Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall'art. 6, d.lgs. 8 giugno 2001, n. 231

 

VEDI ANCHE Newsletter del 21 maggio 2020

 

AODV 231
Associazione dei Componenti degli Organismi di Vigilanza ex d.lgs. 231/2001

Parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall'art. 6, d.lgs. 8 giugno 2001, n. 231

1. Quesito

Con nota del 16 ottobre 2019, l'Associazione dei Componenti degli Organismi di Vigilanza ex d.lgs. 231/2001 (di seguito, Associazione), ha chiesto all'Autorità un incontro per discutere della qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza (di seguito, OdV). Nel corso dell'incontro, che si è svolto presso la sede del Garante in data 5 novembre 2019, l'Associazione ha rappresentato la propria posizione in merito, illustrando quanto contenuto in un position paper approvato dal Consiglio Direttivo il 21 marzo 2019. In tale documento l'Associazione, dopo aver analizzato le diverse tesi emerse in dottrina, ha concluso sostenendo che “l'OdV in quanto parte dell'impresa”, non sia qualificabile né come titolare né come responsabile del trattamento, […e che] ai fini dell'osservanza delle norme relative alla protezione dei dati l'inquadramento soggettivo dell'Organismo di Vigilanza [...] sia assorbito da quello dell'Ente/società vigilata della quale, appunto, l'OdV è “parte”.

Successivamente all'incontro, l'Associazione ha trasmesso in data 11 novembre e 20 dicembre 2019 ulteriore documentazione sull'argomento e una memoria di approfondimento a supporto della tesi sostenuta.

2. La disciplina in materia di protezione dei dati personali: Regolamento (UE) 2016/679, decreto legislativo n. 196/2003 come novellato dal d.lgs. 10 agosto 2018 n. 101

Il Regolamento (UE) 2016/679 (di seguito, Regolamento) si pone in linea di continuità con quanto previsto dalla Direttiva 95/46/CE (di seguito, Direttiva) rispetto all'individuazione dei ruoli di titolare e responsabile e alla distribuzione delle relative responsabilità.

Infatti, con definizione sostanzialmente sovrapponibile a quella contenuta nella Direttiva (art. 2, lett. d)), il Regolamento definisce “titolare del trattamento: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4, n. 7) e “responsabile del trattamento: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (art. 4, n. 8).

Alla luce delle definizioni sopra riportate, pertanto, il titolare è il soggetto sul quale ricadono le decisioni di fondo relativamente alle finalità e alle modalità del trattamento dei dati personali degli interessati e che, nell'ambito della predisposizione delle misure tecniche e organizzative volte a soddisfare i requisiti stabiliti dal Regolamento (c.d. principio di accountability), anche sotto il profilo della sicurezza, può ricorrere ad uno o più responsabili, individuati tra soggetti particolarmente qualificati per lo svolgimento di alcune attività di trattamento (cons.81 del Regolamento). Il responsabile svolge attività per conto del titolare, agendo sulla base di finalità eterodeterminate dal titolare e nell'interesse di questo (v. Gruppo art. 29 Wp 169 del 16 febbraio 2010 sui concetti di "responsabile e incaricato del trattamento") e, nell'ambito delle attività allo stesso delegate, è tenuto ad agire attenendosi alle istruzioni impartite dal titolare del trattamento.

Per quanto riguarda la figura dell'incaricato del trattamento (espressamente prevista dall'art. 30, d.lgs. n. 196/2003, abrogato dall'art. 27, comma 1 lett. a) n.2 del d.lgs. n.101/2018), il Regolamento, pur non prevedendo espressamente tale figura, di fatto, non la esclude riferendosi a "persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile" (v., in particolare, art. 4, n. 10, del Regolamento). L'art.2-quaterdecies del d.lgs. n. 196/2003 come modificato dal d.lgs. n. 101/2018, riconosce al titolare o al responsabile la facoltà di prevedere “sotto la propria responsabilità e nell'ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento dei dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità”.

3. L'OdV: requisiti e funzioni

Il d.lgs. 8 giugno 2001 n. 231 recante "Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell'articolo 11 della legge 29 settembre 2000, n. 300", prevede, in particolare, che l'ente non risponde per reati commessi nel suo interesse o a suo vantaggio da soggetti che ricoprono funzioni apicali e da persone sottoposte alla loro direzione o vigilanza, se dimostra di avere “adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire i reati della specie di quello verificatosi” e di avere “affidato a un organismo dell'ente dotato di autonomi poteri di iniziativa e di controllo”, il compito di vigilare sul funzionamento e l'osservanza di detti modelli e di curarne l'aggiornamento (art. 6, comma 1, lett. a) e b) del d.lgs. cit).

Stante l'estrema laconicità della predetta norma in merito ai diversi aspetti della disciplina dell'Organismo di Vigilanza (modalità di nomina; composizione; modalità dell'attività posta in essere; rapporti con l'ente), l'ente, potrà prevedere, a seconda del modello organizzativo prescelto, una composizione monosoggettiva o plurisoggettiva, con la presenza di membri sia interni sia esterni all'ente.

Al fine di assicurare all'OdV autonomi poteri di iniziativa e di controllo nello svolgimento delle sue funzioni(1), il modello deve garantire che l'organismo sia messo nelle condizioni di agire libero da ogni forma di interferenza e condizionamento da parte di tutti gli organi dell'ente, ivi compresi quelli dirigenziali, evitando situazioni di conflitto di interessi, anche potenziale, con il vertice che potrebbero configurarsi, ad esempio, nell'ipotesi di attribuzione di compiti operativi all'interno dell'ente(2).

Gli stessi modelli devono poi prevedere obblighi di informazione nei confronti dell'OdV (art. 6, comma 2, lett. d), d.lgs. n. 231/2001), con flussi di informazioni (periodici e ad hoc) che avvengono attraverso specifici processi di comunicazione aziendale al fine di conoscere e gestire eventuali situazioni di rischio. Analoga attività di informazione sarà svolta dall'OdV nei confronti del vertice in merito al funzionamento e all'aggiornamento del modello o in presenza di eventuali criticità rilevate nell'ambito dell'attività di vigilanza.

L'OdV può ricevere anche segnalazioni di condotte illecite rilevanti o di violazioni del modello così come previsto dall'art. 2-bis, 2-ter e 2-quater del d.lgs. n. 231/2001 inserito dalla legge 30 novembre 2017 n. 179 in materia di whistleblowing. A tal riguardo, si evidenzia che, allo stato, il d.lgs n. 231/2001 non attribuisce necessariamente all'OdV la gestione delle segnalazioni in questione, ma rimette alla discrezionalità dell'ente la scelta di individuare in un soggetto diverso il destinatario di tali segnalazioni che avrà il compito di istruirle e adottare ogni conseguente provvedimento.

4. Analisi della qualificazione soggettiva ai fini privacy dell'OdV

In via preliminare, si precisa che il presente parere ha ad oggetto solo il ruolo, ai fini privacy, che l'OdV assume con riferimento ai flussi di informazioni rilevanti ai sensi dell'art. 6, commi 1 e 2 del d.lgs. n. 231/2001, rimanendo escluso il nuovo e diverso ruolo che l'organismo potrebbe acquisire in relazione alle segnalazioni effettuate nell'ambito della normativa di whistleblowing (art. 6, comma 2-bis, 2-ter, 2-quater cit., d.lgs. n. 231/2001).

Premesso ciò, con riferimento all'aspetto indicato, si ritiene che l'OdV, pur essendo dotato di autonomi poteri di iniziativa e controllo, non possa essere considerato autonomo titolare del trattamento (art. 4, n. 7 del Regolamento), considerato che i compiti di iniziativa e controllo propri dell'OdV non sono determinati dall'organismo stesso, bensì dalla legge che ne indica i compiti e dall'organo dirigente che nel modello di organizzazione e gestione definisce gli aspetti relativi al funzionamento compresa l'attribuzione delle risorse, i mezzi e le misure di sicurezza (art. 6, commi 1 e 2 d.lgs. n. 231/2001).

Preme inoltre evidenziare che all'OdV non può essere imputata una responsabilità penale in ordine all'eventuale commissione di reati rilevanti ai sensi del d.lgs. n.231/2001 nel caso di omessi controlli, posto che tale organismo, pur avendo funzioni di vigilanza e controllo, non è dotato di alcun potere impeditivo nei confronti degli eventuali autori del reato, così che, anche in caso di inerzia dell'OdV, la responsabilità ricade sull'ente che non potrà avvalersi della scriminante prevista dall'art.6, comma 1 d.lgs n.231/2001. Resta ferma invece la responsabilità di natura contrattuale dell'OdV nei confronti dell'ente per inadempimento delle obbligazioni assunte con il conferimento dell'incarico.

Similmente, l'OdV non ha l'obbligo di denuncia all'Autorità giudiziaria in relazione agli illeciti di cui viene a conoscenza a causa e nell'esercizio delle sue funzioni (obbligo che grava invece sull'ente all'uopo informato dall'OdV) né è l'organismo investito di poteri disciplinari nei confronti degli autori degli illeciti, poteri che rimangono in capo all'ente ai cui vertici aziendali l'OdV è tenuto a segnalare le violazioni accertate, proponendo, al contempo, l'adozione delle necessarie sanzioni.

Analogamente, tenuto conto che l'OdV non è distinto dall'ente, ma è parte dello stesso, si ritiene che - valutate anche le attribuzioni e le caratteristiche indicate nell'art. 6, d.lgs. n.231/2001 - non possa essere considerato responsabile del trattamento inteso come soggetto chiamato ad effettuare un trattamento “per conto del titolare”, ovverosia una “persona giuridicamente distinta dal Titolare, ma che agisce per conto di quest'ultimo” secondo le istruzioni impartite dal titolare (art. 28 del Regolamento). Peraltro, il Regolamento, pur non modificandone l'essenza, ha, comunque, introdotto delle novità in ordine alla figura del responsabile del trattamento, prevedendo, in funzione della gestione dei dati svolta per conto del titolare, una serie di obblighi individuati dagli artt. 30, 33, par. 2, 37 e 82 del Regolamento ed una specifica responsabilità in ordine all'individuazione di idonee misure tecniche e organizzative adeguate al rischio (art. 32 del Regolamento). La responsabilità dell'inosservanza di tali obblighi e dei relativi adempimenti rimane in capo direttamente allo stesso responsabile, nei confronti del quale possono essere adottati provvedimenti correttivi e sanzionatori in ordine al trattamento dei dati che svolge per conto del titolare. Diversamente, eventuali omessi controlli in ordine all'osservanza dei modelli predisposti dall'ente non ricadono sull'OdV ma sull'ente stesso che non potrà, in tal caso, avvalersi della scriminante prevista dall'art.6, comma 1, d.lgs. n. 231/2001.

5.  Conclusioni

Sulla base delle valutazioni sopra riportate, si ritiene che l'OdV, nel suo complesso, a prescindere dalla circostanza che i membri che lo compongano siano interni o esterni, debba essere considerato “parte dell'ente”. Il suo ruolo - che si esplica nell'esercizio dei compiti che gli sono attribuiti dalla legge, attraverso il riconoscimento di “autonomi poteri di iniziativa e controllo” - si svolge nell'ambito dell'organizzazione dell'ente, titolare del trattamento, che, attraverso la predisposizione dei modelli di organizzazione e di gestione, definisce il perimetro e le modalità di esercizio di tali compiti. Tale posizione si intende ricoperta dall'OdV nella sua collegialità, tuttavia, non può prescindersi dalla necessità di definire anche il ruolo che, in base alla disciplina in materia di protezione dei dati personali, deve essere previsto per i singoli membri che lo compongono. Lo stesso ente, in ragione del trattamento dei dati personali che l'esercizio dei compiti e delle funzioni affidate all'OdV comporta (ad esempio, l'accesso alle informazioni acquisite attraverso flussi informativi), designerà - nell'ambito delle misure tecniche e organizzative da porre in essere in linea con il principio di accountability (art. 24 del Regolamento) - i singoli membri dell'OdV quali soggetti autorizzati (artt. 4, n. 10, 29, 32 par. 4 Regolamento; v. anche art. 2-quaterdecies del Codice). Tali soggetti, in relazione al trattamento dei dati degli interessati, dovranno attenersi alle istruzioni impartite dal titolare affinché il trattamento avvenga in conformità ai principi stabiliti dall'art. 5 del Regolamento.

Lo stesso titolare sarà tenuto ad adottare le misure tecniche e organizzative idonee a garantire la protezione dei dati trattati, assicurando contestualmente all'OdV l'autonomia e l'indipendenza rispetto agli organi di gestione societaria nell'adempimento dei propri compiti secondo le modalità previste dalla citata normativa.

Il dirigente
(Daniele De Paoli)

 

___________________


 (1) Intendendo con ciò: estraneità rispetto ad ogni forma di interferenza e pressione dei vertici; autonomia decisionale rispetto allo svolgimento delle proprie attività con possibilità di accesso a tutte le informazioni aziendali utili allo svolgimento del controllo.


 (2) In tal senso, v. Tribunale di Torino, Seconda Corte di Assise, 14 novembre 2011; Corte di Assise di Appello di Torino, 28 febbraio 2013; Cass., sez. V, 30 gennaio 2014, n. 4677.