I temi di NT+Spazio imprese

Gli organismi di vigilanza «trattano» la privacy ma non ne sono responsabili

Il parere del Garante sul ruolo degli Odv

di Elisa Chizzola

L’Organismo di vigilanza ex legge 231 non deve essere considerato né titolare né responsabile del trattamento dei dati personali eventualmente trattati essendo “parte dell’ente” che si è dotato del modello organizzativo. I singoli membri dell’Odv rappresentano semplicemente “soggetti autorizzati” al trattamento, con particolare riferimento ai flussi informativi intercorrenti tra organismo e strutture aziendali.
Il Garante per la protezione dei dati personali, con il parere del 12 maggio scorso, ha risolto la discussa questione relativa alla corretta qualificazione soggettiva dell’Odv e si allinea alla tesi sostenuta dall’Associazione dei Componenti degli Organismi di Vigilanza ex 231, non attribuendo all’Odv né la qualifica di titolare né quella di responsabile del trattamento dei dati, essendo tale organismo “assorbito” dalla società vigilata della quale l’Odv è parte.
Nell’ambito dell’attività di compliance privacy che le imprese devono effettuare ai fini dell’adeguamento al Regolamento Ue 2016/679, è fondamentale la definizione dei ruoli privacy dei soggetti coinvolti nel trattamento di dati, poiché da tale qualificazione soggettiva dipendono diversi obblighi e precise responsabilità.

Il titolare
Il primo soggetto “protagonista”, nell’ambito della normativa privacy, è naturalmente rappresentato dal titolare del trattamento dei dati, il soggetto che, nel rispetto del principio di “accountability”, definisce le finalità e i mezzi del trattamento.
L’Odv, pur essendo dotato di autonomi poteri di iniziativa e controllo, non può essere considerato autonomo titolare del trattamento, dal momento che i suoi compiti di iniziativa e controllo non sono determinati dall’organismo stesso, bensì dalla legge e dall’organo dirigente che nel modello di organizzazione e gestione definisce gli aspetti relativi al suo funzionamento compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza.
Occorre ricordare peraltro che l’Odv non è penalmente responsabile per omesso controllo in caso di eventuale commissione di reati rilevanti ai sensi della disciplina 231, non essendo dotato di poteri impeditivi nei confronti degli eventuali autori del reato, fermo restando l’imputabilità dell’organismo a titolo di responsabilità contrattuale per inadempimento delle obbligazioni assunte con il conferimento dell’incarico.
Inoltre, l’Odv non è soggetto ad obbligo di denuncia all’autorità giudiziaria degli illeciti di cui viene a conoscenza nell’esercizio delle sue funzioni e non possiede neppure poteri disciplinari nei confronti degli autori degli illeciti, poteri che permangono in capo all’ente.

Il responsabile
Tornando alla classificazione privacy, l’Odv non può essere nemmeno qualificato come responsabile del trattamento ex art. 28 del Regolamento Ue, non essendo chiamato a trattare dati personali “per conto” del titolare del trattamento (la società vigilata).
Di conseguenza, “scartando” i ruoli privacy di “titolare autonomo” e “responsabile del trattamento”, l’ente dotato di modello organizzativo è tenuto a designare i singoli membri dell’Odv quali “soggetti autorizzati” (ai sensi dell’art. 4, n. 10 del Regolamento Ue e dell’art. 2-quaterdecies del Codice privacy).
I membri dell’Odv, come soggetti autorizzati al trattamento dei dati personali, devono quindi attenersi alle istruzioni impartite dalla società che si è dotata del modello, quale titolare del trattamento. La stessa società è tenuta ad adottare le misure tecniche ed organizzative idonee a garantire la protezione dei dati trattati, assicurando contestualmente all’Odv autonomia ed indipendenza, requisiti propri dell’organismo indispensabili ai fini dell’espletamento delle sue funzioni.