosi piuttosto a reputare pertinenti al riguardo la conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dei dati e un’approfondita conoscenza del RGPD, conoscenze queste ultime certamente non riservate a determinate qualifiche professionali.

6. In assenza di stringenti vincoli legali e testuali, pertanto, non può che essere rimessa alla discrezionalità delle singole amministrazioni di valutare le competenze richieste caso per caso, in modo da implementare adeguati criteri selettivi dei candidati.

Nel caso di specie la lex specialis ha previsto, tra i requisiti di partecipazione richiesti, l’iscrizione del candidato nell’albo professionale o nel registro commerciale, introducendo così elementi qualificanti non palesemente inadeguati o assolutamente inidonei a selezionare possibili candidature. Giova infatti al riguardo ripetere ancora una volta che la normativa sovraordinata richiamata dal ricorrente, differentemente da quel che si sostiene nel ricorso, non detta puntuali vincoli idonei ad integrare la legge di gara con effetto vincolante per l’amministrazione procedente.

Testo integrale