05/06/2020 - Il Garante interviene sulla qualificazione soggettiva della privacy degli organismi di vigilanza

La Rivista del Sindaco  05/06/2020 

L’Associazione dei componenti degli organismo di vigilanza ex decreto legislativo 231/2001 (Aodv 231) ha sollecitato il Garante della privacy, che si è infine espresso in merito alla qualificazione soggettiva ai fini privacy degli organismi di vigilanza (Odv). Dopo l’entrata in vigore del Gdpr (regolamento Ue 2016/679) la questione era diventata controversa, riaccendendo un antico dibattito sullo status dell’Odv, destinatario di dati personali, anche sensibili, grazie alla sua funzione relativa all’attività di vigilanza: risultati degli audit, flussi informativi, ed eventualmente le segnalazioni dei whistleblower.

Due orientamenti interpretatavi opposti si scontravano, entrambi affermanti che il ruolo di titolare del trattamento e nell'alternativa quello di responsabile del trattamento (come previsti dall’articolo 4, numeri 7 e 8, del Gdpr) spettasse all’Odv. Considerando la consistenza degli adempimenti attribuiti al titolare dal Gdpr e quelli al responsabile (seppur in maniera minore), ogni alternativa avrebbe avuto rilevanti conseguenze pratiche. Tali adempimenti, anche se posti in capo all’Odv, sarebbero sfociati in una duplicazione degli adempimenti già svolti dalla società vigilata. Il rischio sarebbe stato quindi quelli di avere reciproche interferenze, con in aggiunta la certezza di un aggravarsi dei costi per l’ente vigilato, senza che ciò potesse fornire alcuna garanzia di un miglioramento della compliance aziendale corrispondente.

Tale situazione ha portato le scelte organizzative delle società ad essere molto variegate, nell’ultimo anno. Per questo l’Aodv 231 ha, prima emanato un proprio proposition paper ai propri associati, al fine di provvedere ad alcune linee guida, superando la tradizionale alternativa qualificatoria, e poi è passata direttamente a richiedere un parere al Garante della privacy. Le conclusioni dell’Aodv 231 sono state confermate dal Garante, che ha anche sottolineato come l’Odv debba essere considerato “parte dell’ente” (ovvero, né responsabile né titolare), a prescindere dal fatto che i suoi componenti siano interni o esterni. Quindi il suo ruolo va ad esplicarsi nell’ambito dell’organizzazione dell’ente stesso, come unico titolare del trattamento, il quale ha anche il compito di definire limiti e modalità di esercizio di tale ruolo, attraverso le disposizioni giunte con i modelli di gestione e organizzazione.

Quindi lo stesso ente titolare ha il dovere di adottare misure tecniche e organizzative idonee ad assicurare che i dati trattati siano protetti, e al tempo stesso deve assicurare indipendenza ed autonomia all’Odv (come previsto dal Dl 231/2001). In previsione del fatto che sarà lo stesso ente vigilato e titolare a designare i singoli componenti dell’Odv, in quanto soggetti autorizzati per l’articolo 4, n 10, 29, 32 par 4 del Regolamento, il Garante ha ritenuto anche utile (e logico) precisare il ruolo di tali singoli soggetti. Le istruzioni impartite dal titolare saranno quelle a cui tali componenti andranno ad attenersi, così da rispettare l’articolo 5 del Regolamento.