Sulla sovrapponibilità dell’ODV con la figura del Titolare o Responsabile del trattamento dei dati personali

Come noto, l’Organismo di Vigilanza (ODV) è un organo che viene istituito dall’ente in ottemperanza al d.lgs. 231/2001, cui è deputato il controllo sul rispetto del modello organizzativo. L’ODV esercita il proprio ruolo basandosi soprattutto sui poteri di informazione e i relativi flussi di informazioni, che permettono di controllare l’attività societaria e rilevare eventuali irregolarità.

Questi flussi di informazioni possono molto spesso contenere informazioni sensibili, rilevanti quindi ai fini del rispetto delle norme sulla privacy; alla stregua di questa considerazione, sorge spontaneo chiedersi come questa situazione influisca sulla qualificazione soggettiva dell’organo in tema di privacy. A prima vista infatti, l’ODV potrebbe essere identificato come Responsabile o Titolare del Trattamento dei dati raccolti.

Ricordiamo brevemente i ruoli del Titolare e del Responsabile del Trattamento: secondo il Regolamento GDPR, art. 4, il titolare del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4, n. 7) mentre il responsabile del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (art. 4, n. 8).

La questione circa la sovrapponibilità dell’ODV con la figura del Titolare o Responsabile del trattamento è emersa in modo particolare proprio in seguito all’adozione del GDPR, ma in verità si era già palesata quando erano in vigore le precedenti norme in materia, la L. 675/1996 e il d.lgs. 196/2003.

A dipanare i dubbi e a dare una interpretazione sono intervenuti due autorevoli voci, provenienti da entrambi i campi coinvolti dalla questione, rispettivamente l’AODV231 (Associazione dei Componenti degli Organismi di Vigilanza 231) per quanto riguarda il d.lgs. 231/2001, e il Garante Privacy dall’altra parte.

L’interpretazione che entrambe le parti danno è che, a causa della natura dell’ODV, questo non può essere considerato né Titolare né Responsabile del Trattamento dei dati. Essendo infatti l’ODV una vera e propria parte dell’ente, non è possibile attribuirgli alcuna di queste qualifiche.

L’AODV231 arriva a tale conclusione analizzando in primo luogo se sia necessario o meno, ai fini di adempimenti privacy, considerare l’ODV nella sua interezza o guardando ad ogni singolo membro che lo compone. Il d.lgs. 231/2001 infatti nulla dice riguardo la composizione dell’organo, che può quindi essere monocratico o plurisoggettivo (quest’ultima preferibile secondo le Linee Guida generali di AODV231).

Secondo AODV231, bisogna riferirsi all’ODV nel suo complesso: secondo quanto già stabilito nell’art. 28 del d.lgs. 196/2003, in caso di soggetti “complessi”, le qualifiche soggettive privacy devono essere riferite a “l’entità nel suo complesso”, “considera[ndo] come responsabile del trattamento la società o l’organismo in quanto tali piuttosto che una specifica persona al loro interno”. Diversamente, ci sarebbe il rischio di una disparità irrazionale tra membri interni e membri esterni all’ente, in quanto ricadrebbero nell’applicazione degli obblighi privacy solo i membri interni.

AODV231 passa poi ad analizzare se sia possibile considerare l’ODV come Titolare del trattamento. Sostanzialmente, l’idea di considerare l’ODV come Titolare del trattamento nasce dall’equazione dei poteri attribuiti a queste due figure: da una parte i poteri autonomi di iniziativa e controllo dell’ODV; dall’altra i poteri di determinare le finalità e i mezzi del trattamento dei dati personali attribuiti al Titolare del trattamento.

Ma tale equazione non regge, considerando in primo luogo che i poteri attribuiti all’ODV sono determinati in ogni caso dall’organo dirigente, il quale dispone gli aspetti relativi al funzionamento dell’ODV; inoltre, per quanto riguarda i mezzi, secondo quanto stabilito anche dal Data Protection Working Party, a prevalere ai fini dell’identificazione del Titolare del trattamento sono le finalità del trattamento, e non i mezzi, che possono anche non essere determinati dal Titolare (almeno negli aspetti non fondamentali).

AODV231 considera poi il secondo periodo dell’art. 4, n. 7, del GDPR, che stabilisce che se le finalità e i mezzi del trattamento sono stabiliti dal diritto degli stati membri, allo stesso modo Titolare e Responsabile del trattamento possono essere individuati dal diritto interno. In questo caso, è vero che l’art. 6 del d.lgs. 231/2001 definisce l’ODV come organismo con poteri di iniziativa e controllo, fatto che potrebbe far intendere che in caso di raccolta dati l’ODV sarebbe da indicare come Titolare del trattamento, ma anche qui ciò non è possibile, sempre per il fatto che i poteri dell’ODV sono assegnati da un altro soggetto, l’organo dirigente.

In sostanza, “se può dirsi che i compiti dell’OdV sono determinati dalla legge, non può dirsi altrettanto per la tipologia dei trattamenti dei dati che esso pone in essere e per le finalità connesse a ciascun tipo di trattamento, che invece dipendono essenzialmente dal modello organizzativo e gestionale dell’ente vigilato.”

Per quanto riguarda la configurabilità dell’ODV con il Responsabile, anche in questo caso AODV231 esclude questa possibilità: il primo requisito per identificare la figura del Responsabile è il suo essere persona giuridica distinta rispetto al Titolare, chiaramente incompatibile con la natura di organo interno dell’ODV. Difettando quindi il presupposto dell’autonoma soggettività dell’ODV che soltanto può fondarne la qualificazione come Responsabile dopo l’entrata in vigore del GDPR, non si può che concludere che i doveri in ambito privacy in capo all’ODV sono di fatto assorbiti in quelli della società di cui l’ODV è parte.

Sostanzialmente dello stesso avviso il Garante della privacy, che si è espresso sul tema proprio in seguito alla richiesta di un parere pervenuta da AODV231, e dopo averne ricevuto il paper interpretativo. Il Garante ribadisce quanto affermato da AODV231: i compiti e i poteri dell’ODV sono stabiliti e assegnati dalla legge e dall’organo amministrativo, e pertanto l’ODV non può essere considerato Titolare del trattamento. Il Garante sottolinea tuttavia che tale interpretazione non include l’ipotesi in cui le segnalazioni pervenute all’ODV avvengano in ambito whistleblowing, omettendo però di approfondire tale ipotesi.

In definitiva, bisogna ritenere pacifico che in capo all’ODV non ricadono i compiti in ambito privacy attribuiti al Titolare del trattamento e al Responsabile, a prescindere dalla sua composizione (monosoggettivo o plurisoggettivo e con membri interni o membri esterni). Tali compiti, in virtù della natura dell’ODV come “parte” dell’ente, ricadono quindi sull’ente stesso, il quale “designerà – nell’ambito delle misure tecniche e organizzative da porre in essere in linea con il principio di accountability (art. 24 del Regolamento) – i singoli membri dell’OdV quali soggetti autorizzati”.

(4 votes, average: 4,75 out of 5)
Loading...