Su istanza dell’ avvocato Fabio Balducci Romano, il Tribunale Amministrativo del Friuli Venezia Giulia ha annullato l’incarico di responsabile della protezione dei dati conferito dall’ Azienda per l’Assistenza Sanitaria n. 3 Alto Friuli Collinare Medio Friuli, che era stato conferito a Manuel Cacitti, il quale non si è costituito in giudizio. Il ricorrente ha esposto che rilevata l’assenza tra i dipendenti di una figura professionale corrispondente al profilo richiesto, era stata prevista la selezione, per titoli ed eventuale colloquio, di un esperto di normativa e prassi in materia di protezione dei dati. A tale soggetto si sarebbe dovuto conferire l’incarico di collaborazione professionale, egli con messaggio di posta elettronica certificata del 16 aprile 2018, chiedeva di partecipare alla selezione, producendo, a corredo, cospicui titoli curriculari precisando di essere laureato in Giurisprudenza e di non possedere “la certificazione Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001, indicata in via alternativa dall’avviso e senza attendere le determinazioni dell’Amministrazione relativamente alla propria domanda, proponeva l’immediata impugnazione dell’avviso e del decreto, poc’anzi richiamati, proponendo i seguenti motivi:
– (1) Violazione degli artt. 37 e 39 del Reg. UE n. 679/2016; eccesso di potere per violazione di atti di regolazione; eccesso di potere per violazione di atto presupposto; eccesso di potere per manifesta illogicità ed irrazionalità dei requisiti di partecipazione alla selezione; eccesso di potere per sviamento; viene in particolare contestata, ciò in relazione alla “certificazione Auditor/Lead Auditor ISO/IEC/27001”,
– (2) Violazione dell’art. 7 del d.lgs. 165/2001; i requisiti di partecipazione consentirebbero, in violazione della norma richiamata, il conferimento dell’incarico individuale, mediante contratti di lavoro autonomo, ad un soggetto privo di “particolare e comprovata specializzazione” e comunque in possesso di una qualifica potenzialmente inferiore a quella del personale di ruolo.
Il collegio giudicante ha ritenuto manifestamente fondata la questione posta relativa al requisito di accesso alla procedura, che pevedeva il possesso della certificazione di Auditor/Lead Auditor ISO/IEC/27001.
Scrivono i magistrati: “Sul punto va rilevato che la predetta certificazione non costituisce, come eccepito dal ricorrente, un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati, nell’alveo della disciplina introdotta dal GDPR”. L’Azienda Sanitaria è stata condannata anche a pagare le spese legali per un ammontare di 1500 euro. La decisione è stata presa dai giudici Oria Settesoldi (Presidente); Manuela Sinigoi (Consigliere); Nicola Bardino (Referendario, Estensore)