GDPRL. 231PUBBLICAZIONI“ODV e DPO: la collaborazione fra le due figure quale tutela dell’organizzazione di riferimento”

11 Novembre 20210

 

L’Organismo di Vigilanza (“ODV”) è l’organismo preposto al controllo sull’adeguatezza e sull’attuazione dei Modelli Organizzativi adottati dagli enti secondo la normativa D.lgs. 231/2001. Nell’ambito delle proprie attività, l’ODV può effettuare trattamenti di dati personali. Una cooperazione sinergica con il DPO (Data Protection Officer) è quindi auspicabile e necessaria per la compliance privacy.

L’articolo 6 del D.lgs. 231/2001 prevede che l’ente affidi “il compito di vigilare sul funzionamento e l’osservanza dei modelli e di curare il loro aggiornamento” all’ODV: quest’ultimo verifica, dunque, l’effettiva tenuta del modello di organizzazione, gestione e controllo. Nell’ambito di tale attività di vigilanza, l’ODV può effettuare delle indagini che hanno ad oggetto, fra le altre informazioni, anche dati personali.

 

I poteri di iniziativa e controllo dell’ODV e la qualificazione soggettiva ai fini privacy

Tale attività di vigilanza e controllo viene svolta dall’ODV con ’“autonomi poteri di iniziativa e controllo”.

Il fatto che l’OdV sia organo “dotato di autonomi poteri di iniziativa e di controllo” ha dato luogo a non poche discussioni sull’inquadramento della figura nella configurazione privacy del titolare del trattamento e molte sono state le interpretazioni in materia. Sul punto è intervento nel 2020 il Garante Privacy in un proprio parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza (ulteriori informazioni qui), specificando che i singoli membri dell’ODV devono ritenersi soggetti autorizzati al trattamento, i quali nell’ambito del trattamento di dati personali degli interessati, dovranno attenersi alle istruzioni impartite dal titolare, affinché il trattamento avvenga in conformità ai principi stabiliti dall’art. 5 del Regolamento (UE) 2016/679.

L’ODV, a discapito di quanto ritenuto, precedentemente al parere del Garante Privacy, da una grande fetta di esperti in ambito privacy, non si classifica quale responsabile del trattamento ex art. 28 del Regolamento (UE) 2016/679 – né i membri singolarmente, né l’ODV nel suo complesso, quale organo previsto dalla normativa 231. L’attività svolta dall’ODV non consiste infatti in un’attività svolta per conto del Titolare del trattamento: l’ODV non è distinto dall’ente, ma è parte dello stesso. La strada percorsa dal Garante Privacy non ha abbracciato neanche l’alternativa impostazione che vedeva l’ODV quale autonomo titolare del trattamento, impostazione condivisa da alcuni proprio alla luce dell’autonomia e indipendenza rivestita dall’organo previsto dal D.lgs. 231/2001.

 

I compiti dei membri dell’ODV quali autorizzati del trattamento

Quali autorizzati del trattamento, i membri dell’ODV hanno quindi il compito di trattare i dati personali di titolarità dell’ente. Secondo i principi stabiliti dal Regolamento (UE) 2016/679 e dal Codice privacy, essi devono essere autorizzati dall’ente titolare del trattamento e sono tenuti a seguirne le istruzioni fornite, a tutela di un corretto trattamento di dati personali. Tali istruzioni rappresentano quindi una delimitazione sull’invasività delle indagini che l’ODV può condurre nell’ambito della propria attività, in conseguenza a segnalazioni pervenute ad esempio tramite l’istituto del whistleblowing, oppure in seguito a criticità o non conformità emerse durante le attività di audit. Infatti, le attività che implicano un trattamento di dati personali devono essere conformi ai principi di minimizzazione del trattamento, proporzionalità, liceità e correttezza.

A titolo di esempio nonché per favorire la comprensione, si fa l’esempio del reato di razzismo e xenofobia, previsto quale reato presupposto dall’art. 25-terdecies del D.lgs. 231/2001. In base a tale disposizione sono rilevanti, ai fini della responsabilità penale dell’ente, tutte le fattispecie di propaganda di idee fondate sulla superiorità o sull’odio razziale o etnico ovvero di istigazione o incitamento a compiere atti di discriminazione per motivi razziali o etnici. In questo ambito, le indagini dell’ODV possono riguardare non solo la persona autrice del reato in questione, ma anche eventuali vittime dello stesso.

 

 “Nell’ambito di reati attinenti a particolare status della singola persona autrice o vittima di un reato previsto dal D.lgs. 231/2001 vi potrebbe quindi essere altresì un trattamento di dati personali appartenenti a particolari categorie (art. 9 del Regolamento (UE) 2016/679)

Alcuni spunti di riflessione

Alla luce di quanto esposto, un confronto fra le figure chiave della normativa relativa alla Responsabilità amministrativa delle società e degli enti e della normativa sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali, fra ODV e Data Protection Officer (DPO) – soggetto tenuto a fornire informazioni e consulenza ai soggetti che effettuano un trattamento di dati personali per il titolare del trattamento, fra cui, chiaramente, gli autorizzati al trattamento – sulla modalità del trattamento consistente nelle indagini dell’ODV è quanto mai opportuno.

 Al fine di garantire un processo tendente alla compliance aziendale, si consiglia quindi di prevedere momenti di contatto e confronto tra l’ODV e il DPO, così da favorire un costante confronto rispetto alle tematiche legate alla sicurezza dei dati, nonché per, favorire l’applicazione di policy univoche e dinamiche.

 

Hai dubbi in merito? Noi saremo lieti di aiutarTi a trovare la soluzione per la Tua realtà aziendale.

Contattaci

Leave a Reply

Rimani in contatto con noiSocial links
Ti terremo aggiornato su tutte le novità del mondo compliance.
AboutContatti
Siamo qui per te
infoSede legale
La nostra Sede
Rimani in contatto con noiSocial links
Ti terremo aggiornato su tutte le novità del mondo compliance.

© 2020 Renorm – Tutti i diritti riservati – Powered by Italian Alchemy and Webita

© 2020 Renorm – Tutti i diritti riservati – Powered by Italian Alchemy and Webita