Privacy e compliance 231: il ruolo privacy degli organismi di vigilanza

Il D.Lgs. 231/2001

Il D.Lgs. 231/2001 pone un “corpus normativo” che prevede:

  1. da un lato, la responsabilità amministrativa delle “Legal Entity” e delle Associazioni prive di personalità giuridica, per reati commessi nel loro interesse o a loro vantaggio, da soggetti che ricoprono funzioni apicali e da persone sottoposte alla loro direzione o vigilanza,
  2. dall’altro, l’esclusione di detta responsabilità, qualora venga dimostrata la preventiva adozione e l’efficace attuazione di un modello organizzativo, idoneo a prevenire specifici “reati-presupposto” ed il contestuale affidamento del compito di vigilare sul funzionamento e l’osservanza dello stesso modello, ad un Organismo dotato di autonomi poteri di iniziativa e di controllo (il c.d. OdV: Organismo di Vigilanza).

Attesa la natura e la funzione affatto particolari di questi Organismi, si è posto il problema della loro qualificazione soggettiva ai fini privacy. Al riguardo, il Garante Privacy ha fornito un parere chiarificatore che viene di seguito dapprima contestualizzato nell’ecosistema Data Protection e poi analiticamente descritto.

 

L’autonomia dei concetti dell’ecosistema della Data Protection

La normativa Eurounitaria in materia di protezione dei dati personali è stata introdotta dal Regolamento (UE) 2016/679, noto con l’acronimo GDPR (General Data Protection Regulation), che pone, nei 27 Ordinamenti degli Stati Membri, un particolare framework normativo composto da principi e requisiti ma privo di specifiche indicazioni su come debbano essere applicati tali principi e come vadano soddisfatti quei requisiti.

Si tratta, quindi, di un ecosistema che, non potendo essere compreso facendo ricorso alle note ed usuali categorie giuridiche, postula la necessità di utilizzare i concetti autonomi che sono propri dell’ecosistema della Data Protection.

Questo tipo di approccio è anche raccomandato dai Garanti Europei che al punto 13 delle Linee Guida EDPB 7/2020 – sui concetti di Titolare e Responsabile del trattamento – chiariscono testualmente che “i concetti di “Titolare del trattamento” e di “Responsabile del trattamento” sono concetti autonomi, nel senso che, sebbene fonti giuridiche esterne possano contribuire all’individuazione del Titolare del trattamento, la loro interpretazione dovrebbe basarsi principalmente sul diritto dell’UE in materia di protezione dei dati. Il concetto di Titolare del trattamento non dovrebbe essere confuso con altri concetti, talvolta contrastanti o coincidenti, propri di altri campi del diritto, come quello di autore o di Titolare dei diritti in materia di proprietà intellettuale.

I ruoli privacy nel GDPR

Si è fatto riferimento al Titolare del trattamento che è il regista, rectius: il “controllore” nel sistema privacy.

Ma “chi è” il Titolare? E’ l’entità i.e. la persona fisica o l’organizzazione pubblica o privata che determina finalità e mezzi del trattamento. La persona fisica è Titolare qualora sia un libero professionista (avvocato o medico) che è chiamato a determinare perché e come viene eseguito un trattamento di dati personali. In tutti gli altri casi la persona fisica non potrà mai rivestire il ruolo di Titolare del trattamento, poiché può essere solo un organo di una “Legal Entity”. Quindi, anche un presidente di CdA o un amministratore delegato non potranno mai assumere il ruolo di Titolare del trattamento.

Dopo aver chiarito “chi è”, appare necessario precisare “cosa è chiamato a fare” il Titolare del trattamento.

Al riguardo, il Considerando 74 del GDPR attribuisce al Titolare la responsabilità generale per tutti i trattamenti di dati personali, sia per quelli eseguiti direttamente – tramite il personale dipendente Autorizzato al trattamento” – sia per quelli eseguiti tramite le entità esterne all’organizzazione che assumono la veste di Responsabili del trattamento”.

Conosciamo, così, altri 2 ruoli privacy che sono “strumentali” alla gestione della responsabilità del Titolare:

  1. gli “Autorizzati al trattamento”e. i lavoratori dipendenti istruiti e sistematicamente nominati;
  2. i “Responsabili del trattamento”, i.e. le entità esterne che, offrendo sufficienti garanzie, trattano dati per conto del Titolare perché sono dotati di particolari capacità e risorse e che sono quindi una sorta di estensione del Titolare stesso.

 

Il “Modello Organizzativo Privacy”

Ponendo il focus sulla responsabilità generale dei trattamenti, va precisato che questa, diversamente da quanto avviene nell’ecosistema della “tutela della salute e della sicurezza nei luoghi di lavoro”, non può essere distribuita tra le entità interne all’Organizzazione, ma rimane sempre e comunque in capo al Titolare del trattamento il quale, quindi, può solo gestirla, come indicato nel Considerando 78 e nell’art. 24 del GDPR, adottando politiche interne e attuando misure tecniche ed organizzative che soddisfino in particolare i principi della protezione dei dati (fissati dall’art. 5 del GDPR) fin dalla progettazione dei relativi processi aziendali.

In una parola, il Titolare, al fine di gestire la responsabilità generale, di cui non può “spogliarsi”, deve predisporre un “Modello Organizzativo Privacy”, attagliato alla sua organizzazione ed ai suoi obiettivi di business.

Il primo adempimento da porre in essere per la costruzione di questo “Modello Organizzativo” consiste nell’attribuzione di ben determinati compiti e delle relative responsabilità a tutte le entità interne all’Organizzazione. Bisogna quindi stabilire con meticolosità “chi” fa “che cosa”.

In questo scenario si inserisce il Parere del Garante che offre chiarimenti circa il ruolo privacy degli OdV.

 

I prodromi del Parere del Garante

Con nota del 16 ottobre 2019, l’Associazione dei Componenti degli Organismi di Vigilanza ex D.Lgs. 231/2001 aveva chiesto al Garante della Privacy un incontro per discutere della qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza (i cc.dd. OdV).

Nel corso dell’incontro, che si è svolto presso la sede del Garante il 5 novembre 2019, l’Associazione ha rappresentato la propria posizione in merito, illustrando quanto contenuto in un position paper approvato dal Consiglio Direttivo il 21 marzo 2019. In tale documento l’Associazione, dopo aver analizzato le diverse tesi emerse in dottrina, ha concluso sostenendo che “l’OdV in quanto parte dell’impresa”, non sia qualificabile né come Titolare né come Responsabile del trattamento, e che, ai fini dell’osservanza delle norme relative alla protezione dei dati l’inquadramento soggettivo dell’Organismo di Vigilanza sia assorbito da quello dell’Ente/società vigilata della quale, appunto, l’OdV è “parte”.

Quindi l’associazione ha escluso che gli OdV possano essere qualificati come Titolari autonomi o come Responsabili del trattamento.

 

Il Parere del Garante

1 Le fonti di trattamento dei dati personali da parte dell’OdV

Il Garante ha quindi emesso il Parere, datato 12 maggio 2020, sulla qualificazione soggettiva dell’OdV ai fini privacy, in cui osserva che le fonti di trattamento dei dati personali da parte dell’OdV essenzialmente sono costituite dai:

  1. flussi informativi generati dall’assolvimento degli obblighi di informazione nei confronti dell’OdV, deputato a vigilare sul funzionamento e l’osservanza dei modelli;
  2. risultati delle attività di controllo e vigilanza svolte dall’OdV in esecuzione del compito di vigilanza sul funzionamento e sull’osservanza dei modelli organizzativi e di gestione nonché di cura del loro aggiornamento

2 Gli OdV non sono “Titolari del trattamento”

Dopo aver definito le fonti di trattamento dei dati personali, il Garante chiarisce che gli OdV, sia pur dotati di autonomi poteri di iniziativa e controllo, previsti dalla normativa 231 per l’espletamento delle loro funzioni, non possono essere considerati autonomi Titolari del trattamento perché i loro compiti non sono determinati dagli Organismi stessi, ma dall’organo dirigente dell’ente che, nell’ambito del modello di gestione e organizzazione, ne definisce gli aspetti relativi al funzionamento, compresa l’attribuzione delle risorse, dei mezzi e delle misure di sicurezza.

3 Gli OdV non sono “Responsabili del trattamento”

Il Garante aggiunge anche che, l’OdV non può essere considerato neppure quale Responsabile del trattamento, inteso come persona giuridicamente distinta dal Titolare che agisce per conto di quest’ultimo secondo le istruzioni impartite.

Il GDPR, infatti, pur non modificandone l’essenza, prevede ora, in funzione della gestione dei dati svolta per conto del Titolare, una serie di obblighi in capo al Responsabile del trattamento, come pure la sua diretta responsabilità per l’eventuale inosservanza degli stessi. Al contrario, eventuali omessi controlli sull’osservanza dei modelli predisposti dall’Ente non ricadono sull’OdV ma sull’Ente stesso.

4 Il ruolo privacy dei singoli membri dell’OdV

L’OdV nel suo complesso non è quindi distinto dall’ente ma è “parte dell’ente” che, quale Titolare del trattamento, definisce il perimetro e le modalità di esercizio dei compiti assegnati all’organismo, nonché il ruolo che, in base alla disciplina in materia di protezione dei dati personali, deve essere previsto per i singoli membri che lo compongono. In particolare, l’Ente designerà i singoli membri dell’OdV come SOGGETTI AUTORIZZATI, i quali dovranno attenersi alle istruzioni del Titolare.

Il ruolo privacy dell’OdV nella gestione (eventuale) delle attività in materia di Whistleblowing

Il Garante precisa inoltre che il parere rilasciato ha ad oggetto solo il ruolo, ai fini privacy, che l’OdV assume con riferimento ai flussi di informazioni rilevanti ai sensi dell’art. 6, commi 1 e 2 del d.lgs. n. 231/2001, rimanendo escluso il nuovo e diverso ruolo che l’organismo potrebbe acquisire in relazione alle segnalazioni effettuate nell’ambito della normativa di whistleblowing (i.e. la segnalazione riservata di condotte illecite e di violazioni del modello organizzativo).

Infatti, l’OdV può, eventualmente ma non necessariamente, ricevere anche segnalazioni di condotte illecite rilevanti o di violazioni del modello così come previsto dai commi 2-bis, 2-ter e 2-quater dell’art.6 del D.Lgs. n. 231/2001 inserito dalla legge 30 novembre 2017 n. 179 in materia di whistleblowing.

A tal riguardo, va evidenziato che, allo stato, il D.Lgs n. 231/2001 non attribuisce necessariamente all’OdV la gestione delle segnalazioni in questione, ma rimette alla discrezionalità dell’ente la scelta di individuare in un soggetto diverso dall’ODV il destinatario di tali segnalazioni che avrà il compito di istruirle e adottare ogni conseguente provvedimento.

Quindi secondo le indicazioni del Garante, qualora l’Ente scelga di attribuire il compito di gestire i processi in materia di whistleblowing all’OdV, questo potrebbe anche assumere il ruolo privacy di “Titolare” vedendosi così attribuita la responsabilità generale dello specifico trattamento.

Condividi