Il parere del Garante Privacy sull’Organismo di Vigilanza


Qualifica soggettiva privacy dell’O.d.V.: l’autorità garante mette un punto

Lo scorso 12 maggio, il Garante per la protezione dei dati personali, rispondendo al quesito posto dall’Associazione dei Componenti degli Organismi di Vigilanza (AODV) ha espresso il suo parere sulla qualificazione soggettiva ai fini privacy degli O.d.V, tema particolarmente dibattuto e che aveva visto formarsi orientamenti di differente avviso (Titolare, Responsabile o semplice Incaricato).

Il parere mette quindi un punto, chiarendo che l’Organismo di Vigilanza considerato nel suo complesso e a prescindere dalla circostanza che i membri che lo compongono siano interni o esterni, essendo “parte dell’ente” deve essere individuato quale soggetto autorizzato al trattamento.

Per tale ragione, gli Organismi di Vigilanza dovranno ricevere, per l’esercizio del proprio incarico (segnatamente, gestione flussi informativi), le istruzioni operative ai sensi dell’art. 29 GDPR e 2-quaterdecies D.lgs. 196/2003 ss.mm.ii., affinché i dati vengano trattati in conformità ai principi stabiliti dalla normativa privacy e alle politiche definite all’interno dell’ente. E sarà onere dell’impresa, Titolare del Trattamento, fornire le suddette istruzioni.

Perche l’O.d.V. non è titolare o responsabile del trattamento

Il Garante ha motivato l’esclusione dell’orientamento che considerava l’O.d.V. come Titolare del Trattamento sostenendo che “i compiti di iniziativa e controllo propri dell’O.d.V non sono determinati dall’organismo stesso, bensì dalla Legge e dall’ente – Titolare del trattamento – che, attraverso il Modello di Organizzazione e Gestione definisce il perimetro e le modalità di esercizio di tali compiti”. Tale tesi è, inoltre, supportata dalla circostanza che l’O.d.V., nel caso di omessi controlli, non può essere ritenuto responsabile in ordine all’eventuale commissione di reati rilevanti ai sensi del D.lgs. n. 231/2001.

In riferimento, invece, all’orientamento che individuava l’O.d.V. come Responsabile del trattamento dati, è stato precisato che essendo l’O.d.V. parte dell’ente non può inquadrarsi nella definizione di colui che “tratta i dati per conto del Titolare”, cioè di una persona giuridicamente distinta dal Titolare che opera per quest’ultimo.

Il parere del garante può dirsi esaustivo?

La portata applicativa del parere del Garante ha esclusivamente ad oggetto il ruolo assunto dall’O.d.V. con riguardo alla gestione dei cd. “flussi informativi“, che realizzano un sistema di controllo interno per le società che si siano dotate di Modello Organizzativo, in quanto utili per conoscere e gestire tempestivamente i rischi reato a cui le stesse risultano esposte.

Il Garante ha così valorizzato l’aspetto funzionale dell’O.d.V., escludendo dalla sua analisi:

  • Da un lato, l’attività che l’Organismo svolge in relazione alla gestione delle segnalazioni “Whistleblowing”, ovverosia la segnalazione di condotte illecite, violazioni del Modello Organizzativo/Codice Etico/Procedure aziendali rilevanti ai sensi della 231
  • Dall’altro lato, l’eventuale ed esperibile attività di indagine – anche tramite la nomina di consulenti e professionisti scelti ad hoc – che l’O.d.V. può esperire utilizzando il budget a sua disposizione.

Sul punto rimangono, dunque, per ora validi i diversi orientamenti interpretativi esistenti, auspicando presto un nuovo chiarimento dall’Autorità Garante.

Se ti è piaciuto l'articolo condividi: