Tribunale Amministrativo Regionale per il Friuli-Venezia Giulia
Sentenza 13 settembre 2018, n. 287

Presidente: Settesoldi - Estensore: Bardino

1. Viene impugnato l'avviso pubblico prot. n. 16546 del 5 aprile 2018, per l'affidamento di un incarico di collaborazione professionale per l'impostazione e lo svolgimento dei compiti di responsabile della protezione dei dati, unitamente al decreto n. 73 del 2018, a firma del Direttore Generale dell'Azienda resistente, con il quale ne è stata disposta la pubblicazione.

Il ricorrente espone che, con tale ultimo decreto, rilevata l'assenza tra i dipendenti di una figura professionale corrispondente al profilo richiesto, era stata prevista la selezione, per titoli ed eventuale colloquio, di un esperto di normativa e prassi in materia di protezione dei dati.

A tale soggetto si sarebbe dovuto conferire l'incarico di collaborazione professionale da parte dell'Azienda resistente, congiuntamente all'Azienda Sanitaria Universitaria Integrata di Udine, ai sensi degli artt. 37 e seguenti del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (Regolamento generale sulla protezione dei dati, comunemente abbreviato in GDPR).

Nello specifico, l'incarico in questione avrebbe contemplato l'impostazione e lo svolgimento dei compiti indicati nell'art. 39 del GDPR, nella fase della sua prima applicazione.

All'interno dell'avviso (all. 2 del ricorso), veniva inoltre precisato che "si considerano complementari rispetto ai compiti previsti dall'art. 39 GDPR e costituiscono oggetto dell'incarico, anche le seguenti funzioni da svolgere in raccordo con le con le competenti strutture aziendali:

f) aggiornamento giuridico e impostazione organizzativo-metodologica per la gestione aziendale della privacy, per la redazione del registro dei trattamenti, per lo svolgimento di valutazioni di impatto sulla protezione dei dati (DPIA) secondo le linee guida del gruppo dei Garanti Privacy UE(WP29);

g) ricognizione ed assessment aziendale in termini di sicurezza informatica e privacy, in particolare:

- conformità rispetto a GDPR;

- conformità rispetto a quanto stabilito dalla Circolare dell'Agenzia per l'Italia Digitale del 18 aprile 2017, n. 2/2017 "Misure minime di sicurezza ICT per le Pubbliche Amministrazioni" DPCM 1 agosto 2015;

- compliance audit e impostazione attività di adeguamento:

- rispetto alle criticità emerse attraverso il ricorso al best practice, regolamenti/policy/procedure di sicurezza, linee guida, piani operativi;

- rispetto alla contrattualistica nei rapporti con i fornitori con finalità di compliance alla normativa privacy e alle misure minime di sicurezza;

- rispetto agli applicativi esistenti e alle valutazioni di acquisizione di nuovi prodotti secondo il paradigma della privacy by design;

h) partecipazione alle attività di formazione interna continua e specifica sulle tematiche della protezione dei dati, anche tramite corsi in aula a favore dei dipendenti, al fine di responsabilizzare il management aziendale, i dirigenti di struttura e il personale addetto in ordine alle responsabilità connesse alla sicurezza e alla protezione dei dati".

Infine, riguardo ai requisiti di partecipazione alla selezione, l'avviso (paragrafo 3) richiedeva il possesso, in capo a ciascun candidato, del diploma di laurea in Informatica o Ingegneria Informatica, ovvero in Giurisprudenza o equipollenti, nonché la certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001.

2. Il ricorrente, con messaggio di posta elettronica certificata del 16 aprile 2018 (all. 8), chiedeva di partecipare alla selezione, producendo, a corredo, cospicui titoli curriculari; egli aveva peraltro cura di precisare in relazione ai requisiti di ammissione, di essere laureato in Giurisprudenza e di non possedere "la certificazione Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001, indicata in via alternativa dall'avviso. Si precisa, comunque, che la certificazione indicata quale requisito non appare pertinente, sia perché l'ASUIUD e l'AAS3 non possiedono la certificazione ISO/IEC/27001, sia perché la norma è antecedente rispetto all'emanazione del GDPR e, quindi, il diploma di Auditor/Lead Auditor non può essere una certificazione rilevante per un esperto di normativa e prassi da nominare quale DPO".

Egli, inoltre, senza attendere le determinazioni dell'Amministrazione relativamente alla propria domanda, proponeva l'immediata impugnazione dell'avviso e del decreto, poc'anzi richiamati, proponendo i seguenti motivi:

(1) Violazione degli artt. 37 e 39 del Reg. UE n. 679/2016; eccesso di potere per violazione di atti di regolazione; eccesso di potere per violazione di atto presupposto; eccesso di potere per manifesta illogicità ed irrazionalità dei requisiti di partecipazione alla selezione; eccesso di potere per sviamento; viene in particolare contestata:

- sotto un primo profilo, (1.1) la pertinenza rispetto al ruolo da ricoprire della "certificazione Auditor/Lead Auditor ISO/IEC/27001", richiesta dall'avviso, ritenendo che tale titolo, oltre a risultare privo di attinenza riguardo alle mansioni specificamente richieste dal GDPR e agli stessi compiti enunciati nell'avviso (e, in particolar modo, a quei compiti complementari ivi testualmente indicati), determinerebbe un'indebita sperequazione ai danni dei soggetti titolari della laurea in Giurisprudenza, i quali, ove ne fossero sprovvisti, non potrebbero partecipare alla selezione per difetto dei requisiti richiesti. Sotto tale aspetto, il ricorrente contesta la congruità della previsione del requisito, sia, secondo l'interpretazione che egli ritiene preferibile, per il caso in cui la suddetta certificazione debba essere considerata equipollente alla laurea, sia nella diversa e avversata ipotesi in cui l'avviso vada invece interpretato nel senso che entrambi i titoli debbano coesistere in capo a ciascun candidato (opzione interpretativa, quest'ultima, che avrebbe poi comportato l'esclusione del ricorrente, proprio perché privo della certificazione);

- sotto un secondo profilo, (1.2) la riconducibilità delle competenze, necessarie per lo svolgimento dell'incarico, alla laurea in Informatica o in Ingegneria informatica, ritenendo che il profilo professionale oggetto della selezione possa essere ricoperto soltanto da un laureato in giurisprudenza;

(2) Violazione dell'art. 7 del d.lgs. 165/2001; i requisiti di partecipazione consentirebbero, in violazione della norma richiamata, il conferimento dell'incarico individuale, mediante contratti di lavoro autonomo, ad un soggetto privo di "particolare e comprovata specializzazione" e comunque in possesso di una qualifica potenzialmente inferiore a quella del personale di ruolo.

Si costituiva l'Amministrazione, resistendo nel merito.

3. Con motivi aggiunti, depositati il 5 luglio 2018, il ricorrente impugnava il successivo verbale prot. n. 21288 del 4 maggio 2018, relativo alla selezione in esame, nonché il decreto del Direttore Generale n. 112 del 22 maggio 2018 avente ad oggetto la designazione del responsabile per la protezione dei dati.

Nel predetto verbale, in particolare, la commissione costituita ai fini della selezione del soggetto cui affidare l'incarico, riteneva non ammissibile la domanda presentata dal ricorrente, non possedendo quest'ultimo la certificazione ISO/IEC/27001; nel contempo, veniva espressa una valutazione positiva in favore del curriculum dell'unico candidato restante, l'odierno controinteressato, dott. C.

Nel secondo provvedimento (decreto n. 112 del 2018), l'Azienda faceva proprio l'esito della selezione, preferendo tuttavia assegnare provvisoriamente l'incarico, stante la pendenza del presente giudizio, al dott. Stefano B., proprio dipendente di ruolo, considerato che quest'ultimo, "dirigente responsabile della SOC Direzione amministrativa delle funzioni ospedaliere di questa Azienda, possiede adeguato curriculum professionale e formativo e non presenta profili di incompatibilità ai fini dell'espletamento dell'incarico di DPO". Si proponeva pertanto di "di affidare al dipendente dr. Stefano B., in via provvisoria e per il solo periodo di tempo necessario alla definitiva individuazione di idoneo professionista al quale affidare l'incarico, le funzioni di DPO (Data Protection Officer - Responsabile trattamento dati) per la AAS 3, secondo quanto previsto dal regolamento generale sulla protezione dei dati - Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016".

Analogo decreto veniva adottato dall'Azienda Sanitaria Universitaria Integrata di Udine (che non è però parte del giudizio), la quale nominava a titolo provvisorio l'Ing. Z.

Nei motivi aggiunti sono proposte le seguenti ulteriori censure:

(1) Violazione dell'art. 7, comma 6, del d.lgs. 165/2001 e degli artt. 46, 71 e 75 del d.P.R. 445/2000; eccesso di potere per violazione dell'avviso pubblico del 5 aprile 2018; eccesso di potere per carenza di istruttoria e sviamento; il ricorrente contesta l'esistenza e il contenuto dei titoli curriculari esposti dal controinteressato (laureato in Informatica e titolare della certificazione ISO/IEC/27001), rilevando come nessuna valutazione o verifica sarebbe stata condotta in proposito dalla commissione;

(2) Eccesso di potere per violazione dell'avviso pubblico del 5 aprile 2018; eccesso di potere per violazione dei principi di non discriminazione, ragionevolezza e favor partecipationis; la mancanza della certificazione ISO/IEC/27001 non avrebbe potuto determinare l'esclusione del ricorrente, dal momento che tale requisito doveva essere ritenuto alternativo rispetto al possesso della laurea, e ciò in ragione di un'interpretazione dell'avviso maggiormente adesiva rispetto al principio del favor partecipationis;

(3) Violazione degli artt. 37 e 39 del Reg. UE n. 679/2016; eccesso di potere per violazione di atti di regolazione; eccesso di potere per violazione di atto presupposto; eccesso di potere per manifesta illogicità ed irrazionalità dei requisiti di partecipazione alla selezione; eccesso di potere per violazione del canone di proporzionalità; sviamento; sostanzialmente riproducendo il motivo 1.1 del ricorso introduttivo, viene contestata l'attinenza della certificazione ISO/IEC/27001 rispetto al profilo oggetto dell'incarico, sicché il possesso di tale titolo non potrebbe assurgere a requisito di ammissione.

L'Azienda resisteva ai motivi aggiunti nel merito, contestando inoltre il difetto di giurisdizione dell'adito Tribunale nonché la carenza di interesse in capo al ricorrente, in mancanza dell'atto conclusivo del procedimento (l'affidamento definitivo al soggetto dichiarato vincitore) e, in ogni caso, considerata la sopravvenuta indisponibilità ad assumere l'incarico da parte del controinteressato.

4. Ritiene il Collegio che sussistano i presupposti per definire il giudizio nella presente sede cautelare, con sentenza in forma semplificata ai sensi dell'art. 60 c.p.a., eventualità di cui le parti sono state ritualmente informate nel corso dell'udienza, come attestato nel relativo verbale.

4.1. In via preliminare, vanno rigettate entrambe le eccezioni in rito, così come formulate dall'Azienda resistente.

4.1.1. In merito al dedotto profilo di inammissibilità dell'impugnativa, per difetto di giurisdizione, deve essere innanzitutto osservato che l'oggetto della controversia attiene all'assegnazione di un incarico, mediante l'espletamento di una selezione comparativa, direttamente riconducibile ad esigenze proprie dell'Amministrazione, connesse all'esercizio di funzioni istituzionali (tra le quali devono essere incluse le competenze e le responsabilità in tema di protezione dei dati, introdotte e regolate dal GDPR), cui non può farsi fronte, secondo quanto esplicitamente dichiarato nell'impugnato decreto n. 73 del 2018, con il personale in servizio.

Sul punto, deve essere così richiamato il prevalente insegnamento delle Sezioni unite della Corte di cassazione, secondo cui "appartiene alla giurisdizione del giudice amministrativo la controversia relativa ad una procedura concorsuale volta al conferimento di incarichi ex art. 7, comma 6, d.lgs. n. 165 cit., assegnati ad esperti, mediante contratti di lavoro autonomo di natura occasionale o coordinata e continuativa, per far fronte alle medesime esigenze cui ordinariamente sono preordinati i lavoratori subordinati della p.a." (Cass., Sez. un., n. 13531 del 2016).

Tale indirizzo risulta ampiamente confermato e sviluppato negli arresti della più recente giurisprudenza amministrativa, cui il Collegio intende dare seguito, la quale ha precisato che "vale un'interpretazione estensiva della nozione di «assunzione dei dipendenti delle pubbliche amministrazioni» fatta propria dall'art. 63, comma 4, del d.lgs. 30 marzo 2001, n. 165, nella quale debbono ritenersi incluse non soltanto le procedure concorsuali volte all'assunzione di lavoratori subordinati, ma anche quelle aventi specificamente ad oggetto il conferimento di incarichi ex art. 7, comma 6, del medesimo d.lgs. n. 165/2001, assegnati a esperti mediante contratti di lavoro autonomo di natura occasionale, o coordinata e continuativa, per far fronte alle medesime esigenze cui ordinariamente sono preordinati i lavoratori subordinati della pubblica amministrazione. La giurisdizione amministrativa va affermata, pertanto, ogniqualvolta la controversia riguardi una procedura concorsuale indetta da un'amministrazione pubblica, quale che sia la tipologia dell'instaurando rapporto lavorativo. Il requisito della concorsualità sussiste in forza della natura comparativa della selezione, ancorché l'avviso di indizione si limiti a rinviare ad un atto di scelta motivata" (da ultimo, T.A.R. Toscana, Sez. I, n. 557 del 2018; vd. inoltre, C.d.S., Sez. IV, 1176 del 2017).

Alla luce delle considerazioni anzidette e dei richiami giurisprudenziali, si deve pertanto osservare che l'attinenza dell'incarico alle esigenze proprie dell'Azienda e la procedimentalizzazione della fase di individuazione del soggetto incaricato, mediante l'espletamento di una procedura selettiva di tipo comparativo, costituiscono chiaro indice della manifestazione del potere organizzatorio dell'Amministrazione e del corrispondente insorgere della giurisdizione amministrativa.

Non appare invece pertinente il richiamo, rivolto dall'Amministrazione ad una precedente pronuncia di questo Tribunale (n. 130 del 2018), con la quale era stata declinata la giurisdizione in relazione ad altra fattispecie, nella quale risultava invero assente, a differenza di quanto si è poc'anzi osservato, "il pre-requisito della funzionalità dell'incarico conferito alle esigenze proprie dell'Amministrazione".

Nella vicenda di cui è causa, all'opposto, l'incarico attiene infatti a compiti di protezione dei dati intestati all'Azienda sanitaria, funzionalmente connessi ai servizi da questa espletati, in tutto e per tutto omogenei rispetto alle mansioni cui è di norma preposto il personale, come risulta confermato, in linea fattuale, dall'attribuzione dell'incarico, ancorché in via temporanea e nelle more del giudizio, ad un dirigente in servizio, ciò che è avvenuto ad opera dell'impugnato decreto n. 112 del 2018 e del parallelo provvedimento n. 500 del 2018, adottato dall'Azienda sanitaria di Udine.

4.1.2. Quanto al secondo profilo di inammissibilità (originaria carenza di interesse del ricorso e dei motivi aggiunti), va osservato che il ricorrente, in quanto soggetto partecipante alla procedura, risulta portatore di un interesse sufficientemente differenziato inteso a conseguire la corretta interpretazione ed applicazione della disciplina regolatrice della selezione nei propri confronti.

Da un lato, infatti, l'azione proposta mira (come si desume dal complesso delle censure contenute nel ricorso introduttivo) a delimitare il perimetro dei soggetti ammessi e a depotenziare i titoli curriculari da questi eventualmente allegati, con ciò ampliando le possibilità di assegnazione dell'incarico.

Dall'altro lato (come si deduce essenzialmente dal contesto dei motivi aggiunti), l'impugnativa coglie gli effetti escludenti derivanti dall'applicazione (e dall'avversata interpretazione) dell'avviso, nella parte in cui esige il conseguimento, da parte dei candidati, della certificazione ISO/IEC/27001, effetti che risultano cristallizzati nel verbale prot. n. 21288 del 2018 (che sancisce l'inammissibilità della domanda dell'avv. B. Romano) e nel decreto n. 112 del 2018 (quest'ultimo, infatti, nel recepire integralmente il verbale, individua il controinteressato quale soggetto vincitore, confermando l'esclusione del ricorrente), dando così luogo a puntuali arresti procedimentali come tali immediatamente lesivi e suscettibili di impugnazione.

Ne consegue che, qualora tali esiti escludenti fossero rimossi, a prescindere dalla sopravvenuta rinuncia del soggetto risultato vincitore, verrebbero conseguentemente meno le ragioni preclusive alla valutazione nel merito della posizione del ricorrente e, in caso di giudizio favorevole, all'auspicato affidamento dell'incarico.

5. Venendo al merito dell'impugnazione, ritiene il Collegio che essa sia manifestamente fondata in relazione alla contestata individuazione della certificazione di Auditor/Lead Auditor ISO/IEC/27001 quale requisito di ammissione alla procedura selettiva (censura n. 1.1, introdotta nel ricorso, reiterata nei motivi aggiunti al n. 3).

Sul punto va rilevato che la predetta certificazione non costituisce, come eccepito dal ricorrente, un titolo abilitante ai fini dell'assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati, nell'alveo della disciplina introdotta dal GDPR, dovendosi considerare che: da un lato, la norma ISO 27001 trova prevalente applicazione nell'ambito dell'attività di impresa (basti rilevare che i riferimenti rivolti ad essa, dal legislatore nazionale e dall'ordinamento euro-unitario, attengono essenzialmente ai requisiti degli operatori economici, come ad esempio avviene nel caso dell'art. 93, comma 7, d.lgs. n. 50 del 2016, in tema di garanzie per la partecipazione alle procedure di affidamento nei settori ordinari); dall'altro lato, la medesima norma, per quanto potenzialmente estensibile all'attività delle pubbliche amministrazioni, fa pur sempre salva l'applicazione delle disposizioni speciali (euro-unitarie e nazionali) in materia di tutela dei dati personali e della riservatezza (punto 18 "conformità" della citata norma ISO; cfr. in particolare: 18.1.1 e 18.1.4), sicché la minuziosa conoscenza e l'applicazione della disciplina di settore restano, indipendentemente dal possesso o meno della certificazione in parola, il nucleo essenziale ed irriducibile della figura professionale ricercata mediante la procedura selettiva intrapresa dall'Azienda, il cui profilo, per le considerazioni anzidette, non può che qualificarsi come eminentemente giuridico.

Ne consegue che la certificazione, indicata nell'avviso, di per sé non può costituire requisito di ammissione alla selezione in esame (né tanto meno assurgere a titolo equipollente al richiesto diploma di laurea), proprio perché essa non coglie (o non coglie appieno) la specifica funzione di garanzia insita nell'incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai, come rilevato nel ricorso, alla tutela del diritto fondamentale dell'individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo.

Tali conclusioni sono ulteriormente rafforzate dall'esame dei programmi dei corsi finalizzati all'acquisizione della certificazione ISO/IEC/27001 (prodotti dal ricorrente sub all. 22 - lead auditor e all. 23 - internal auditor), caratterizzati da una durata particolarmente contenuta (2/5 giorni), per un massimo di 40 ore, dalla netta prevalenza delle tematiche attinenti all'organizzazione aziendale (e ciò a discapito dei profili giuridici) e dall'assenza di contenuti riferibili all'attività e alla struttura delle pubbliche amministrazioni.

Siffatti rilievi consentono di escludere, una volta di più, che dal possesso della certificazione, conseguita nel contesto di tali corsi, possa essere fatta dipendere l'ammissione alla procedura selettiva, trattandosi, a ben vedere, di un mero titolo curriculare (certamente valutabile in sede di giudizio sulle posizioni dei singoli candidati) ma non anche di un titolo formativo o abilitante, come tale idoneo ad assurgere a requisito di accesso.

Il che appare tanto più vero quando solo si consideri che entrambi i dirigenti incaricati dalle due Aziende dello svolgimento, nelle more del giudizio, dei compiti di responsabile della protezione dei dati, risultano in effetti carenti (come si desume agevolmente dall'esame dei rispettivi curricula - all. 2 e 3 depositati il 30 agosto 2018) proprio della certificazione ISO/IEC/27001, la cui mancanza ha però contraddittoriamente determinato l'avversato giudizio di non ammissione, formulato nei confronti del ricorrente.

In conclusione, per le considerazioni anzidette, devono essere annullati gli atti impugnati nel presente giudizio, in relazione al primo motivo di ricorso (punto 1.1) e alla corrispondente terza censura esposta nei motivi aggiunti, potendosi prescindere dall'esame delle restanti doglianze, stante il carattere integralmente satisfattivo della pronuncia di accoglimento.

6. Le spese seguono la soccombenza e sono liquidate come da dispositivo.

P.Q.M.

Il Tribunale Amministrativo Regionale per il Friuli Venezia Giulia (Sezione Prima), definitivamente pronunciando sul ricorso, come in epigrafe proposto, lo accoglie nei sensi e per gli effetti di cui in motivazione.

Condanna l'Azienda per l'Assistenza Sanitaria n. 3 Alto Friuli Collinare Medio Friuli a rifondere al ricorrente le spese di giudizio, che liquida nella misura di euro 1.500,00, oltre ad imposte e ad oneri se dovuti.

Ordina che la presente sentenza sia eseguita dall'autorità amministrativa.

M. Marazza

Diritto sindacale contemporaneo

Giuffrè, 2024

P. Dubolino, F. Costa

Codice civile

La Tribuna, 2024

M. Bencini e al. (curr.)

Delitti di corruzione

Giuffrè, 2024