Il Garante della Privacy, su sollecitazione dell’Associazione AODV 231 (Componenti degli Organismi di Vigilanza ex d.lgs. 231/2001), si è espresso sulla qualificazione soggettiva dell’ Organismo di Vigilanza (OdV) ai fini privacy.
Con il Parere pubblicato lo scorso 12 maggio, il Garante privacy ha precisato che “…..l’OdV, nel suo complesso, a prescindere dalla circostanza che i membri che lo compongano siano interni o esterni, debba essere considerato “parte dell’ente”… Lo stesso ente, in ragione del trattamento dei dati personali che l’esercizio dei compiti e delle funzioni affidate all’OdV comporta (ad esempio, l’accesso alle informazioni acquisite attraverso flussi informativi), designerà – nell’ambito delle misure tecniche e organizzative da porre in essere in linea con il principio di accountability (art. 24 del Regolamento) – i singoli membri dell’OdV quali soggetti autorizzati (artt. 4, n. 10, 29, 32 par. 4 Regolamento; v. anche art. 2-quaterdecies del Codice)….”
Dall’entrata in vigore del GDPR si è acceso un dibattito su chi ha sostenuto che l’Odv, dal punto di vista della privacy, doveva ricoprire la qualifica di Titolare del trattamento e chi, al contrario, sosteneva che doveva ricoprire il ruolo di responsabile del trattamento.
Al di là degli aspetti dottrinali, la scelta sulla qualificazione soggettiva dell’OdV e dei suoi componenti comporta per il titolare del trattamento rilevanti conseguenze pratiche ed organizzative.
Il Garante, pur riconoscendo l’autonomia ed i poteri di iniziativa e di controllo l’OdV , ha escluso la possibilità che possa essere considerato sia come autonomo titolare sia come responsabile del trattamento.
Infatti, dalle valutazione fatte, emerge che l’ODV, pur essendo dotato di autonomi poteri di iniziativa e di controllo, non possa essere considerato autonomo titolare del trattamento, considerato che i compiti di iniziativa e controllo propri dell’OdV non sono determinati dall’organismo stesso, bensì dalla legge che ne indica i compiti a (art. 6, commi 1 e 2 d.lgs. n. 231/2001). Allo stesso modo l’OdV essendo parte dell’ente non può essere considerato come un responsabile del trattamento inteso come soggetto chiamato ad effettuare un trattamento “per conto del titolare” secondo le istruzioni impartite dal titolare ex art. 28 del GDPR.
ll Garante Privacy, inoltre, ha precisato che tali considerazioni si riferiscono solo ai flussi di informazioni rilevanti ai sensi dell’art. 6, commi 1 e 2 del D.lgs. n. 231/2001, escludendo quindi, dalla qualificazione soggettiva delineata nel parere, le informazioni che potrebbe acquisire in relazione alle segnalazioni effettuate nell’ambito della normativa di whistleblowing.
Pertanto,dalle indicazioni fornite dal Garante, il Titolare dovrà:
a) designerà i singoli membri dell’OdV quali soggetti autorizzati (artt. 4, n. 10, 29, 32 par. 4 del GDPR; Art. 2-quaterdecies del Codice della privacy).
b) fornire ai membri dell’OdV, nell’ambito delle misure tecniche e organizzative da porre in essere in linea con il principio di accountability (art. 24 del Regolamento), precise istruzioni su come trattare i dati personali e garantire la protezione di dati personali.
Il parere del Garante chiarisce dal punto di vista formale la qualifica soggettiva dell’Odv però dal punto di vista operativo lascia l’incertezza su come combinare da una parte l’obbligo del Titolare di trattare i dati personali nel rispetto dei principio di cui all’articolo 5 del GDPR e dall’altro l’autonomia dei componenti dell’Odv che devono svolgere in modo indipendente le funzioni assegnate dalla normativa di riferimento.