Con l’entrata in vigore del Reg. UE 2016/679 ci si è chiesti quale qualificazione dovesse rivestire l’Organismo di Vigilanza ai fini della normativa sul trattamento dei dati personali. Invero, ci si interrogava se l’OdV dovesse essere inteso come Titolare del trattamento, ovvero come il soggetto che determina le finalità e i mezzi del trattamento dei dati personali che decide di trattare, oppure come Responsabile esterno, cioè come colui che svolge un’attività in nome e per conto del Titolare e soggiace pertanto alle istruzioni impartite da quest’ultimo.
Invero, l’OdV nello svolgimento della propria attività, può raccogliere e trattare dati personali anche particolari, come, ad esempio, i dati giudiziari. Tali dati possono essere raccolti a seguito di attività ispettive, oppure a seguito della ricezione di flussi informativi e/o di segnalazioni, anche anonime.
Prima tesi: OdV come Titolare autonomo
I sostenitori della tesi della titolarità autonoma dell’OdV fondavano la loro convinzione sul fatto che l’OdV, essendo dotato di autonomi poteri di iniziativa e di controllo, fosse pertanto dotato anche del potere di determinare le finalità e i mezzi del trattamento dei dati personali. In realtà tale tesi confonde l’autonomia di iniziativa con l’eventuale determinazione delle finalità. Difatti, le finalità del trattamento sono determinate dal d.lgs. 231/2001 (ovvero la vigilanza sull’osservanza del Modello 231), e i mezzi sono generalmente messi a disposizione dall’azienda stessa.
Seconda tesi: OdV come Responsabile esterno
La tesi che considerava l’OdV quale Responsabile del trattamento non può più trovare accoglimento dall’entrata in vigore del GDPR. Invero, il Responsabile, ai sensi di tale Regolamento, può essere soltanto esterno. È, infatti, venuta meno quella peculiarità tutta italiana, in virtù della quale il Responsabile poteva essere, alla luce del Codice Privacy, anche interno. Appare, invero, pacifico che l’OdV sia configurabile quale organo interno della società e, in particolare, organo di staff dell’Organo Dirigente.
Terza tesi: né titolare autonomo né responsabile esterno
Vi è, tuttavia, una terza tesi, sostenuta da AODV, la più importante associazione dei componenti degli Organismi di Vigilanza, secondo cui l’OdV, essendo “parte dell’impresa” non sia qualificabile né come Titolare né come Responsabile. Peraltro, i singoli membri non sarebbero qualificabili come “designati al trattamento”, in quanto l’OdV va considerato nella sua collegialità e non come singoli componenti. Nondimeno, il designato al trattamento soggiace all’autorità del Titolare: questo aspetto confligge chiaramente con l’autonomia di iniziativa e di controllo in capo all’OdV.
Cosa ne pensa il Garante Privacy?
Sul punto si è recentemente espresso il Garante per la protezione dei dati personali, il quale ha sostenuto che l’OdV non possa configurarsi quale Titolare, in quanto: innanzitutto, le finalità proprie del trattamento dei dati sono definite dalla legge; in aggiunta,l’OdV non ha nessun obbligo di denuncia all’autorità giudiziaria, né esercita alcun potere disciplinare nei confronti nei confronti degli autori dell’illecito. L’OdV non può essere configurato nemmeno quale Responsabile del trattamento, essendo parte dell’Ente stesso e non un soggetto esterno.
Il Garante conclude ritenendo che l’OdV, nella sua collegialità, sia parte dell’ente e che, come tale, svolga il proprio ruolo nell’ambito dell’organizzazione dell’ente stesso. Ciononostante, ai fini della normativa sul trattamento dei dati personali, i singoli componenti dell’OdV andranno nominati quali “Autorizzati al trattamento”. I medesimi dovranno rispettare le istruzioni impartite dal Titolare del trattamento, al fine di osservare le misure tecniche e organizzative che il medesimo ha implementato in azienda, in virtù dei principi sanciti dal GDPR (art. 5).
In ogni caso, per consentire all’OdV di svolgere la propria attività di vigilanza e controllo, dovranno essere assicurate al medesimo l’autonomia e indipendenza rispetto agli organi societari.
In pratica
Risulta pertanto necessario che l’Ente proceda ad affidare a legali esperti in materia l’esatta determinazione dei poteri dell’OdV nella sua collegialità e come singoli membri, al fine di osservare la normativa sul trattamento dei dati personali e nel rispetto della riservatezza dei dati aziendali.
