L’OdV è qualificabile come titolare/responsabile del trattamento dei dati?
Il 5 novembre scorso è stato richiesto un parere all’Autorità Garante per la Protezione dei Dati Personali relativamente alla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza (“OdV”). Tale richiesta si fondava sulla tesi secondo cui l’OdV, in quanto parte dell’impresa, non fosse qualificabile né come titolare né come responsabile del trattamento e che, ai fini dell’osservanza delle norme relative alla protezione dei dati, l’inquadramento soggettivo dell’OdV fosse assorbito da quello della società vigilata.
Il presente contributo, seguendo l’ordine del parere reso dal Garante, definirà dapprima le figure privacy ai sensi del Regolamento (UE) 2016/679 (“GDPR”), successivamente inquadrerà la figura dell’OdV e, infine, ne analizzerà la qualificazione soggettiva ai fini privacy.
1. Titolare, responsabile e incaricato del trattamento nel GDPR
Il GDPR definisce come titolare del trattamento “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”[1] e come responsabile del trattamento “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”[2].
Il titolare, dunque, è il soggetto su cui ricadono le decisioni di fondo relativamente alle finalità ed alle modalità del trattamento dei dati personali degli interessati che, nell’ambito della predisposizione delle misure tecniche e organizzative volte a soddisfare i requisiti stabiliti dal Regolamento[3], anche sotto il profilo della sicurezza può ricorrere ad uno o più responsabili, individuati tra soggetti particolarmente qualificati per lo svolgimento di alcune attività di trattamento[4]. Il responsabile svolge attività per conto del titolare agendo sulla base di finalità eterodeterminate dal titolare e nell’interesse di questo e, nell’ambito delle attività allo stesso delegate, è tenuto ad agire attenendosi alle istruzioni impartite dal titolare del trattamento.
La figura dell’incaricato del trattamento, invece, non è espressamente prevista dal GDPR, ma rientra tra le “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”. A ciò si aggiunge che è riconosciuta al titolare o al responsabile la facoltà di prevedere “sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento dei dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità”[5].
2. L’OdV ex d.lgs. n. 231/2001: brevi cenni
Come è noto, la figura dell’OdV è disciplinata dal d.lgs. n. 231/2001, che prevede che l’ente non risponda per i reati commessi nel suo interesse o a suo vantaggio da soggetti che ricoprono funzioni apicali e da persone sottoposte alla loro direzione o vigilanza se dimostra di avere, tra l’altro, “affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo” il compito di vigilare sul funzionamento e l’osservanza dei modelli di organizzazione, gestione e controllo, e di curarne l’aggiornamento.
Per quanto attiene alla struttura dell’OdV, nel silenzio della norma si ritiene che questo possa essere sia plurisoggettivo che monosoggettivo, e che possa essere composto tanto da membri interni quanto esterni all’ente. Ciò che conta, infatti, è che l’OdV sia messo nelle condizioni di poter agire libero da ogni forma di interferenza e condizionamento da parte di tutti gli organi dell’ente, ivi compresi quelli dirigenziali, evitando situazioni di conflitto di interessi, anche potenziale, con le figure di vertice. Gli stessi modelli devono poi prevedere dei flussi informativi all’OdV, che lo pongano nella situazione di gestire eventuali situazioni di rischio, o che quest’ultimo rivolga specificamente ai vertici aziendali. A chiusura di tutto ciò, l’OdV è destinatario altresì delle segnalazioni whistleblowing per le condotte illecite rilevanti o per violazioni del modello[6].
3. Qualificazione soggettiva ai fini privacy dell’OdV
Con il parere in commento, il Garante ritiene che l’OdV, pur essendo dotato di autonomi poteri di iniziativa e controllo, non possa essere considerato autonomo titolare del trattamento, considerato che i compiti di iniziativa e controllo propri dell’OdV non sono determinati dall’OdV stesso, bensì dalla legge che ne indica i compiti e dall’organo dirigente che nel modello di organizzazione, gestione e controllo definisce gli aspetti relativi al funzionamento, compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza[7].
Il Garante sottolinea altresì che non può imputarsi una responsabilità penale in ordine all’eventuale commissione di uno dei reati di cui al d.lgs. n. 231/2001 in caso di omessi controlli, posto che tale organismo, pur avendo funzioni di vigilanza e controllo, non è dotato di alcun potere impeditivo nei confronti degli eventuali autori del reato, così che, anche in caso di inerzia dell’OdV, la responsabilità ricade sull’ente che non potrà avvalersi della scriminante prevista dall’art. 6, comma 1, d.lgs. n. 231/2001. Resta ferma, invece, la responsabilità di natura contrattuale dell’OdV nei confronti dell’ente per inadempimento delle obbligazioni assunte con il conferimento dell’incarico.
Inoltre, l’OdV non ha l’obbligo di denunciare all’Autorità giudiziaria gli eventuali illeciti di cui viene a conoscenza nell’esercizio delle sue funzioni né è l’organismo investito di poteri disciplinari nei confronti degli autori degli illeciti. Entrambi i poteri, invece, rimangono in capo all’ente.
Analogamente, tenuto conto che l’OdV non è distinto dall’ente, ma è parte dello stesso, il Garante ritiene che non possa essere considerato responsabile del trattamento inteso come soggetto chiamato ad effettuare un trattamento “per conto del titolare”, ovverosia una “persona giuridicamente distinta dal Titolare, ma che agisce per conto di quest’ultimo” secondo le istruzioni impartite dal titolare.
Peraltro, il GDPR, pur non modificandone l’essenza, ha, comunque, introdotto delle novità in ordine alla figura del responsabile del trattamento, prevedendo, in funzione della gestione dei dati svolta per conto del titolare, una serie di obblighi ed una specifica responsabilità in ordine all’individuazione di idonee misure tecniche e organizzative adeguate al rischio. La responsabilità dell’inosservanza di tali obblighi e dei relativi adempimenti rimane in capo direttamente allo stesso responsabile, nei confronti del quale possono essere adottati provvedimenti correttivi e sanzionatori in ordine al trattamento dei dati che svolge per conto del titolare. Diversamente, eventuali omessi controlli in ordine all’osservanza dei modelli predisposti dall’ente non ricadono sull’OdV ma sull’ente stesso che non potrà, in tal caso, avvalersi della scriminante prevista dall’art.6, comma 1, d.lgs. n. 231/2001.
Sulla base di queste valutazioni, il Garante ritiene che l’OdV, nel suo complesso, a prescindere dalla circostanza che i membri che lo compongano siano interni o esterni, debba essere considerato “parte dell’ente”. Il suo ruolo si svolge nell’ambito dell’organizzazione dell’ente, titolare del trattamento, che, attraverso la predisposizione dei modelli di organizzazione e di gestione, definisce il perimetro e le modalità di esercizio di tali compiti. Tale posizione si intende ricoperta dall’OdV nella sua collegialità, tuttavia, non può prescindersi dalla necessità di definire anche il ruolo che, in base alla disciplina in materia di protezione dei dati personali, deve essere previsto per i singoli membri che lo compongono. Lo stesso ente, in ragione del trattamento dei dati personali che l’esercizio dei compiti e delle funzioni affidate all’OdV comporta (ad esempio, l’accesso alle informazioni acquisite attraverso flussi informativi), designerà i singoli membri dell’OdV quali soggetti autorizzati. Tali soggetti, in relazione al trattamento dei dati degli interessati, dovranno attenersi alle istruzioni impartite dal titolare affinché il trattamento avvenga in conformità ai principi stabiliti dall’art. 5 del GDPR. Lo stesso titolare sarà tenuto ad adottare le misure tecniche e organizzative idonee a garantire la protezione dei dati trattati, assicurando contestualmente all’OdV l’autonomia e l’indipendenza rispetto agli organi di gestione societaria nell’adempimento dei propri compiti secondo le modalità previste dalla citata normativa.
[1] Art. 2, n. 7, Regolamento (UE) 2016/679.
[2] Art. 4, n. 8, Regolamento (UE) 2016/679.
[3] Si fa riferimento al c.d. principio di accountability introdotto dal GDPR.
[4] Considerando 81, Regolamento (UE) 2016/679.
[5] Art. 2-quaterdecies, d.lgs. n. 196/2003, come modificato dal d.lgs. n. 101/2018.
[6] Art. 2-bis, 2-ter e 2-quater, d.lgs. n. 231/2001.
[7] Art. 6, commi 1-2, d.lgs. n. 231/2001.
Andrea Amiranda è un Avvocato d’impresa specializzato in Risk & Compliance, con esperienza maturata in società strategiche ai sensi della normativa Golden Power.
Dal 2020 è Responsabile dell’area Compliance di Ius in itinere.
Contatti: andrea.amiranda@iusinitinere.it