Qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza

Posted on 30 giugno 2020 by Paola Generali in 2020, News

L’Autorità Garante per la Protezione dei Dati Personali, con il Parere rilasciato in data 12 Maggio 2020, ha precisato la qualificazione soggettiva degli Organismi di Vigilanza (di seguito, OdV) ex d.lgs. 231/2001 ai fini privacy, escludendo che questi possano rivestire la qualifica di titolari autonomi o di responsabili del trattamento.

Il summenzionato Parere ha fatto seguito ad una richiesta presentata dall’Associazione dei Componenti degli OdV in merito al ruolo e alle responsabilità di questi ultimi in materia di trattamento dati personali.

Gli OdV, previsti all’art. 6 del d.lgs 231 del 2001, sono organi interni all’ente, cui è affidato il compito di vigilare sull’osservanza dei modelli di organizzazione e di gestione (di seguito, MOG) adottati, al fine di prevenire i reati-presupposto previsti dal decreto stesso, commessi da soggetti in posizione apicale o soggetti a questi sottoposti, nell’interesse o a vantaggio dell’ente.

Nel Parere, il Garante ha ricordato la definizione e il ruolo di titolare e responsabile del trattamento, ai sensi del GDPR (Regolamento Ue 679/2016) e del d.lgs. 196 del 2003 come novellato dal d.lgs. 101 del 2018, identificando nel primo il soggetto che “determina le finalità e i mezzi del trattamento di dati personali”, e nel secondo il soggetto preposto allo svolgimento delle attività “per conto del titolare”.

In accordo con quanto espresso dal Garante, gli OdV, sebbene siano dotati di autonomi poteri di iniziativa e di controllo sul funzionamento e l’osservanza dei MOG, non possono essere considerati autonomi titolari del trattamento in quanto i summenzionati poteri e compiti non sono determinati dagli Organismi stessi, bensì dalla legge e dall’organo dirigente dell’ente che definise, tramite il MOG, gli aspetti relativi al funzionamento, all’attribuzione delle risorse, ai mezzi e alle misure di sicurezza.

Analogamente, gli OdV non possono essere considerati responsabili del trattamento intesi come “persone giuridicamente distinte dal Titolare, ma che agiscono per conto di quest’ultimo” (art. 28 GDPR), in quanto l’Odv deve essere considerato, a prescindere dalla natura esterna o interna dei membri che lo compongono, “parte dell’ente”.

Il Garante ha inoltre richiamato la serie di obblighi individuati dagli artt. 30, 33, par. 2, 37 e 82 del GDPR e la specifica responsabilità direttamente in capo al responsabile in ordine all’individuazione di idonee misure tecniche e organizzative adeguate al rischio (art. 32 GDPR), evidenziando come,  al contrario, eventuali omessi controlli sull’osservanza dei modelli non ricadono sugli OdV, ma sull’ente stesso.

In conclusione, il Parere chiarisce che l’Organismo di Vigilanza, essendo parte dell’ente, che, in qualità di titolare del trattamento, definisce l’ambito di manovra e le modalità di esercizio dell’OdV, non può essere investito delle funzioni né di titolare del trattamento né di responsabile.

Quanto invece ai singoli membri dell’OdV, questi potranno essere designati dall’ente come soggetti autorizzati (art. 4, par. 10 GDPR; art. 2-quaterdecies Codice Privacy). Tali soggetti dovranno attenersi alle istruzioni impartite dal titolare nell’esercizio di compiti e funzioni affidate all’OdV che comportano trattamento di dati personali.

Link:https://www.garanteprivacy.it/docweb/9347842

 

Posted by Paola Generali

Managing Director Getsolution

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *