Il Garante per la protezione dei dati personali, in data 12 maggio 2020, ha emanato un parere concernente la qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza (OdV), questione ampiamente dibattuta nei tempi più recenti tra gli addetti ai lavori.
Sollecitata dall’Associazione dei Componenti degli Organismi di Vigilanza (AODV), il Garante ha così definito il ruolo privacy assunto dagli OdV con riferimento ai flussi di informazioni rilevanti ai sensi dell’art. 6, commi I e II, del D.Lgs. 231/2001, non rientrando pertanto nel perimetro del parere qui analizzato il ruolo assunto dall’OdV in materia di whistleblowing.
L’Autorità ha ricordato innanzitutto come la normativa vigente preveda che all’Organismo di Vigilanza devono essere assicurati autonomi poteri di iniziativa e controllo nello svolgimento delle sue funzioni; i modelli di organizzazione degli enti dovranno così prevedere condizioni tali da permettere all’Organismo di agire senza alcuna forma di interferenza ovvero permettendo che gli obblighi di informazione nei confronti dell’OdV vengano posti in essere secondo specifici processi di comunicazione aziendale al fine di gestire eventuali situazioni di rischio.
Successivamente, l’Autorità ha chiarito definitivamente come l’OdV, pur essendogli attribuiti autonomi poteri di iniziativa e controllo, non possa essere considerato titolare autonomo del trattamento rispetto all’ente stesso. Tale analisi è basata sull’elemento secondo cui l’autonomia dell’OdV non sia determinata dall’Organismo stesso, bensì sia stabilita rispettivamente dalla legge vigente che ne delinea i compiti e dall’ente titolare del trattamento che nel modello di organizzazione ne definisce gli aspetti relativi al funzionamento. Così, seppur venga riconosciuta una chiara autonomia nei poteri di iniziativa e di controllo, si sottolinea come tali poteri rientrino comunque nell’ambito dell’organizzazione dell’ente titolare del trattamento e non direttamente in capo all’OdV.
Il Garante nega altresì la possibilità che l’OdV possa essere individuato quale responsabile del trattamento ai sensi dell’art. 28 del GDPR in quanto l’Organismo non può agire per conto dell’ente considerato che fa parte dell’ente stesso e non può essere considerata un’entità giuridicamente separata.
In conclusione, il parere del Garante ritiene che la qualificazione soggettiva dell’OdV ai fini privacy debba essere ricondotta nell’assunto secondo cui l’OdV, a prescindere dalla circostanza che i suoi componenti siano interni o esterni, debba essere considerato parte dell’ente. Di conseguenza, i singoli membri dell’OdV saranno a sua volta da considerare quali soggetti autorizzati al trattamento ai sensi dell’art. 2-quaterdecies del Codice Privacy novellato.