Secondo il Garante, l’Organismo di Vigilanza, pur essendo dotato di autonomi poteri di iniziativa e controllo, non può essere considerato autonomo titolare del trattamento, posto che “i compiti di iniziativa e controllo propri dell’organismo non sono determinati dallo stesso, ma dalla legge che ne indica i compiti e dall’organo dirigente che nel MOG definisce gli aspetti relativi al funzionamento compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza“.
Secondo il Garante, l’Organismo non può nemmeno essere considerato responsabile del trattamento ex art. 28 perché non è distinto dall’ente, ma è parte dello stesso, conclusione questa supportata dal disposto dell’art. 6 del D. Lgs. n. 231/2001, che specifica quali sono le attribuzioni e le caratteristiche dell’Organismo.
Scopri i nostri servizi per redigere un Modello Organizzativo 231
Questa autonomia di scelta ha portato negli ultimi anni, dopo l’entrata in vigore del Regolamento UE 2016/679 del 27 aprile 2016 c.d. “GDPR”, parte della dottrina a chiedersi quale fosse la qualificazione soggettiva corretta in termini privacy da attribuire all’OdV.
Da quanto si legge nel documento diffuso dal Garante, “si ritiene che l’OdV, pur essendo dotato di autonomi poteri di iniziativa e controllo, non possa essere considerato autonomo titolare del trattamento (art. 4, n. 7 del Regolamento), considerato che i compiti di iniziativa e controllo propri dell’OdV non sono determinati dall’organismo stesso, bensì dalla legge che ne indica i compiti e dall’organo dirigente che nel modello di organizzazione e gestione definisce gli aspetti relativi al funzionamento compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza (art. 6, commi 1 e 2 d.lgs. n. 231/2001)”.
A parere del Garante, quindi, proprio perché
- l ‘Organismo di Vigilanza è “parte dell’ente” (a prescindere che i componenti siano interni od esterni),
- il suo ruolo si svolge nell’ambito dell’organizzazione dell’ente stesso
- è l’ente che, in qualità di titolare del trattamento, deve, attraverso il MOG, definire i compiti e le modalità di esercizio di detti compiti
I componenti dell’Organismo di vigilanza devono essere designati dall’ente stesso quali soggetti autorizzati, con l’obbligo di attenersi alle istruzioni loro impartite, affinché il trattamento avvenga in conformità ai principi stabiliti dal Regolamento.
In particolare, il D.lgs. 231/2001, sancisce la “disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica”, a norma dell’articolo 11 della legge 29 settembre 2000, n. 300, per reati commessi nell’interesse o a vantaggio degli stessi da:
- persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale, nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso;
- persone sottoposte alla direzione o alla vigilanza di uno dei soggetti sopra indicati.
Tale responsabilità si aggiunge a quella della persona fisica che ha realizzato materialmente il reato.
Scopri i nostri servizi per redigere un Modello Organizzativo 231
La responsabilità dell’ente è esclusa qualora si riesca a dar prova dell’adozione e dell’efficace attuazione, prima della commissione del reato, di modelli di organizzazione, gestione e controllo idonei a prevenire reati della specie di quello verificatosi, ovvero in altri termini dell’adozione di un Sistema di Organizzazione, Gestione e Controllo (Modelli 231) così come previsto dall’ex D.lgs. 231/2001.
Dopo il parere emesso dall’Autorità Garante per la protezione dei dati personali si ritiene che l’OdV, pur essendo dotato di autonomi poteri di iniziativa e controllo, non possa essere considerato autonomo titolare del trattamento, considerato che i compiti di iniziativa e controllo propri dell’OdV non sono determinati dall’organismo stesso, bensì dalla legge che ne indica i compiti e dall’organo dirigente che nel modello di organizzazione e gestione definisce gli aspetti relativi al funzionamento compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza (art. 6, commi 1 e 2 d.lgs. n. 231/2001).
Scopri i nostri servizi per redigere un Modello Organizzativo 231
Si ricordi a tale proposito che anche un compito cruciale affidato all’Odv, e cioè l’aggiornamento dei modelli organizzativi, prevede a carico dell’Odv stesso il compito di elaborare suggerimenti e proposte di adeguamento del modello da sottoporre, comunque, agli organi o funzioni aziendali in grado di dare loro concreta attuazione nel tessuto aziendale, a seconda della tipologia e della portata degli interventi.
Fonte: sole24 ore, federprivacy, digital360