Il Garante Privacy interviene sulla qualificazione soggettiva ai fini privacy dell’Organismo di Vigilanza

Il D.Lgs. 231/2001 (il “Decreto”) disciplina la responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, prevedendo la responsabilità in capo all’ente per i reati commessi nel suo interesse o a suo vantaggio (i) da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso; (ii) da persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui al punto (i). Ai sensi dell’art. 6, commi 1 e 2 del Decreto, l’ente non sarà responsabile dei reati commessi dai soggetti di cui al punto (i) qualora riesca a dimostrare che:
  1. l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi;
  2. il compito di vigilare sul funzionamento e l’osservanza dei modelli e il compito di curare il loro aggiornamento sono stati affidati a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo;
  3. le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione;
  4. non vi è stata omessa o insufficiente vigilanza da parte dell’organismo di cui al punto 2).
Pertanto l’ente, al fine di essere esonerato da eventuali responsabilità, affida il compito di vigilare sul funzionamento e l’osservanza dei modelli di organizzazione ad un proprio organismo dotato di autonomi poteri di iniziativa e di controllo, ovvero l’Organismo di Vigilanza (di seguito, “OdV”). In base al modello di organizzazione prescelto, l’OdV potrà avere una composizione monosoggettiva o plurisoggettiva e i suoi membri potranno essere sia soggetti interni sia esterni all’ente. Affinchè l’OdV possa effettivamente esercitare i suoi poteri di iniziativa e di controllo in maniera autonoma, il modello organizzativo deve garantire che l’OdV possa svolgere le sue funzioni (i) senza forme di interferenza e di condizionamento da parte di altri organi dell’ente (ivi compresi quelli dirigenziali) e (ii) senza incorrere in situazioni di conflitto di interessi. Il modello organizzativo dovrà altresì prevedere obblighi di informazione nei confronti dell’OdV, i quali dovranno avvenire attraverso flussi informativi, realizzati attraverso specifiche procedure aziendali e finalizzati a far conoscere e gestire eventuali situazioni di rischio. La medesima attività di informazione dovrà essere effettuata dall’OdV nei confronti del vertice aziendale con riferimento al funzionamento e all’aggiornamento del modello organizzativo o in presenza di eventuali criticità rilevate nell’ambito dell’attività di vigilanza. Inoltre, l’OdV, qualora preposto a tale attività dall’ente, potrà ricevere segnalazioni relative a condotte illecite o a violazioni del modello organizzativo (cd. whistleblowing) Su richiesta dell’Associazione dei Componenti degli Organismi di Vigilanza ex D.Lgs. 231/2001 (cd. “AODV 231”), l’Autorità Garante per la protezione dei dati personali (“Garante Privacy”) ha espresso il suo parere sulla qualificazione soggettiva ai fini privacy degli OdV, specificando che l’analisi effettuata ha riguardato il solo ruolo che l’OdV assume con riferimento ai flussi di informazioni rilevanti ai sensi dell’art. 6, commi 1 e 2 del Decreto, richiamati sopra, rimanendo quindi escluso il nuovo e diverso ruolo che l’OdV potrebbe acquisire in relazione alle segnalazioni effettuate nell’ambito della normativa di whistleblowing (art. 6, comma 2-bis, 2-ter, 2-quater del Decreto). Secondo il Garante Privacy, l’OdV – pur essendo dotato di autonomi poteri di iniziativa e controllo –non può essere considerato autonomo titolare del trattamento, poiché “i compiti di iniziativa e controllo propri dell’OdV non sono determinati dall’organismo stesso, bensì dalla legge che ne indica i compiti e dall’organo dirigente che nel modello di organizzazione e gestione definisce gli aspetti relativi al funzionamento compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza”. Inoltre, il Garante Privacy evidenzia che l’OdV, pur avendo funzioni di vigilanza e controllo, non è dotato di alcun potere impeditivo nei confronti degli eventuali autori del reato e pertanto, nel caso di omissione di controlli da parte dell’OdV, non può essere imputata allo stesso alcuna responsabilità penale in ordine all’eventuale commissione di reati rilevanti ai sensi del Decreto. Ad ogni modo, l’OdV avrà comunque, nei confronti dell’ente, una responsabilità di natura contrattuale per l’inadempimento delle obbligazioni assunte con il conferimento dell’incarico. Come osservato dal Garante Privacy, in capo all’OdV non vi è alcun obbligo di denuncia all’Autorità giudiziaria degli illeciti di cui viene a conoscenza per via e nell’esercizio delle sue funzioni, poiché tale obbligo graverà sull’ente che, di volta in volta, viene informato degli eventuali illeciti dall’OdV. Infine, il Garante Privacy sottolinea che l’OdV non possiede poteri disciplinari nei confronti degli autori degli illeciti. Tali poteri, infatti, sono riconosciuti all’ente che, a seguito delle violazioni accertate dall’OdV, potrà esercitarli. A parere del Garante Privacy, l’Odv non può essere qualificato neanche come responsabile del trattamento ai sensi dell’art. 28 del Regolamento UE 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (comunemente noto anche come “GDPR”), inteso quale figura giuridicamente distinta dal titolare del trattamento, ma che agisce per conto di quest’ultimo e nel rispetto delle istruzioni da lui impartite. L’OdV, infatti, non è un organismo distinto dall’ente, ma è parte dello stesso. Posto che il ruolo dell’OdV si svolge nell’ambito dell’organizzazione dell’ente attraverso il riconoscimento di autonomi poteri di iniziativa e controllo, sarà l’ente, in qualità di titolare del trattamento, che dovrà definire il perimetro e le modalità di esercizio dei compiti dell’OdV attraverso la predisposizione dei modelli di organizzazione e di gestione. Il Garante Privacy segnala altresì che il GDPR ha introdotto delle novità in ordine alla figura del responsabile del trattamento, prevedendo una serie di obblighi e responsabilità quali, a titolo esemplificativo, la tenuta del registro dei trattamenti, l’obbligo di informare il titolare del trattamento nel caso in cui sia venuto a conoscenza di una violazione di dati personali, la designazione del DPO (ove necessario), nonché la responsabilità solidale con il titolare nei casi previsti dall’art. 82 del GDPR e una specifica responsabilità in merito all’individuazione di misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio. La responsabilità in caso di inosservanza di tali obblighi e dei relativi adempimenti rimane in capo al responsabile del trattamento stesso, il quale potrà essere soggetto a provvedimenti correttivi e sanzionatori rispetto ai trattamenti di dati personali che svolge per conto del titolare. Invece, con specifico riferimento all’OdV, qualora vengano omessi controlli in ordine all’osservanza dei modelli predisposti dall’ente, le responsabilità connesse a tali inadempimenti non ricadranno sull’OdV ma sull’ente stesso che non potrà, in tal caso, avvalersi della scriminante prevista dall’art. 6, comma 1 del Decreto. Sebbene l’OdV, considerato nel suo complesso e a prescindere dal fatto che i membri che lo compongono siano interni o esterni, non possa essere qualificato né come titolare autonomo né come responsabile del trattamento, l’ente dovrà comunque definire il ruolo privacy dei singoli membri che compongono l’OdV. Questi ultimi, nell’esercizio dei compiti e delle funzioni proprie dell’OdV, effettueranno infatti dei trattamenti di dati personali, quali, ad esempio, l’accesso alle informazioni acquisite attraverso flussi informativi. Per tale ragione, dovranno essere nominati quali soggetti autorizzati ai sensi degli artt. 4, n. 10, 29, 32, comma 4 del GDPR, nonché ai sensi dell’art. 2-quaterdecies del D.lgs. 196/2003, come modificato dal D.lgs. 101/2018 (“Codice Privacy”). Tali soggetti, nell’esecuzione dei loro compiti, dovranno osservare l’obbligo di attenersi alle istruzioni impartite loro dal titolare, al fine di rispettare le disposizioni del GDPR e della normativa vigente e applicabile in materia di protezione dei dati personali. A sua volta, il titolare, dovrà adottare le misure tecniche e organizzative idonee a garantire la protezione dei dati personali trattati, assicurando all’OdV l’autonomia e l’indipendenza rispetto agli organi di gestione societaria, necessaria per l’espletamento delle sue funzioni.

Iscriviti alla newsletter

Unisciti a tutti gli altri imprenditori della rete. Niente spam, lo odiamo quanto te.