Sin dalle fasi progettuali di adeguamento al Regolamento Europeo 2016/679 (GDPR) un tema molto controverso è stato quello del ruolo da attribuire all’Organismo di Vigilanza ex d.lgs. 231/2001 sotto il profilo della protezione dei dati personali.
Tale Organismo, nell’ambito della normativa sulla responsabilità amministrativa dipendente da reato, ha il compito di verificare nel tempo l’adeguatezza e l’osservanza da parte degli enti (imprese, fondazioni, associazioni, ecc.) dei modelli organizzativi volti a prevenire che determinate fattispecie criminose siano commesse nel proprio interesse o vantaggio.
Quali sono i confini d’azione dell’Organismo di Vigilanza?
Pur essendo l’Organismo di Vigilanza “interno all’ente” e nominato dall’organo dirigente, è spesso composto da professionisti esterni e deve essere dotato di “autonomi poteri di iniziativa e controllo” (art. 6 comma 1 lett. b, d.lgs.231/2001) che gli consentano di svolgere il proprio mandato in assenza di conflitti di interessi. Proprio queste caratteristiche hanno suscitato nel corso del tempo un dibattito sul ruolo da attribuire all’Organismo di Vigilanza, sotto il profilo della protezione dei dati personali. Secondo alcuni, i requisiti di autonomia e indipendenza potevano spingersi sino alla definizione dei “mezzi e finalità del trattamento” con la conseguente assunzione del ruolo di “titolare del trattamento”, mentre secondo altri l’Organismo di Vigilanza era autorizzato dall’ente a trattare dati personali per suo conto, per effetto dall’atto di designazione, e avrebbe dovuto essere considerato nel suo complesso quale “responsabile del trattamento”. Le ultime interpretazioni della dottrina, invece, facendo leva sull’appartenenza dell’Organismo di Vigilanza alla struttura organizzativa dell’ente, qualificavano i suoi componenti come soggetti autorizzati al trattamento.
È evidente che la scelta effettuata porta con sé delle conseguenze per un titolare chiamato a dimostrare la propria conformità al GDPR (nell’ambito delle misure tecniche e organizzative da porre in essere in linea con il principio di accountability di cui all’art. 24 del GDPR) che passa anche attraverso la corretta definizione dei ruoli e delle responsabilità dei soggetti interni ed esterni all’organizzazione e la ricostruzione dei flussi di dati da e verso altri titolari autonomi o responsabili del trattamento.
A tal proposito, a seguito di una serie di sollecitazioni da parte dell’Associazione dei Componenti degli Organismi di Vigilanza (AODV 231), lo scorso 12 maggio, il Garante per la protezione dei dati personali ha espresso il proprio parere in merito alla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza, mettendo finalmente un punto al vivace dibattito della dottrina, cui abbiamo fatto cenno.
Dopo una breve ricostruzione circa la disciplina in materia di protezione dei dati personali, rispetto all’individuazione dei ruoli di titolare e di responsabile, nonché delle rispettive responsabilità, il Garante ha chiarito che l’Organismo di Vigilanza, nel suo complesso, a prescindere dalla circostanza che i membri che lo compongano siano interni o esterni, debba essere considerato “parte dell’ente”.
Muovendo da questa considerazione, il Garante ha espressamente escluso l’attribuzione del ruolo di titolare o di responsabile (art. 4 n.7 e 8 Reg. UE 2016/679), concludendo che, all’interno del modello organizzativo della protezione dei dati personali, l’Organismo di Vigilanza andrebbe ricondotto alla categoria dei soggetti “autorizzati” al trattamento dei dati personali (art. 4 n.10 Reg.).
Quali sono stati i ragionamenti operati dal Garante
Per escludere il ruolo di titolare, il Garante ha rilevato in primo luogo che i compiti di iniziativa e controllo non sono determinati autonomamente dall’Organismo di Vigilanza “bensì dalla legge che ne indica i compiti e dall’organo dirigente che nel modello di organizzazione e gestione definisce gli aspetti relativi al funzionamento compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza”. Ha aggiunto il Garante che all’Organismo di Vigilanza non compete alcuna posizione di garanzia, intesa come onere di impedire l’eventuale commissione di reati rilevanti ai sensi del d.lgs. n.231/2001, e che lo stesso Organismo non è dotato di alcun potere impeditivo o disciplinare nei confronti degli eventuali autori del reato (poteri che rimangono in capo alla direzione).
Parimenti, l’Organismo non potrebbe essere inquadrato neppure quale responsabile del trattamento perché, essendo parte dell’ente stesso, non potrebbe essere inteso quale soggetto chiamato ad effettuare un trattamento “per conto del titolare” come una “persona giuridicamente distinta dal Titolare, ma che agisce per conto di quest’ultimo” (art. 28 del Reg.).
Escluso, quindi, sia l’uno che l’altro ruolo, l’Organismo di Vigilanza andrebbe a ricadere sotto il cappello del soggetto autorizzato operante sotto l’autorità diretta del titolare. Il Codice Privacy, peraltro, ammette che il titolare (o il responsabile del trattamento) possano prevedere, “sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità” (D.lgs. 196/2003, art. 2-quaterdecies).
Che cosa sarebbe tenuto a fare l’Ente-titolare del trattamento
Nell’ambito delle misure tecniche e organizzative da porre in essere in linea con il principio di accountability, l’ente dovrebbe anzitutto censire le fonti di trattamento di dati personali da parte dell’Organismo di Vigilanza, che normalmente sono:
- i flussi informativi di cui all’art. 6, comma 2, lett. d), d.lgs. 231/2001;
- i risultati delle attività di controllo e vigilanza, di cui all’art. 6, comma 1, lett. b) e d); e
- eventualmente – ma tutt’altro che necessariamente- le segnalazioni di condotte illecite rilevanti ai fini del d.lgs.231/2001 o di violazioni del modello, di cui all’art. 6, comma 2 bis, lett. a).
Inoltre, si dovrebbero individuare le tipologie di dati che l’Organismo di Vigilanza potrebbe trattare. Nello svolgimento delle varie attività, infatti, l’Organismo di Vigilanza potrebbe potenzialmente entrare in contatto con una pluralità di dati personali, anche appartenenti a categorie particolari (art. 9 Reg.) o relativi a condanne penali e reati (art. 10 Reg.).
Entrambe tali rilevazioni permetterebbero al titolare di provvedere alla corretta formalizzazione dell’atto di designazione verso i singoli membri dell’Organismo di Vigilanza, in ragione del trattamento dei dati personali che l’esercizio dei compiti e delle funzioni affidate all’Organismo a comporta. Questo, da un lato, obbliga il titolare ad individuare i profili soggettivi connessi al trattamento dei dati personali e a fornire chiara indicazione delle misure tecniche e organizzative idonee a garantire la protezione dei dati trattati, dall’altro, impone a tutti i componenti dell’Organismo di Vigilanza di attenersi alle istruzioni impartite dal titolare affinché il trattamento avvenga in conformità ai principi stabiliti dal Regolamento.
E se (apparentemente) queste prescrizioni potrebbero far pensare ad una riduzione del carattere di autonomia dell’intero Organismo, nella pratica esse non interferiscono affatto con gli “autonomi poteri di iniziativa e controllo” attribuiti dalla legge all’Organismo di Vigilanza (art. 6 comma 1 lett. b, d.lgs.231/2001). Sul punto, infatti, è giusto ribadire che l’Organismo deve poter svolgere l’attività di controllo, con propria insindacabile iniziativa, svincolato da qualsiasi forma di dipendenza o condizionamento interno, in primis dall’organo dirigente. L’autonomia nell’esercizio del “compito di vigilare” non deve essere confusa con l’autonomia nella determinazione delle finalità della vigilanza e quindi dei trattamenti strumentali ad essa (che spetta al titolare).
Alla luce del parere del Garante, quindi, le organizzazioni dovranno riconsiderare la qualificazione dell’Organismo di Vigilanza, eventualmente correggendo interpretazioni non conformi al suddetto parere e rettificando la documentazione legale ad esse collegata (registro dei trattamenti, atti di designazione, ecc.).
