Organismo di vigilanza e Privacy
Il Garante per la Protezione dei dati Personali in data 12 maggio 2020 si è espresso sul quesito sottoposto dall’Associazione dei Componenti degli Organismi di Vigilanza pubblicando un “Parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall'art. 6, D.Lgs. 8 giugno 2001, n. 231”,
Il D.Lgs. 231/2001 prevede l’adozione, da parte di una persona giuridica o un’associazione priva di personalità giuridica, di un modello di organizzazione e gestione volto a prevenire la responsabilità penale dell’ente.
Nello specifico l'art. 6 del D. Lgs. n. 231/2001 prevede che la società possa essere esonerata dalla responsabilità conseguente alla commissione dei reati, indicati nello stesso testo normativo, se prova che:
a) l'organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli idonei a prevenire reati della specie di quelli verificatisi;
b) il compito di vigilare sul funzionamento, l'efficacia e l'osservanza dei modelli nonché di curare il loro aggiornamento è stato affidato ad un organismo dell'ente dotato di autonomi poteri di iniziativa e controllo, il cosiddetto organismo di vigilanza;
c) le persone fisiche hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione;
d) non vi sia stata omessa o insufficiente vigilanza da parte dell'organismo di cui alla precedente lettera b).
Il Garante Privacy relativamente all’inquadramento privacy dall’Organismo di Vigilanza ha escluso che quest’ultimo possa rivestire il ruolo di Titolare autonomo del trattamento o di Responsabile del trattamento (art. 4 n. 7 e 8 GDPR) sostenendo che l’OdV, considerato nella sua collegialità, a prescindere dalla circostanza che i membri che lo compongano siano interni o esterni, sia da considerare “parte dell’ente” che, quale titolare del trattamento, definisce il perimetro e le modalità di esercizio dei compiti assegnati all’organismo, nonché il ruolo che, in base alla disciplina in materia di protezione dei dati personali, deve essere previsto per i singoli membri che lo compongono.
Pertanto, ha evidenziato la necessità di designare il singolo componente dell’OdV (monocratico o collegiale) come persona autorizzata al trattamento dei dati personali (art. 4 n. 10 e art. 29 GDPR e art. 2-quaterdecies del Codice Privacy) il quale dovrà attenersi alle istruzioni impartite dall’ente Titolare del trattamento.
Il Garante Privacy precisa nel suo parere di aver preso in considerazione esclusivamente il ruolo privacy dell’OdV con riferimento ai flussi di informazioni rilevanti ai sensi dell’art. 6, commi 1 e 2 del D.lgs. 231/2001; rimane dunque escluso da questa analisi il ruolo ricoperto dall’OdV con il nuovo e diverso compito che l'organismo potrebbe acquisire in relazione alle segnalazioni effettuate nell’ambito della normativa di whistleblowing (art. 6, comma 2-bis, 2-ter, 2-quater D.lgs. 231/2001).
Il parere completo è disponibile nella sezione Provvedimenti del sito del Garante Privacy: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9347842
