I singoli membri, quali soggetti autorizzati, dovranno attenersi alle istruzioni impartite dal titolare affinché il trattamento sia conforme al Regolamento
Il Garante per la protezione dei dati personali ha diffuso il parere 12 maggio 2020 sula qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza (OdV) previsti dall’art. 6 del DLgs. 8 giugno 200, n. 231 in risposta al position paper predisposto nel 2019 dall’Associazione dei Componenti degli Organismi di Vigilanza (AODV231) nel quale veniva sostenuto che “l’OdV in quanto parte dell’impresa, non sia qualificabile né come titolare né come responsabile del trattamento, […e che] ai fini dell’osservanza delle norme relative alla protezione dei dati l’inquadramento soggettivo dell’Organismo di Vigilanza […] sia assorbito da quello dell’Ente/società vigilata della quale, appunto, l’OdV è «parte»”.
Nel suo parere il Garante, premettendo che lo stesso ha ad oggetto (ai fini privacy) il ruolo dell’Organismo di Vigilanza in relazione ai flussi informativi rilevanti ai sensi dell’art. 6 commi 1 e 2 del DLgs. 231/2001 (escludendo quindi le segnalazioni di cui alla normativa sul whistleblowing), ha specificato che:
– pur essendo dotato di autonomi poteri di iniziativa e controllo, non può essere considerato quale autonomo titolare del trattamento dei dati ex art. 4 n. 7 del Regolamento (UE) 2016/679;
– dato che l’OdV è parte dell’ente, non è considerabile quale responsabile del trattamento ovvero non è inquadrabile quale soggetto chiamato ad effettuare un trattamento “per conto del titolare” ovverosia una “persona giuridicamente distinta dal Titolare, ma che agisce per conto di quest’ultimo” secondo le istruzioni impartite dal titolare (art. 28 del Regolamento)”.
Su tale ultimo aspetto, preme evidenziare come il Regolamento, pur non modificandone l’essenza, ha introdotto per la figura del responsabile del trattamento, una serie di obblighi (artt. 30, 33, par. 2, 37 e 82) e di responsabilità circa l’individuazione di idonee misure tecniche e organizzative adeguate al rischio (art. 32). La responsabilità circa l’eventuale inosservanza di tali obblighi (e di eventuali inadempimenti) “rimane in capo direttamente allo stesso responsabile, nei confronti del quale possono essere adottati provvedimenti correttivi e sanzionatori in ordine al trattamento dei dati che svolge per conto del titolare. Diversamente, eventuali omessi controlli in ordine all’osservanza dei modelli predisposti dall’ente non ricadono sull’OdV ma sull’ente stesso che non potrà, in tal caso, avvalersi della scriminante prevista dall’art. 6, comma 1, d.lgs. n. 231/2001”.
In conclusione: “si ritiene che l’OdV, nel suo complesso, a prescindere dalla circostanza che i membri che lo compongano siano interni o esterni, debba essere considerato «parte dell’ente». Il suo ruolo – che si esplica nell’esercizio dei compiti che gli sono attribuiti dalla legge, attraverso il riconoscimento di «autonomi poteri di iniziativa e controllo» – si svolge nell’ambito dell’organizzazione dell’ente, titolare del trattamento, che, attraverso la predisposizione dei modelli di organizzazione e di gestione, definisce il perimetro e le modalità di esercizio di tali compiti. Tale posizione si intende ricoperta dall’OdV nella sua collegialità, tuttavia, non può prescindersi dalla necessità di definire anche il ruolo che, in base alla disciplina in materia di protezione dei dati personali, deve essere previsto per i singoli membri che lo compongono. Lo stesso ente, in ragione del trattamento dei dati personali che l’esercizio dei compiti e delle funzioni affidate all’OdV comporta (ad esempio, l’accesso alle informazioni acquisite attraverso flussi informativi), designerà – nell’ambito delle misure tecniche e organizzative da porre in essere in linea con il principio di accountability (art. 24 del Regolamento) – i singoli membri dell’OdV quali soggetti autorizzati (artt. 4, n. 10, 29, 32 par. 4 Regolamento; v. anche art. 2-quaterdecies del Codice). Tali soggetti, in relazione al trattamento dei dati degli interessati, dovranno attenersi alle istruzioni impartite dal titolare affinché il trattamento avvenga in conformità ai principi stabiliti dall’art. 5 del Regolamento”.