Con provvedimento del 12 maggio 2020 n. prot. 17347, il Garante per la protezione dei dati personali ha finalmente chiarito la controversa qualificazione del ruolo privacy assunto dall’Organismo di Vigilanza.
Il chiarimento è intervenuto a seguito delle richieste avanzate da parte dell’Associazione dei Componenti degli Organismi di Vigilanza ex d.lgs. 231/2001 che, in data 5 novembre 2019, aveva presentato all’Autorità la propria posizione in merito, sostenendo come “ l’OdV in quanto parte dell’impresa”, non sia qualificabile né come titolare né come responsabile del trattamento, […e che] ai fini dell’osservanza delle norme relative alla protezione dei dati l’inquadramento soggettivo dell’Organismo di Vigilanza […] sia assorbito da quello dell’Ente/società vigilata della quale, appunto, l’OdV è “parte”.
Nel provvedimento il Garante ha sostanzialmente confermato la posizione dell’Associazione, precisando che tale qualifica valga esclusivamente per il ruolo assunto dall’ODV con riferimento ai flussi di informazione di cui all’art. 6, commi 1 e 2 del d.lgs. n. 231/2001, rimanendo escluso il nuovo e diverso ruolo che l’organismo potrebbe acquisire in relazione alle segnalazioni effettuate nell’ambito della normativa di whistleblowing.
Cadono pertanto gli altri due orientamenti che qualificavano l’OdV, alternativamente, quale Titolare autonomo o Responsabile del trattamento.
Nel primo caso, il Garante ha escluso un’autonoma titolarità poiché, sebbene l’Organismo sia dotato di autonomi poteri di iniziativa e controllo, tali compiti sono determinati dalla Legge e dall’Organo dirigente che nel modello di organizzazione e gestione definisce gli aspetti relativi al funzionamento (compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza). Inoltre, a sostegno di tale ragionamento, il Garante sottolinea anche la circostanza che l’OdV non possa essere ritenuto responsabile in ordine all’eventuale commissione di reati rilevanti ai sensi del d.lgs. n.231/2001 nel caso di omessi controlli.
Per quanto riguarda il secondo orientamento, quale Responsabile del trattamento, il Garante ha escluso tale configurazione ribadendo che l’OdV è parte dell’ente (e quindi non “persona giuridicamente distinta dal Titolare, come da definizione all’art. 28 GDPR) e sottolineando il contrasto tra gli obblighi e le responsabilità previste dal GDPR e quanto previsto dal D.lgs 231/01.
In conclusione, l’Organismo di Vigilanza deve essere considerato quale parte dell’ente, a prescindere dal fatto che i membri che lo compongono siano interni o esterni.
Per quanto riguarda invece i singoli membri dell’OdV, viene stabilità la necessità che l’ente provveda alla nomina degli stessi quali soggetti autorizzati, con l’indicazione delle istruzioni che devono essere rispettate nel trattamento dei dati dei soggetti interessati.
Resta pertanto a carico dell’ente, quale Titolare del trattamento, l’obbligo di individuare ed adottare tutte le misure di sicurezza per garantire la protezione dei dati personali assicurando, contestualmente, l’indipendenza e l’autonomia dell’Organismo dagli organi di gestione societaria.