A seguito di un’istanza presentata dall’Associazione dei Componenti degli Organismi di Vigilanza ex d.lgs. 231/2001, il Garante Privacy con un parere ha chiarito la qualificazione soggettiva di questi quanto alla normativa sulla privacy e relative competenze.
il Garante Privacy ha infatti ritenuto che i componenti degli Organismi di Vigilanza devono essere considerati quali soggetti autorizzati al trattamento dei dati personali.
Le funzioni di un Organismo di Vigilanza
Il Decreto Legislativo n. 231/2001 è la norma che regola le ipotesi in cui una persona giuridica possa rispondere di specifici reati quando questi siano commessi nell’interesse o a vantaggio della stessa da soggetti che ricoprono funzioni apicali.
Affinché l'Ente vada esente da responsabilità deve:
- dimostrare di avere adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire i reati;
- avere affidato ad un organismo, detto appunto Organismo di Vigilanza e composto da membri interni o esterni, il compito di vigilare sul funzionamento, l'osservanza e l'aggiornamento del modello organizzativo per la prevenzione dei reati.
L’Organismo di Vigilanza, o ODV, deve agire in piena autonomia. Deve essere garantito un adeguato livello di estraneità rispetto ad ogni forma di interferenza e pressione da parte dei vertici dell'ente, nonché una adeguata autonomia decisionale rispetto allo svolgimento delle proprie attività, con possibilità di accesso a tutte le informazioni aziendali utili allo svolgimento del controllo.
È chiaro dunque come nell’ambito dell’organizzazione del modello 231, devono essere predisposti, con specifici processi di comunicazione aziendale, tutta una serie di flussi di informazioni (periodici e ad hoc, da e verso l’OdV) al fine di conoscere e gestire eventuali situazioni di rischio.
L'organigramma Privacy
Il Garante Privacy, nel parere fornito all'Associazione dei Componenti degli Organismi di Vigilanza, delinea in primo luogo i ruoli dei soggetti previsti dalla normativa sulla Privacy.
Il titolare del trattamento è il soggetto (persona fisica o giuridica) sul quale ricadono le decisioni relative alle finalità e alle modalità del trattamento dei dati personali.
Il titolare del trattamento
Il titolare del trattamento, proprio nell'esercizio della propria attività, che può comportare l'adozione di misure tecniche e organizzative, anche sotto il profilo della sicurezza, può ricorrere ad uno o più responsabili del trattamento.
Tale figura, (anch’essa persona fisica o giuridica) svolge, pertanto, attività per conto e nell’interesse del titolare del trattamento, agendo sulla base degli accordi e delle istruzioni impartite da questi.
La persona autorizzata al trattamento
Il Garante rammenta anche che, sebbene con il GDPR sarebbe formalmente sparita la figura dell’incaricato del trattamento, in realtà, da una interpretazione attenta del Regolamento emerge un ruolo analogo: la persona autorizzata al trattamento (sotto l'autorità diretta del titolare del trattamento).
La conferma di ciò viene dall'art.2-quaterdecies del d.lgs. n. 196/2003 come modificato dal d.lgs. n. 101/2018, in cui si riconosce al titolare o al responsabile la facoltà di prevedere che, sotto la propria responsabilità, autorità ed organizzazione, specifici compiti e funzioni connessi al trattamento dei dati personali siano attribuiti a persone fisiche, espressamente designate.
La qualificazione soggettiva dell'Organismo di Vigilanza
Il Garante conclude che l’Organismo di Vigilanza, anzi i componenti dello stesso, devono essere considerati quali persone autorizzate al trattamento.
L'Organismo di Vigilanza non può essere considerato autonomo titolare del trattamento perché:
- i compiti di iniziativa e controllo sono determinati dalla legge e dalla dirigenza (funzionamento, risorse, misure di sicurezza);
- al verificarsi di eventi reato rilevanti per il modello, anche in caso di inerzia dell’OdV, la responsabilità “231” ricade comunque sull’ente (salva la responsabilità per inadempimento delle obbligazioni assunte con il conferimento dell'incarico);
- non sussiste alcun obbligo di denuncia all'Autorità giudiziaria in relazione agli illeciti, né sono previsti poteri disciplinari.
L'Organismo di Vigilanza, d’altra parte, non può essere considerato responsabile del trattamento inteso come soggetto chiamato ad effettuare un trattamento per conto del titolare:
L’Organismo è parte dell’Ente; non può essere considerato una persona giuridicamente distinta dal titolare, ma che agisce per conto di quest'ultimo.
Leggi anche:
Conclusioni
L’Ente definisce il perimetro e le modalità di esercizio dei compiti dell’Organismo di Vigilanza, delineandone il ruolo nella sua composizione (unitaria o collegiale). Pertanto, lo stesso Ente, in ragione del trattamento dei dati personali che i compiti assegnati all'OdV comportano, designerà, nel rispetto del principio di accountability, i singoli membri dell'OdV quali soggetti autorizzati.
Sarà fondamentale, ed a tali fini potrà senz’altro aiutare la struttura del modello 231, conoscere e tracciare in maniera dettagliata i processi aziendali ed i relativi flussi informativi connessi al funzionamento dell’OdV, in modo tale, evidentemente, da poter redigere le corrette istruzioni in termini di trattamento dati a cui i membri dell’OdV dovranno attenersi.
Il Garante Privacy ha anche precisato che il parere espresso sulla qualifica dell’Organismo di Vigilanza non tiene volutamente conto del ruolo che questo potrebbe andare a ricoprire a seguito della L. 179/2017 che ha introdotto la denuncia anonima di illecito (cd. whistleblowing) nei modelli 231, lasciando aperta la strada per ulteriori e possibili specificazioni.
Emiliano Vitelli
Avvocato a Latina, mi occupo di Diritto del digitale e delle nuove tecnologie, frodi informatiche e reati informatici.
