Articoli
20/07/2020
Corporate & Commercial

Privacy e Organismo di Vigilanza: la corretta qualificazione indicata dal Garante

Facendo seguito al quesito dell’Associazione dei Componenti degli Organismi di Vigilanza (OdV) ai sensi del d.lgs. 231/2001, il 12 maggio 2020 l’Autorità Garante per la Protezione dei Dati Personali (Autorità Garante) ha formulato il proprio parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza chiarendo dunque la querelle che era sorta sul tema.

* * *

1. Il ruolo dell’OdV

Le attività svolte dall’OdV richiedono che lo stesso sia dotato di autonomi poteri di iniziativa e di controllo.

L’Organismo di Vigilanza si caratterizza per la presenza di 3 requisiti fondamentali: autonomia e indipendenza; professionalità e competenza; continuità nell’esercizio della propria azione. Il corretto inquadramento del ruolo dell’OdV in ambito privacy ha richiesto invece l’intervento dell’Autorità Garante.

2. No alla qualificazione di autonomo titolare del trattamento

L’Organismo di Vigilanza agisce autonomamente nell’esercizio del proprio ruolo, in considerazione dei fattori di rischio connessi all’attività di vigilanza sull’adeguatezza e sull’effettiva attuazione del Modello di organizzazione, gestione e controllo del Modello 231 implementato dall’ente.

Con l’entrata in vigore del Regolamento UE 2016/679 (GDPR), si è sviluppato un dibattito in dottrina circa la corretta qualificazione soggettiva ai fini privacy da attribuire all’OdV.

In molti hanno considerato l’assimilabilità dell’OdV al ruolo di altri professionisti, quali gli avvocati, nell’esercizio delle proprie funzioni caratterizzate dal requisito dell’autonomia ed indipendenza.

Dall’analisi dei poteri ascrivibili in capo all’OdV, la qualificazione soggettiva più naturale appariva essere quella di autonomo titolare del trattamento ai sensi dell’art 4, n.7 del GDPR: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.

L’Autorità Garante ha inteso invece l’OdV non quale autonomo titolare del trattamento, in ragione del fatto per cui le finalità perseguite dall’OdV non sono determinate dall’organismo stesso, bensì (i) dalla legge che ne definisce i compiti e le attribuzioni; (ii) dall’organo dirigente che nel modello di organizzazione e gestione definisce gli aspetti relativi al funzionamento dell’OdV, compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza (art. 6, commi 1 e 2 d.lgs. n. 231/2001).

3. No alla qualificazione di responsabile del trattamento

L’OdV non è distinto dall’ente, ma ne è parte integrante in considerazione anche del disposto normativo di cui all’art. 6, d.lgs. n.231/2001.

Pertanto, l’OdV non può essere considerato come un responsabile del trattamento ai sensi dell’art. 28 GDPR inteso come soggetto chiamato ad effettuare un trattamento “per conto del titolare” ovvero secondo l’art 4, n. 8 del GDPR “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”, ovverosia una “persona giuridicamente distinta dal Titolare, ma che agisce per conto di quest’ultimo”.

4. Sì alla qualificazione di autorizzato al trattamento

L’OdV, in quanto parte dell’ente, anzi riprendendo il portato letterale delle conclusioni dell’Autorità Garante “l’OdV in quanto parte dell’impresa”, non è qualificabile né come titolare né come responsabile del trattamento.

In ragione della normativa applicabile in materia di protezione dei dati, l’inquadramento soggettivo dell’OdV deve essere assorbito da quello dell’Ente/società vigilata della quale, appunto, l’OdV è “parte”.

Ai sensi della vigente normativa in materia di protezione dei dati personali, occorre porre riferimento all’art. 29 del GDPR e all’art. 2-quaterdecies del D.lgs. n. 196/2003 (c.d. “Codice Privacy”), come novellato dal D.lgs. n. 101/2018. Specifici compiti e funzioni connessi al trattamento di dati personali sono affidati a persone fisiche che vengono appositamente designate a detto trattamento e che operano sotto l’egida del titolare o responsabile del trattamento.

L’OdV inteso nella propria collegialità va inquadrato nel ruolo privacy che afferisce e sottende anche ciascun singolo membro: in ossequio al principio di accountability, ogni membro dell’OdV dovrà essere nominato quale soggetto autorizzato al trattamento e, conseguentemente, attenersi alle istruzioni impartite dal titolare affinché il trattamento avvenga in conformità ai principi stabiliti dall’art. 5 del GDPR.

5. Conclusioni

L’Autorità Garante ha tenuto a precisare che il parere fornito inquadri la definizione di ruolo privacy dell’OdV con riferimento ai flussi di informazioni rilevanti ai sensi dell’art. 6, commi 1 e 2 del d.lgs. n. 231/2001.

Non viene invece chiarita la qualificazione soggettiva in capo all’OdV relativamente alle segnalazioni effettuate nell’ambito della normativa di whistleblowing (art. 6, comma 2-bis, 2-ter, 2-quater cit., D.lgs. n. 231/2001), rinvenendosi in tale incertezza giuridica un elemento controverso rispetto alla pronuncia dell’Autorità Garante.

Sarebbe utile in tal senso allinearsi alle buone pratiche di altre autorità europee, come ad esempio quella tedesca, che ha chiarito con apposito provvedimento nel dettaglio quando e come possano definirsi i ruoli privacy in singole e specifiche fattispecie [1].

 

A cura di Avv. Marco Cappa.

Il contenuto di questo elaborato ha valore meramente informativo e non costituisce, né può essere interpretato, quale parere professionale sugli argomenti in oggetto.
Per ulteriori informazioni si prega di contattare il vostro professionista di riferimento ovvero di scrivere al seguente indirizzo: corporate.commercial@nctm.it.

 

 

[1] https://www.lda.bayern.de/media/veroeffentlichungen/FAQ_Abgrenzung_Auftragsverarbeitung.pdf

Ricevi i nostri aggiornamenti