Il 12 maggio 2020, il Garante Privacy ha emesso un parere (protocollo.U. 0017347) dove specifica la qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall’art. 6, d.lgs. 8 giugno 2001, n. 231.

Incontro tra il Garante Privacy e l’Associazione dei Componenti degli Organismi di Vigilanza (OdV)

Nella data di 05 novembre 2019, l’Associazione dei Componenti degli Organismi di Vigilanza ex d.lgs. 231/2001 si è riunita con il garante Privacy per definire la questione sopracitata. 

Il garante, dopo aver analizzato le diverse tesi emerse in dottrina, ha concluso sostenendo che:

La disciplina in materia di protezione dei dati personali: Regolamento (UE) 2016/679

Il Regolamento (UE) 2016/679 si pone in linea di continuità con quanto previsto dalla Direttiva 95/46/CE rispetto all’individuazione dei ruoli di titolare e responsabile e alla distribuzione delle relative responsabilità.

Infatti, con definizione sostanzialmente sovrapponibile a quella contenuta nella Direttiva (art. 2, lett. d)), il Regolamento 679 definisce:

È concesso al titolare o al responsabile la facoltà di prevedere “sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento dei dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità”.

Requisiti e Funzioni dell’OdV

Importante sottolineare che il d.lgs. 231/2001 disciplina la responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica.

Il riferito documento legale prevede, in particolare, che l’ente non risponde per reati commessi nel suo interesse o a suo vantaggio da soggetti che ricoprono funzioni apicali e da persone sottoposte alla loro direzione o vigilanza, se dimostra di avere “adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire i reati della specie di quello verificatosi” e di avere “affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo”, il compito di vigilare sul funzionamento e l’osservanza di detti modelli e di curarne l’aggiornamento.

Al fine di assicurare all’OdV autonomi poteri di iniziativa e di controllo nello svolgimento delle sue funzioni, il modello deve garantire che l'organismo sia messo nelle condizioni di agire libero da ogni forma di interferenza e condizionamento da parte di tutti gli organi dell’ente, ivi compresi quelli dirigenziali, evitando situazioni di conflitto di interessi, anche potenziale, con il vertice che potrebbero configurarsi, ad esempio, nell’ipotesi di attribuzione di compiti operativi all’interno dell’ente.

Analisi della qualificazione soggettiva ai fini privacy dell'OdV 

In via preliminare, si precisa che il parere emanato dal Garante Privacy ha ad oggetto solo il ruolo, ai fini privacy, che l’OdV assume con riferimento ai flussi di informazioni rilevanti ai sensi dell’art. 6, commi 1 e 2 del d.lgs. n. 231/2001, rimanendo escluso il nuovo e diverso ruolo che l'organismo potrebbe acquisire in relazione alle segnalazioni effettuate nell’ambito della normativa di whistleblowing.

Premesso ciò, con riferimento all’aspetto indicato, si ritiene che l’OdV, pur essendo dotato di autonomi poteri di iniziativa e controllo, non possa essere considerato autonomo titolare del trattamento, considerato che i compiti di iniziativa e controllo propri dell’OdV non sono determinati dall’organismo stesso, bensì dalla legge che ne indica i compiti e dall’organo dirigente che nel modello di organizzazione e gestione definisce gli aspetti relativi al funzionamento compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza (art. 6, commi 1 e 2 d.lgs. n. 231/2001).

Importante evidenziare che all’OdV non può essere imputata una responsabilità penale in ordine all’eventuale commissione di reati rilevanti ai sensi del d.lgs. n.231/2001 nel caso di omessi controlli, posto che tale organismo, pur avendo funzioni di vigilanza e controllo, non è dotato di alcun potere impeditivo nei confronti degli eventuali autori del reato, così che, anche in caso di inerzia dell’OdV, la responsabilità ricade sull’ente che non potrà avvalersi della scriminante prevista dall’art.6, comma 1 d.lgs n . 231/2001.

Resta ferma invece la responsabilità di natura contrattuale dell'OdV nei confronti dell’ente per inadempimento delle obbligazioni assunte con il conferimento dell’incarico.

Analogamente, tenuto conto che l’OdV non è distinto dall’ente, ma è parte dello stesso, si ritiene che non possa essere considerato responsabile del trattamento inteso come soggetto chiamato ad effettuare un trattamento “per conto del titolare”, ovverosia una “persona giuridicamente distinta dal Titolare, ma che agisce per conto di quest’ultimo” secondo le istruzioni impartite dal titolare.

Peraltro, il Regolamento, pur non modificandone l'essenza, ha, comunque, introdotto delle novità in ordine alla figura del responsabile del trattamento, prevedendo, in funzione della gestione dei dati svolta per conto del titolare, una serie di obblighi da essere osservati.

Nel caso di inosservanza di tali obblighi e dei relativi adempimenti possono essere adottati provvedimenti correttivi e sanzionatori contro il responsabile in ordine al trattamento dei dati che svolge per conto del titolare.

Diversamente, eventuali omessi controlli in ordine all’osservanza dei modelli predisposti dall’ente non ricadono sull’OdV ma sull’ente stesso che non potrà, in tal caso, avvalersi della scriminante prevista dall’art.6, comma 1, d.lgs. n. 231/2001.

Conclusioni

Sulla base delle valutazioni sopra riportate, si ritiene che l’OdV, nel suo complesso, a prescindere dalla circostanza che i membri che lo compongano siano interni o esterni, debba essere considerato “parte dell’ente”.

Il suo ruolo - che si esplica nell’esercizio dei compiti che gli sono attribuiti dalla legge, attraverso il riconoscimento di “autonomi poteri di iniziativa e controllo” - si svolge nell’ambito dell’organizzazione dell’ente, titolare del trattamento, che, attraverso la predisposizione dei modelli di organizzazione e di gestione, definisce il perimetro e le modalità di esercizio di tali compiti.

Tale posizione si intende ricoperta dall’OdV nella sua collegialità, tuttavia, non può prescindersi dalla necessità di definire anche il ruolo che, in base alla disciplina in materia di protezione dei dati personali, deve essere previsto per i singoli membri che lo compongono.

Lo stesso ente, in ragione del trattamento dei dati personali che l’esercizio dei compiti e delle funzioni affidate all’OdV comporta designerà i singoli membri dell’OdV quali soggetti autorizzati.

Tali soggetti, in relazione al trattamento dei dati degli interessati, dovranno attenersi alle istruzioni impartite dal titolare affinché il trattamento avvenga in conformità ai principi stabiliti dall’art. 5 del Regolamento 679.

Lo stesso titolare sarà tenuto ad adottare le misure tecniche e organizzative idonee a garantire la protezione dei dati trattati, assicurando contestualmente all’OdV l’autonomia e l’indipendenza rispetto agli organi di gestione societaria nell’adempimento dei propri compiti secondo le modalità previste dalla citata normativa.