L’Odv non è né un titolare del trattamento e neppure un responsabile esterno
L’Organismo di vigilanza (Odv) è un organismo dell'ente/società. In quanto tale, l’organismo previsto dall’articolo 6 del d.lgs. 231/2008, non è un titolare del trattamento e neppure un responsabile esterno (articolo 28 Regolamento Ue sulla protezione dei dati n. 2016/679, Gdpr). Inoltre, i componenti dell’Odv devono essere designati autorizzati al trattamento.
È quanto chiarito dal Garante per la protezione dei dati personali con una nota prot. 17347 del 12 maggio 2020, nella quale si è occupato della natura di questo organismo ai fini della disciplina sulla protezione dei dati. Peraltro, la risposta lascia aperta la possibilità di una diversa qualificazione a riguardo degli adempimenti connessi al whistleblowing.
La risposta formulata dal Garante risulta conferma dell’impostazione a suo tempo delineate in risposta a un quesito su questo sito.
IL PROBLEMA - Il dilemma riguarda, dunque, il ruolo “privacy” dell’Organismo di Vigilanza di un’impresa o di un ente. Tale organismo svolge un ruolo essenziale per arginare la responsabilità amministrativa delle imprese derivante da reati commessi da manager e dipendenti. In particolare il d.lgs. 231/2001 prevede che un ente non risponde per reati commessi nel suo interesse o a suo vantaggio da soggetti che ricoprono funzioni apicali e da persone sottoposte alla loro direzione o vigilanza, se dimostra di avere “adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire i reati della specie di quello verificatosi” e di avere “affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo”, il compito di vigilare sul funzionamento e l’osservanza di detti modelli e di curarne l’aggiornamento.
Quest’ultimo organismo è proprio l’Odv di cui si sta parlando.
Ci si è chiesto, in particolare, se l’Odv sia titolare del trattamento o responsabile del trattamento oppure se non abbia una sua rilevanza soggettiva, dovendosi ritenere assorbito da quello dell’Ente o società vigilata della quale, l’organismo di vigilanza è parte.
Il dubbio è sorto per il fatto che l’Odv è dotato di autonomi poteri di iniziativa e di controllo ed allo stesso sono affidati i seguenti compiti: vigilare sul funzionamento e l'osservanza dei modelli organizzativi e curare l’ aggiornamento dei modelli.
LA SOLUZIONE - Il Garante ha sciolto il nodo sostenendo che l’Organismo di Vigilanza, nel suo complesso, a prescindere dalla circostanza che i membri che lo compongano siano interni o esterni, è da considerare “parte dell’ente”. Partendo da questo presupposto, ne consegue che, in ragione del trattamento dei dati personali implicato dall’esercizio dei compiti e delle funzioni affidate all’OdV, lo stesso ente/società (titolare del trattamento) deve designare i singoli membri dell’OdV quali soggetti autorizzati. Tali soggetti, in relazione al trattamento dei dati degli interessati, dovranno attenersi alle istruzioni impartite dal titolare affinché il trattamento avvenga in conformità ai principi stabiliti dall’articolo 5 del Gdpr. Lo stesso titolare sarà, comunque, tenuto ad adottare le misure tecniche e organizzative idonee a garantire la protezione dei dati trattati, assicurando contestualmente all’Organismo di vigilanza l’autonomia e l’indipendenza rispetto agli organi di gestione societaria.
LA MOTIVAZIONE - È vero che l’organismo di vigilanza esercita i compiti che gli sono attribuiti dalla legge, attraverso “autonomi poteri di iniziativa e controllo”. È altrettanto vero, però, che l’organismo di vigilanza opera nell’ambito dell’organizzazione dell’ente, titolare del trattamento, il quale, attraverso la predisposizione dei modelli di organizzazione e di gestione, definisce il perimetro e le modalità di esercizio di tali compiti.
L’Odv, prosegue il Garante, non può essere considerato autonomo titolare del trattamento, considerato che i compiti di iniziativa e controllo propri dell’OdV non sono determinati dall’organismo stesso, bensì dalla legge che ne indica i compiti e dall’organo dirigente che nel modello di organizzazione e gestione definisce gli aspetti relativi al funzionamento compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza.
Si ricordi a tale proposito che anche un compito cruciale affidato all’Odv, e cioè l’aggiornamento dei modelli organizzativi, prevede a carico dell’Odv stesso il compito di elaborare suggerimenti e proposte di adeguamento del modello da sottoporre, comunque, agli organi o funzioni aziendali in grado di dare loro concreta attuazione nel tessuto aziendale, a seconda della tipologia e della portata degli interventi.
(Nella foto: l'Avv. Antonio Ciccia, autore per Italia Oggi e Presidente di Persone & Privacy)
Inoltre, precisa il Garante, poichè l’organismo di vigilanza non è distinto dall’ente, ma è parte dello stesso, lo stesso Odv non può essere considerato responsabile del trattamento inteso come soggetto chiamato ad effettuare un trattamento “per conto del titolare”, ovvero una “persona giuridicamente distinta dal titolare, ma che agisce per conto di quest’ultimo” secondo le istruzioni impartite dal titolare (articolo 28 Gdpr).
In sede di commento alla pronuncia del Garante, pare di dover sottolineare che il fattore cui occorre dare maggiore rilievo è la mancanza in sé di una riconoscibilità in capo all’Odv di una propria configurazione soggettiva da un punto di vista organizzativo, poiché altri elementi (come l’attribuzione di compiti direttamente dalla legge) potrebbe avere una certa ambiguità.
WHISTLEBLOWING - Il parere del Garante rimane sospeso a proposito del ruolo che l’organismo di vigilanza potrebbe acquisire in relazione alle segnalazioni effettuate nell’ambito della normativa di whistleblowing.