25 Giugno 2019

GDPR e 231/2001: il ruolo privacy degli OdV

MARIA ROBERTA PERUGINI

Immagine dell'articolo: <span>GDPR e 231/2001: il ruolo privacy degli OdV</span>

Abstract

L’articolo affronta il tema del ruolo assunto dall’Organismo di Vigilanza (O.d.V.) ex D.lgs. 231/01in rapporto ai trattamenti di dati personali da esso operati nel contesto dell’esercizio della funzione di sorveglianza e controllo attribuitagli dalla normativa che lo istituisce.

***

Nell’ambito dell’applicazione del GDPR una questione non banale è quella relativa al ruolo di trattamento dell’O.d.V., ossia di definire:

  • SE quest’organo operi trattamenti autonomi rispetto a quelli dell’ente nei cui confronti esercita la vigilanza, qualificandosi pertanto a sua volta come titolare del trattamento,
  • OVVERO agisca nel contesto di trattamenti riconducibili alla titolarità dell’ente su cui esercita il controllo, con la conseguenza di operare in qualità di responsabile.

Perché ce lo chiediamo?

Il D. Lgs. 231/2001 (art. 6.1, lett. b) chiarisce che l’O.d.V. è “un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo” sull’efficace attuazione da parte dell’ente del Modello di Organizzazione, Gestione e Controllo.

Dunque, requisiti essenziali dell’O.d.V. tipizzati dalla legge sono:

INDIPENDENZA e quindi sostanzialmente assenza di situazioni di conflitto d’interesse

e AUTONOMIA da ogni forma di interferenza o condizionamento (con particolare riguardo a quelle provenienti dagli organi direttivi) rispetto all’ente su cui l’O.d.V. esercita la sua funzione e di cui comunque costituisce emanazione.

Tali caratteristiche rendono – a mio parere – incompatibile lo svolgimento della funzione tipica dell’O.d.V. con il ruolo di responsabile del trattamento, il quale agisce sempre secondo istruzioni fornite dal titolare nell’alveo di un trattamento le cui finalità e modalità sono definite da quest’ultimo. In tale caso, infatti, si verificherebbe necessariamente un inaccettabile conflitto di interessi tra controllante (organismo di vigilanza – responsabile) e controllato (società – titolare).

DUNQUE, se nell’espletamento della propria funzione l’organismo di controllo opera trattamenti di dati personali di cui determina in assoluta autonomia le finalità e modalità, dovrebbe qualificarsi in rapporto ad essi quale TITOLARE.

Ma tali trattamenti si pongono in relazione di AUTONOMIA O CONNESSIONE con quelli dell’ente alla cui sorveglianza sono preposti?E in caso di connessione, la responsabilità della conformità alla legge dei trattamenti effettuati da tale organismo, ricade sull’O.d.V. o sull’ente soggetto a sorveglianza?

In quest’ottica, possiamo dire che:

  • l’ente persegue proprie finalità generali di gestione aziendale e governo societario, che naturalmente comprendono – presupponendole – il rispetto delle norme applicabili;
  • l’organo preposto alla vigilanza e al controllo persegue invece finalità investigative e di sorveglianza del rispetto di norme specifiche – nella fattispecie, anti-crimine – individuate a priori dalla legge che sancisce l’istituzione e le caratteristiche dell’organismo stesso.

DUNQUE, il rispetto delle norme al cui controllo l’O.d.V. è preposto è innanzitutto un obbligo gravante SULL’ENTE OGGETTO DEL CONTROLLO: l’organo costituisce strumento, a sostegno della piena attuazione da parte dell’ente di un sistema efficace di controlli interni che garantisca la conformità.

 Nel contempo, per le sue caratteristiche non può che essere rimessa all’organo una generale autonomia decisionale sui modi di svolgimento della propria funzione, e pertanto sulle modalità di trattamento dei dati personali oggetto delle proprie attività di indagine e controllo, compreso il profilo relativo alle misure di sicurezza.

C’è dunque una correlazione strumentale tra i trattamenti propri dell’O.d.V. e quelli imputabili all’ente soggetto al controllo, che sono in ultima analisi tutti finalizzati appunto alla compliance da parte di quest’ultimo.

A favore della correlazione depone anche il fatto chel’organo è pur sempre parte dell’organizzazione aziendale dell’ente seppure eccezionale con riferimento ai poteri attribuitigli dalla legge ed ai correlati obblighi dell’ente (codificati o indotti dalla esigenza pratica).

Tra questi ultimi, quelli fondamentali di:

garantirgli la necessaria autonomia (risorse, budget dedicato) e indipendenza (l’ente nel designare i componenti dell’organismo agirà per individuare, disciplinare e risolvere i possibili conflitti di interesse) ma anche, ad esempio, di definire procedure e altri strumenti di coordinamento dei diversi soggetti deputati allo svolgimento dell’attività di controllo all’interno dell’ente di riferimento, per evitare disfunzioni e anche per favorire una costruttiva interazione.

Se è così, possiamo  CONCLUDERE nel senso che l’ente e l’O.d.V. sono titolari autonomi e correlati dei rispettivi trattamenti finalizzati – in ultima analisi – alla compliance da parte dell’ente alle norme applicabili.

 

Su chi ricade allora la responsabilità della conformità al GDPR dei trattamenti effettuati dall’O.d.V.?

Dai ruoli così individuati discendono responsabilità ed oneri distinti in ordine all’adempimento della normativa privacy:

  • la responsabilità di fornire l’informativa agli interessati in capo all’O.d.V. potrà essere assolta in uno con la propria dall’ente, che indicherà l’organo in questione tra i soggetti da esso utilizzati ai fini di adempimento delle norme (cfr. Provv. Garante 23.3.1998, doc. web 40999), facendo diretto riferimento alle specifiche finalità investigative e di sorveglianza e controllo proprie dell’organo stesso;
  • resteranno invece a totale carico dell’O.d.V. gli altri adempimenti, quali:
  • l’adozione di misure di sicurezza adeguate ed efficaci
  • la nomina di eventuali responsabili
  • la formazione, istruzione e controllo delle persone fisiche autorizzate ad eseguire materialmente le operazioni di trattamento
  • tutti gli altri oneri legati all’attuazione dell’accountability perché il trattamento attuato sia conforme alla normativa, in termini:
  • sia di obbligo di fare (esemplificativamente, valutazione d’impatto, individuazione ed adozione di prassi per attenuare il rischio oppure – ove questo non fosse attenuabile – consultazione dell’Autorità di controllo)
  • sia di rendere conto di ciò che si è fatto (sempre a titolo esemplificativo, tenuta del registro delle attività di trattamento e comunque adozione di pratiche interne improntate ai principi di privacy by design e by default).

Altri Talks