Previsto dall’art. 6, comma 1, lett. b) del D.lgs. 8 giugno 2001, n. 231, l’Organismo di Vigilanza (OdV) è un organo che vigila sulla responsabilità degli enti, per reati commessi nell’interesse o vantaggio a favore di questi ultimi. L’avvento del Reg. UE 2016/679 (GDPR) aveva creato incertezza in merito alla qualificazione soggettiva di tale organo, aprendo il dibattito tra coloro che sostenevano dovesse qualificarsi come un titolare autonomo e coloro che, invece, lo ritenevano un responsabile del trattamento ai sensi ai sensi dell’art. 28.
In seguito alla formulazione di uno specifico quesito da parte della Associazione dei Componenti degli Organismi di Vigilanza, il Garante per la Protezione dei Dati Personali con il recente parere – nota prot. 17347 del 12.05.2020 – ha posto fine all’annoso dilemma, chiarendo che l’OdV non è né titolare autonomo, né responsabile del trattamento ai sensi dell’art. 28.
Il citato parere afferma, invece, che l’Organismo di Vigilanza considerato nel suo complesso e a prescindere dalla circostanza che i membri che lo compongono siano interni o esterni, essendo “parte dell’ente” deve essere designato quale soggetto autorizzato al trattamento.
Sommario
Perché non può essere inquadrato né come titolare autonomo né come responsabile del trattamento
Perché l’ente deve designare l’OdV come autorizzato al trattamento
Perché non può essere inquadrato né come titolare autonomo né come responsabile del trattamento
Il Garante Privacy ha premesso che “In via preliminare, si precisa che il presente parere ha ad oggetto solo il ruolo, ai fini privacy, che l’OdV assume con riferimento ai flussi di informazioni rilevanti ai sensi dell’art. 6, commi 1 e 2 del d.lgs. n. 231/2001, rimanendo escluso il nuovo e diverso ruolo che l’organismo potrebbe acquisire in relazione alle segnalazioni effettuate nell’ambito della normativa di whistleblowing (art. 6, comma 2-bis, 2-ter, 2-quater cit., d.lgs. n. 231/2001”.
Il Garante ha poi motivato l’esclusione dell’orientamento che considerava l’OdV quale Titolare del Trattamento sostenendo che “i compiti di iniziativa e controllo propri dell’OdV non sono determinati dall’organismo stesso, bensì dalla Legge e dall’ente – Titolare del trattamento – che, attraverso il Modello di Organizzazione e Gestione definisce il perimetro e le modalità di esercizio di tali compiti”. Ha altresì argomentato sottolineando la circostanza che l’OdV, nel caso di omessi controlli, non può essere ritenuto responsabile in ordine all’eventuale commissione di reati rilevanti ai sensi del D.lgs. n. 231/2001.
L’OdV, secondo lo stesso Garante, neppure può essere qualificato come Responsabile del trattamento dati ex art. 28 GDPR, in quanto è stato precisato che, essendo l’OdV parte dell’ente, non può inquadrarsi nella definizione di colui che “tratta i dati per conto del Titolare”, cioè di una persona giuridicamente distinta dal Titolare che opera per quest’ultimo.
Perché l’ente deve designare l’OdV come autorizzato al trattamento
Il ruolo dell’OdV si esplica nell’esercizio dei compiti che gli sono attribuiti dalla legge, attraverso il riconoscimento di autonomi poteri di iniziativa e controllo e si svolge nell’ambito dell’organizzazione dell’impresa, titolare del trattamento, che, attraverso la predisposizione dei modelli di organizzazione e di gestione, definisce il perimetro e le modalità di esercizio di tali compiti.
L’ente titolare “in ragione del trattamento dei dati personali che l’esercizio dei compiti e delle funzioni affidate all’OdV comporta (ad esempio, l’accesso alle informazioni acquisite attraverso flussi informativi), designerà – nell’ambito delle misure tecniche e organizzative da porre in essere in linea con il principio di accountability (art. 24 del Regolamento) – i singoli membri dell’OdV quali soggetti autorizzati (artt. 4, n. 10, 29, 32 par. 4 Regolamento; v. anche art. 2-quaterdecies del Codice). Tali soggetti, in relazione al trattamento dei dati degli interessati, dovranno attenersi alle istruzioni impartite dal titolare affinché il trattamento avvenga in conformità ai principi stabiliti dall’art. 5 del Regolamento”.
Per tale ragione, gli Organismi di Vigilanza dovranno ricevere dall’ente titolare del trattamento, per l’esercizio del proprio incarico (nello specifico, solo in relazione alla gestione flussi informativi), le istruzioni operative ai sensi dell’art. 29 GDPR e 2-quaterdecies D.lgs. 196/2003 e successive modifiche, affinché i dati vengano trattati in conformità ai principi stabiliti dalla normativa di protezione dei dati personali e alle politiche definite all’interno dell’ente.
“Lo stesso titolare sarà tenuto ad adottare le misure tecniche e organizzative idonee a garantire la protezione dei dati trattati, assicurando contestualmente all’OdV l’autonomia e l’indipendenza rispetto agli organi di gestione societaria nell’adempimento dei propri compiti secondo le modalità previste dalla citata normativa”.
Conclusioni
Come già chiarito, il parere in esame ha per oggetto soltanto il ruolo assunto dall’OdV con riguardo alla gestione dei cd. “flussi informativi“, che realizzano un sistema di controllo interno per le aziende che si siano dotate di Modello Organizzativo, in quanto utili per conoscere e gestire tempestivamente i rischi reato a cui le stesse risultano esposte, mentre esclude espressamente il nuovo e diverso ruolo che l’OdV potrebbe acquisire in relazione alle segnalazioni effettuate nell’ambito della normativa di “whistleblowing” (art. 6, comma 2-bis, 2-ter, 2-quater cit., d.lgs. n. 231/2001). Resta altresì esclusa anche l’eventuale ed esperibile attività di indagine che l’OdV può esperire utilizzando il budget a sua disposizione.
Si auspica pertanto che il Garante possa intervenire nuovamente per un ulteriore chiarimento.