In seguito alla richiesta di parere pervenuta dall’Associazione dei Componenti degli Organismi di Vigilanza ex d.lgs. 231/2001, il Garante per la Protezione dei dati personali ha precisato il ruolo privacy e le responsabilità in materia di protezione dei dati personali degli Organismi di Vigilanza, escludendo che tali Organismi si possano qualificare come Titolari del trattamento o Responsabili del trattamento. In considerazione del ruolo dell’Organismo di Vigilanza all’interno dell’ente che lo designa, nonché alle modalità con cui l’Organismo svolge i propri compiti (definiti dalla legge e dall’ente stesso), il Garante ha ritenuto che l’Organismo di Vigilanza tratti dati personali in qualità di soggetto autorizzato al trattamento dall’ente per conto del quale l’Organismo svolge il proprio mandato. Questo è quanto emerge dal chiarimento fornito dal Garante.
IL FATTO
Il d.lgs. 2001 n. 231 recante la “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’articolo 11 della legge 29 settembre 2000, n. 300”, istituisce e regolamenta la responsabilità amministrativa degli enti per la commissione di reati da parte di soggetti apicali o subordinati nell’interesse o vantaggio degli enti stessi. Il d.lgs. 231/2001 prevede l’esenzione dalla responsabilità degli enti nell’ipotesi in cui questi ultimi dimostrino di avere adottato e efficacemente attuato, prima della commissione di una fattispecie di reato rilevanti ai sensi del d.lgs. 231/2001, modelli di organizzazione e gestione idonei a prevenire i reati della specie di quello verificatosi, nonché di avere “affidato ad un organismo dell’ente dotato di autonomi poteri di iniziativa e controllo il compito di vigilare sul funzionamento e l’osservanza di detti modelli e di curarne l’aggiornamento” (art. 6, comma 1, lett. a) e b) del d.lgs.231/2001). Ai sensi della normativa citata l’Organismo di Vigilanza – “OdV” – per esercitare i propri poteri di iniziativa e di controllo deve poter agire libero da ogni forma di interferenza e condizionamento da parte dell’ente che conferisce allo stesso i poteri. I Modelli di Organizzazione e Gestione adottati dagli enti devono altresì prevedere obblighi di informazione da parte dei dipendenti (soggetti subordinati e apicali) nei confronti dell’OdV; quest’ultimo deve infine comunicare regolarmente ai vertici aziendali eventuali notizie in merito al funzionamento e aggiornamento del Modello Organizzativo adottato dall’ente o eventuali criticità rilevate nella gestione dei c.d. “processi a rischio” che potrebbero portare alla commissione di reati rilevanti nell’interesse o vantaggio dell’ente.
In seguito all’entrata in vigore del Regolamento UE 679/2016, le aziende, in qualità di Titolari del trattamento, hanno l’obbligo di regolamentare il trattamento dei dati personali svolto nel contesto della propria organizzazione aziendale. Per poter stabilire il ruolo dell’Organismo di Vigilanza nell’ambito del trattamento dei dati personali è necessario esaminare le figure previste dal Regolamento UE 679/2016.
La disciplina in materia di protezione dei dati personali definisce “titolare del trattamento la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”. Al titolare spettano le decisioni di fondo relativamente alle finalità e alle modalità del trattamento dei dati personali degli interessati.
Il Regolamento UE 679/2016 definisce poi “responsabile del trattamento la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta i dati personali per conto del titolare del trattamento”. Il Responsabile è dunque un soggetto che svolge attività per conto del Titolare del trattamento, agendo sulla base di finalità determinate dal Titolare e nell’interesse di quest’ultimo; il Responsabile esegue le attività delegate dal Titolare ed è tenuto ad agire attenendosi alle istruzioni di quest’ultimo.
La vigente normativa prevede infine che vi possano essere “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” (Regolamento UE 679/2016) e che il titolare abbia la facoltà di designare persone fisiche che, all’interno del proprio assetto organizzativo svolgano funzioni connesse al trattamento dei dati personali operando sotto l’autorità del titolare (d.lgs. n. 196/2003 e s.m.i.).
In seguito all’esame dei compiti dell’OdV e del suo funzionamento, il Garante ha concluso che quest’ultimo non si possa configurare come autonomo titolare del trattamento, in considerazione del fatto che i compiti dell’OdV non sono determinati dall’Organismo di Vigilanza ma dalla legge, da un lato, e dall’organo dirigente dell’ente che designa l’OdV, dall’altro. In considerazione del fatto che l’OdV non è distinto dall’ente ma è parte dello stesso, il Garante ha inoltre escluso la possibilità di considerare l’OdV quale responsabile del trattamento inteso come una persona giuridicamente distinta dal titolare ma chiamata ad effettuare un trattamento per conto di quest’ultimo.
Il Garante ha pertanto chiarito che l’Organismo di Vigilanza agisce nell’ambito dell’organizzazione aziendale in qualità di soggetto autorizzato al trattamento. Gli enti, in qualità di titolari del trattamento, dovranno pertanto procedere alla designazione dei membri dell’OdV quali soggetti autorizzati al trattamento e questi ultimi dovranno svolgere le attività di trattamento attenendosi alle istruzioni in materia di protezione dei dati personali impartite dai titolari del trattamento.
PERCHÉ È IMPORTANTE:
Il provvedimento in esame chiarisce il ruolo di figure radicate nelle organizzazioni aziendali facendo definitivamente chiarezza in merito alla qualificazione e al ruolo di questi ultimi ai fini privacy. Tale chiarimento risulta quanto mai necessario per consentire alle aziende, in qualità di titolari del trattamento, di adottare le misure organizzative più opportune al fine di garantire la sicurezza dei dati e la tutela degli interessati nel rispetto di quanto previsto dal d.lgs. 231/2001 e dal Regolamento UE 679/2016.