Il ruolo dell’O.d.v. all’interno dell’organigramma privacy

Conosci sicuramente molto bene l’Organismo di Vigilanza: secondo il D.Lgs 231/01, uno dei suoi principali compiti è quello di saper vigilare sul funzionamento e sull’osservanza dei Modelli di organizzazione, gestione e controllo, curandone il relativo aggiornamento.

Come è noto, gli illeciti che sono in qualche modo legati alla violazione dei dati personali non rientrano in maniera esplicita nel conto dei reati per i quali possa essere considerato responsabile l’ente.

Questo motivo potrebbe portarti a pensare che D.Lgs 231/01 e il “Nuovo” Regolamento Europeo siano mondi distinti e separati: in realtà non è così e proprio oggi ti spiegheremo perché.

La correlazione tra D.Lgs 231/01 e GDPR

Quale collocazione assume l’Organismo di Vigilanza nel panorama privacy? La scelta ricade nella figura del Titolare oppure del Responsabile del trattamento? Qual è la corretta attribuzione?

I quesiti formulati partono dall’assunto che, nell’esercizio delle loro funzioni, i componenti dell’OdV entrano in contatto con una pluralità di dati personali difatti la gestione di flussi informativi, le attività di controllo e vigilanza nonché le eventuali segnalazioni di condotte illecite portano inevitabilmente allo svolgimento di trattamenti di dati riferiti o riferibili a persone fisiche facenti parte del management aziendale (art. 6, D.lgs 231/2001).

Si dubita della prima ipotesi che vede l’OdV quale Titolare autonomo del trattamento quindi soggetto in grado di determinare finalità, mezzi e misure di sicurezza.

Il contrasto si ravvisa nel fatto che i compiti di iniziativa e controllo (propri dell’OdV) non sono determinati dall’OdV stesso bensì vengono declinati dall’organo dirigente nel modello di organizzazione, gestione e controllo (MOG) sulla base di quanto sancito dal D.lgs 231/2001. In altri termini, gli aspetti principali relativi al funzionamento dell’OdV (composizione, requisiti, modalità di nomina, revoca e sostituzione) sono demandati alla dirigenza aziendale.

Passando alla disamina della contrapposta visione che individua l’Organismo di Vigilanza come Responsabile del trattamento si segnalano ulteriori perplessità. In primis, la natura interna dell’OdV che va a stridere con l’intrinseca esternalità del Responsabile del trattamento. Si ricorda che per poter essere riconosciuto Responsabile del trattamento è necessario che la persona fisica o giuridica sia distinta dal Titolare per conto del quale tratta dati personali.

L’Organismo di Vigilanza è un organo o ufficio interno alla persona giuridica tanto che il suo ruolo e la sua funzione non possono essere esternalizzati.

Sulla base delle argomentazioni sopra esposte possiamo concludere che la corretta qualificazione non è da rinvenirsi né nella qualifica di Titolare né, tantomeno, di Responsabile del trattamento ed il suo “inquadramento soggettivo ai fini della privacy è assorbito da quello della società vigilata della quale, appunto, l’OdV è “parte”.

Fonti “OdV e privacy” Avv. Luca Antonetto