18 Mag Garante Privacy: l’Autorità chiarisce l’inquadramento del ruolo privacy dell’Organismo di Vigilanza
L’Autorità, su sollecitazione dell’AODV 231, ha pubblicato un parere sul ruolo privacy dell’Organismo di Vigilanza (“OdV”).
In particolare, a parere dell’Autorità, sebbene detto organismo sia dotato di poteri di iniziativa e controllo, non può essere qualificato quale “titolare del trattamento”, in quanto i poteri propri dell’ODV non sono determinati dall’organismo stesso, bensì dalla legge che ne indica i compiti e dall’organo dirigente che, nell’ambito del modello di organizzazione e gestione, ne definisce gli aspetti relativi al funzionamento l’attribuzione delle risorse, i mezzi e le misure di sicurezza (art. 6, co. 1, D.lgs. 8 giugno 2001, n. 231).
Sul punto il Garante ricorda altresì come l’OdV non sia dotato di alcun potere impeditivo e che la relativa funzione si risolve nel garantire la legalità dei processi interni esposti a rischio-reato, circostanza peraltro confermata dal fatto che l’OdV: (i) non è dotato di alcuni poteri disciplinari e/o sanzionatori, i quali permangono in capo all’ente medesimo; (ii) non ha l’obbligo di denunciare gli illeciti di cui venga a conoscenza nell’esercizio delle sue funzioni; (iii) in caso di omesso controllo, la responsabilità derivante dalla commissione di un reato permane in capo all’ente.
L’Autorità, inoltre, esclude che l’OdV possa essere inquadrato quale responsabile del trattamento ai sensi dell’art. 28 del GDPR; soluzione sarebbe confermata dal fatto che il responsabile è chiamato a trattare i dati “per conto del titolare” e secondo le istruzioni da questo impartitegli, caratteristiche non aderenti ad un soggetto come l’Odv che, come noto, costituisce un organo interno all’ente.
Sulla base delle considerazioni sopra brevemente riportate, l’Autorità conclude ritenendo che l’OdV, nel suo complesso e a prescindere dalla circostanza che i membri che lo compongano siano interni o esterni, deve essere considerato “parte dell’ente”. Circostanza, questa, che unitamente ai poteri di iniziativa e controllo attribuitigli, depone per la necessità di dover definire il ruolo che, in base alla disciplina in materia di protezione dei dati personali, deve essere previsto per i singoli membri che lo compongono e inquadrabile in quello di soggetti autorizzati al trattamento ai sensi degli artt. 4 n. 10, 29, 32 par. 4 del GDPR e art. 2- quaterdecies del Codice Privacy.
I membri dell’OdV, quindi, nell’esercizio delle proprie funzioni dovranno attenersi alle istruzioni impartite dal titolare affinché il trattamento dei dati avvenga in conformità ai principi stabiliti dalla normativa privacy e alle politiche definite all’interno dell’ente.
