La qualifica dell’Odv ai fini del GDPR

di Flavio Corsinovi

L’Organismo di vigilanza (Odv) è un organismo dell’ente/società. In quanto tale, l’organismo previsto dall’articolo 6 del d.lgs. 231/2008, non è un titolare del trattamento e neppure un responsabile esterno (articolo 28 Regolamento Ue sulla protezione dei dati n. 2016/679, Gdpr). Inoltre, i componenti dell’Odv devono essere designati autorizzati al trattamento. 

 È quanto chiarito dal Garante per la protezione dei dati personali con una nota prot. 17347 del 12 maggio 2020, nella quale si è occupato della natura di questo organismo ai fini della disciplina sulla protezione dei dati. Peraltro, la risposta lascia aperta la possibilità di una diversa qualificazione a riguardo degli adempimenti connessi al whistleblowing.

La risposta formulata dal Garante risulta conferma dell’impostazione a suo tempo delineate in risposta a un quesito.

IL PROBLEMA

Il dilemma riguarda, dunque, il ruolo “privacy” dell’Organismo di Vigilanza di un’impresa o di un ente. Tale organismo svolge un ruolo essenziale per arginare la responsabilità amministrativa delle imprese derivante da reati commessi da manager e dipendenti. In particolare il d.lgs. 231/2001 prevede che un ente non risponde per reati commessi nel suo interesse o a suo vantaggio da soggetti che ricoprono funzioni apicali e da persone sottoposte alla loro direzione o vigilanza, se dimostra di avere “adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire i reati della specie di quello verificatosi” e di avere “affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo”, il compito di vigilare sul funzionamento e l’osservanza di detti modelli e di curarne l’aggiornamento.
Quest’ultimo organismo è proprio l’Odv di cui si sta parlando.

Ci si è chiesto, in particolare, se l’Odv sia titolare del trattamento o responsabile del trattamento oppure se non abbia una sua rilevanza soggettiva, dovendosi ritenere assorbito da quello dell’Ente o società vigilata della quale, l’organismo di vigilanza è parte.

Il dubbio è sorto per il fatto che l’Odv è dotato di autonomi poteri di iniziativa e di controllo ed allo stesso sono affidati i seguenti compiti: vigilare sul funzionamento e l’osservanza dei modelli organizzativi e curare l’aggiornamento dei modelli.

LA SOLUZIONE

Il Garante ha sciolto il nodo sostenendo che l’Organismo di Vigilanza, nel suo complesso, a prescindere dalla circostanza che i membri che lo compongano siano interni o esterni, è da considerare “parte dell’ente”. Partendo da questo presupposto, ne consegue che, in ragione del trattamento dei dati personali implicato dall’esercizio dei compiti e delle funzioni affidate all’Odv, lo stesso ente/società (titolare del trattamento) deve designare i singoli membri dell’Odv quali soggetti autorizzati. Tali soggetti, in relazione al trattamento dei dati degli interessati, dovranno attenersi alle istruzioni impartite dal titolare affinché il trattamento avvenga in conformità ai principi stabiliti dall’articolo 5 del Gdpr. Lo stesso titolare sarà, comunque, tenuto ad adottare le misure tecniche e organizzative idonee a garantire la protezione dei dati trattati, assicurando contestualmente all’Organismo di vigilanza l’autonomia e l’indipendenza rispetto agli organi di gestione societaria.

LA MOTIVAZIONE

È vero che l’organismo di vigilanza esercita i compiti che gli sono attribuiti dalla legge, attraverso “autonomi poteri di iniziativa e controllo”. È altrettanto vero, però, che l’organismo di vigilanza opera nell’ambito dell’organizzazione dell’ente, titolare del trattamento, il quale, attraverso la predisposizione dei modelli di organizzazione e di gestione, definisce il perimetro e le modalità di esercizio di tali compiti.

L’Odv, prosegue il Garante, non può essere considerato autonomo titolare del trattamento, considerato che i compiti di iniziativa e controllo propri dell’OdV non sono determinati dall’organismo stesso, bensì dalla legge che ne indica i compiti e dall’organo dirigente che nel modello di organizzazione e gestione definisce gli aspetti relativi al funzionamento compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza.

Si ricordi a tale proposito che anche un compito cruciale affidato all’Odv, e cioè l’aggiornamento dei modelli organizzativi, prevede a carico dell’Odv stesso il compito di elaborare suggerimenti e proposte di adeguamento del modello da sottoporre, comunque, agli organi o funzioni aziendali in grado di dare loro concreta attuazione nel tessuto aziendale, a seconda della tipologia e della portata degli interventi.