Su istanza dell’Associazione dei Componenti degli Organismi di Vigilanza ex D.Lgs. 231/2001 in data 5 novembre 2019 si è tenuto un incontro con l’Autorità Garante per la Protezione dei Dati Personali avente ad oggetto il tema della qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall’art. 6 del D.Lgs. 231/2001.L’associazione ha esposto al Garante la propria posizione definendo l’ODV come parte dell’impresa e quindi da non qualificarsi né come titolare, né come responsabile del trattamento ai sensi del GDPR.
L’Autorità Garante ha espresso il proprio parere partendo da una disamina delle figure del Titolare del trattamento e del Responsabile, come definite dal GDPR. Il Titolare viene definito come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”. Il Responsabile invece è definito come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”. Bisogna dire che la corretta qualificazione pratica delle due figure e, in particolare, di quella del Responsabile sono tra gli aspetti più delicati di questa fase di prima applicazione del GDPR.
Fortunatamente di recente sul tema sono venute in aiuto dell’interprete le Linee Guida sulle figure di Titolare e Responsabile pubblicate il 2 settembre 2020 dall’European Data Protection Board – EDPB. Nel documento si definisce, anche con una notevole serie di esempi pratici, in quali casi i rapporti con i fornitori debbano essere qualificati come responsabilità esterna in ragione dei trattamenti che svolgono “per conto” del titolare. Nell’applicazione pratica delle norme in questi ultimi due anni si è assistito alla tendenza di nominare “a pioggia” tutti i fornitori pensando così di mettersi dalla parte della ragione mentre le nomine ingiustificate espongono il Titolare a pericolose e inutili responsabilità.
Tornando al tema della qualificazione soggettiva dell’ODV, il D.Lgs. 231/2001 prevede tra gli elementi necessari per beneficiare della scriminante, di “avere affidato ad un organismo dell’ente dotato di autonomi poteri di iniziativa e controllo” il compito di vigilare sul funzionamento e l’osservanza dei modelli organizzativi e di curarne l’aggiornamento (art. 6 comma 1). È il Modello di Organizzazione e Gestione (MOG) che deve garantire l’indipendenza e la libertà d’azione dell’ODV da qualsiasi condizionamento e deve prevedere obblighi stringenti di informazione da parte degli altri organi societari affinché quest’ultimo possa esercitare la propria funzione in modo efficace e consapevole. Anche da questi elementi, stante un’ampia autonomia e indipendenza propria del ruolo di vigilante, l’ODV viene definito come “organismo dell’ente”.
Alla luce di quanto esposto il Garante afferma che l’ODV non potrebbe essere qualificato né come titolare né come responsabile del trattamento in senso tecnico giuridico secondo le definizioni del GDPR in quanto mancante di un requisito essenziale: la soggettività giuridica distinta dall’ente stesso. Non può essere titolare poiché i compiti di controllo e vigilanza gli vengono affidati dall’ente stesso all’interno del MOG, documento che ne regola anche le modalità di funzionamento. Non può essere responsabile poiché non è soggetto distinto dal titolare per conto del quale tratterebbe dati entro i limiti e secondo le indicazioni operative da quest’ultimo assegnate.
Quindi, indipendentemente dal fatto che l’ODV di un ente sia composto da soggetti interni o esterni a questo, deve essere considerato come parte dell’ente stesso e la sua attività si svolge nell’ambito della sua organizzazione interna. I trattamenti di dati personali che l’ODV si troverà ad effettuare in esecuzione del proprio ruolo saranno consentiti in ragione di un incarico che il Titolare fornirà ai singoli componenti in adempimento di quanto prescritto dall’art. 2 quaterdecies del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2008. La lettera d’incarico conterrà i diritti e gli obblighi del membro dell’ODV e i trattamenti a cui avrà accesso, immaginando un accesso praticamente illimitato a tutti i dati personali per consentirgli di effettuare efficacemente la propria attività di vigilanza.
Avv. Lorenzo Perino