Supervisory bodies provided for by the Legislative Decree no. 231 of 8 June 2001: clarifications on the subjective qualification for privacy purposes.

Following the request received from the Association of Members of the Supervisory Bodies pursuant to Legislative Decree 231/2001, the Italian Data Protection Authority has specified that the privacy role and responsibilities regarding the protection of personal data by the Supervisory Bodies, excluding that these Bodies may qualify as Data Controllers or Data Processors. In view of the role of the Supervisory Body within the entity that designates it, as well as the way in which the Body carries out its duties (defined by law and by the entity itself), the Data Protection Authority has considered that the Supervisory Body processes personal data under the authority of the entity on whose behalf the Body carries out its mandate. This is what emerges from the clarification provided by the Data Protection Authority.

IL FATTO

Il d.lgs. 2001 n. 231 recante la “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’articolo 11 della legge 29 settembre 2000, n. 300”, istituisce e regolamenta la responsabilità amministrativa degli enti per la commissione di reati da parte di soggetti apicali o subordinati nell’interesse o vantaggio degli enti stessi. Il d.lgs. 231/2001 prevede l’esenzione dalla responsabilità degli enti nell’ipotesi in cui questi ultimi dimostrino di avere adottato e efficacemente attuato, prima della commissione di una fattispecie di reato rilevanti ai sensi del d.lgs. 231/2001, modelli di organizzazione e gestione idonei a prevenire i reati della specie di quello verificatosi, nonché di avere “affidato ad un organismo dell’ente dotato di autonomi poteri di iniziativa e controllo il compito di vigilare sul funzionamento e l’osservanza di detti modelli e di curarne l’aggiornamento” (art. 6, comma 1, lett. a) e b) del d.lgs.231/2001). Ai sensi della normativa citata l’Organismo di Vigilanza – “OdV” – per esercitare i propri poteri di iniziativa e di controllo deve poter agire libero da ogni forma di interferenza e condizionamento da parte dell’ente che conferisce allo stesso i poteri. I Modelli di Organizzazione e Gestione adottati dagli enti devono altresì prevedere obblighi di informazione da parte dei dipendenti (soggetti subordinati e apicali) nei confronti dell’OdV; quest’ultimo deve infine comunicare regolarmente ai vertici aziendali eventuali notizie in merito al funzionamento e aggiornamento del Modello Organizzativo adottato dall’ente o eventuali criticità rilevate nella gestione dei c.d. “processi a rischio” che potrebbero portare alla commissione di reati rilevanti nell’interesse o vantaggio dell’ente.

In seguito all’entrata in vigore del Regolamento UE 679/2016, le aziende, in qualità di Titolari del trattamento, hanno l’obbligo di regolamentare il trattamento dei dati personali svolto nel contesto della propria organizzazione aziendale. Per poter stabilire il ruolo dell’Organismo di Vigilanza nell’ambito del trattamento dei dati personali è necessario esaminare le figure previste dal Regolamento UE 679/2016.

La disciplina in materia di protezione dei dati personali definisce “titolare del trattamento la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”. Al titolare spettano le decisioni di fondo relativamente alle finalità e alle modalità del trattamento dei dati personali degli interessati.

Il Regolamento UE 679/2016 definisce poi “responsabile del trattamento la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta i dati personali per conto del titolare del trattamento”. Il Responsabile è dunque un soggetto che svolge attività per conto del Titolare del trattamento, agendo sulla base di finalità determinate dal Titolare e nell’interesse di quest’ultimo; il Responsabile esegue le attività delegate dal Titolare ed è tenuto ad agire attenendosi alle istruzioni di quest’ultimo.

La vigente normativa prevede infine che vi possano essere “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” (Regolamento UE 679/2016) e che il titolare abbia la facoltà di designare persone fisiche che, all’interno del proprio assetto organizzativo svolgano funzioni connesse al trattamento dei dati personali operando sotto l’autorità del titolare (d.lgs. n. 196/2003 e s.m.i.).

In seguito all’esame dei compiti dell’OdV e del suo funzionamento, il Garante ha concluso che quest’ultimo non si possa configurare come autonomo titolare del trattamento, in considerazione del fatto che i compiti dell’OdV non sono determinati dall’Organismo di Vigilanza ma dalla legge, da un lato, e dall’organo dirigente dell’ente che designa l’OdV, dall’altro. In considerazione del fatto che l’OdV non è distinto dall’ente ma è parte dello stesso, il Garante ha inoltre escluso la possibilità di considerare l’OdV quale responsabile del trattamento inteso come una persona giuridicamente distinta dal titolare ma chiamata ad effettuare un trattamento per conto di quest’ultimo.

Il Garante ha pertanto chiarito che l’Organismo di Vigilanza agisce nell’ambito dell’organizzazione aziendale in qualità di soggetto autorizzato al trattamento. Gli enti, in qualità di titolari del trattamento, dovranno pertanto procedere alla designazione dei membri dell’OdV quali soggetti autorizzati al trattamento e questi ultimi dovranno svolgere le attività di trattamento attenendosi alle istruzioni in materia di protezione dei dati personali impartite dai titolari del trattamento.

PERCHÉ È IMPORTANTE:

Il provvedimento in esame chiarisce il ruolo di figure radicate nelle organizzazioni aziendali facendo definitivamente chiarezza in merito alla qualificazione e al ruolo di questi ultimi ai fini privacy. Tale chiarimento risulta quanto mai necessario per consentire alle aziende, in qualità di titolari del trattamento, di adottare le misure organizzative più opportune al fine di garantire la sicurezza dei dati e la tutela degli interessati nel rispetto di quanto previsto dal d.lgs. 231/2001 e dal Regolamento UE 679/2016.

Per non perderti le novità e gli approfondimenti di Tonucci & Partners, iscriviti alle nostre newsletter

    I have read the Privacy Policy
    and i authorized the treatment of my personal data