Premessa
Lo scorso 21 maggio, il Garante per la Protezione dei Dati Personali ha espresso il proprio parere in ordine alla qualificazione soggettiva degli Organismi di Vigilanza ex D.lgs. 231/2001 ai fini privacy, con riferimento ai flussi di informazioni rilevanti ai sensi dell’art. 6, commi 1 e 2 del d.lgs. n. 231/2001.
Tale parere è stato reso a seguito della nota che era stata presentata nel 2019 dall’Associazione dei Componenti degli Organismi di Vigilanza ex d.lgs. 231/2001, con la quale l’Associazione richiedente formulato una richiesta di parere al Garante per la protezione dei dati personali in ordine alla qualificazione, ai fini della normativa privacy, degli organismi di vigilanza che devono essere nominati dalle società italiane secondo quanto previsto dalla citata normativa del 2001 che ha introdotto la responsabilità amministrativa degli enti. In particolare, l’Associazione richiedente aveva ritenuto di non qualificare l’Organismo di vigilanza né come titolare né come responsabile del trattamento, in quanto organismo facente parte dell’impresa ed in quanto tale “assorbito” dal medesimo Ente (cioè la società) che è sottoposto alla sua vigilanza.
Il parere del Garante
In primo luogo, il Garante ha compiuto un vero e proprio excursus sulla normativa di riferimento, evidenziando che il Regolamento (UE) 2016/679, conformemente alla precedente Direttiva europea in materia di protezione dei dati personali, individua all’art. 4 n. 7 il titolare del trattamento nella persona fisica o giuridica, autorità pubblica, servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Mentre all’art. 4 n. 8, il citato Regolamento europeo indica il responsabile del trattamento nella persona fisica o giuridica, autorità pubblica, servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
In considerazione i quanto previsto dalle citate disposizioni, nel proprio parere, l’Autorità di controllo evidenzia che il titolare è quindi il soggetto che è deputato ad adottare le decisioni relative alle finalità ed alle modalità del trattamento dei dati personali degli interessati nonché a predisporre le necessarie misure tecniche e organizzative al fine di soddisfare i requisiti stabiliti dal Regolamento europeo. Per svolgere tali compiti, il Titolare del trattamento può altresì avvalersi di uno o più responsabili, individuati quali responsabili del trattamento, a condizione che gli stessi abbiano le qualifiche necessarie a svolgere le relative attività, ed a tal fine il titolare conferisce a tali soggetti degli appositi incarichi impartendo loro le istruzioni che devono seguire nello svolgere i compiti assegnati in ordine al trattamento dei dati. In ragione di ciò, ricorda, dunque, il Garante, il responsabile svolge la propria attività per conto e nell’interesse del titolare, nel rispetto degli indirizzi e delle finalità da questo determinate.
Infine, l’Autorità di controllo precisa che, sia il titolare sia il responsabile, possono, sotto la propria responsabilità, individuare un soggetto terzo per l’attività di trattamento dei dati personali, non essendo tale possibilità esclusa dal Regolamento (si tratta di quello che – con la vigenza del codice privacy italiano antecedente alle modifiche del 2018 imposte dalla efficacia del Regolamento europeo – era definito “incaricato”). Si tratta, quindi, di persone fisiche che operano sotto l’autorità del titolare e/o del responsabile del trattamento e, sotto la responsabilità di questi ultimi e nell’ambito del loro assetto organizzativo, svolgono specifici compiti e funzioni connessi al trattamento dei dati personali: ovviamente tale “incaricati” dovranno essere appositamente designati dal titolare o dal responsabile del trattamento.
Delineato il quadro normativo, il Garante si sofferma sulla figura dell’Organismo di Vigilanza, evidenziando che questi è un ente dotato di autonomi poteri di iniziativa e di controllo, con il compito di vigilare sul funzionamento, l’osservanza e l’aggiornamento dei modelli di organizzazione e di gestione idonei a prevenire illeciti da parte della società controllata. Tale Organismo si potrà comporre sia di membri interni sia esterni, a seconda delle scelte dell’Ente soggetto a vigilanza, nell’ambito del proprio modello organizzativo. Il modello organizzativo ai sensi dell’art. 6 del D.lgs. 231/2001 deve, altresì, prevedere obblighi di informazione nei confronti dell’Organismo, con flussi di informazioni che avvengono attraverso processi di comunicazione aziendale al fine di far conoscere e gestire eventuali situazioni di rischio e, analogamente, l’Organismo deve inviare le proprie informazioni all’organo aziendale di vertice in ordine al funzionamento, all’aggiornamento del modello o della presenza di eventuali criticità nei processi aziendali che siano state rilevate nell’ambito dell’attività di vigilanza.
Chiarita, dunque, la posizione dell’Organismo, il parere evidenzia che l’Organismo di Vigilanza, ai fini privacy, pur essendo dotato di autonomi poteri di iniziativa e controllo, non possa essere considerato autonomo titolare del trattamento, dal momento che i propri compiti di iniziativa e controllo sono fissati dalla legge e dall’organo dirigente dell’impresa controllata, nell’ambito di determinazione del modello organizzativo. Conseguentemente, non essendo l’Organismo soggetto distinto dall’ente, deve ritenersi non possa essere considerato responsabile del trattamento, inteso come soggetto chiamato ad effettuare un trattamento per conto del titolare o per il soggetto terzo che agisce per conto del titolare medesimo.
In considerazione di una siffatta ricostruzione del ruolo dell’ Organismo di Vigilanza ai fini della normativa in materia di protezione dei dati personali, il Garante ritiene che l’inosservanza di obblighi e la commissione di inadempimenti in ordine all’adozione di misure tecniche ed organizzative adeguate a prevenire rischi per il trattamento dei dati determina una responsabilità in capo al responsabile del trattamento e di riflesso in capo all’ente soggetto a vigilanza (quale titolare del trattamento), mentre tali responsabilità non possono ricadere sull’Organismo di vigilanza.
In conclusione, il Garante ritiene che l’Organismo di Vigilanza, quale organo collegiale, sia effettivamente assorbito dall’ente e che svolga le proprie funzioni nell’ambito dell’organizzazione dell’ente medesimo, al quale spetta di predisporre i modelli di organizzazione e di gestione. Tuttavia, tale mancanza di autonomia soggettiva dell’organo intesto collegialmente non preclude, secondo il Garante, di individuare e attribuire ruoli e responsabilità ai singoli membri dell’Organismo di Vigilanza per quanto concerne i dati che trattano in ragione dello svolgimento delle proprie funzioni all’interno dell’Organismo stesso. A tal proposito, infatti, l’Autority precisa che i singoli membri dell’Organismo, nell’accesso alle informazioni per espletamento dei propri compiti, dovranno attenersi alle indicazioni e direttive fornite dell’ente circa le modalità di trattamento dei dati in modo che lo stesso avvenga in maniera lecita. In proposito, l’ente designerà i singoli membri dell’Organismo di vigilanza quali soggetti autorizzati al trattamento e darà loro le istruzioni da seguire nel gestire i dati in modo conforme alla normativa in materia di privacy.
Volume consigliato
GDPR: ISPEZIONI E SANZIONI DEL GARANTE
L’ebook analizza quelli che sono i compiti e i poteri dell’Autorità di controllo e del Garante italiano per la protezione dei dati personali, trattando dei mezzi di tutela dei diritti dell’interessato, nonché della procedura istruttoria e delle conseguenze delle violazioni accertate, in termini di risarcimento.Particolare attenzione viene data ai poteri ispettivi e di controllo, nonché ai profili sanzionatori.Completa il testo, l’analisi dei Regolamenti 2019 del Garante.
Stefano Comellini | 2020 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento