L'Organismo di Vigilanza come soggetto autorizzato in ambito Privacy





Il 12 maggio 2020, il Garante Privacy ha emesso un parere (protocollo.U. 0017347) dove specifica la qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall’art. 6, d.lgs. 8 giugno 2001, n. 231.

 




Incontro tra il Garante Privacy e l’Associazione dei Componenti degli Organismi di Vigilanza (OdV)

Nella data di 05 novembre 2019, l’Associazione dei Componenti degli Organismi di Vigilanza ex d.lgs. 231/2001 si è riunita con il garante Privacy per definire la questione sopracitata. 

Il garante, dopo aver analizzato le diverse tesi emerse in dottrina, ha concluso sostenendo che:

 l’OdV in quanto parte dell’impresa”, non sia qualificabile né come titolare né come responsabile del trattamento, […e che] ai fini dell’osservanza delle norme relative alla protezione dei dati l’inquadramento soggettivo dell’Organismo di Vigilanza [...] sia assorbito da quello dell’Ente/società vigilata della quale, appunto, l’OdV è “parte”.

 
 Successivamente all’incontro, l’Associazione ha trasmesso in data 11 novembre e 20 dicembre 2019 ulteriore documentazione sull'argomento e una memoria di approfondimento a supporto della tesi sostenuta.

La disciplina in materia di protezione dei dati personali: Regolamento (UE) 2016/679

Il Regolamento (UE) 2016/679 si pone in linea di continuità con quanto previsto dalla Direttiva 95/46/CE rispetto all’individuazione dei ruoli di titolare e responsabile e alla distribuzione delle relative responsabilità.

Infatti, con definizione sostanzialmente sovrapponibile a quella contenuta nella Direttiva (art. 2, lett. d)), il Regolamento 679 definisce:

 titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (art. 4, n. 7) e responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento (art. 4, n. 8).


Per quanto riguarda la figura dell’incaricato del trattamento, il Regolamento, pur non prevedendo espressamente tale figura, di fatto, non la esclude riferendosi a:"persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile”.

È concesso al titolare o al responsabile la facoltà di prevedere “sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento dei dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità”.

Requisiti e Funzioni dell’OdV

Importante sottolineare che il d.lgs. 231/2001 disciplina la responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica.

Il riferito documento legale prevede, in particolare, che l’ente non risponde per reati commessi nel suo interesse o a suo vantaggio da soggetti che ricoprono funzioni apicali e da persone sottoposte alla loro direzione o vigilanza, se dimostra di avere “adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire i reati della specie di quello verificatosi e di avere affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo, il compito di vigilare sul funzionamento e l’osservanza di detti modelli e di curarne l’aggiornamento.

Al fine di assicurare all’OdV autonomi poteri di iniziativa e di controllo nello svolgimento delle sue funzioni, il modello deve garantire che l'organismo sia messo nelle condizioni di agire libero da ogni forma di interferenza e condizionamento da parte di tutti gli organi dell’ente, ivi compresi quelli dirigenziali, evitando situazioni di conflitto di interessi, anche potenziale, con il vertice che potrebbero configurarsi, ad esempio, nell’ipotesi di attribuzione di compiti operativi all’interno dell’ente.

Analisi della qualificazione soggettiva ai fini privacy dell'OdV 

In via preliminare, si precisa che il parere emanato dal Garante Privacy ha ad oggetto solo il ruolo, ai fini privacy, che l’OdV assume con riferimento ai flussi di informazioni rilevanti ai sensi dell’art. 6, commi 1 e 2 del d.lgs. n. 231/2001, rimanendo escluso il nuovo e diverso ruolo che l'organismo potrebbe acquisire in relazione alle segnalazioni effettuate nell’ambito della normativa di whistleblowing.

Premesso ciò, con riferimento all’aspetto indicato, si ritiene che l’OdV, pur essendo dotato di autonomi poteri di iniziativa e controllo, non possa essere considerato autonomo titolare del trattamento, considerato che i compiti di iniziativa e controllo propri dell’OdV non sono determinati dall’organismo stesso, bensì dalla legge che ne indica i compiti e dall’organo dirigente che nel modello di organizzazione e gestione definisce gli aspetti relativi al funzionamento compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza (art. 6, commi 1 e 2 d.lgs. n. 231/2001).

Importante evidenziare che all’OdV non può essere imputata una responsabilità penale in ordine all’eventuale commissione di reati rilevanti ai sensi del d.lgs. n.231/2001 nel caso di omessi controlli, posto che tale organismo, pur avendo funzioni di vigilanza e controllo, non è dotato di alcun potere impeditivo nei confronti degli eventuali autori del reato, così che, anche in caso di inerzia dell’OdV, la responsabilità ricade sull’ente che non potrà avvalersi della scriminante prevista dall’art.6, comma 1 d.lgs n . 231/2001.

Resta ferma invece la responsabilità di natura contrattuale dell'OdV nei confronti dell’ente per inadempimento delle obbligazioni assunte con il conferimento dell’incarico.

Analogamente, tenuto conto che l’OdV non è distinto dall’ente, ma è parte dello stesso, si ritiene che non possa essere considerato responsabile del trattamento inteso come soggetto chiamato ad effettuare un trattamento “per conto del titolare”, ovverosia una “persona giuridicamente distinta dal Titolare, ma che agisce per conto di quest’ultimo secondo le istruzioni impartite dal titolare.

Peraltro, il Regolamento, pur non modificandone l'essenza, ha, comunque, introdotto delle novità in ordine alla figura del responsabile del trattamento, prevedendo, in funzione della gestione dei dati svolta per conto del titolare, una serie di obblighi da essere osservati.

Nel caso di inosservanza di tali obblighi e dei relativi adempimenti possono essere adottati provvedimenti correttivi e sanzionatori contro il responsabile in ordine al trattamento dei dati che svolge per conto del titolare.

Diversamente, eventuali omessi controlli in ordine all’osservanza dei modelli predisposti dall’ente non ricadono sull’OdV ma sull’ente stesso che non potrà, in tal caso, avvalersi della scriminante prevista dall’art.6, comma 1, d.lgs. n. 231/2001.

Conclusioni

Sulla base delle valutazioni sopra riportate, si ritiene che l’OdV, nel suo complesso, a prescindere dalla circostanza che i membri che lo compongano siano interni o esterni, debba essere considerato parte dell’ente”.

Il suo ruolo - che si esplica nell’esercizio dei compiti che gli sono attribuiti dalla legge, attraverso il riconoscimento di “autonomi poteri di iniziativa e controllo - si svolge nell’ambito dell’organizzazione dell’ente, titolare del trattamento, che, attraverso la predisposizione dei modelli di organizzazione e di gestione, definisce il perimetro e le modalità di esercizio di tali compiti.

Tale posizione si intende ricoperta dall’OdV nella sua collegialità, tuttavia, non può prescindersi dalla necessità di definire anche il ruolo che, in base alla disciplina in materia di protezione dei dati personali, deve essere previsto per i singoli membri che lo compongono.

Lo stesso ente, in ragione del trattamento dei dati personali che l’esercizio dei compiti e delle funzioni affidate all’OdV comporta designerà i singoli membri dell’OdV quali soggetti autorizzati.

Tali soggetti, in relazione al trattamento dei dati degli interessati, dovranno attenersi alle istruzioni impartite dal titolare affinché il trattamento avvenga in conformità ai principi stabiliti dall’art. 5 del Regolamento 679.

Lo stesso titolare sarà tenuto ad adottare le misure tecniche e organizzative idonee a garantire la protezione dei dati trattati, assicurando contestualmente all’OdV l’autonomia e l’indipendenza rispetto agli organi di gestione societaria nell’adempimento dei propri compiti secondo le modalità previste dalla citata normativa.


Assicurati che il tuo Dossier sia in conformità con il Regolamento 2016/679.    Richiede ora la nostra Consulenza Privacy!  


informazione consulenza privacy

 
 
 
 
 
 
 
 


L'Organismo di Vigilanza come soggetto autorizzato in ambito Privacy





Il 12 maggio 2020, il Garante Privacy ha emesso un parere (protocollo.U. 0017347) dove specifica la qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall’art. 6, d.lgs. 8 giugno 2001, n. 231.

 




Incontro tra il Garante Privacy e l’Associazione dei Componenti degli Organismi di Vigilanza (OdV)

Nella data di 05 novembre 2019, l’Associazione dei Componenti degli Organismi di Vigilanza ex d.lgs. 231/2001 si è riunita con il garante Privacy per definire la questione sopracitata. 

Il garante, dopo aver analizzato le diverse tesi emerse in dottrina, ha concluso sostenendo che:

 l’OdV in quanto parte dell’impresa”, non sia qualificabile né come titolare né come responsabile del trattamento, […e che] ai fini dell’osservanza delle norme relative alla protezione dei dati l’inquadramento soggettivo dell’Organismo di Vigilanza [...] sia assorbito da quello dell’Ente/società vigilata della quale, appunto, l’OdV è “parte”.

 
 Successivamente all’incontro, l’Associazione ha trasmesso in data 11 novembre e 20 dicembre 2019 ulteriore documentazione sull'argomento e una memoria di approfondimento a supporto della tesi sostenuta.

La disciplina in materia di protezione dei dati personali: Regolamento (UE) 2016/679

Il Regolamento (UE) 2016/679 si pone in linea di continuità con quanto previsto dalla Direttiva 95/46/CE rispetto all’individuazione dei ruoli di titolare e responsabile e alla distribuzione delle relative responsabilità.

Infatti, con definizione sostanzialmente sovrapponibile a quella contenuta nella Direttiva (art. 2, lett. d)), il Regolamento 679 definisce:

 titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (art. 4, n. 7) e responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento (art. 4, n. 8).


Per quanto riguarda la figura dell’incaricato del trattamento, il Regolamento, pur non prevedendo espressamente tale figura, di fatto, non la esclude riferendosi a:"persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile”.

È concesso al titolare o al responsabile la facoltà di prevedere “sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento dei dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità”.

Requisiti e Funzioni dell’OdV

Importante sottolineare che il d.lgs. 231/2001 disciplina la responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica.

Il riferito documento legale prevede, in particolare, che l’ente non risponde per reati commessi nel suo interesse o a suo vantaggio da soggetti che ricoprono funzioni apicali e da persone sottoposte alla loro direzione o vigilanza, se dimostra di avere “adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire i reati della specie di quello verificatosi e di avere affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo, il compito di vigilare sul funzionamento e l’osservanza di detti modelli e di curarne l’aggiornamento.

Al fine di assicurare all’OdV autonomi poteri di iniziativa e di controllo nello svolgimento delle sue funzioni, il modello deve garantire che l'organismo sia messo nelle condizioni di agire libero da ogni forma di interferenza e condizionamento da parte di tutti gli organi dell’ente, ivi compresi quelli dirigenziali, evitando situazioni di conflitto di interessi, anche potenziale, con il vertice che potrebbero configurarsi, ad esempio, nell’ipotesi di attribuzione di compiti operativi all’interno dell’ente.

Analisi della qualificazione soggettiva ai fini privacy dell'OdV 

In via preliminare, si precisa che il parere emanato dal Garante Privacy ha ad oggetto solo il ruolo, ai fini privacy, che l’OdV assume con riferimento ai flussi di informazioni rilevanti ai sensi dell’art. 6, commi 1 e 2 del d.lgs. n. 231/2001, rimanendo escluso il nuovo e diverso ruolo che l'organismo potrebbe acquisire in relazione alle segnalazioni effettuate nell’ambito della normativa di whistleblowing.

Premesso ciò, con riferimento all’aspetto indicato, si ritiene che l’OdV, pur essendo dotato di autonomi poteri di iniziativa e controllo, non possa essere considerato autonomo titolare del trattamento, considerato che i compiti di iniziativa e controllo propri dell’OdV non sono determinati dall’organismo stesso, bensì dalla legge che ne indica i compiti e dall’organo dirigente che nel modello di organizzazione e gestione definisce gli aspetti relativi al funzionamento compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza (art. 6, commi 1 e 2 d.lgs. n. 231/2001).

Importante evidenziare che all’OdV non può essere imputata una responsabilità penale in ordine all’eventuale commissione di reati rilevanti ai sensi del d.lgs. n.231/2001 nel caso di omessi controlli, posto che tale organismo, pur avendo funzioni di vigilanza e controllo, non è dotato di alcun potere impeditivo nei confronti degli eventuali autori del reato, così che, anche in caso di inerzia dell’OdV, la responsabilità ricade sull’ente che non potrà avvalersi della scriminante prevista dall’art.6, comma 1 d.lgs n . 231/2001.

Resta ferma invece la responsabilità di natura contrattuale dell'OdV nei confronti dell’ente per inadempimento delle obbligazioni assunte con il conferimento dell’incarico.

Analogamente, tenuto conto che l’OdV non è distinto dall’ente, ma è parte dello stesso, si ritiene che non possa essere considerato responsabile del trattamento inteso come soggetto chiamato ad effettuare un trattamento “per conto del titolare”, ovverosia una “persona giuridicamente distinta dal Titolare, ma che agisce per conto di quest’ultimo secondo le istruzioni impartite dal titolare.

Peraltro, il Regolamento, pur non modificandone l'essenza, ha, comunque, introdotto delle novità in ordine alla figura del responsabile del trattamento, prevedendo, in funzione della gestione dei dati svolta per conto del titolare, una serie di obblighi da essere osservati.

Nel caso di inosservanza di tali obblighi e dei relativi adempimenti possono essere adottati provvedimenti correttivi e sanzionatori contro il responsabile in ordine al trattamento dei dati che svolge per conto del titolare.

Diversamente, eventuali omessi controlli in ordine all’osservanza dei modelli predisposti dall’ente non ricadono sull’OdV ma sull’ente stesso che non potrà, in tal caso, avvalersi della scriminante prevista dall’art.6, comma 1, d.lgs. n. 231/2001.

Conclusioni

Sulla base delle valutazioni sopra riportate, si ritiene che l’OdV, nel suo complesso, a prescindere dalla circostanza che i membri che lo compongano siano interni o esterni, debba essere considerato parte dell’ente”.

Il suo ruolo - che si esplica nell’esercizio dei compiti che gli sono attribuiti dalla legge, attraverso il riconoscimento di “autonomi poteri di iniziativa e controllo - si svolge nell’ambito dell’organizzazione dell’ente, titolare del trattamento, che, attraverso la predisposizione dei modelli di organizzazione e di gestione, definisce il perimetro e le modalità di esercizio di tali compiti.

Tale posizione si intende ricoperta dall’OdV nella sua collegialità, tuttavia, non può prescindersi dalla necessità di definire anche il ruolo che, in base alla disciplina in materia di protezione dei dati personali, deve essere previsto per i singoli membri che lo compongono.

Lo stesso ente, in ragione del trattamento dei dati personali che l’esercizio dei compiti e delle funzioni affidate all’OdV comporta designerà i singoli membri dell’OdV quali soggetti autorizzati.

Tali soggetti, in relazione al trattamento dei dati degli interessati, dovranno attenersi alle istruzioni impartite dal titolare affinché il trattamento avvenga in conformità ai principi stabiliti dall’art. 5 del Regolamento 679.

Lo stesso titolare sarà tenuto ad adottare le misure tecniche e organizzative idonee a garantire la protezione dei dati trattati, assicurando contestualmente all’OdV l’autonomia e l’indipendenza rispetto agli organi di gestione societaria nell’adempimento dei propri compiti secondo le modalità previste dalla citata normativa.


Assicurati che il tuo Dossier sia in conformità con il Regolamento 2016/679.    Richiede ora la nostra Consulenza Privacy!  


informazione consulenza privacy

 
 
 
 
 
 
 
 


Scopri subito la nostra soluzione Privacy Facile
e trova la versione pił adatta alle tue esigenze


SCOPRI