Il Garante per la protezione dei dati personali ha recentemente fatto chiarezza, attraverso un parere, in relazione alla qualificazione soggettiva, ai fini privacy, degli Organismi di Vigilanza (OdV) previsti ex art. 6 D. Lgs. 8 giugno 2001, n. 231. Più precisamente, l’Autorità ha affermato che, riguardo ai trattamenti dei dati personali svolti nell’ambito delle loro funzioni, gli OdV non possono essere qualificati né come titolari autonomi, né come responsabili del trattamento.

Il parere del Garante ha ad oggetto solo il ruolo, ai fini privacy, che l’OdV assume con riferimento ai flussi di informazioni rilevanti ai sensi dell’art. 6, commi 1 e 2 del d.lgs. n. 231/2001 ed è stato dato in risposta ad una richiesta presentata dall’Associazione dei Componenti degli Organismi di Vigilanza ex d.lgs. 231/2001, un’associazione rappresentativa dei componenti degli Organismi di Vigilanza. Nel corso di un incontro tenutosi verso la fine del 2019, l’associazione ha rappresentato la propria posizione all’Autorità, sostenendo che, l’OdV in quanto parte dell’impresa, non sia qualificabile né come titolare né come responsabile del trattamento e che ai fini dell’osservanza delle norme relative alla protezione dei dati personali, l’inquadramento soggettivo dell’OdV sia assorbito da quello dell’ente/società vigilata, proprio perché l’OdV ne è “parte”.

Anzitutto, l’Autorità ha considerato la definizione dei ruoli di titolare e responsabile, ed ha affermato che il Regolamento (UE) 2016/679 (GDPR) si pone in linea di continuità con quanto previsto dalla Direttiva 95/46/CE rispetto all’individuazione dei ruoli ed alla distribuzione delle relative responsabilità, presentando definizioni sostanzialmente sovrapponibili. Il titolare è il soggetto che “determina le finalità e i mezzi del trattamento di dati personali” e il responsabile è colui che “tratta dati personali per conto del titolare del trattamento”.

Successivamente, il Garante ha affermato che gli OdV, sia pur dotati di autonomi poteri di iniziativa e controllo previsti dalla normativa 231 per l’espletamento delle loro funzioni, non possono essere considerati autonomi titolari del trattamento perché i loro compiti non sono auto-determinati, bensì dipendono i) dalla legge e ii) dall’organo dirigente che definisce gli aspetti relativi al loro funzionamento. Analogamente, tenuto conto che l’OdV non è distinto dall’ente, ma è parte dello stesso, l’Autorità ritiene che – valutate anche le attribuzioni e le caratteristiche indicate nell’art. 6, d.lgs. n. 231/2001 – non possa essere considerato responsabile del trattamento, inteso come soggetto chiamato ad effettuare un trattamento “per conto del titolare”, ovverosia una “persona giuridicamente distinta dal Titolare, ma che agisce per conto di quest’ultimo”, secondo le istruzioni impartite ex art. 28 GDPR.

A conferma della sua pozione, poi, il Garante sottolinea come in tutti casi, l’OdV pur avendo funzioni di vigilanza e controllo, non è dotato di alcun potere impeditivo e non può ricadere sullo stesso alcuna responsabilità in caso di violazioni e/o reati. Responsabilità che invece rimane direttamente in capo all’ente/società vigilata.

Pertanto, l’Autorità ha concluso affermando che l’OdV, nella sua collegialità, manca dei requisiti che potrebbero caratterizzarlo quale titolare o responsabile del trattamento, in quanto il suo ruolo si esplica nell’esercizio dei compiti che gli sono attribuiti dalla legge e si svolge nell’ambito dell’organizzazione dell’ente di cui lo stesso è parte (effettivo titolare del trattamento) e che, attraverso la predisposizione dei modelli di organizzazione e di gestione, definisce il perimetro e le modalità di esercizio di tali compiti. Per quanto riguarda invece i suoi membri (esterni o interni) il Garante ha riconosciuto che l’ente/società vigilata sarà tenuto a designarli quali soggetti autorizzati al trattamento di dati personali nell’esercizio dei compiti e delle funzioni affidate all’OdV e questi saranno tenuti a rispettare le istruzioni loro impartite.