Organismi di vigilanza: né titolari o responsabili privacy

Il 12 maggio il Garante della privacy, su sollecitazione dell'Associazione dei componenti degli organismi di vigilanza ex decreto legislativo 231/2001 (Aodv 231), ha espresso il suo parere sulla qualificazione soggettiva ai fini privacy degli Odv (organismi di vigilanza), definendo una questione controversa.

L'entrata in vigore del Gdpr (regolamento Ue 2016/679) aveva infatti riacceso un antico dibattito sullo status dell'Odv in quanto destinatario di dati personali, talvolta sensibili, in funzione alla sua attività di vigilanza (i flussi informativi, i risultati degli audit, oltre che - eventualmente - le segnalazioni dei whistleblower). Il dibattito vedeva fronteggiarsi due opposti orientamenti interpretativi, che sostenevano rispettivamente che all'Odv spettasse il ruolo di titolare del trattamento, ovvero quello di responsabile del trattamento, previsti ai n. 7 e 8 dell'articolo 4 del Gdpr.

Al di là dell'interesse teorico, l'alternativa presentava rilevanti conseguenze pratiche, considerando l'entità degli adempimenti che il Gdpr attribuisce al titolare, e, sia pure in misura minore, al responsabile (da un'informativa autonoma ad apposite misure tecniche ed organizzative, dalla tenuta di distinti registri dei trattamenti, sino, potenzialmente, all'effettuazione di ulteriori valutazioni di impatto ed alla nomina di un proprio Data protection officer eccetera).

Ove posti anche in capo all'Odv, questi adempimenti si sarebbero tradotti in una duplicazione degli adempimenti già svolti dalla società vigilata, con il rischio di interferenze reciproche e con la certezza di un aggravio di costi per l'ente vigilato: il tutto senza alcuna garanzia di un corrispondente miglioramento della compliance aziendale, anzi.

In questo contesto, che ha visto nell'ultimo anno le società compiere scelte organizzative molto variegate, l'Aodv 231, dopo aver emanato un proprio position paper per fornire linee guida in tema ai propri associati superando la tradizionale alternativa qualificatoria, ha deciso di rivolgersi direttamente al Garante della privacy.

Il Garante, confermando le conclusioni dell’Aodv 231, ha osservato innanzitutto che l'Odv, nel suo complesso e a prescindere dalla circostanza che i componenti siano interni o esterni, deve essere considerato «parte dell'ente» (né titolare né responsabile, quindi), posto che il suo ruolo si esplica tutto nell'ambito dell'organizzazione dell'ente stesso, unico titolare del trattamento, il quale, attraverso la predisposizione dei modelli di organizzazione e di gestione, definisce (anche) il perimetro e le modalità di esercizio di tale ruolo.

Pertanto, lo stesso ente titolare è tenuto ad adottare le misure tecniche e organizzative idonee a garantire la protezione dei dati trattati, assicurando nel contempo all'Odv l'autonomia e l'indipendenza previsti dal decreto 231/2001. Il Garante ha inoltre precisato il ruolo dei singoli compnente dell'Odv, prevedendo che sia lo stesso ente vigilato e titolare a designarli, nell'ambito delle misure tecniche e organizzative da esso adottate, quali soggetti autorizzati (articolo 4, n. 10, 29, 32 par. 4 del Regolamento). Tali soggetti dovranno quindi attenersi anche individualmente alle istruzioni impartite dal titolare, affinché il trattamento avvenga in conformità con l'articolo 5 del Regolamento.