A seguito di una specifica richiesta di chiarimenti, effettuata dall’Associazione dei Componenti degli Organismi di Vigilanza (AODV 231) nella nota prot. N. 17347 del 12 maggio 2020, il Garante per la Protezione dei Dati Personali ha fornito un parere circa la dibattuta natura giuridica degli Organismi di Vigilanza ex d.lgs. n. 231/2001 (di seguito anche OdV) ai fini della disciplina sulla protezione dei dati personali.

Difatti, a partire dall’entrata in vigore del Regolamento UE 2016/679 (di seguito anche solo GDPR) si è a lungo dibattuto in dottrina circa il ruolo rivestito dall’OdV con riferimento ai flussi di informazioni rilevanti ai sensi dell’art. 6, commi 1 e 2 del d.lgs. n. 231/2001, interrogandosi sulla possibilità di riconoscere a tale organismo la qualifica di Titolare del trattamento o Responsabile del trattamento.

I “soggetti” nella privacy

Come ormai noto, il GDPR definisce all’art. 4, nn. 7 e 8, rispettivamente le figure del Titolare e Responsabile del Trattamento nei seguenti termini:

  • titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4, n. 7);
  • responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (art. 4, n. 8).

Inoltre, dalla lettura combinata dell’art. 4, n. 10 del GDPR e dell’art. 2-quaterdecies del d.lgs. n. 196/2003, come modificato dal d.lgs. n. 101/2018, è possibile altresì definire la figura degli Autorizzati al trattamento come quelle “persone fisiche” che, “espressamente designate”, svolgono “specifici compiti e funzioni connesse al trattamento dei dati personali”(art.2-quaterdecies del d.lgs. n. 196/2003 ) “sotto l’autorità diretta e nell’ambito dell’assetto operativo del Titolare o del Responsabile”.

L’Organismo di Vigilanza

Il d.lgs. 231/2001 esclude la responsabilità dell’Ente per reati commessi nel suo interesse o a suo vantaggio da soggetti che ricoprono funzioni apicali e da persone sottoposte alla loro direzione o vigilanza, ove esso dimostri di avere “adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire i reati della specie di quello verificatosi” e di avere “affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo” il compito di vigilare sul funzionamento e sull’osservanza di detti modelli nonché di curarne l’aggiornamento.

Il legislatore rimette all’ente la scelta di prevedere, a seconda del modello organizzativo adottato, una composizione dell’OdV monosoggettiva o plurisoggettiva, con la presenza di membri sia interni sia esterni all’ente.

Al fine di una corretta esecuzione dei propri compiti, è necessario che l’OdV sia dotato di autonomi poteri di iniziativa e di controllo.  Esso, pertanto, si caratterizza per:

  • autonomia e indipendenza;
  • professionalità;
  • continuità d’azione.

La questione interpretativa

La dottrina si è divisa in ordine alla qualificazione soggettiva da attribuire all’OdV in materia di privacy, in virtù della piena autonomia e dell’indipendenza che, come premesso, caratterizzano l’Organismo nell’esercizio delle proprie funzioni.

Semplificando le varie posizioni:

  • una parte della dottrina considera tale organismo quale Titolare del trattamento, proprio in ragione delle summenzionate caratteristiche di autonomia e indipendenza rivestite nei confronti all’Ente;
  • secondo una diversa impostazione esso è, invece, qualificabile come Responsabile del trattamento, poiché l’OdV riceve e utilizza (rectius tratta) dati personali pur sempre nel rispetto di quanto previsto dal MOGC e, comunque, in assenza di alcun potere decisionale in materia privacy;
  • infine, una terza impostazione identifica l’OdV e i suoi membri in Autorizzati/Incaricati, trattandosi di soggetti interni all’Azienda/Ente.

Il parere espresso dal Garante

Su tale dibattuta questione è intervenuto il Garante con la citata nota prot. N. 17347, sostanzialmente aderendo all’ultima tesi riportata.

Infatti, l’Autorità ha precisato che l’organismo, “pur essendo dotato di autonomi poteri di iniziativa e controllo”, non può essere considerato autonomo Titolare del trattamento, atteso che “i compiti di iniziativa e controllo propri dell’OdV non sono determinati dall’organismo stesso, bensì dalla legge che ne indica i compiti e dall’organo dirigente che nel modello di organizzazione e gestione definisce gli aspetti relativi al funzionamento compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza (art. 6, commi 1 e 2 d.lgs. n. 231/2001)”.

Proseguendo, il Garante ha escluso altresì la qualifica di Responsabile del trattamentotenuto conto che l’OdV non è distinto dall’ente, ma è parte dello stesso. Tale interpretazione è supportata dalla considerazione cheil Regolamento prevede per il responsabile,in funzione della gestione dei dati svolta per conto del titolare, una serie di obblighi e una specifica responsabilità in ordine all’individuazione di idonee misure tecniche e organizzative adeguate al rischio, la cui inosservanza “rimane in capo direttamente allo stesso responsabile, nei confronti del quale possono essere adottati provvedimenti correttivi e sanzionatori in ordine al trattamento dei dati che svolge per conto del titolare. Diversamente, eventuali omessi controlli in ordine all’osservanza dei modelli predisposti dall’ente non ricadono sull’OdV ma sull’ente stesso che non potrà, in tal caso, avvalersi della scriminante prevista dall’art.6, comma 1, d.lgs. n. 231/2001”.

Pertanto, considerato che l’OdV:

  • è “parte dell’ente” (a prescindere che i componenti siano interni od esterni);
  • svolge il suo ruolo nell’ambito dell’organizzazione dell’ente stesso;
  • esercita le proprie funzioni, così come definite e individuate dalla legge, secondo le modalità stabilite dall’ente attraverso il MOGC.

A parere del Garante, i componenti dell’OdV, siano essi esterni o interni, devono essere designati dall’Ente stesso quali soggetti autorizzati.

Questi avranno, quindi, l’obbligo di “attenersi alle istruzioni impartite dal titolare affinché il trattamento avvenga in conformità ai principi stabiliti dall’art. 5 del Regolamento”. Inoltre “Lo stesso titolare sarà tenuto ad adottare le misure tecniche e organizzative idonee a garantire la protezione dei dati trattati, assicurando contestualmente all’OdV l’autonomia e l’indipendenza rispetto agli organi di gestione societaria nell’adempimento dei propri compiti secondo le modalità previste dalla citata normativa”.

Il Whistleblowing e gli organi endosocietari

Per completezza, è necessario analizzare alcune criticità che emergono dalla lettura di tale parere.

Innanzitutto, appare fin troppo fugace il passaggio relativo alle segnalazioni effettuate in ambito whistleblowing.

Il Garante, infatti, precisa che il proprio parere è limitato al ruolo dell’OdV in relazione ai flussi informativi rilevanti ai sensi dell’art. 6, commi 1 e 2, del d.lgs. 231/01, escludendo l’estensione della qualificazione attribuita all’organo anche alle segnalazioni di condotta in materia di whistleblowing (ex art.art. 6, comma 2-bis, 2-ter, 2-quater, d.lgs. n. 231/2001).

Tale distinzione trova fondamento nella circostanza per cui: “(…) allo stato, il d.lgs n. 231/2001 non attribuisce necessariamente all’OdV la gestione delle segnalazioni in questione, ma rimette alla discrezionalità dell’ente la scelta di individuare in un soggetto diverso il destinatario di tali segnalazioni che avrà il compito di istruirle e adottare ogni conseguente provvedimento”.

Orbene, formulata tale distinzione, nulla precisa il Garante sulla qualificazione da attribuire all’OdV in relazione ai dati provenienti dalle segnalazioni effettuate ai sensi dell’art. 6, comma 2-bis, 2-ter, 2-quater, d.lgs. n. 231/2001.

Sembrerebbe ritenersi che, in tale veste, l’OdV operi quale Titolare del trattamento, con tutte le problematiche e le responsabilità conseguenti in termini di determinazione in autonomia delle finalità e modalità di trattamento dei dati personali e di ogni altro adempimento che derivi da tale qualificazione in ragione dell’applicazione della normativa privacy, uno fra tutti l’adempimento dell’obbligo di fornire informazioni agli interessati ai sensi dell’art. 13 del GDPR.

In definitiva, non sarebbe sicuramente semplice gestire questa “doppia veste” da parte dell’Organismo di Vigilanza: autorizzato per talune attività, autonomo titolare per altre.

Infine, val la pena sottolineare ulteriori questioni e spunti di riflessione che emergono dalla succitata nota del Garante.

Il riferimento è alla qualificazione soggettiva in tema di privacy di altri Organi endosocietari quali, ad esempio, il Consiglio di amministrazione o il Collegio dei Sindaci, che operano all’interno dell’impresa e trattano dati personali nell’esercizio delle loro funzioni.

Ci si chiede, infatti, se tali Organi e i loro componenti, per analogia, possano e debbano considerarsi soggetti autorizzati.

Anch’essi, infatti, operano in virtù di compiti e funzioni ben precisi, dettati direttamente dalla legge, con la differenza che la loro nomina non avviene su base volontaria da parte dell’organo dirigente, bensì, direttamente da parte dell’assemblea dei soci – in sede di costituzione della Società o successivamente – secondo quanto prescritto direttamente dalla legge.

In ogni caso, resta comunque ferma la necessità di individuare e inquadrare tali organi in ambito privacy e assicurarsi che il trattamento dei dati da parte degli stessi avvenga nel pieno rispetto della normativa vigente, nelle more che l’Autorità Garante formuli un parere in merito.

Avv. Irene Cascione