Lo scorso 12 maggio 2020 il Garante per la protezione dei dati personali ha espresso il suo parere sulla qualificazione soggettiva degli Organismo di Vigilanza (OdV) ai fini privacy , andando così a definire una questione alquanto controversa.
Da quanto si legge nel documento diffuso dal Garante, “si ritiene che l’OdV, pur essendo dotato di autonomi poteri di iniziativa e controllo, non possa essere considerato autonomo titolare del trattamento (art. 4, n. 7 del Regolamento), considerato che i compiti di iniziativa e controllo propri dell’OdV non sono determinati dall’organismo stesso, bensì dalla legge che ne indica i compiti e dall’organo dirigente che nel modello di organizzazione e gestione definisce gli aspetti relativi al funzionamento compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza (art. 6, commi 1 e 2 d.lgs. n. 231/2001)”.
Il Garante Privacy, inoltre, ha precisato che l’oggetto del suo pronunciamento ha ad oggetto esclusivamente la definizione di ruolo, ai fini privacy, che l’OdV assume con riferimento ai flussi di informazioni rilevanti ai sensi dell’art. 6, commi 1 e 2 del D.lgs. n. 231/2001, escludendo quindi dalla qualificazione soggettiva delineata in ambito privacy quella del nuovo e diverso ruolo che l’OdV potrebbe acquisire in relazione alle segnalazioni effettuate nell’ambito della normativa di whistleblowing.
Ma andiamo con ordine e analizziamo tutti i punti principali del parere espresso dal Garante Privacy.
Indice degli argomenti
Qualificazione soggettiva dell’OdV in ambito privacy: il D.lgs. 231/2001
In particolare, il D.lgs. 231/2001, sancisce la “disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica”, a norma dell’articolo 11 della legge 29 settembre 2000, n. 300, per reati commessi nell’interesse o a vantaggio degli stessi da:
- persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale, nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso;
- persone sottoposte alla direzione o alla vigilanza di uno dei soggetti sopra indicati.
Tale responsabilità si aggiunge a quella della persona fisica che ha realizzato materialmente il reato.
La responsabilità dell’ente è esclusa qualora si riesca a dar prova dell’adozione e dell’efficace attuazione, prima della commissione del reato, di modelli di organizzazione, gestione e controllo idonei a prevenire reati della specie di quello verificatosi, ovvero in altri termini dell’adozione di un Sistema di Organizzazione, Gestione e Controllo (Modelli 231) così come previsto dall’ex D.lgs. 231/2001.
Tali modelli consistono in regole e misure operative o tecnologiche (ovvero in protocolli) che devono essere rispettate dal personale e da chi opera nell’interesse o a vantaggio dell’ente, in quanto finalizzate ad impedire la commissione dei reati, nonché in un sistema di controlli finalizzati a verificare l’efficacia del modello, la sua adeguatezza alla realtà aziendale, l’effettività del modello stesso, ovvero l’effettivo rispetto dei protocolli da parte del personale e degli altri destinatari preposti alle attività̀ a rischio di reato.
L’Organismo di Vigilanza
L’art. 6 del D.lgs. 231/2001, nel ricondurre l’esonero da responsabilità dell’ente all’adozione e alla efficace attuazione di un modello di organizzazione, gestione e controllo idoneo a prevenire la realizzazione degli illeciti penali considerati da tale normativa, ha previsto l’istituzione di un Organismo di Vigilanza interno all’ente, cui è assegnato specificamente il “compito di vigilare sul funzionamento e l’osservanza del modello organizzativo e di curarne il relativo aggiornamento”.
I compiti assegnati all’OdV richiedono che lo stesso sia dotato di autonomi poteri di iniziativa e di controllo.
L’Organismo di Vigilanza si caratterizza per la presenza di tre macro requisiti fondamentali:
- autonomia e indipendenza, necessari affinché l’OdV non sia direttamente coinvolto nelle attività gestionali che costituiscono l’oggetto della sua attività di controllo;
- professionalità, delineata in termini di competenze tecnico-professionali adeguate alle funzioni che è chiamato a svolgere, caratteristiche che unite all’indipendenza, garantiscono l’obiettività di giudizio all’indipendenza;
- continuità di azione, che impone all’OdV di lavorare costantemente sulla vigilanza del Modello 231 con i necessari poteri di indagine, curarne l’attuazione e assicurandone il costante aggiornamento, mai svolgendo mansioni operative che possano condizionare la visione d’insieme delle attività aziendali che ad esso si richiede.
Autonomia e indipendenza, la qualificazione soggettiva dell’OdV in ambito privacy
L’Organismo di Vigilanza è autonomo nelle proprie scelte, che dipendono da una valutazione specifica dei fattori di rischio, sia inerente che di controllo, derivanti dall’attività di vigilanza sull’adeguatezza e sull’effettiva attuazione del Modello di organizzazione, gestione e controllo, Modello 231.
Questa autonomia di scelta ha portato negli ultimi anni, dopo l’entrata in vigore del Regolamento UE 2016/679 del 27 aprile 2016 c.d. “GDPR”, parte della dottrina a chiedersi quale fosse la qualificazione soggettiva corretta in termini privacy da attribuire all’OdV.
È stato per così dire quasi ovvio assimilare il requisito dell’autonomia di poteri dell’OdV alla qualificazione soggettiva che lo vedeva essere considerato come un autonomo titolare del trattamento ai sensi dell’art 4, n.7 del GDPR, ovvero “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.
Dopo il parere emesso dall’Autorità Garante per la protezione dei dati personali si ritiene che l’OdV, pur essendo dotato di autonomi poteri di iniziativa e controllo, non possa essere considerato autonomo titolare del trattamento, considerato che i compiti di iniziativa e controllo propri dell’OdV non sono determinati dall’organismo stesso, bensì dalla legge che ne indica i compiti e dall’organo dirigente che nel modello di organizzazione e gestione definisce gli aspetti relativi al funzionamento compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza (art. 6, commi 1 e 2 d.lgs. n. 231/2001).
E si può invece parlare di responsabilità?
Analogamente, tenuto conto che l’OdV non è distinto dall’ente, ma è parte dello stesso, si è ritenuto che valutate anche le attribuzioni e le caratteristiche indicate nell’art. 6, d.lgs. n.231/2001 l’OdV non possa essere considerato come un responsabile del trattamento inteso come soggetto chiamato ad effettuare un trattamento “per conto del titolare” ovvero secondo l’art 4, n. 8 del GDPR “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”, ovverosia una “persona giuridicamente distinta dal Titolare, ma che agisce per conto di quest’ultimo” secondo le istruzioni impartite dal titolare ex art. 28 del GDPR.
Nel parere emesso dall’Autorità Garante per la protezione dei dati personali si evidenzia, inoltre, che all’OdV non possa essere imputata una responsabilità penale in ordine all’eventuale commissione di reati rilevanti ai sensi del D.lgs. n.231/2001 nel caso di omessi controlli, posto che tale organismo, pur avendo funzioni di vigilanza e controllo, non è dotato di alcun potere impeditivo nei confronti degli eventuali autori del reato, così che, anche in caso di inerzia dell’OdV, la responsabilità ricade sull’ente che non potrà avvalersi della scriminante prevista dall’art.6, comma 1 D.lgs. n.231/2001.
Resta ferma invece la responsabilità di natura contrattuale dell’OdV nei confronti dell’ente per inadempimento delle obbligazioni assunte con il conferimento dell’incarico.
L’OdV, soggetto autorizzato al trattamento
Dopo aver analizzato le diverse tesi emerse in dottrina, il parere emesso dall’Autorità Garante su richiesta di AODV 231 si conclude sostenendo che “l’OdV in quanto parte dell’impresa”, non sia qualificabile né come titolare né come responsabile del trattamento, […e che] ai fini dell’osservanza delle norme relative alla protezione dei dati l’inquadramento soggettivo dell’Organismo di Vigilanza […] sia assorbito da quello dell’Ente/società vigilata della quale, appunto, l’OdV è “parte”.
Ai sensi della vigente normativa in materia di protezione dei dati personali, con particolare riferimento all’art. 29 del GDPR, il responsabile del trattamento o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati in assenza di specifiche istruzioni ricevute dal titolare del trattamento.
In tale direzione si esprime anche l’art. 2-quaterdecies del D.lgs. n. 196/2003 (c.d. “Codice Privacy”), come modificato e integrato dal D.lgs. n. 101/2018, il quale consente che il titolare o il responsabile del trattamento possano prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento dei dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.
Per quanto riguarda la figura dell’incaricato del trattamento (espressamente prevista dall’art. 30, D.lgs. n. 196/2003, abrogato dall’art. 27, comma 1 lett. a) n.2 del D.lgs. n.101/2018), il Regolamento, pur non prevedendo espressamente tale figura, di fatto, non la esclude riferendosi a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” (v., in particolare, art. 4, n. 10, del Regolamento). L’art.2-quaterdecies del d.lgs. n. 196/2003 come modificato dal d.lgs. n. 101/2018, riconosce quindi al titolare o al responsabile la facoltà di prevedere “sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento dei dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità”.
Sulla base delle valutazioni sopra menzionate, si ritiene che l’OdV nella sua collegialità debba esser definito in un ruolo che, in base alla disciplina in materia di protezione dei dati personali, deve essere previsto per i singoli membri che lo compongono. Lo stesso ente, in ragione del trattamento dei dati personali che l’esercizio dei compiti e delle funzioni affidate all’OdV comporta, designerà in aderenza del principio di accountability (art. 24 del GDPR), i singoli membri dell’OdV quali soggetti autorizzati al trattamento.
Tali soggetti, in relazione al trattamento dei dati degli interessati, dovranno attenersi alle istruzioni impartite dal titolare affinché il trattamento avvenga in conformità ai principi stabiliti dall’art. 5 del GDPR.
Lo stesso titolare sarà tenuto ad adottare le misure tecniche e organizzative idonee a garantire la protezione dei dati trattati, assicurando contestualmente all’OdV l’autonomia e l’indipendenza rispetto agli organi di gestione societaria nell’adempimento dei propri compiti secondo le modalità previste dalla citata normativa.
Limiti della nomina dell’OdV a soggetto autorizzato al trattamento
Nel parere viene precisato che lo stesso pronunciamento abbia ad oggetto solo la definizione di ruolo, ai fini privacy, che l’OdV assume con riferimento ai flussi di informazioni rilevanti ai sensi dell’art. 6, commi 1 e 2 del d.lgs. n. 231/2001, rimanendo quindi esclusa dalla qualificazione soggettiva delineata in ambito privacy, quella del nuovo e diverso ruolo che l’OdV potrebbe acquisire in relazione alle segnalazioni effettuate nell’ambito della normativa di whistleblowing (art. 6, comma 2-bis, 2-ter, 2-quater cit., D.lgs. n. 231/2001).