Organismo di Vigilanza: il suo inquadramento privacy

Prima di valutare la qualificazione dell’OdV (Organismo di Vigilanza) ai fini della normativa sulla protezione dei dati personali (GDPR) analizziamo brevemente il d.lgs. 231/2001.

Norma di riferimento

Il decreto 231/2001 ha innovato l’ordinamento nazionale stabilendo che se un reato – tentato o portato a compimento – rientra nell’elenco di quelli “presupposto” ed è commesso da una persona fisica (quale, ad esempio: un amministratore, un dirigente, un funzionario, etc. o da un soggetto sottoposto alla loro direzione) che agisce nell’interesse e a vantaggio dell’ente cui appartiene si configura una responsabilità amministrativa dell’ente stesso che può comportare l’applicazione di sanzioni, sia pecuniarie che interdittive.

L’esclusione della responsabilità amministrativa dipendente da reato – ex art. 6 comma 1 d.lgs. 231/2001 – si configura se l’ente dimostri:

• precedentemente alla commissione del reato, di aver adottato e attuato dei modelli organizzativi e di gestione volti a prevenire reati della specie di quello verificatosi;
• di aver provveduto alla costituzione di un Organismo di vigilanza dotato di autonomi poteri di iniziativa e controllo (OdV) che vigili sul funzionamento, l’osservanza e l’aggiornamento dei modelli;
• che il reato, commesso da apicali o soggetti loro sottoposti, sia conseguenza di un’elusione dei modelli
• che l’Organismo di vigilanza (Odv) non abbia omesso di vigilare

Organismo di vigilanza e GDPR

Al fine di conoscere e gestire situazioni di criticità emerse durante l’attività di vigilanza, l’OdV si trova a trattare “dati personali” con riferimento a:

• flussi informativi ex art 6, comma 2 D. lgs. 231/2001,
• risultati delle attività di controllo e vigilanza ex art. 6, comma 1, lett. b) e d),
• eventuali segnalazioni di condotte illecite rilevanti e/o violazioni del modello 231 (whistleblowing, cfr. legge 179/2017).

Appurato che vi è un trattamento di dati personali, è necessario definire i ruoli della legge sulla privacy da attribuire all’OdV e ai suoi membri (nel caso di composizione collegiale).

OdV e organigramma privacy

È bene sottolineare, da subito, come in dottrina si sia aperto un dibattito sul “ruolo privacy dell’organo” che ha portato a diverse e contrastanti qualificazioni, vediamole di seguito:

1. Organismo di vigilanza quale Titolare del trattamento, questa qualificazione deriva dall’aver posto l’accento sui poteri di controllo e iniziativa che gli sono riconosciuti dal D.lgs. 231/2001 ravvedendo, quindi, un’autonomia nella determinazione delle finalità e nella modalità di utilizzo dei dati personali oggetto delle attività di indagine e controllo.

Tale tesi è stata criticata dall’AODV (Associazione dei componenti degli Organismi di Vigilanza) che ha sottolineato come le finalità del trattamento dei dati vengono predeterminate dalla legge (“vigilanza sul funzionamento e l’osservanza dei modelli”), ed è la dirigenza dell’ente che solitamente determina risorse umane e strumentali, di cui l’organismo si serve ed è, sempre, sulla società vigilata che ricade la responsabilità in caso di mancato rispetto della normativa.

2. Organismo di vigilanza quale Responsabile del trattamento in conseguenza del mancato riconoscimento di autonomia nella determinazione delle finalità del trattamento, essendo queste ultime definite dal d.lgs. 231/2001.

Anche questa interpretazione è stata criticata dall’AODV che ritiene l’OdV un organo/ufficio interno dell’ente, pertanto, non qualificabile come soggetto autonomo/persona giuridica diversa dal Titolare (l’ente).

3. Organismo di vigilanza ufficio interno dell’ente “autorizzato al trattamento” e quindi al/i suo/i membro/i andrà consegnata relativa nomina, ex 29 GDPR (cfr. Luca Bolognini, Codice della Disciplina privacy).

Ovviamente, date le peculiarità del compito svolto dal/i membro/i dell’organo, la nomina dovrà essere strutturata in modo da garantire l‘autonomia e l’indipendenza del/i membro/i dell’OdV.

Parere del Garante Privacy

Sulla questione della qualificazione privacy dell’OdV, a maggio 2020, si è espresso anche il Garante Privacy  che ha escluso che l’organo possa essere considerato:

• Titolare autonomo del trattamento ritenendo che è la legge ad indicarne i compiti mentre la dirigenza dell’ente definisce l’attribuzione di risorse, mezzi e misure di sicurezza;
• Responsabile del trattamento non potendo identificarlo come persona giuridicamente distinta dal Titolare.

Rilevando inoltre che in caso di violazione degli artt. 30, 32, 33 par. 2, 37 e 82 GDPR la responsabilità resta in capo al Responsabile del trattamento mentre nel caso di omessi controlli circa l’osservanza dei modelli 231 la responsabilità ricade sull’ente e non sull’OdV!

L’Autorità configura l’Organismo di vigilanza (OdV) quale “parte dell’ente” poiché “il suo ruolo si svolge nell’ambito dell’organizzazione dell’ente, titolare del trattamento, che, attraverso la predisposizione di modelli di organizzazione e di gestione, definisce il perimetro e le modalità di esercizio di tali compiti”. Confermando anche la necessità che i singoli membri dell’OdV vengano designati quali soggetti autorizzati al trattamento.

Attenzione! L’Autorità specifica che il parere prende in considerazione specificamente “il ruolo ai fini privacy, che l’OdV assume con riferimento ai flussi di informazioni rilevanti ex art. 6, commi 1 e 2 d.lgs. 231/2001”, non valutando il ruolo che L’OdV potrebbe essere chiamato a svolgere in caso di segnalazioni “whistleblowing”.

In ogni caso, benché in dottrina vi sia un orientamento secondo il quale i membri dell’Organismo debbano considerarsi “autorizzati” anche per le attività di gestione delle segnalazioni whistleblowing, restiamo in attesa di un parere del Garante!