L’Organismo di Vigilanza (OdV) istituito ai sensi e per gli effetti del D.lgs. 231/2001 non è autonomo Titolare del trattamento dati ai fini della privacy. I singoli membri, quali soggetti autorizzati, dovranno attenersi alle istruzioni impartite dal Titolare affinché il trattamento sia conforme al GDPR.
Lo ha chiarito il Garante per la protezione dei dati personali con il parere del 12 maggio 2020 emesso a seguito della nota con la quale, il 16 ottobre 2019, l’Associazione dei Componenti degli Organismi di Vigilanza ex D.lgs. 231/2001 (AODV231) chiedeva di discutere il tema della qualificazione soggettiva ai fini privacy dell’Organismo di Vigilanza e a seguito dell’emanazione del position paper con il quale la stessa Associazione, nel 2019, sosteneva che "l’OdV in quanto parte dell’impresa, non sia qualificabile né come titolare né come responsabile del trattamento, […e che] ai fini dell’osservanza delle norme relative alla protezione dei dati l’inquadramento soggettivo dell’Organismo di Vigilanza […] sia assorbito da quello dell’Ente/società vigilata della quale, appunto, l’OdV è «parte»".
I soggetti principali nel GDPR
È bene ricordare che tra i soggetti definiti dal GDPR (Regolamento UE 2016/679 in materia di protezione dei dati personali) e dal D.lgs. 196/2003 (c.d. Codice Privacy) così come modificato dal D.lgs. 101/2018 recante disposizioni di adeguamento dell’ordinamento nazionale al Regolamento stesso, vi rientrano:
- il Titolare del trattamento, definito come "la persona fisica o giuridica (…) che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento"
- il Responsabile del trattamento, ossia "la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento"
- il Soggetto Autorizzato al trattamento dei dati personali, ovvero "(…) chiunque agisca sotto l’autorità" del Titolare o del Responsabile
Il Titolare e l’Interessato (la persona fisica della quale il titolare tratta i dati), per la stessa natura delle finalità del GDPR, non possono mai mancare nel sistema privacy.
Anche il soggetto autorizzato non potrà non esserci. È arduo immaginare un Titolare (o Responsabile) che non abbia neanche un collaboratore/dipendente deputato alla esecuzione del trattamento.
Mentre il Responsabile del trattamento come il Contitolare e il Rappresentante potrebbero non trovare la propria presenza nella organizzazione complessiva che il Titolare ha predisposto a protezione dei dati personali.
La pratica dimostra poi che il Responsabile costituisce l'altra figura che normalmente è presente trattando i dati per conto del Titolare (è bene qui ricordare che tratta per conto e non in nome e per conto del Titolare, restando quest'ultimo, infatti, il primo e ultimo soggetto che deve dare dimostrazione, rendicontando, di come ha inteso l’accountabilitiy. In particolare come ha interpretato la protezione dei dati by design e by default.
Il ruolo dell'OdV secondo il D.lgs. 231/2001
Torniamo all'organizzazione prevista dal Decreto 231 del 2001 e, quindi, all’Organismo di Vigilanza.
La questione, ampiamente discussa in dottrina sin dalle prime interpretazioni del Regolamento, ha visto contrapporsi la tesi secondo la quale l’OdV, ai fini di una corretta applicazione della Normativa Privacy, dovesse essere qualificato come Titolare del trattamento avverso la contrapposta tesi che lo riteneva come un Responsabile del trattamento, ossia un soggetto terzo rispetto al Titolare ma agente per conto di quest’ultimo.
L’Associazione dei componenti degli Organismi di Vigilanza ha sostenuto, nel citato position paper, una sorta di terza via secondo la quale l'OdV, "in quanto parte dell’impresa", non debba essere definito né come un Titolare del trattamento né come un Responsabile ma la sua qualificazione soggettiva debba essere fatta rientrare all'interno dell'organizzazione dell’ente che è chiamato a vigilare.
OdV: il parere del Garante Privacy
Il Garante, aderendo in buona sostanza a tale tesi, ha chiarito che l'OdV non può essere qualificato come un autonomo Titolare del trattamento poiché non ha la facoltà di determinare i suoi stessi compiti. Questi, infatti, unitamente al loro funzionamento, ai mezzi e alle misure di sicurezza nonché all'eventuale attribuzione di risorse, vengono definiti dall'organo dirigente dell’impresa (l’ente) sulla base del Modello organizzativo 231 precedentemente adottato.
Secondo il Garante, inoltre, l’OdV non si qualifica nemmeno come un Responsabile (esterno) del trattamento poiché il Regolamento attribuisce a questi ultimi una serie di obblighi e una conseguente e diretta responsabilità nel caso in cui tali obblighi non dovessero essere rispettati. Nelle ipotesi in cui, invece, l’OdV ometta di effettuare dei controlli circa l’osservanza dei Modelli organizzativi 231 predisposti dall'ente, la responsabilità ricade direttamente su quest’ultimo e non sull'OdV.
Fatte tali precisazioni, il Garante accoglie la tesi sostenuta dall’Associazione e chiarisce come l’OdV non è un organo distinto dall'Ente ma è parte dello stesso e a quest'ultimo è demandato il compito di definire il perimetro e le modalità di esercizio dei compiti da assegnare ad esso. Pertanto, i suoi membri, in quanto parte dell’ente, così come previsto dagli artt. 29 del Regolamento e 2-quaterdecies del D.lgs. 101/2018 (che ha integrato e modificato il D.lgs. 196 del 2003) devono essere designati come dei soggetti autorizzati al trattamento dei dati di cui vengono a conoscenza nell'esercizio delle loro funzioni e devono attenersi alle precise istruzioni fornite loro dal Titolare.
Alla luce di quanto sopra, il Garante chiarisce che tali precisazioni, dedotte sulla base dei principi contenuti nella normativa privacy, non superano e non contrastano con quanto previsto dalla normativa 231 che attribuisce all'OdV autonomi poteri di iniziativa e controllo per un corretto esercizio delle sue funzioni.
Le ricadute operative derivanti da tali chiarimenti del Garante sono evidenti: l'OdV non dovrà preoccuparsi di creare un proprio registro dei trattamenti ovvero di consegnare una specifica informativa privacy ai soggetti i cui dati vengono trattati (nel caso in cui fosse stato considerato un Titolare autonomo). Il DPO si dovrà, di conseguenza, limitare a verificare che l'OdV, nello svolgimento delle sue incombenze, si attenga alle istruzioni fornite loro dal Titolare ovvero dall'ente presso il quale svolgono la loro attività nell'ambito di quanto previsto dal D.lgs. 231/01.
A tal proposito l’Associazione approfondirà nei prossimi articoli i rapporti tra il RPD/DPO e gli altri Organi di controllo presenti negli enti.
Anche se appare tutto chiaro, o meglio tutto semplificato a favore dell’OdV, sembra però opportuno evidenziare alcune riflessioni.
Il ruolo dell'OdV: il whistleblowing
La prima: nel parere del Garante, in relazione alla disciplina del whistleblowing (regolata da norme obbligatorie sia per la Pubblica Amministrazione, per gli enti pubblici economici e gli enti di diritto privato controllati dalla PA ai sensi dell’art. 2359 del codice civile e per gli enti privati che hanno adottato i Modelli di organizzazione, gestione e controllo in relazione al già citato decreto 231) si legge testualmente:
"In via preliminare, si precisa che il presente parere ha ad oggetto solo il ruolo, ai fini privacy, che l'OdV assume con riferimento ai flussi di informazioni rilevanti ai sensi dell'art. 6, commi 1 e 2 del D.lgs. n. 231/2001, rimanendo escluso il nuovo e diverso ruolo che l'organismo potrebbe acquisire in relazione alle segnalazioni effettuate nell'ambito della normativa di whistleblowing (art. 6, comma 2-bis, 2-ter, 2-quater cit., D.lgs. n. 231/2001)."
Sembrerebbe che, ove l’OdV risulti destinatario delle segnalazioni effettuate con le garanzie previste dalla normativa sul whistleblowing, i componenti dell’OdV possano non essere più considerati "designati" ai sensi delle norme sopra ricordate. In effetti la disciplina del whistleblowing regola in maniera molto particolare la tutela della identità dell’eventuale segnalante (si veda la legge n.179 del 2017) a tutela, quindi, dei suoi dati personali. Questa tutela ha lo scopo di proteggere coloro che intendono evidenziare illeciti commessi dal personale di un ente, dai suoi apicali e/o dai suoi sottoposti (tra gli apicali è compreso naturalmente il rappresentante legale del Titolare del trattamento). A prescindere poi che tali segnalazioni potrebbero provenire anche da fornitori esterni come previsto esplicitamente per la Pubblica Amministrazione.
Potrebbe essere possibile che l'identità del segnalante, magari conosciuta tramite una segnalazione inviata a mezzo lettera indirizzata, per esempio, al Presidente dell’OdV (il canale telematico/informatico è previsto sì obbligatoriamente dalla legge 179 ma come integrazione ad altre modalità di trasmissione), rimanga per un certo tempo o per sempre di esclusiva conoscenza dell'OdV e allora, in tali casi, l’OdV, sempre che sia stato scelto come destinatario delle segnalazioni, resta comunque persona autorizzata oppure quale altro ruolo “privacy” potrebbe assumere?
Il ruolo dell'Odv: caso pratico
Altra riflessione: come è noto molti OdV sono costituiti da professionisti esterni all'ente. Professionisti che, nello svolgere i compiti assegnati agli Organismi, per lo svolgimento delle attività di segreteria si avvalgono del dipendente personale come succede anche per i Collegi Sindacali (a proposito, anche i Sindaci, mutatis mutandis, debbono, alla luce del parere del Garante, essere considerati comunque persone autorizzate/designate?).
- Anche in questo caso i membri dell’OdV, cioè i professionisti esterni, saranno persone autorizzate ex art. 29 del Regolamento UE 2016/679?
- E il personale dei loro studi, nella funzione di segreteria dell’Organismo, dipendenti pertanto direttamente dai professionisti, saranno persone incaricate a trattare i dati (per questo caso ci aiuta l’art. 4, paragrafo 1, punto 2, del GDPR con la definizione del “trattamento”)? E allora chi sarà ad istruirle e a nominarle?
- L’art. 29, in relazione a questi soggetti, li cita come facenti parte o della organizzazione del Titolare o di quella del Responsabile del trattamento. Quindi, delle due l’una: o saranno nominate dal professionista o dall'ente dove è presente l’OdV ma è possibile, ai sensi proprio dell’art. 29, il cui titolo recita "trattamento sotto l’autorità del Titolare del trattamento o del Responsabile del trattamento", che l’ente (Titolare del trattamento) istruisca e nomini persone non appartenenti alla sua organizzazione? Come ne risponderà? Come le formerà e come le controllerà?
- E se non è possibile, allora saranno autorizzate dal professionista (suo datore di lavoro) e in questo caso, quale sarà la veste del professionista: quella del Titolare oppure quella del Responsabile?
OdV e Pubblica Amministrazione
Altra considerazione riguardo la Pubblica Amministrazione le segnalazioni di un appartenente ad un ufficio pubblico possono essere inviate direttamente all'Autorità nazionale anticorruzione utilizzando l’apposita piattaforma telematica ed informatica della succitata Autorità anticorruzione. Come si pone l’Anac in relazione alla tutela dei dati personali del segnalante? Non di certo come organo designato dall’ente pubblico dove presta servizio il segnalante stesso. Pertanto si può immaginare che sarà Titolare del trattamento perché se no…?
Infine un'ultima riflessione: se da un lato il Garante, con il suo parere, sembra accogliere la tesi sostenuta dall'AODV231 dall'altro pare proprio di no allorquando si legge nel position paper, del 21 marzo 2019, della summenzionata Associazione che: "né, infine, è possibile qualificare l'OdV, o i suoi membri singolarmente, come soggetti designati al trattamento, ai sensi dell’art. 2-quatordecies, del D.lgs. 196/203 come novellato dal D.lgs. 101/2018, cd. «nuovo» codice della privacy, per cui “il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell'ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità." In effetti tale norma (specificativa dell’art. 29 del GDPR) fa esclusivo riferimento soggettivo a persone fisiche, mentre l’OdV normalmente è un organismo collegiale da considerare come tale anche ai fini della qualificazione privacy, come anticipato nel paragrafo 3.
Inoltre tale norma consente ma non impone la designazione e, comunque, quest'ultima implica un'essenziale soggezione dei soggetti designati o autorizzati alla illimitata autorità diretta del titolare (o responsabile), "in base alle istruzioni [da questi] impartite … senza apprezzabili margini di autonomia", condizione questa davvero troppo restrittiva per risultare compatibile con l'istituzionale autonomia di iniziativa e controllo di cui deve essere dotato l’OdV ex art. 6, co. 1, lett. b), del d.lgs. 231/2001.
Pare che la posizione della predetta Associazione quando evidenzia l’immedesimazione organica con l’ente da parte dell'OdV volesse significare altro e non quanto ora deciso dal Garante.
Articolo a cura del Gruppo Privato del Comitato Scientifico di ASSO DPO