Inquadramento privacy degli Organismi di Vigilanza

Il Garante ha di recente espresso un parere allo scopo di sciogliere il dubbio sulla qualificazione giuridica degli Organismi di Vigilanza (OdV) e la loro “posizione” giuridica in ottica privacy.

 

Il dubbio proviene dall’applicazione pratica del GDPR e di come qualificare gli OdV. In particolare, in prima battuta, in pratica non è stato immediatamente di chiara applicazione la figura dell’OdV in termini privacy, in quanto non veniva chiarito se questi dovessero essere visti come figura esterna al titolare con possibile configurazione di contitolarità ex art. 26 GDPR o responsabile del trattamento ex art. 28 GDPR; oppure, in alternativa, come figura interna al titolare che deve ricevere le istruzione da titolare/responsabile ex art. 29 GDPR.

Il dubbio viene, di conseguenza, portato all’attenzione del Garante privacy da parte dell’Associazione degli Organismi di Vigilanza con nota del 16 novembre 2019 ponendo il quesito dal titolo “richiesta di parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall’art. 6, d.lgs. 8 giugno 2001, n. 231”.

 

Il Garante, prima di rispondere al quesito, espone in breve l’attuale normativa di riferimento degli OdV sia in ottica GDPR (anticipata al paragrafo precedente), che in merito alla normativa costitutiva di tali organismi, ovvero il D. Lgs. n. 231/2008.

In merito a tale ultima normativa, in particolare viene evidenziato sin da subito come l’esclusione di responsabilità per gli enti non vi sarà se questo dimostra di “adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire i reati della specie di quello verificatosi” e di avere “affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo” (art. 6 D. Lgs. n. 231/2008) per identificare preliminarmente come sia l’ente a determinare modelli di organizzazione per vigilare sulla commissione dei reati.

 

Il Garante, poi, si addentra nella qualificazione giuridica degli OdV (oggetto del quesito) sancendo come l’OdV “pur essendo dotato di autonomi poteri di iniziativa e controllo, non possa essere considerato autonomo titolare del trattamento (art. 4, n. 7 del Regolamento), considerato che i compiti di iniziativa e controllo propri dell’OdV non sono determinati dall’organismo stesso, bensì dalla legge che ne indica i compiti e dall’organo dirigente che nel modello di organizzazione e gestione definisce gli aspetti relativi al funzionamento compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza (art. 6, commi 1 e 2 d.lgs. n. 231/2001)”.

In altre parole, il Garante qualifica giuridicamente in termini privacy l’OdV quale figura non autonoma e interna al titolare del trattamento, quindi non qualificabile come titolare autonomo o responsabile esterno del trattamento, bensì qualificabile come figura interna che può svolgere il trattamento “per conto del titolare. Stesso principio può applicarsi al singolo membro dell’OdV qualora debba esercitare delle specifiche operazioni di trattamento.

 

In conclusione, quindi, il Garante si esprime nel senso che il ruolo dell’OdV “si svolge nell’ambito dell’organizzazione dell’ente, titolare del trattamento, che, attraverso la predisposizione dei modelli di organizzazione e di gestione, definisce il perimetro e le modalità di esercizio di tali compiti. Tale posizione si intende ricoperta dall’OdV nella sua collegialità” disponendo, di fatto, la “dipendenza” dell’OdV dal titolare in termini di configurazione privacy e relativo inquadramento come analizzato.