Come contributo alla discussione rappresento che nel ”Parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall'art. 6, d.lgs. 8 giugno 2001, n. 231” (doc web Doc-Web 9347842) il Garante nell’escludere che nel suo insieme l’OdV potesse essere inquadrato come titolare autonomo o responsabile del trattamento, essendo parte dell’ente, ha aggiunto che “Lo stesso ente, in ragione del trattamento dei dati personali che l'esercizio dei compiti e delle funzioni affidate all'OdV comporta (ad esempio, l'accesso alle informazioni acquisite attraverso flussi informativi), designerà - nell'ambito delle misure tecniche e organizzative da porre in essere in linea con il principio di accountability (art. 24 del Regolamento) - i singoli membri dell'OdV quali soggetti autorizzati (artt. 4, n. 10, 29, 32 par. 4 Regolamento; v. anche art. 2-quaterdecies del Codice). Tali soggetti, in relazione al trattamento dei dati degli interessati, dovranno attenersi alle istruzioni impartite dal titolare affinché il trattamento avvenga in conformità ai principi stabiliti dall'art. 5 del Regolamento” (il documento fa slava la possibilità di diverso inquadramento per il whistleblowing, su cui non si sofferma).
Ne discenderbbe che nel suo insieme l’OdV non possa essere individuato come RPD (che è da vedere come terzo rispetto all’organizzazione in quanto consulente) . Inoltre, il fatto che i singoli componenti vadano inquadrati come “soggetti autorizzati” che operano sotto le istruzioni del titolare, sembrerebbe escludere che uno di essi possa essere qualificato come RPD (a mio avviso la posizione del RPD è qualcosa di più che autorizzato al trattamento, quantomeno per l’autonomia che gli spetta) .
D’altronde l’OdV potrebbe in teoria essere oggetto di supervisione a fini privacy da parte del RPD per cui potrebbe porsi un corto circuito fra le diverse funzioni.
Segnalo poi che su Federprivacy vi sono vari utili e interventi inerenti all'OdV e ai rapporti con il RPD, ad es.
www.federprivacy.org/informazione/garant...-del-garante-privacy e
www.federprivacy.org/strumenti/accesso-r...-ed-il-ruolo-del-dpo