Il 12 maggio, il Garante per la protezione dei dati personali, su sollecitazione dell’Associazione dei Componenti degli Organismi di Vigilanza ex D.Lgs. 231/2001, ha espresso il suo parere sulla qualificazione soggettiva ai fini privacy degli ODV, definendo una questione controversa.
Gli OdV sono gli organi ai quali l’ente, ossia la persona giuridica, la società o l’associazione affida, nel rispetto della disciplina sulla responsabilità amministrativa prevista dal decreto legislativo n. 231/2001, il compito di vigilare sull’osservanza dei modelli di organizzazione e di gestione adottati, allo scopo di prevenire i reati commessi nell’interesse o a vantaggio dell’ente, dai vertici dello stesso o da persone a questi sottoposti.
Nella risposta ad una richiesta di parere presentata da un’associazione rappresentativa dei componenti degli Organismi di Vigilanza, il Garante ha infatti chiarito che il Gdpr (Regolamento Ue 679/2016) si pone in linea di continuità con quanto già previsto dalla Direttiva europea sulla privacy del 1995 in relazione alla definizione del ruolo di titolare e responsabile del trattamento: il primo è il soggetto che “determina le finalità e i mezzi del trattamento di dati personali” e il secondo è colui che “tratta dati personali per conto del titolare del trattamento”.
Il parere chiarisce che l’Organismo di Vigilanza (ODV) non può essere qualificato come titolare, considerato che i compiti di iniziativa e controllo propri dell’OdV non sono determinati dall’organismo stesso, bensì dalla legge che ne indica i compiti e dall’organo dirigente che nel modello di organizzazione e gestione definisce gli aspetti relativi al funzionamento compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza.
Non può essere considereto neanche responsabile del trattamento,in quanto fa parte dello stesso ente, pertanto può essere considerato soggetto chiamato ad effettuare un trattamento “per conto del titolare”.
Sulla base di questa considerazioni, sia che i membri siano interni o esterni, l’ODV deve essere considerato parte dell’ente.
Il suo ruolo – che si esplica nell’esercizio dei compiti che gli sono attribuiti dalla legge, attraverso il riconoscimento di “autonomi poteri di iniziativa e controllo” – si svolge nell’ambito dell’organizzazione dell’ente, titolare del trattamento, che, attraverso la predisposizione dei modelli di organizzazione e di gestione, definisce il perimetro e le modalità di esercizio di tali compiti.
In merito al ruolo dei singoli membri che lo compongono, gli stessi saranno designati quali soggetti autorizzati al trattamento e dovranno attenersi alle istruzioni impartite dall’ente quale titolare, (artt.4, n.10,29,32 par.4Regolamento; v. anche art.2-quaterdecies del Codice).
Tali soggetti, in relazione al trattamento dei dati degli interessati, dovranno attenersi alle istruzioni impartite dal titolare affinché il trattamento avvenga in conformità ai principi stabiliti dall’art.5 del Regolamento.
Lo stesso titolare sarà tenuto ad adottare le misure tecniche e organizzative idonee a garantire la protezione dei dati trattati, assicurando contestualmente all’OdV l’autonomia e l’indipendenza rispetto agli organi di gestione societaria nell’adempimento dei propri compiti secondo le modalità previste dalla citata normativa.
(Fonte Garante Privacy)