Lo scorso 12 maggio, il Garante per la protezione dei dati personali (il “Garante”) ha pubblicato un parere fornendo chiarimenti in merito alla qualificazione soggettiva dell’Organismo di Vigilanza (anche, “OdV”) ai fini privacy. Tale parere, sollecitato dall’Associazione dei Componenti degli Organismi di Vigilanza ex d.lgs. 231/2001 (l’“Associazione”), ha risolto la dibattuta questione che, nel tempo, aveva visto formarsi orientamenti di differente avviso – da un lato, chi individuava l’OdV quale titolare autonomo del trattamento ovvero responsabile, e chi, dall’altro, come sostenuto dall’Associazione stessa, mero soggetto autorizzato.
La disciplina in materia di protezione dei dati personali del Regolamento (UE) 2016/679 (“GDPR”), i cui principi sono stati recepiti nell’ambito ella normativa nazionale dal D.Lgs. 101/2018 che ha modificato il D.Lgs. 196/2003 (il “Codice Privacy”), individua e definisce, in linea di continuità con quanto previsto dalla disciplina precedente, le figure del “titolare del trattamento”[1] e del “responsabile del trattamento”[2]. Il titolare è il soggetto sul quale ricadono le decisioni relative alle finalità e alle modalità del trattamento dei dati personali degli interessati e che, nell’ambito della predisposizione delle misure tecniche e organizzative e sotto il profilo della sicurezza, può ricorrere ad uno o più responsabili, individuati tra soggetti particolarmente qualificati per lo svolgimento di determinate attività di trattamento. Il responsabile, di conseguenza, è il soggetto che, agendo sulla base di finalità eterodeterminate dal titolare, e nell’interesse di quest’ultimo, svolge le attività attinenti al trattamento dei dati seguendo le istruzioni impartite dal titolare del trattamento.
Nel nostro Codice Privacy, oltre a titolare e responsabile del trattamento, era espressamente prevista una terza figura, quella dell’incaricato del trattamento[3]. Tale figura, ad oggi, non è stata di fatto esclusa dal GDPR, nell’ambito del quale si ritrova un generico riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”[4]. In applicazione della nuova impostazione di matrice europea, l’art.2-quaterdecies del Codice Privacy, come di recente modificato, riconosce al titolare, o al responsabile, la facoltà di prevedere “sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento dei dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità”.
Nell’ambito del parere reso, il Garante chiarisce che l’Organismo di Vigilanza di una società deve essere individuato quale soggetto autorizzato al trattamento. Tale decisione si basa sulla considerazione secondo cui l’OdV, nel suo complesso, a prescindere dalla circostanza che i membri che lo compongano siano interni o esterni alla società vigilata, deve essere considerato
parte dell’ente titolare del trattamento.
A tale ultima considerazione, il Garante giunge attraverso l’analisi della figura dell’OdV, come definita nell’ambito della normativa di riferimento e la qualificazione ai fini privacy di quest’ultimo.
Come è noto, l’art. 6 del D.Lgs. 231/2001 prevede che le società, ai fini dell’esclusione della responsabilità da reati commessi nel proprio interesse o a proprio vantaggio da soggetti che ricoprono funzioni apicali o da soggetti a questi sottoposti, oltre all’adozione ed efficace applicazione di modelli organizzativi, istituiscano un Organismo di Vigilanza con il precipuo scopo di vigilare sulla corretta applicazione dei protocolli previsti nel predetto modello[5]. La norma non fornisce specifiche indicazioni con riguardo alle modalità di nomina e alla composizione dell’organo; pertanto, a seconda del modello organizzativo prescelto, ciascuna società potrà prevedere una composizione monocratica o plurisoggettiva, con la presenza di membri sia interni sia esterni all’ente medesimo.
Visto il ruolo ricoperto, l’OdV costituisce un organo che, pur se nominato dal Consiglio di Amministrazione, deve possedere i requisiti di indipendenza al fine di poter espletare i compiti di controllo allo stesso assegnati dalla norma, avendo accesso alle informazioni aziendali necessarie a tal fine. Il modello organizzativo adottato dall’ente vigilato deve, dunque, garantire tale indipendenza ed evitare l’originarsi di situazioni di conflitto di interessi, anche potenziali, con le figure di vertice. Inoltre, con il conferimento dell’incarico, il soggetto o i soggetti che ricoprono il ruolo di Organismo di Vigilanza assumono l’obbligo di, inter alia, (i) analizzare i flussi informativi da
parte dei soggetti destinatari dei protocolli di prevenzione previsti dal modello, nonché (ii) comunicare eventuali distorsioni nell’applicazione dei modelli organizzativi da parte dei destinatari all’organo amministrativo o dirigenziale dell’ente, senza però essere dotati di autonomi poteri disciplinari nei confronti degli autori degli illeciti. A tal fine, è il modello adottato dall’ente a dover prevedere specifici processi di comunicazione che permettano il corretto scambio di flussi informativi tra l’ente e l’OdV stesso.
Dall’analisi della figura e del ruolo dell’Organismo di Vigilanza, il Garante trae le proprie conclusioni in merito alla qualificazione ai fini privacy: nonostante il tratto distintivo della necessaria indipendenza dell’OdV, a parere del Garante, lo stesso non può essere considerato autonomo titolare del trattamento. I compiti di iniziativa e controllo propri dell’OdV non sono, difatti, determinati dall’organismo stesso, bensì, da un lato, dalla legge che ne indica i compiti e, dall’altro, dall’organo dirigente che nell’ambito del modello di organizzazione e gestione si cura di definire gli aspetti relativi al funzionamento, ivi inclusa l’attribuzione delle risorse, dei mezzi e delle misure di
sicurezza da rispettare nello svolgimento delle attività tipiche. Tale posizione si intende ricoperta dall’OdV nella sua collegialità, tuttavia, non si può prescindere dalla necessità di definire anche il ruolo che, in base alla disciplina in materia di protezione dei dati personali, deve essere previsto per i singoli membri che lo compongono, qualora lo stesso sia organo collegiale. Tali soggetti, in relazione al trattamento dei dati degli interessati di cui vengano a conoscenza nello svolgimento dei propri compiti, dovranno attenersi alle istruzioni impartite dal titolare, affinché il trattamento avvenga in conformità ai principi stabiliti dall’art. 5 del GDPR[6]. Il Titolare dovrà, a tal fine, curarsi di predisporre idonee misure tecniche e organizzative che sì garantiscano la protezione dei dati trattati, ma che, contestualmente, assicurino l’autonomia e l’indipendenza dell’OdV rispetto agli organi di gestione societaria secondo le modalità previste dalla normativa di riferimento.
Di conseguenza, gli Organismi di Vigilanza, e i membri che li compongono, devono ricevere, per l’esercizio del proprio incarico, le istruzioni operative ai sensi dell’art. 29 GDPR, e 2-quaterdecies del Codice Privacy come da ultimo modificato, affinché i dati di cui lo stesso venga a conoscenza nello svolgimento del proprio incarico – e qui si fa particolare riferimento al costante e necessario scambio di informazioni che intercorre tra Organismo di Vigilanza ed ente e viceversa – vengano trattati in conformità ai principi stabiliti dalla normativa privacy e alle politiche definite all’interno dell’ente. L’onere di fornire le suddette istruzioni nei confronti di ciascun componente dell’Organo di Vigilanza è quindi posto sull’ente, in qualità di titolare del trattamento.
Come esplicitamente riferito dallo stesso, il parere del Garante ha esclusivamente ad oggetto il ruolo assunto dagli Organismi di Vigilanza con riguardo alla gestione dei flussi informativi scambiati nell’ambito del ruolo di controllo interno svolto nei confronti dell’ente che lo ha nominato, e finalizzati al riconoscimento e alla gestione tempestiva dei rischi di reato a cui lo stesso risulta esposta.
Il Garante ha così posto al centro della propria analisi una sola delle funzioni che un Organismo di Vigilanza può essere chiamato a svolgere.
Ciò che non è stato analizzato nell’ambito del parere del Garante è la qualificazione a fini privacy del ruolo dell’OdV con riferimento alle segnalazioni di condotte illecite rilevanti o di violazioni del modello organizzativo adottato, del codice etico e delle procedure aziendali, in materia di whistleblowing[7]. Anche se la gestione delle segnalazioni in questione non è attribuita necessariamente all’OdV, ma la normativa rimette alla discrezionalità dell’ente la scelta di individuare in un soggetto diverso il destinatario di tali segnalazioni che avrà il compito di istruirle e adottare ogni conseguente provvedimento, la prassi di mercato mostra come le società che hanno nominato un Organismo di Vigilanza tendano in larga misura a coinvolgere l’OdV nella gestione o quantomeno nel processo informativo che deriva dalle segnalazioni.
Sul punto, in mancanza di un chiarimento esplicito, restano, ad oggi, ancora validi i diversi orientamenti interpretativi menzionati nel primo paragrafo.
[1] L’art. 4, n. 7 del GDPR definisce titolare del trattamento “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.
[2] L’art. 4, n. 8 del GDPR definisce responsabile del trattamento “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
[3] L’art. 30 del Codice Privacy, abrogato dall’art. 27, comma 1 lett. a) n.2 del D.Lgs. 101/2018, prevedeva “1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito. 2. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima.”
[4] Così si legge all’art. 4, n. 10 del GDPR, nell’ambito della definizione di “terzo: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”.
[5] L’art 6, comma 1, lett. a) e b) del D.Lgs. 231/2001 prevede “Se il reato è stato commesso dalle persone indicate nell’articolo 5, comma 1, lettera a), l’ente non risponde se prova che:
a) l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi;
b) il compito di vigilare sul funzionamento e l’osservanza dei modelli di curare il loro aggiornamento è stato affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo; […]”.
[6] L’art. 5 del GDPR elenca i principi applicabili al trattamento dei dati personali e specifica che è il titolare del trattamento competente a garantire il rispetto degli stessi.
[7] Così come previsto dall’art. 2-bis, 2-ter e 2-quater del D.Lgs. n. 231/2001, inseriti dalla legge 30 novembre 2017 n. 179.