È importante definire correttamente la relazione che intercorre tra il DPO e l’Organismo di Vigilanza, identificando i ruoli e le competenze di queste due figure fondamentali all’interno della struttura organizzativa e gestionale dell’azienda: solo così si può evitare di incorrere in possibili conflitti di interesse.
Nell’ambito del D. Lgs. 231/2001 riguardante la Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, che ha introdotto nel nostro ordinamento:
– il principio della responsabilità penale della persona giuridica conseguente alla commissione di un reato,
un tertium genus di responsabilità che coniuga i tratti essenziali del sistema penale e di quello amministrativo, una responsabilità di fatto penale, anche se formalmente definita come amministrativa – sono ravvisabili diversi punti di connessione con il nuovo regolamento sulla privacy al quale, ad oggi, si spera tutte le imprese si siano diligentemente adeguate.
Scopri i nostri servizi per redigere un Modello Organizzativo 231
Un ruolo fondamentale in questo contesto è stato ed è svolto dall’organismo di vigilanza. Infatti, nel lungo processo di adeguamento al Regolamento UE 679/2016, gli organismi di vigilanza hanno monitorato il processo di adattamento alle nuove disposizioni ed hanno vigilato all’adeguamento del modello 231 eventualmente già adottato.
L’OdV nell’esercizio delle sue funzioni entra in contatto con una pluralità di dati personali, difatti la gestione di flussi informativi, le attività di controllo e vigilanza nonché le eventuali segnalazioni di condotte illecite portano inevitabilmente allo svolgimento di trattamenti di dati riferiti o riferibili a persone fisiche facenti parte del management aziendale (art. 6 D.lgs. 231/2001).
Stante l’assenza di pronunce giurisprudenziali e l’assordante silenzio dell’Autorità Garante, merita un maggior approfondimento la relazione che intercorre tra la figura del DPO e quella dell’organismo di vigilanza, anche alla luce del requisito di indipendenza e alla necessità che il Responsabile per la protezione dei dati operi in assenza di conflitti di interessi (art. 38 GDPR).
Scopri i nostri servizi per redigere un Modello Organizzativo 231
Va ricordato, invece, che l’Organismo di Vigilanza è:
– preposto al controllo sul funzionamento e il rispetto del Modello di Organizzazione, Gestione e Controllo (art. 6 del Decreto Legislativo 231/2001) e,
come per il DPO, deve
– “essere garantita l’autonomia dell’iniziativa di controllo da ogni forma di interferenza o di condizionamento, come previsto dall’art. 6, lettera b)” in quanto “deve essere dotato di autonomi poteri di iniziativa e controllo” e “deve sempre essere garantita l’autonomia dell’iniziativa di controllo da ogni forma di interferenza o di condizionamento” (Sezioni Unite Penali, con sentenza n.38343 del 18 settembre 2014).
Per conflitto di interessi si intende quella condizione giuridica nella quale un soggetto, investito di poteri decisionali, possiede un interesse personale/professionale in contrasto con la carica per la quale gli sono stati attribuiti tali poteri.
In assenza di uno specifico divieto normativo e alla luce della possibilità per il DPO di svolgere altri compiti e funzioni, appare spontaneo chiedersi se il medesimo possa ricoprire anche l’incarico di Organismo di Vigilanza per la stessa realtà, in presenza delle qualità professionali e della conoscenza specialistica richieste.
Tra le due figure citate non può esistere un’unione, essendo innegabile che il DPO ha, altresì, il compito di monitorare e verificare il trattamento dei dati posto in essere dall’ODV. Infatti, il DPO potrebbe trovarsi nella posizione di contestare o segnalare determinati trattamenti ovvero di verificare le misure di sicurezza adottate per il corretto trattamento.
