Organismo di Vigilanza e DPO: possibili confluenze e differenziazioni alla luce del conflitto di interesse

Premessa

Diffusa è la fenomenologia, nel contesto delle aziende virtuose, a ritenerela compliance la prima frontiera di garanzia del rispetto di normative esterne e di protocolli interni.

E questo sia per predisporre un baluardo di prevenzione alla commissione dei reati previsti dal D.lgs 231/2001, sia per garantire l’adeguatezza a tutta una serie di altre norme obbligatorie che richiedono alle aziende la mappatura dei rischi e la predisposizione di specifiche misure di controllo.

Tra le norme obbligatorie appena citate rientra sicuramente la recente disciplina introdotta dal Regolamento UE 2016/679 che, col dichiarato obiettivo dell’armonizzazione delle normative comunitarie sulla tutela e sicurezza dei dati personali, ha introdotto non pochi obblighi e novità in capo alle aziende, sotto la scure delle rigorose sanzioni previste (che arrivano fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore).

Tra le novità più salienti introdotte dal GDPR è sicuramente da annoverarsi l’istituzione del Responsabile per la Protezione dei Dati Personali (meglio noto con l’acronimo inglese di DPO) che, in ragione della attività di controllo cui è chiamato, spesso si trova a confrontarsi con l’Organismo di Vigilanza, organo di chiusura del sistema previsto nell’ambito della responsabilità da reato degli enti.

È necessario allora indagare le possibili confluenze e differenziazioni tra le due figure al fine di verificare le conseguenze di una non auspicabile sovrapposizione delle loro competenze e attribuzioni.

L’Organismo di Vigilanza: caratteri e funzioni

L’art. 6 del D.lgs. 231/2001 subordina la valutazione circa l’adeguatezza e l’efficacia del Modello di Organizzazione, Gestione e Controllo, tra le altre condizioni, anche alla costituzione di un organo di controllo, dotato di autonomia e indipendenza, i cui compiti consistono nella verifica sul corretto funzionamento e aggiornamento del Modello.

Considerato quale mero ufficio, è richiesto dalla legge che tale organismo possegga i requisiti dell’indipendenza e dell’autonomia, fondamentali per il corretto esercizio dei compiti di controllo e vigilanza assegnati ai suoi membri.

L’indipendenza è posta a presidio della disciplina del conflitto di interesse: opportunità vorrebbe, infatti, che nessun membro dell’OdV si trovi a ricoprire cariche apicali nella società o ad appartenere ai gruppi di comando dell’azienda. Parimenti non dovrebbero ravvisarsi neppure legami sorretti da interessi economici o situazioni idonee, in generale, a creare conflitti di interesse.

Dall’altra parte, l’autonomia assicura la libertà di azione e di scelta dei membri dell’OdV, che possono determinarsi, nello svolgimento dei propri compiti, anche al di fuori delle prassi consolidate, nell’ottica di prevenzione del compimento di reati.

I membri dell’Organismo devono inoltre essere muniti dei requisiti della professionalità e onorabilità, che valgono a intrecciare le competenze interdisciplinari con cause di inesigibilità e decadenza, al fine di garantire un adeguato livello di conformità normativa.

Chiarite queste caratteristiche, le funzioni cui è preposto l’Organismo di Vigilanza si risolvono nell’esercizio di poteri di iniziativa e controllo su tutti i processi aziendali: il suddetto organismo è destinatario di informazioni, raccolte nei c.d. flussi informativi, ad esso indirizzate dai soggetti che presidiano i processi a rischio reato.

Nondimeno i membri dell’Odv possono anche attuare attività di controllo di secondo livello attraverso ispezioni e attività di vigilanza in merito alle segnalazioni di non conformità ricevute.

Il Responsabile per la protezione dei Dati personali: funzioni e struttura

La Sezione 4 del Regolamento UE 2016/679 immette nel sistema la figura del DPO, a cui viene attribuito un ruolo di presidio per la valutazione dell’adeguatezza aziendale alla normativa sulla gestione e trattamento dei dati personali.

La sua designazione, obbligatoria per la Pubblica Amministrazione e dovuta, nel settore privato, in ragione della tipologia dei trattamenti effettuati e dei dati personali trattati dalla singola società, spetta al Titolare del Trattamento.

La disciplina di questa figura è contemplata dagli artt. 37, 38 e 39 del Regolamento, i quali si occupano di fornire delle linee guida per ciò che riguarda la designazione, la posizione e i compiti del Responsabile del trattamento dei dati.

Sotto il primo profilo, la norma, in accordo con il principio di accountability che permea l’intero regolamento, rimette in capo al Titolare la valutazione sull’opportunità della designazione di un Responsabile all’esito dell’analisi delle normative. Buona regola è che tale valutazione avvenga tenuto conto non solo dei riferimenti di legge, ma anche delle raccomandazioni emanate dallo stesso Garante per la Privacy, in relazione a specifici trattamenti, nonché delle relazioni di gruppi di studio di settore.

Il riferimento è, in questo ambito, al Working Party Art. 29, che consiglia al Titolare e al Responsabile del trattamento di lasciare traccia delle valutazioni compiute in ordine all’opportunità di procedere alla designazione di un DPO, per i casi in cui questo non sia obbligatorio.

Ben può accadere, infatti, che un ente, pur non rientrando nelle ipotesi di obbligatorietà imposte dal Regolamento, decida comunque di procedere alla designazione di un Responsabile su base volontaria o di affidare a un soggetto esterno i compiti ricondotti dal testo normativo al DPO.

Dall’analisi delle normative, però, una cosa è certa: il Regolamento attribuisce al DPO un ruolo nevralgico nella gestione della protezione dei dati personali, configurandolo come un organo di controllo all’interno dell’ente, che riporta direttamente al Titolare, che è dotato di autonomia in termini di risorse da impiegare e di attività da compiere, che, infine, è tenuto a porre in essere compiti di monitoraggio degli audit e delle verifiche eventualmente demandate.

Confluenze e differenziazioni: conclusioni

Da quanto sin qui esposto è evidente come l’Organismo di Vigilanza, nel sistema del D. Lgs. 231/2001, e il Responsabile per il Trattamento dei Dati Personali, nelle logiche del GDPR, rappresentino organi con funzioni di chiusura dei rispettivi sistemi.

Condividono autonomia e indipendenza sotto il profilo della struttura e dello svolgimento dei compiti che sono loro demandati.

Condividono le funzioni di controllo secondo il medesimo approccio mentale focalizzato al rischio (risk approach) e finalizzato, da un lato, ad evitare il compimento di reati, dall’altro, a garantire un corretto trattamento dei dati raccolti da un’azienda.

Alla luce di tali confluenze si è posto il problema di comprendere se fosse possibile un’eventuale sovrapponibilità dei due organi.

Nel silenzio del legislatore, nulla vieta la sovrapponibilità delle due figure.

Tuttavia, riemerge il rilievo attribuito alla normativa di contesto.