Ci sono figure che operano nell’ambito d’impresa che non è scontato inquadrare in termini di ruolo in materia di trattamento dei dati personali, al punto che il Garante, di sua iniziativa o su richiesta di associazioni di categoria, fornisce valutazioni volte alla loro corretta individuazione. Dopo la figura del medico competente, da considerare titolare autonomo del trattamento al pari dell’azienda per la quale svolge il proprio incarico, oggi parlo dell’Organismo di Vigilanza 231 (OdV 231).
Che cos’è l’OdV 231?
Con il decreto legislativo 231 del 2001, il legislatore ha individuato una serie di reati per i quali, oltre alla responsabilità della persona fisica che li ha commessi o che se ne assume la responsabilità per il ruolo che ricopre all’interno di una data organizzazione, è prevista la possibilità, in fase di giudizio, di coinvolgere la responsabilità dell’organizzazione (ente).
Allo stesso tempo, il decreto ha individuato la possibilità per l’organizzazione di dotarsi di un modello di organizzazione e gestione (Modello 231), ossia di un insieme di procedure che, se in possesso di specifiche caratteristiche e se attuato in modo efficace, può rappresentare uno strumento per dimostrare l’estraneità dell’ente dal reato e, quindi, escluderne la responsabilità.
Una delle caratteristiche del Modello 231 è quella di comprendere l’affidamento delle funzioni di vigilanza sull’efficacia e sull’attuazione delle procedure a una o più persone, con la formale costituzione dell’Organismo di Vigilanza.
Quale responsabilità per la privacy?
Il Garante per la protezione dei dati personali ha pubblicato in data 12 maggio 2020 un “parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall’art. 6, d.lgs. 8 giugno 2001, n. 231“.
La posizione del Garante è netta e sintetizzabile in 4 punti:
- l’OdV 231, anche se dotato di potere d’iniziativa e controllo per svolgere la propria funzione in modo autonomo, non può essere considerato titolare del trattamento perché i suoi compiti non sono autodeterminati ma definiti dall’organo dirigente dell’organizzazione che lo ha incaricato e che ne definisce le modalità di funzionamento e le risorse a disposizione;
- l’OdV 231 non può essere considerato nemmeno responsabile del trattamento in quanto eventuali sue omissioni non ricadono sull’organismo ma sull’organizzazione, laddove la normativa in materia di privacy prevede che il responsabile del trattamento abbia a proprio carico una serie di obblighi e sia direttamente responsabile in caso della loro inosservanza;
- l’OdV 231 è parte dell’ente che, quale titolare del trattamento, deve designare i singoli membri dell’OdV come soggetti autorizzati al trattamento, che dovranno attenersi alle istruzioni del titolare;
- le istruzioni che il titolare definisce per i membri dell’OdV 231 quali soggetti autorizzati non devono minarne l’autonomia e l’indipendenza rispetto agli organi societari, che sono requisiti necessari per lo svolgimento della funzione dell’OdV 231 ai sensi del decreto 231/01.
Quindi l’OdV 231 non ha un “incarico privacy” in senso collegiale, ma ciascuno dei suoi membri deve essere individuato come incaricato del trattamento.