28 Maggio 2020

OdV e GDPR: arriva la “sentenza” del Garante

GIUSEPPE M. CANNELLA

Immagine dell'articolo: <span>OdV e GDPR: arriva la “sentenza” del Garante</span>

Abstract

Il Garante privacy, con Parere del 12 maggio 2020, si è pronunciato in merito alla qualificazione soggettiva degli Organismi di Vigilanza ex d. lgs. 231/2001, rivelando il proprio punto di vista e ponendo così fine alla preesistente diatriba circa il ruolo dell’OdV nell’Organigramma privacy.

***

Sul concetto di “titolarità”

Uno dei problemi alla base della tanto dibattuta questione circa la qualificazione dell’Organismo di Vigilanza ex d.lgs. 231/2001 all’interno del sistema privacy affonda le proprie radici nella definizione stessa di Titolare del trattamento.

Difatti, si è fatta confusione sui concetti di titolarità del dato ed autonomia del soggetto. Innanzitutto, occorre quindi chiarire che il Titolare è colui a cui il Soggetto interessato affida i propri dati e che, pertanto, ne ha la responsabilità circa la gestione.

Tale concetto è fondamentale, in quanto cosa diversa sono la vera e propria gestione e la legittimità nell’utilizzazione dei dati. La normativa vigente prevede, infatti, che il Titolare del trattamento possa ricorrere ad altri soggetti per la gestione ed il trattamento dei dati personali attraverso delle apposite “nomine” o “lettere di autorizzazione”.

 

L’Organismo di Vigilanza come parte dell’impresa

Al fine di inquadrare, dunque, l’Organismo di Vigilanza all’interno del cd. Organigramma privacy, occorre, innanzitutto, partire dal carattere interno attribuito dalla norma all’Organo vigilante (art. 6, comma 1, lett. b) d.lgs. 231/2001). Invero, le stesse Linee Guida di Confindustria sottolineano la connotazione interna di tale organo alla luce delle esplicite parole della Relazione ministeriale di accompagnamento al Decreto, in cui si legge come, per garantire la massima effettività del sistema, la societas si avvalga di una struttura che deve essere costituita al suo interno (onde evitare facili manovre volte a precostituire una patente di legittimità all'operato della societas attraverso il ricorso ad organismi compiacenti, e soprattutto per fondare una vera e propria colpa dell'ente), dotata di poteri autonomi e specificamente preposta a questi compiti.

Tale riflessione è stata evidenziata anche dal Position Paper dell’Associazione dei Componenti degli Organismi di Vigilanza ex d.lgs. 231/2001 del 21 marzo 2019, e successivamente confermata dalla stessa Autorità Garante nel Parere in esame, l’Organismo di Vigilanza è “parte dell’impresa”. Si tratta di un punto focale, in quanto, la configurazione dell’Organismo di Vigilanza come articolazione interna dell’Ente, si riflette anche sulla definizione dei ruoli nell’ambito della protezione dei dati personali.

 

Il Parere del Garante Privacy

Alla luce di ciò, infatti, il Garante Privacy italiano, con Parere del 12 maggio 2020, ha sentenziato che l’Organismo di Vigilanza non può essere considerato né Titolare autonomo né Responsabile del trattamento, in quanto lo stesso agisce per conto dell’Ente, e non come soggetto “esterno” ed estraneo alla realtà aziendale. In base alla disciplina privacy risulta, quindi, coerente procedere alla designazione dei componenti dell’Organo vigilante quali soggetti incaricati al trattamento dei dati personali. I componenti dell’Organismo di Vigilanza dovranno quindi attenersi a quanto loro impartito dall’Ente nella lettera di autorizzazione.

Sul punto ci si chiede, allora, se la definizione e la gestione delle istruzioni privacy da parte dell’Ente in qualità di Titolare del trattamento, possano effettivamente limitare l’autonomia di tale Organismo.

 

L’attività dell’OdV alla luce della normativa privacy

Certamente il Titolare non potrà minare l’autonomia dell’Organismo di Vigilanza sostenendo che il Regolamento UE 2016/679 (Regolamento) impedisca alcuni trattamenti necessari all’esplicazione dell’attività dell’Organismo stesso. Il suddetto Regolamento, infatti, non prevede alcuna norma che vieti i trattamenti “leciti” dei dati personali, come appunto sono quelli necessari all’Organismo per lo svolgimento della propria funzione, così come delineata dal d.lgs. 231/01.

Pertanto, l’attività dell’Organismo di Vigilanza non troverà alcun impedimento nella normativa privacy, la quale è invece volta a normare il trattamento dei dati personali al fine di garantirne la corretta gestione.

Del resto, l’Organismo di Vigilanza è un organo interno, il cui perimetro di azione è definito dall’Ente stesso all’interno del Modello di Organizzazione e Gestione.

L’effettività dell’autonomia dell’Organismo ex d.lgs. 231 deve, infatti, essere riscontrata all’interno dell’area delimitata dai principi e dagli strumenti individuati dall’Organo dirigente. E così, anche in materia di privacy, il compito del Titolare è proprio quello di rendere palese in astratto le condizioni e le modalità per l’utilizzabilità dei dati, consentendo - e non limitando - la corretta attività dell’Organismo di Vigilanza.    

Altri Talks