PRIVACY: GLI ODV DEVONO ESSERE CONSIDERATI QUALI SOGGETTI AUTORIZZATI AL TRATTAMENTO
La diffusione dell’epidemia Covid-19 ha messo a dura prova la tenuta dei modelli organizzativi ex lege 231/2001. Lo scorso 12 maggio l’Autorità Garante per la protezione dei dati personali ha espresso il suo punto di vista sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza, chiarendo così l’annosa questione.
Il Sistema Privacy, spiega il garante, è così composto:
- Il Titolare del trattamento è il soggetto (persona fisica o giuridica) sul quale ricadono le decisioni relative alle finalità e alle modalità del trattamento dei dati personali;
- Il titolare, proprio nell’ambito dell’implementazione del sistema di gestione privacy (misure tecniche e organizzative, anche sotto il profilo della sicurezza), può ricorrere ad uno o più Responsabili del trattamento. Tale figura svolge, pertanto, attività per conto e nell’interesse del titolare, agendo sulla base degli accordi e delle istruzioni impartite da questi.
Sebbene con il GDPR sarebbe formalmente sparita la figura dell’incaricato del trattamento, in realtà, da una interpretazione attenta del Regolamento ne emerge un ruolo analogo: la persona autorizzata al trattamento (sotto l’autorità diretta del titolare). Conferma di ciò la si rinviene nell’art.2-quaterdecies del d.lgs. n. 196/2003 come modificato dal d.lgs. n. 101/2018, in cui si riconosce al titolare o al responsabile la facoltà di prevedere che, sotto la propria responsabilità, autorità ed organizzazione, specifici compiti e funzioni connessi al trattamento dei dati personali siano attribuiti a persone fisiche, espressamente designate.
Il d.lgs. 8 giugno 2001 n. 231 è la norma che regola le ipotesi in cui una persona giuridica possa rispondere di specifici reati quando questi siano commessi nell’interesse o a vantaggio della stessa da soggetti che ricoprono funzioni apicali. L’unica possibilità per l’ente di andare esente da responsabilità è dimostrare di avere adottato ed efficacemente attuato (in perfetto stile accountability, mi preme sottolineare), prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire i reati e di avere affidato a un organismo (composto da membri interni o esterni) il compito di vigilare sul funzionamento, l’osservanza e l’aggiornamento del modello organizzativo per la prevenzione dei reati. L’OdV deve agire in piena autonomia. Deve essere garantito un adeguato livello di estraneità rispetto ad ogni forma di interferenza e pressione dei vertici, nonché una adeguata autonomia decisionale rispetto allo svolgimento delle proprie attività, con possibilità di accesso a tutte le informazioni aziendali utili allo svolgimento del controllo.
Nell’ambito dell’organizzazione del modello 231 devono essere predisposti, con specifici processi di comunicazione aziendale, tutta una serie di flussi di informazioni (periodici e ad hoc, da e verso l’OdV) al fine di conoscere e gestire eventuali situazioni di rischio.
L’OdV non può essere considerato autonomo titolare del trattamento perché:
- i compiti di iniziativa e controllo sono determinati dalla legge e dalla dirigenza (funzionamento, risorse, misure di sicurezza);
- al verificarsi di eventi reato rilevanti per il modello, anche in caso di inerzia dell’OdV, la responsabilità “231” ricade comunque sull’ente (salva la responsabilità per inadempimento delle obbligazioni assunte con il conferimento dell’incarico);
- non sussiste alcun obbligo di denuncia all’Autorità giudiziaria in relazione agli illeciti, né sono previsti poteri disciplinari.
L’OdV, d’altra parte, non può essere considerato responsabile del trattamento inteso come soggetto chiamato ad effettuare un trattamento per conto del titolare. L’Organismo è parte dell’Ente; non può essere considerato una persona giuridicamente distinta dal titolare, ma che agisce per conto di quest’ultimo.
L’Ente, in ragione del trattamento dei dati personali che l’esercizio dei compiti e delle funzioni affidate all’OdV comporta, designerà – nel rispetto del principio di accountability – i singoli membri dell’OdV quali soggetti autorizzati.
Sarà fondamentale, ed a tali fini potrà senz’altro aiutare la struttura del modello 231, conoscere e tracciare in maniera dettagliata i processi aziendali ed i relativi flussi informativi connessi al funzionamento dell’OdV, in modo tale, evidentemente, da poter redigere le corrette istruzioni in termini di trattamento dati a cui i membri dell’OdV dovranno attenersi.
L’Autorità ha anche precisato che il parere espresso sulla qualifica dell’OdV non tiene volutamente conto del ruolo che l’OdV potrebbe andare a ricoprire a seguito della L. 179/2017 che ha introdotto la denuncia anonima di illecito (whistleblowing) nei modelli 231, lasciando aperta la strada per ulteriori e possibili specificazioni.