IL RUOLO PRIVACY DEGLI ORGANISMI DI VIGILANZA PREVISTI DAL D.LGS. 231/2001: IL PARERE DEL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Dopo aver fornito preziose indicazioni, nelle scorse settimane, sugli adempimenti essenziali per una ripresa dell’attività produttiva conforme alle note misure anticontagio ed all’attuale quadro normativo in materia di data protection, il Garante per la Protezione dei Dati Personali ha recentemente reso noto il proprio autorevole parere sul “ruolo privacy” assunto dagli Organismi di Vigilanza (O.d.V.) previsti dal D.Lgs. n. 231 del 2001.
La questione è particolarmente delicata: a seconda della scelta per l’una o l’altra qualificazione soggettiva a fini privacy dell’O.d.V. (titolare del trattamento, responsabile del trattamento oppure soggetto “autorizzato” al trattamento), discendono conseguenze piuttosto significative in tema di obblighi e adempimenti richiesti ai relativi componenti, nonché all’ente che sceglie di dotarsene.
Dopo aver ripercorso i punti essenziali dell’attuale disciplina in materia di responsabilità amministrativa degli enti, il Garante ha incentrato la propria analisi sul ruolo assunto dall’O.d.V. rispetto ai flussi di informazione rilevanti che i modelli di organizzazione e controllo debbono obbligatoriamente prevedere nei suoi confronti, al fine di consentirne la conoscenza e la gestione delle varie situazioni di “rischio reati”.
Secondo l’Autorità, il fatto che l’Organismo sia dotato di autonomi poteri di iniziativa e controllo e debba agire libero da interferenze non è sufficiente perché esso possa essere considerato quale autonomo titolare del trattamento, ulteriore e distinto rispetto all’ente all’interno del quale esso opera.
A giudizio del Garante, infatti, tale autonomia non implica anche l’autodeterminazione delle finalità e dei mezzi del trattamento, posto che i compiti tipicamente espletati all’Organismo sono individuati direttamente dal D.Lgs. n. 231 del 2001 e dall’organo dirigente dell’ente medesimo, attraverso l’implementazione del modello di organizzazione e gestione. Tale conclusione è corroborata dal fatto che la responsabilità ultima del relativo operato ricada proprio sull’ente, il quale sconterà le conseguenze derivanti dai reati commessi a cagione dell’omesso controllo da parte dell’Organismo e sul quale grava, in via esclusiva, l’obbligo di denuncia degli illeciti rilevati da quest’ultimo nell’espletamento dei propri compiti.
Secondo l’Autorità, al contempo, l’O.d.V. non può neppure essere considerato quale responsabile del trattamento: pur agendo “per conto” dell’ente, infatti, non è un soggetto giuridicamente distinto rispetto ad esso – come invece richiesto dalla fattispecie di cui all’art. 28 del GDPR – bensì ne costituisce parte integrante.
Sulla scorta di tali considerazioni, la conclusione cui giunge il Garante è che l’O.d.V. debba essere considerato, nel suo complesso, quale “parte dell’ente”, il quale rimane titolare dei trattamenti di dati personali effettuati nell’espletamento delle attività di controllo individuate dal D.Lgs. n. 231 del 2001.
Quali sono le ricadute pratiche di tale impostazione?
A parere dell’Autorità, in tale veste l’ente dovrà:
- provvedere a designare le persone fisiche che compongono l’Organismo quali soggetti autorizzati al trattamento dei dati personali contenuti nei flussi informativi obbligatori, siano essi membri “interni” oppure “esterni” all’ente;
- impartire loro le istruzioni necessarie affinché le operazioni di trattamento effettuate nell’espletamento dell’incarico rispettino i principi fondamentali in materia di protezione dei dati personali;
- adottare misure tecniche e organizzative idonee a garantire, al contempo, l’adeguata sicurezza dei dati personali oggetto di trattamento nell’adempimento dei compiti istituzionali e la necessaria autonomia ed indipendenza dell’Organismo rispetto agli organi amministrativi dell’ente.
Dott. Valerio Laganà
Fonte immagine: alzarating.com
Scrivi un commento