Lo scorso 12 maggio il Garante ha rilasciato un parere sulla qualificazione del ruolo privacy dell’Organismo di Vigilanza (“OdV”): ai sensi dell’art. 6, co. 1 lett. b) del D.lgs. 231/2001, “organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo” cui l’ente deve “affidare il compito di vigilare sul funzionamento e l’osservanza dei modelli [e] di curare il loro aggiornamento”, e della cui inadeguatezza a vigilare risponde l’ente stesso, in termini di inefficacia dello “schermo” fornito da questa normativa.
Indice degli argomenti
Ruolo privacy dell’Organismo di Vigilanza: il parere del Garante
Riassumendo, il Garante ha negato all’OdV (quale organo collegiale) qualsiasi autonoma rilevanza in riferimento ai trattamenti di dati personali da questo effettuati nell’esercizio dei propri compiti istituzionali, attribuendone invece la titolarità all’ente e individuando la conseguente necessità che l’ente stesso designi i singoli componenti dell’OdV quali “incaricati” autorizzati al trattamento, fornendo loro apposite istruzioni.
Tali conclusioni sono state basate – con un percorso logico-giuridico che pare eccessivamente sintetico – essenzialmente sull’affermazione secondo cui “l’OdV, pur essendo dotato di autonomi poteri di iniziativa e controllo, non possa essere considerato autonomo titolare del trattamento (art. 4, n. 7 del Regolamento), considerato che i compiti di iniziativa e controllo propri dell’OdV non sono determinati dall’organismo stesso, bensì dalla legge che ne indica i compiti e dall’organo dirigente che nel modello di organizzazione e gestione definisce gli aspetti relativi al funzionamento compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza”.
Certamente l’assunzione di una tale posizione sul ruolo privacy dell’OdV avrebbe meritato maggiore approfondimento e specificazione: posta in questi termini generali e non circostanziati, infatti, sembra confliggere con l’esistenza stessa della base giuridica consistente nella necessità del trattamento per adempiere un obbligo legale al quale è soggetto il titolare del trattamento medesimo (art. 6, comma 1, lett. c) GDPR): forse che l’adempimento di obblighi fiscali non rende il soggetto che ne è gravato titolare dei trattamenti di dati personali effettuati per assolverli, solo perché la decisione in ordine alle finalità di tali trattamento non è a discrezione del titolare stesso ma discende direttamente dalle norme? Se fosse così, allo stesso modo l’OdV dovrebbe essere titolare dei trattamenti connessi all’adempimento di compiti che – come dice il Garante – gli sono indicati dalla legge.
Non possiamo inoltre esimerci dal considerare che i flussi informativi rappresentano il principale strumento attraverso il quale l’OdV esplica le proprie funzioni di vigilanza: la circostanza che la ricezione, la gestione e l’utilizzo dei dati in essi contenuti debbano essere disciplinati dall’ente stesso incrementa il rischio di perdita di autonomia e indipendenza dell’OdV, e dunque di inficiare i requisiti fondamentali che caratterizzano la natura dell’organismo e le modalità di svolgimento della relativa funzione di controllo.
Infine, anche volendo prescindere dalla titolarità o meno del trattamento in capo all’OdV, neppure convince l’attribuzione ai suoi membri – usualmente liberi professionisti, cui peraltro in genere fa capo una propria organizzazione o che comunque svolgono buona parte della loro attività in un contesto organizzativo dove loro stessi o altri, e non l’ente designante, stabiliscono criteri, mezzi e regole per il corretto trattamento di dati personali, assumendosene la responsabilità – di un ruolo di trattamento caratterizzato da subalternità, assenza di discrezionalità e sottoposizione a diretta autorità e controllo dell’ente.
Ma queste e altre criticità del parere del Garante, come detto, meritano di essere approfondite in altra e specifica sede.
Cosa devono fare gli enti?
Ciò che qui preme rilevare sono le conseguenze sugli enti del quadro apprestato dal Garante: se i componenti dell’OdV – in sede di attuazione dei trattamenti di dati personali impliciti nell’esecuzione dei compiti che sono loro demandati dalla legge in seno a tale organo – devono essere considerati “soggetti autorizzati al trattamento dei dati personali sotto l’autorità diretta” (art. 4, n. 10 GDPR) dell’ente, allora quest’ultimo dovrà farsi integralmente carico dei relativi trattamenti e operare nei loro confronti alla stregua di quello che già fa nei confronti dei propri dipendenti e collaboratori.
Da questo punto di vista, deve istruirli puntualmente – sotto il profilo sia organizzativo sia tecnico – in merito alle modalità di esecuzione di tutti i trattamenti di dati personali connessi allo svolgimento dei compiti propri dell’OdV, compresi quelli effettuati fuori dal contesto aziendale dell’ente.
In alternativa, l’ente dovrà obbligare i membri dell’OdV a svolgere tutte le attività esclusivamente nel proprio contesto organizzativo aziendale e dunque utilizzando, ad esempio, mezzi sotto il controllo diretto dell’ente stesso (non solo la casella e-mail dedicata all’OdV, ma anche la connettività, gli strumenti elettronici necessari per elaborare dati e per comunicare, le risorse umane a supporto, che dovranno essere a loro volta previamente autorizzate e istruite dall’ente) e secondo i processi e le procedure stabiliti dall’ente stesso (ad esempio, le modalità di gestione delle riunioni, dei rapporti con eventuali consulenti terzi, auditor).
Bisogna rilevare che allo stato delle prassi attuali non esistono documenti deputati ad autorizzare i trattamenti di dati personali effettuati dall’OdV, né l’ente fornisce indicazioni di trattamento con i documenti che formalizzano la costituzione (lo statuto) e il funzionamento (il regolamento, che peraltro è predisposto dallo stesso OdV, senza che organi sociali diversi possano intervenire nella fase dall’elaborazione o in quella successiva dell’approvazione del documento: cfr. Linee Guida Confindustria, pag. 61) di quest’organo, e tantomeno con il Modello Organizzativo: si tratta infatti di documenti che non sono redatti nell’ottica di fornire istruzioni di trattamento ma che contengono solo indicazioni generali relative ai compiti dell’OdV (previsti dalla legge).
Nel contesto di questa documentazione, la stessa definizione del flusso dei dati è usualmente sviluppata con l’unica ottica di garantire all’OdV adeguata informazione (ad esempio, si stabilisce che cosa deve essere segnalato all’OdV e da quale funzione aziendale, ma non come l’OdV debba poi agire nel trattare queste informazioni, a parte generici obblighi di riservatezza che comunque gravano già sui liberi professionisti che in genere ne fanno parte).
È quindi necessario che gli enti assumano quanto prima tutte le azioni inerenti alla responsabilità, in qualità di titolari, dei trattamenti effettuati dai componenti dell’OdV nel contesto della loro partecipazione all’organo, e dunque perlomeno:
- aggiornare i registri di trattamento;
- valutare la base giuridica del trattamento, i soggetti esterni coinvolti, i tempi di conservazione dei dati personali trattati, la base giuridica e le modalità di un eventuale trasferimento dei dati extra UE;
- valutare il ruolo dei soggetti esterni coinvolti (destinatari dei dati trattati o che comunque intervengono nel trattamento);
- completare l’analisi dei rischi, sotto il profilo del trattamento dei dati personali, con quanto rilevante in rapporto agli specifici trattamenti effettuati dai singoli membri dell’OdV (e loro eventuali collaboratori), e ciò a prescindere dal fatto che essi avvengano nel contesto organizzativo dell’ente (e dunque con mezzi messi a disposizione da quest’ultimo) o al di fuori di esso;
- individuare le contromisure per mitigare il rischio;
- valutare la necessità di eseguire una valutazione d’impatto e adottare le relative contromisure;
- adeguare i contratti con soggetti esterni che partecipano ai trattamenti estendendoli anche ai dati trattati dall’OdV.
