Prime sentenze sulla nomina del DPO: requisiti per partecipare alla selezione

Il possesso della certificazione di Auditor/Lead Auditor ISO/IEC/27001 non può essere posto quale requisito di ammissione alla selezione indetta da una P.A. per l’affidamento dell’incarico di Data Protection Officer previsto dal Regolamento UE 2016/679.

La vicenda. Il TAR Friuli, con la sentenza numero 287/18, depositata il 13 settembre, ha annullato l’avviso con cui un’azienda sanitaria pubblica aveva indetto la selezione per l’affidamento dell’incarico di Data Protection Officer previsto dal Regolamento UE 2016/679. Rilevata l’assenza tra i dipendenti di una figura professionale corrispondente al profilo richiesto, era stata prevista la selezione di un esperto in materia tramite un avviso che prevedeva, tra i requisiti di partecipazione, il possesso del diploma di laurea in Informativa o Ingegneria Informativa, ovvero in Giurisprudenza o equipollenti, nonché la certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001. Il ricorrente, escluso dalla selezione, ha impugnato l’avviso deducendo eccesso di potere in relazione a tale ultimo requisito «ritenendo che tale titolo, oltre a risultare privo di attinenza riguardo alle mansioni specificamente richieste dal GDPR e agli stessi compiti enunciati nell’avviso e, in particolar modo, a quei compiti complementari ivi testualmente indicati , determinerebbe un’indebita sperequazione ai danni dei soggetti titolari della laurea in Giurisprudenza». Giurisdizione. Il Collegio esclude in primo luogo ogni dubbio in merito all’ammissibilità dell’impugnativa per carenza di giurisdizione. L’oggetto della controversia riguarda infatti l’assegnazione di un incarico mediante selezione comparativa riconducibile alle esigenze proprie dell’amministrazione. Sono dunque evidenti gli indici della manifestazione del potere organizzatorio dell’Amministrazione e della conseguente giurisdizione amministrativa. Il ricorrente, in quanto soggetto partecipante alla procedura, è infatti portatore di un interesse legittimo sufficientemente differenziato ed inteso a conseguire la corretta interpretazione ed applicazione della disciplina. Requisiti. Passando al merito del ricorso, il Collegio ritiene fondata la censura in merito all’individuazione della certificazione di Auditor/Lead Auditor ISO/IEC/27001 quale requisito di ammissione alla selezione. Precisa infatti la sentenza in commento che «la predetta certificazione non costituisce, come eccepito dal ricorrente, un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati, nell’alveo della disciplina introdotta dal GDPR, dovendosi considerare che da un lato, la norma ISO 27001 trova prevalente applicazione nell’ambito dell’attività di impresa [] dall’altro lato, la medesima norma, per quanto potenzialmente estensibile all’attività delle pubbliche amministrazioni, fa pur sempre salva l’applicazione delle disposizioni speciali euro-unitarie e nazionali in materia di tutela dei dati personali e della riservatezza, sicché la minuziosa conoscenza e l’applicazione della disciplina di settore restano, indipendentemente dal possesso o meno della certificazione in parola, il nucleo essenziale ed irriducibile della figura professionale ricercata». In conclusione, la certificazione indicata dall’avviso non può costituire requisito di ammissione alla selezione del DPO in quanto non coglie la specifica funzione di garanzia insita in quell’incarico. Per questi motivi, il TAR accoglie il ricorso e annulla gli atti impugnati.

TAR Friuli Venezia Giulia, sez. I, sentenza 5 – 13 settembre 2018, numero 287 Presidente Settesoldi – Estensore Bardino Fatto e diritto 1. Viene impugnato l’avviso pubblico prot. numero 16546 del 5.4.2018, per l’affidamento di un incarico di collaborazione professionale per l’impostazione e lo svolgimento dei compiti di responsabile della protezione dei dati, unitamente al decreto numero 73 del 2018, a firma del Direttore Generale dell’Azienda resistente, con il quale ne è stata disposta la pubblicazione. Il ricorrente espone che, con tale ultimo decreto, rilevata l’assenza tra i dipendenti di una figura professionale corrispondente al profilo richiesto, era stata prevista la selezione, per titoli ed eventuale colloquio, di un esperto di normativa e prassi in materia di protezione dei dati. A tale soggetto si sarebbe dovuto conferire l’incarico di collaborazione professionale da parte dell’Azienda resistente, congiuntamente all’Azienda Sanitaria Universitaria Integrata di Udine, ai sensi degli articolo 37 e seguenti del Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 Regolamento generale sulla protezione dei dati, comunemente abbreviato in GDPR . Nello specifico, l’incarico in questione avrebbe contemplato l’impostazione e lo svolgimento dei compiti indicati nell’articolo 39 del GDPR, nella fase della sua prima applicazione. All’interno dell’avviso all. 2 del ricorso , veniva inoltre precisato che “si considerano complementari rispetto ai compiti previsti dall’articolo 39 GDPR e costituiscono oggetto dell’incarico, anche le seguenti funzioni da svolgere in raccordo con le con le competenti strutture aziendali f aggiornamento giuridico e impostazione organizzativo-metodologica per la gestione aziendale della privacy, per la redazione del registro dei trattamenti, per lo svolgimento di valutazioni di impatto sulla protezione dei dati DPIA secondo le linee guida del gruppo dei Garanti Privacy UE WP29 g ricognizione ed assessment aziendale in termini di sicurezza informatica e privacy, in particolare - conformità rispetto a GDPR - conformità rispetto a quanto stabilito dalla Circolare dell’Agenzia per l’Italia Digitale del 18 aprile 2017, numero 2/2017 “Misure minime di sicurezza ICT per le Pubbliche Amministrazioni” DPCM 1 agosto 2015 - compliance audit e impostazione attività di adeguamento - rispetto alle criticità emerse attraverso il ricorso al best practice, regolamenti/policy/procedure di sicurezza, linee guida, piani operativi - rispetto alla contrattualistica nei rapporti con i fornitori con finalità di compliance alla normativa privacy e alle misure minime di sicurezza - rispetto agli applicativi esistenti e alle valutazioni di acquisizione di nuovi prodotti secondo il paradigma della privacy by design h partecipazione alle attività di formazione interna continua e specifica sulle tematiche della protezione dei dati, anche tramite corsi in aula a favore dei dipendenti, al fine di responsabilizzare il management aziendale, i dirigenti di struttura e il personale addetto in ordine alle responsabilità connesse alla sicurezza e alla protezione dei dati”. Infine, riguardo ai requisiti di partecipazione alla selezione, l’avviso paragrafo 3 richiedeva il possesso, in capo a ciascun candidato, del diploma di laurea in Informatica o Ingegneria Informatica, ovvero in Giurisprudenza o equipollenti, nonché la certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001. 2. Il ricorrente, con messaggio di posta elettronica certificata del 16 aprile 2018 all. 8 , chiedeva di partecipare alla selezione, producendo, a corredo, cospicui titoli curriculari egli aveva peraltro cura di precisare in relazione ai requisiti di ammissione, di essere laureato in Giurisprudenza e di non possedere “la certificazione Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001, indicata in via alternativa dall'avviso. Si precisa, comunque, che la certificazione indicata quale requisito non appare pertinente, sia perché l'ASUIUD e l'AAS3 non possiedono la certificazione ISO/IEC/27001, sia perché la norma è antecedente rispetto all'emanazione del GDPR e, quindi, il diploma di Auditor/Lead Auditor non può essere una certificazione rilevante per un esperto di normativa e prassi da nominare quale DPO”. Egli, inoltre, senza attendere le determinazioni dell’Amministrazione relativamente alla propria domanda, proponeva l’immediata impugnazione dell’avviso e del decreto, poc’anzi richiamati, proponendo i seguenti motivi - 1 Violazione degli articolo 37 e 39 del Reg. UE numero 679/2016 eccesso di potere per violazione di atti di regolazione eccesso di potere per violazione di atto presupposto eccesso di potere per manifesta illogicità ed irrazionalità dei requisiti di partecipazione alla selezione eccesso di potere per sviamento viene in particolare contestata - - sotto un primo profilo, 1.1 la pertinenza rispetto al ruolo da ricoprire della “certificazione Auditor/Lead Auditor ISO/IEC/27001”, richiesta dall’avviso, ritenendo che tale titolo, oltre a risultare privo di attinenza riguardo alle mansioni specificamente richieste dal GDPR e agli stessi compiti enunciati nell’avviso e, in particolar modo, a quei compiti complementari ivi testualmente indicati , determinerebbe un’indebita sperequazione ai danni dei soggetti titolari della laurea in Giurisprudenza, i quali, ove ne fossero sprovvisti, non potrebbero partecipare alla selezione per difetto dei requisiti richiesti. Sotto tale aspetto, il ricorrente contesta la congruità della previsione del requisito, sia, secondo l’interpretazione che egli ritiene preferibile, per il caso in cui la suddetta certificazione debba essere considerata equipollente alla laurea, sia nella diversa e avversata ipotesi in cui l’avviso vada invece interpretato nel senso che entrambi i titoli debbano coesistere in capo a ciascun candidato opzione interpretativa, quest’ultima, che avrebbe poi comportato l’esclusione del ricorrente, proprio perché privo della certificazione - - sotto un secondo profilo, 1.2 la riconducibilità delle competenze, necessarie per lo svolgimento dell’incarico, alla laurea in Informatica o in Ingegneria informatica, ritenendo che il profilo professionale oggetto della selezione possa essere ricoperto soltanto da un laureato in giurisprudenza - 2 Violazione dell’articolo 7 del d.lgs. 165/2001 i requisiti di partecipazione consentirebbero, in violazione della norma richiamata, il conferimento dell’incarico individuale, mediante contratti di lavoro autonomo, ad un soggetto privo di “particolare e comprovata specializzazione” e comunque in possesso di una qualifica potenzialmente inferiore a quella del personale di ruolo. Si costituiva l’Amministrazione, resistendo nel merito. 3. Con motivi aggiunti, depositati il 5 luglio 2018, il ricorrente impugnava il successivo verbale prot. numero 21288 del 4 maggio 2018, relativo alla selezione in esame, nonché il decreto del Direttore Generale numero 112 del 22 maggio 2018 avente ad oggetto la designazione del responsabile per la protezione dei dati. Nel predetto verbale, in particolare, la commissione costituita ai fini della selezione del soggetto cui affidare l’incarico, riteneva non ammissibile la domanda presentata dal ricorrente, non possedendo quest’ultimo la certificazione ISO/IEC/27001 nel contempo, veniva espressa una valutazione positiva in favore del curriculum dell’unico candidato restante, l’odierno controinteressato, dott. C Nel secondo provvedimento decreto numero 112 del 2018 , l’Azienda faceva proprio l’esito della selezione, preferendo tuttavia assegnare provvisoriamente l’incarico, stante la pendenza del presente giudizio, al dott. S.B., proprio dipendente di ruolo, considerato che quest’ultimo, “dirigente responsabile della SOC Direzione amministrativa delle funzioni ospedaliere di questa Azienda, possiede adeguato curriculum professionale e formativo e non presenta profili di incompatibilità ai fini dell’espletamento dell’incarico di DPO”. Si proponeva pertanto di “di affidare al dipendente dr. S.B., in via provvisoria e per il solo periodo di tempo necessario alla definitiva individuazione di idoneo professionista al quale affidare l’incarico, le funzioni di DPO Data Protection Officer – Responsabile trattamento dati per la AAS 3, secondo quanto previsto dal regolamento generale sulla protezione dei dati - Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016”. Analogo decreto veniva adottato dall’Azienda Sanitaria Universitaria Integrata di Udine che non è però parte del giudizio , la quale nominava a titolo provvisorio l’Ing. Z Nei motivi aggiunti sono proposte le seguenti ulteriori censure - 1 Violazione dell’articolo 7, co. 6, del d.lgs. 165/2001e degli articolo 46, 71 e 75 del D.P.R. 445/2000 eccesso di potere per violazione dell’avviso pubblico del 5.4.2018 eccesso di potere per carenza di istruttoria e sviamento il ricorrente contesta l’esistenza e il contenuto dei titoli curriculari esposti dal controinteressato laureato in Informatica e titolare della certificazione ISO/IEC/27001 , rilevando come nessuna valutazione o verifica sarebbe stata condotta in proposito dalla commissione - 2 Eccesso di potere per violazione dell’avviso pubblico del 5.4.2018 eccesso di potere per violazione dei principi di non discriminazione, ragionevalezza e favor partecipationis la mancanza della certificazione ISO/IEC/27001 non avrebbe potuto determinare l’esclusione del ricorrente, dal momento che tale requisito doveva essere ritenuto alternativo rispetto al possesso della laurea, e ciò in ragione di un’interpretazione dell’avviso maggiormente adesiva rispetto al principio del favor partecipationis - 3 Violazione degli articolo 37 e 39 del Reg. UE numero 679/2016 eccesso di potere per violazione di atti di regolazione eccesso di potere per violazione di atto presupposto eccesso di potere per manifesta illogicità ed irrazionalità dei requisiti di partecipazione alla selezione eccesso di potere per violazione del canone di proporzionalità sviamento sostanzialmente riproducendo il motivo 1.1 del ricorso introduttivo, viene contestata l’attinenza della certificazione ISO/IEC/27001 rispetto al profilo oggetto dell’incarico, sicché il possesso di tale titolo non potrebbe assurgere a requisito di ammissione. L’Azienda resisteva ai motivi aggiunti nel merito, contestando inoltre il difetto di giurisdizione dell’adito Tribunale nonché la carenza di interesse in capo al ricorrente, in mancanza dell’atto conclusivo del procedimento l’affidamento definitivo al soggetto dichiarato vincitore e, in ogni caso, considerata la sopravvenuta indisponibilità ad assumere l’incarico da parte del controinteressato. 4. Ritiene il Collegio che sussistano i presupposti per definire il giudizio nella presente sede cautelare, con sentenza in forma semplificata ai sensi dell’articolo 60 del cod. proc. amm., eventualità di cui le parti sono state ritualmente informate nel corso dell’udienza, come attestato nel relativo verbale. 4.1 In via preliminare, vanno rigettate entrambe le eccezioni in rito, così come formulate dall’Azienda resistente. 4.1.1 In merito al dedotto profilo di inammissibilità dell’impugnativa, per difetto di giurisdizione, deve essere innanzitutto osservato che l’oggetto della controversia attiene all’assegnazione di un incarico, mediante l’espletamento di una selezione comparativa, direttamente riconducibile ad esigenze proprie dell’Amministrazione, connesse all’esercizio di funzioni istituzionali tra le quali devono essere incluse le competenze e le responsabilità in tema di protezione dei dati, introdotte e regolate dal GDPR , cui non può farsi fronte, secondo quanto esplicitamente dichiarato nell’impugnato decreto numero 73 del 2018, con il personale in servizio. Sul punto, deve essere così richiamato il prevalente insegnamento delle Sezioni Unite della Corte di Cassazione, secondo cui “appartiene alla giurisdizione del giudice amministrativo la controversia relativa ad una procedura concorsuale volta al conferimento di incarichi ex articolo 7, comma 6, d.lg. numero 165 cit., assegnati ad esperti, mediante contratti di lavoro autonomo di natura occasionale o coordinata e continuativa, per far fronte alle medesime esigenze cui ordinariamente sono preordinati i lavoratori subordinati della p.a.” Cass. S.U. numero 13531 del 2016 . Tale indirizzo risulta ampiamente confermato e sviluppato negli arresti della più recente giurisprudenza amministrativa, cui il Collegio intende dare seguito, la quale ha precisato che “vale un'interpretazione estensiva della nozione di «assunzione dei dipendenti delle pubbliche amministrazioni» fatta propria dall'articolo 63 co. 4 del d.lgs. 30 marzo 2001, numero 165, nella quale debbono ritenersi incluse non soltanto le procedure concorsuali volte all'assunzione di lavoratori subordinati, ma anche quelle aventi specificamente ad oggetto il conferimento di incarichi ex articolo 7 co. 6 del medesimo d.lgs. numero 165/2001, assegnati a esperti mediante contratti di lavoro autonomo di natura occasionale, o coordinata e continuativa, per far fronte alle medesime esigenze cui ordinariamente sono preordinati i lavoratori subordinati della pubblica amministrazione. La giurisdizione amministrativa va affermata, pertanto, ogniqualvolta la controversia riguardi una procedura concorsuale indetta da un'amministrazione pubblica, quale che sia la tipologia dell'instaurando rapporto lavorativo. Il requisito della concorsualità sussiste in forza della natura comparativa della selezione, ancorché l'avviso di indizione si limiti a rinviare ad un atto di scelta motivata” da ultimo, T.A.R. Toscana, Sez. I, numero 557 del 2018 vd. inoltre, Cons. Stato, Sez. IV, 1176 del 2017 . Alla luce delle considerazioni anzidette e dei richiami giurisprudenziali, si deve pertanto osservare che l’attinenza dell’incarico alle esigenze proprie dell’Azienda e la procedimentalizzazione della fase di individuazione del soggetto incaricato, mediante l’espletamento di una procedura selettiva di tipo comparativo, costituiscono chiaro indice della manifestazione del potere organizzatorio dell’Amministrazione e del corrispondente insorgere della giurisdizione amministrativa. Non appare invece pertinente il richiamo, rivolto dall’Amministrazione ad una precedente pronuncia di questo Tribunale numero 130 del 2018 , con la quale era stata declinata la giurisdizione in relazione ad altra fattispecie, nella quale risultava invero assente, a differenza di quanto si è poc’anzi osservato, “il pre-requisito della funzionalità dell’incarico conferito alle esigenze proprie dell’Amministrazione”. Nella vicenda di cui è causa, all’opposto, l’incarico attiene infatti a compiti di protezione dei dati intestati all’Azienda sanitaria, funzionalmente connessi ai servizi da questa espletati, in tutto e per tutto omogenei rispetto alle mansioni cui è di norma preposto il personale, come risulta confermato, in linea fattuale, dall’attribuzione dell’incarico, ancorché in via temporanea e nelle more del giudizio, ad un dirigente in servizio, ciò che è avvenuto ad opera dell’impugnato decreto numero 112 del 2018 e del parallelo provvedimento numero 500 del 2018, adottato dall’Azienda sanitaria di Udine. 4.1.2 Quanto al secondo profilo di inammissibilità originaria carenza di interesse del ricorso e dei motivi aggiunti , va osservato che il ricorrente, in quanto soggetto partecipante alla procedura, risulta portatore di un interesse sufficientemente differenziato inteso a conseguire la corretta interpretazione ed applicazione della disciplina regolatrice della selezione nei propri confronti. Da un lato, infatti, l’azione proposta mira come si desume dal complesso delle censure contenute nel ricorso introduttivo a delimitare il perimetro dei soggetti ammessi e a depotenziare i titoli curriculari da questi eventualmente allegati, con ciò ampliando le possibilità di assegnazione dell’incarico. Dall’altro lato come si deduce essenzialmente dal contesto dei motivi aggiunti , l’impugnativa coglie gli effetti escludenti derivanti dall’applicazione e dall’avversata interpretazione dell’avviso, nella parte in cui esige il conseguimento, da parte dei candidati, della certificazione ISO/IEC/27001, effetti che risultano cristallizzati nel verbale prot. numero 21288 del 2018 che sancisce l’inammissibilità della domanda dell’avv. Balducci Romano e nel decreto numero 112 del 2018 quest’ultimo, infatti, nel recepire integralmente il verbale, individua il controinteressato quale soggetto vincitore, confermando l’esclusione del ricorrente , dando così luogo a puntuali arresti procedimentali come tali immediatamente lesivi e suscettibili di impugnazione. Ne consegue che, qualora tali esiti escludenti fossero rimossi, a prescindere dalla sopravvenuta rinuncia del soggetto risultato vincitore, verrebbero conseguentemente meno le ragioni preclusive alla valutazione nel merito della posizione del ricorrente e, in caso di giudizio favorevole, all’auspicato affidamento dell’incarico. 5. Venendo al merito dell’impugnazione, ritiene il Collegio che essa sia manifestamente fondata in relazione alla contestata individuazione della certificazione di Auditor/Lead Auditor ISO/IEC/27001 quale requisito di ammissione alla procedura selettiva censura numero 1.1, introdotta nel ricorso, reiterata nei motivi aggiunti al numero 3 . Sul punto va rilevato che la predetta certificazione non costituisce, come eccepito dal ricorrente, un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati, nell’alveo della disciplina introdotta dal GDPR, dovendosi considerare che da un lato, la norma ISO 27001 trova prevalente applicazione nell’ambito dell’attività di impresa basti rilevare che i riferimenti rivolti ad essa, dal legislatore nazionale e dall’ordinamento euro-unitario, attengono essenzialmente ai requisiti degli operatori economici, come ad esempio avviene nel caso dell’articolo 93, comma 7, D. Lgs. numero 50 del 2016, in tema di garanzie per la partecipazione alle procedure di affidamento nei settori ordinari dall’altro lato, la medesima norma, per quanto potenzialmente estensibile all’attività delle pubbliche amministrazioni, fa pur sempre salva l’applicazione delle disposizioni speciali euro-unitarie e nazionali in materia di tutela dei dati personali e della riservatezza punto 18 “conformità” della citata norma ISO cfr. in particolare 18.1.1 e 18.1.4 , sicché la minuziosa conoscenza e l’applicazione della disciplina di settore restano, indipendentemente dal possesso o meno della certificazione in parola, il nucleo essenziale ed irriducibile della figura professionale ricercata mediante la procedura selettiva intrapresa dall’Azienda, il cui profilo, per le considerazioni anzidette, non può che qualificarsi come eminentemente giuridico. Ne consegue che la certificazione, indicata nell’avviso, di per sé non può costituire requisito di ammissione alla selezione in esame né tanto meno assurgere a titolo equipollente al richiesto diploma di laurea , proprio perché essa non coglie o non coglie appieno la specifica funzione di garanzia insita nell’incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai, come rilevato nel ricorso, alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo. Tali conclusioni sono ulteriormente rafforzate dall’esame dei programmi dei corsi finalizzati all’acquisizione della certificazione ISO/IEC/27001 prodotti dal ricorrente sub all. 22 – lead auditor e all. 23 – internal auditor , caratterizzati da una durata particolarmente contenuta 2/5 giorni , per un massimo di 40 ore, dalla netta prevalenza delle tematiche attinenti all’organizzazione aziendale e ciò a discapito dei profili giuridici e dall’assenza di contenuti riferibili all’attività e alla struttura delle pubbliche amministrazioni. Siffatti rilievi consentono di escludere, una volta di più, che dal possesso della certificazione, conseguita nel contesto di tali corsi, possa essere fatta dipendere l’ammissione alla procedura selettiva, trattandosi, a ben vedere, di un mero titolo curriculare certamente valutabile in sede di giudizio sulle posizioni dei singoli candidati ma non anche di un titolo formativo o abilitante, come tale idoneo ad assurgere a requisito di accesso. Il che appare tanto più vero quando solo si consideri che entrambi i dirigenti incaricati dalle due Aziende dello svolgimento, nelle more del giudizio, dei compiti di responsabile della protezione dei dati, risultano in effetti carenti come si desume agevolmente dall’esame dei rispettivi curricula - all. 2 e 3 depositati il 30 agosto 2018 proprio della certificazione ISO/IEC/27001, la cui mancanza ha però contraddittoriamente determinato l’avversato giudizio di non ammissione, formulato nei confronti del ricorrente. In conclusione, per le considerazioni anzidette, devono essere annullati gli atti impugnati nel presente giudizio, in relazione al primo motivo di ricorso punto 1.1 e alla corrispondente terza censura esposta nei motivi aggiunti, potendosi prescindere dall’esame delle restanti doglianze, stante il carattere integralmente satisfattivo della pronuncia di accoglimento. 6. Le spese seguono la soccombenza e sono liquidate come da dispositivo. P.Q.M. Il Tribunale Amministrativo Regionale per il Friuli Venezia Giulia Sezione Prima , definitivamente pronunciando sul ricorso, come in epigrafe proposto, lo accoglie nei sensi e per gli effetti di cui in motivazione. Condanna l’Azienda per l'Assistenza Sanitaria numero 3 Alto Friuli Collinare Medio Friuli a rifondere al ricorrente le spese di giudizio, che liquida nella misura di euro 1.500,00, oltre ad imposte e ad oneri se dovuti. Ordina che la presente sentenza sia eseguita dall'autorità amministrativa.