In data 12 maggio 2020 il Garante per la protezione dei dati personali ha pubblicato il proprio parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall’art. 6, D. Lgs. n. 231/2001 sulla responsabilità amministrativa degli enti (documento integrale).

La dibattuta controversia è stata da ultimo portata all’attenzione del Garante Privacy con la nota del 16 ottobre 2019 dell’Associazione dei Componenti degli Organismi di Vigilanza ex d.lgs. 231/2001, con la quale quest’ultima ha sostenuto che l’inquadramento soggettivo dell’OdV ai fini dell’osservanza delle norme relative alla protezione dei dati è assorbito da quello dell’ente in quanto parte dello stesso e che, di conseguenza, non può essere qualificato né come titolare né come responsabile del trattamento.

In linea con la posizione assunta dall’Associazione, il Garante Privacy ritiene che l’Organismo di Vigilanza non possa essere considerato autonomo titolare del trattamento o responsabile del trattamento, ai sensi dell’art. 4, nn. 7 e 8, Regolamento (UE) 2016/679 (GDPR), in quanto riconosce nello stesso il suo essere parte dell’ente, a prescindere dalla circostanza che i membri che lo compongano siano interni o esterni.

Tale conclusione è supportata soprattutto dal fatto che gli autonomi poteri di iniziativa e controllo attribuiti all’OdV non sono determinati dallo stesso, bensì dalla legge e dall’organo dirigente che ne definisce gli aspetti relativi al funzionamento nel modello di organizzazione e gestione (MOG).

A suffragio della propria tesi il Garante sottolinea, inoltre, come la responsabilità per la commissione di uno dei reati di cui al catalogo ex D. Lgs. n.231/2001 ricade da ultimo sull’ente  in quanto l’OdV non è titolare di poteri impeditivi nei confronti degli autori dei reati, il che di conseguenza comporta l’impossibilità per quest’ultimo di incorrere in una  responsabilità penale.

Fermo restando che l’esercizio dei compiti e delle funzioni affidate all’Organismo di Vigilanza comporta un trattamento dei dati personali, per esempio in conseguenza dell’accesso alle informazioni acquisite attraverso flussi informativi, sarà pertanto l’ente, in qualità di titolare del trattamento, a dover definire il ruolo che, in base alla disciplina in materia di protezione dei dati personali, deve essere previsto per i singoli membri dell’OdV.

In capo all’ente/titolare del trattamento è posto il duplice compito di adottare, in linea con il principio di accountability ex art. 24, GDPR, le misure tecniche e organizzative idonee a garantire la protezione dei dati trattati e, al contempo, di assicurare l’autonomia e l’indipendenza rispetto agli organi di gestione societaria necessaria affinché l’OdV possa svolgere i propri compiti.

Nelle sue conclusioni il Garante ritiene che i componenti degli Organismi di Vigilanza dovranno essere designati, nell’ambito delle suddette misure tecniche e organizzative, quali soggetti autorizzati al trattamento dei dati personali ex art. 4, n. 10, GDPR che dovranno operare attenendosi alle istruzioni di trattamento impartite dal titolare.

Da ultimo si segnala che il presente parere riguarda il ruolo che l’OdV assume con riferimento ai flussi di informazioni rilevanti ai sensi dell’art. 6, co. 1 e 2 del d.lgs. n. 231/2001, escludendo ulteriori ruoli nell’ambito della normativa di whistleblowing.