A seguito di un’istanza presentata dall’Associazione dei Componenti degli Organismi di Vigilanza ex d.lgs. 231/2001 (OdV), con proprio parere, il Garante Privacy ha chiarito la qualificazione degli OdV nell’ottica dell’organigramma privacy. L’Autorità ha infatti ritenuto che i componenti dell’OdV devono essere considerati quali soggetti autorizzati al trattamento.
Organigramma privacy
Il Garante, in primo luogo, delinea i ruoli dei protagonisti di un Sistema Privacy. Il titolare del trattamento è il soggetto (persona fisica o giuridica) sul quale ricadono le decisioni relative alle finalità e alle modalità del trattamento dei dati personali. Il titolare, proprio nell’ambito dell’implementazione del sistema di gestione privacy (misure tecniche e organizzative, anche sotto il profilo della sicurezza) può ricorrere ad uno o più responsabili del trattamento. Tale figura (anch’essa persona fisica o giuridica) svolge, pertanto, attività per conto e nell’interesse del titolare, agendo sulla base degli accordi e delle istruzioni impartite da questi.
Il Garante rammenta anche che, sebbene con il GDPR sarebbe formalmente sparita la figura dell’incaricato del trattamento, in realtà, da una interpretazione attenta del Regolamento ne emerge un ruolo analogo: la persona autorizzata al trattamento (sotto l’autorità diretta del titolare). Conferma di ciò la si rinviene nell’art.2-quaterdecies del d.lgs. n. 196/2003 come modificato dal d.lgs. n. 101/2018, in cui si riconosce al titolare o al responsabile la facoltà di prevedere che, sotto la propria responsabilità, autorità ed organizzazione, specifici compiti e funzioni connessi al trattamento dei dati personali siano attribuiti a persone fisiche, espressamente designate.
OdV: requisiti e funzioni
Ricordiamo che il d.lgs. 8 giugno 2001 n. 231 è la norma che regola le ipotesi in cui una persona giuridica possa rispondere di specifici reati quando questi siano commessi nell’interesse o a vantaggio della stessa da soggetti che ricoprono funzioni apicali. L’unica possibilità per l’ente di andare esente da responsabilità è dimostrare di avere adottato ed efficacemente attuato (in perfetto stile accountability, mi preme sottolineare), prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire i reati e di avere affidato a un organismo (composto da membri interni o esterni) il compito di vigilare sul funzionamento, l’osservanza e l’aggiornamento del modello organizzativo per la prevenzione dei reati. L’OdV deve agire in piena autonomia. Deve essere garantito un adeguato livello di estraneità rispetto ad ogni forma di interferenza e pressione dei vertici, nonché una adeguata autonomia decisionale rispetto allo svolgimento delle proprie attività, con possibilità di accesso a tutte le informazioni aziendali utili allo svolgimento del controllo.
Appare pertanto chiaro come nell’ambito dell’organizzazione del modello 231 devono essere predisposti, con specifici processi di comunicazione aziendale, tutta una serie di flussi di informazioni (periodici e ad hoc, da e verso l’OdV) al fine di conoscere e gestire eventuali situazioni di rischio.
=> Obblighi GDPR in azienda: come garantire la protezione dei dati
Qualificazione soggettiva ai fini privacy
Dall’analisi congiunta delle indicazioni sopra riportate, il Garante giunge alla conclusione che l’OdV, anzi i componenti dello stesso, devono essere considerati quali persone autorizzate al trattamento. L’OdV non può essere considerato autonomo titolare del trattamento perché:
- i compiti di iniziativa e controllo sono determinati dalla legge e dalla dirigenza (funzionamento, risorse, misure di sicurezza);
- al verificarsi di eventi reato rilevanti per il modello, anche in caso di inerzia dell’OdV, la responsabilità “231” ricade comunque sull’ente (salva la responsabilità per inadempimento delle obbligazioni assunte con il conferimento dell’incarico);
- non sussiste alcun obbligo di denuncia all’Autorità giudiziaria in relazione agli illeciti, né sono previsti poteri disciplinari.
L’OdV, d’altra parte, non può essere considerato responsabile del trattamento inteso come soggetto chiamato ad effettuare un trattamento per conto del titolare. L’Organismo è parte dell’Ente; non può essere considerato una persona giuridicamente distinta dal titolare, ma che agisce per conto di quest’ultimo.
Conclusioni
L’Ente definisce il perimetro e le modalità di esercizio dei compiti dell’OdV, delineandone il ruolo nella sua composizione (unitaria o collegiale). In quest’ottica, allora, lo stesso Ente, in ragione del trattamento dei dati personali che l’esercizio dei compiti e delle funzioni affidate all’OdV comporta, designerà – nel rispetto del principio di accountability – i singoli membri dell’OdV quali soggetti autorizzati.
Sarà fondamentale, ed a tali fini potrà senz’altro aiutare la struttura del modello 231, conoscere e tracciare in maniera dettagliata i processi aziendali ed i relativi flussi informativi connessi al funzionamento dell’OdV, in modo tale, evidentemente, da poter redigere le corrette istruzioni in termini di trattamento dati a cui i membri dell’OdV dovranno attenersi.
L’Autorità ha anche precisato che il parere espresso sulla qualifica dell’OdV non tiene volutamente conto del ruolo che l’OdV potrebbe andare a ricoprire a seguito della L. 179/2017 che ha introdotto la denuncia anonima di illecito (whistleblowing) nei modelli 231, lasciando aperta la strada per ulteriori e possibili specificazioni.