Italiano
English 
Nello svolgimento del proprio ruolo ai sensi dell’art. 6 d.lgs. 231/2001, l’Organismo di Vigilanza non deve essere considerato nè Titolare, nè Responsabile del Trattamento. Ciò è quanto emerge dal parere U.0017347 emesso dal Garante per la protezione dei dati personali (d’ora in poi, “Garante”) il 12 maggio scorso.
Nello svolgimento dei propri compiti e, in particolare, nella gestione dei flussi informativi, l’Organismo di Vigilanza (d’ora in poi, “OdV” o “Organismo”) tratta un numero rilevante di dati personali. Alla luce di tale evidenza, l’Associazione dei Componenti degli Organismi di Vigilanza ha chiesto al Garante di esprimersi in merito alla qualificazione soggettiva ai fini privacy degli OdV, sostenendo che – essendo l’Organismo parte dell’Ente che lo ha nominato – il suo inquadramento ai fini della protezione dei dati debba essere necessariamente assimilato a quello dell’Ente di cui è parte. Il Garante è intervenuto fornendo un contributo autorevole a tale problematica, particolarmente complessa e dibattuta, cogliendo anche l’occasione per ribadire i concetti di Titolare, Responsabile e Soggetto Autorizzato al Trattamento ai sensi della normativa privacy.
Di seguito, si sintetizzano i passaggi più significativi del parere.
L’Organismo di Vigilanza deve essere considerato parte dell’Ente che lo ha incaricato di svolgere i propri compiti ai sensi dell’art. 6 d.lgs. 231/2001. Il ruolo dell’OdV, infatti, si svolge nell’ambito dell’organizzazione dell’Ente, Titolare del Trattamento, che “attraverso la predisposizione di modelli di organizzazione e gestione, definisce il perimetro e le modalità di esercizio” di tale ruolo.
L’Organismo di Vigilanza non può essere considerato autonomo Titolare del Trattamento, nonostante sia dotato di autonomi poteri di iniziativa e di controllo. Ai sensi del Regolamento (UE) 2016/679 (GDPR), infatti, il Titolare del Trattamento è il soggetto “sul quale ricadono le decisioni di fondo relativamente alle finalità e alle modalità del trattamento dei dati personali degli interessati.”. Ebbene, i compiti e i poteri dell’OdV, attraverso i quali tratta informazioni personali, non sono determinati dall’Organismo stesso, ma dalla legge e dall’Ente che, peraltro, “nel modello di organizzazione e gestione definisce gli aspetti relativi al funzionamento” dell’Organismo stesso, determinandone tutti gli aspetti più importanti, “compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza”. Del resto, è di tutta evidenza che la vigilanza sul funzionamento, l’osservanza dei modelli organizzativi e il loro aggiornamento non sono finalità autodeterminate dall’OdV, ma discendono direttamente dal dettato normativo (art. 6, comma 1, lett. b).
L’Organismo di Vigilanza non può essere considerato Responsabile del Trattamento, inteso come persona giuridicamente distinta dal Titolare che agisce sulla base di finalità determinate dal Titolare stesso. Oltre al fatto che l’OdV è parte dell’Ente che lo ha nominato, il Responsabile del Trattamento è soggetto ad una serie di obblighi che sorgono nell’ambito della gestione dei dati svolta per conto del Titolare, la cui inosservanza comporta l’insorgere di una responsabilità direttamente il capo al Responsabile. All’opposto, “eventuali omessi controlli in ordine all’osservanza dei modelli predisposti dall’ente non ricadono sull’OdV ma sull’ente stesso che non potrà […] avvalersi della scriminante prevista dall’art. 6, comma 1 d.lgs. 231/2001”.
Posto quanto finora riportato, è imprescindibile definire il ruolo che deve essere ricoperto dai singoli componenti dell’OdV. A questo proposito, il GDPR prevede l’esistenza di soggetti autorizzati a trattare i dati personali sotto l’autorità diretta del Titolare o del Responsabile del Trattamento. L’Ente, pertanto, “in ragione del trattamento dei dati personali che l’esercizio dei compiti e delle funzioni affidate all’OdV comporta”, potrà utilmente designare i singoli componenti dell’Organismo quali soggetti autorizzati ai sensi dell’art. 29 GDPR. In tale contesto, l’Ente, quale Titolare del Trattamento, impartirà ai componenti dell’OdV le istruzioni per lo svolgimento di attività di trattamento lecite, assicurando contestualmente all’Organismo l’autonomia e l’indipendenza così come previste dal d.lgs. 231/2001.
Nel parere sopra sintetizzato, il Garante ha volutamente omesso di analizzare la qualifica soggettiva ai fini privacy degli OdV quali terminali delle segnalazioni ai sensi della normativa c.d. Whisteblowing (l. 179/2017). Si attende, pertanto, un nuovo intervento chiarificatore su una tematica sempre più rilevante.
_
A cura di:
Avv. Giacomo Cardani
Avv. Davide Brambilla
Il presente documento ha lo scopo di fornire una prima informativa generale sulle novità normative e, pertanto, non potrà essere utilizzato o interpretato quale parere legale. Un’analisi precisa delle ricadute della normativa rispetto alla singola società potrà essere effettuata solamente su specifico incarico.