Con una nota del 16 ottobre 2019, l’Associazione dei Componenti degli Organismi di Vigilanza ex D.lgs. 231/2001 (l’“Associazione”) ha richiesto all’Autorità Garante per la Protezione dei dati personali (il “Garante”) un incontro per discutere il tema della qualificazione soggettiva ai fini privacy dell’Organismo di Vigilanza (l’“OdV”).
La tesi dell’Associazione
Tra i soggetti definiti dal Regolamento (UE) 2016/679 in materia di protezione dei dati personali (il “Regolamento”) e dal D.lgs. 196/2003 così come modificato dal D.lgs. 101/2018 recante disposizioni di adeguamento dell’ordinamento nazionale al Regolamento stesso (il “Codice Privacy”, ed unitamente al Regolamento la “Normativa Privacy”), vi rientrano il (i) Titolare del trattamento, definito come “la persona fisica o giuridica (…) che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento”; (ii) Responsabile del trattamento, ossia “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” e (iii) Soggetto Autorizzato al trattamento dei dati personali, ovvero “(…) chiunque agisca sotto l’autorità” del Titolare o del Responsabile.
La questione, ampiamente discussa in dottrina sin dalle prime interpretazioni del Regolamento, ha visto contrapporsi la tesi secondo la quale l’OdV, ai fini di una corretta applicazione della Normativa Privacy, dovesse essere qualificato come Titolare del trattamento avverso la contrapposta tesi che lo riteneva come un Responsabile del trattamento, ossia un soggetto terzo rispetto al Titolare ma agente per conto di quest’ultimo.
L’Associazione ha sostenuto una terza via secondo la quale l’OdV, “in quanto parte dell’impresa”, non debba essere definito né come un Titolare del trattamento né come un Responsabile ma la sua qualificazione soggettiva debba essere fatta rientrare all’interno dell’organizzazione dell’Ente che è chiamato a vigilare.
La posizione del Garante
Il Garante ha chiarito che l’OdV non può essere qualificato come un autonomo Titolare del trattamento poiché non ha la facoltà di determinare i suoi stessi compiti. Questi, infatti, unitamente al loro funzionamento, ai mezzi e alle misure di sicurezza nonché all’eventuale attribuzione di risorse, vengono definiti dall’organo dirigente dell’impresa sulla base del modello organizzativo precedentemente adottato.
Secondo il Garante, inoltre, l’OdV non si qualifica nemmeno come un Responsabile esterno del trattamento poiché il Regolamento attribuisce a questi ultimi una serie di obblighi e una conseguente e diretta responsabilità nel caso in cui tali obblighi non dovessero essere rispettati. Nelle ipotesi in cui, invece, l’OdV ometta di effettuare dei controlli circa l’osservanza dei modelli organizzativi predisposti dall’Ente, la responsabilità ricade direttamente su quest’ultimo e non sull’OdV.
Fatte tali precisazioni, il Garante accoglie la tesi sostenuta dall’Associazione e chiarisce come l’OdV non è un organo distinto dall’Ente ma è parte dello stesso e a quest’ultimo è demandato il compito di definire il perimetro e le modalità di esercizio dei compiti da assegnare ad esso. Pertanto, i suoi membri, in quanto parte dell’Ente, così come previsto dagli artt. 29 del Regolamento e 2-quaterdecies del D.Lgs. 101/2018, devono essere designati come dei soggetti autorizzati al trattamento dei dati di cui vengono a conoscenza nell’esercizio delle loro funzioni e devono attenersi a delle precise istruzioni fornite loro dal Titolare.
Alla luce di quanto appena riportato, il Garante chiarisce che tali precisazioni, dedotte sulla base dei principi contenuti nella normativa privacy, non superano e non contrastano con quanto previsto dalla normativa 231 che attribuisce all’OdV autonomi poteri di iniziativa e controllo per un corretto esercizio delle sue funzioni.
Altri Insights correlati: