Il garante ha recentemente fornito risposta ad un questione sollevata dall’Associazione dei Componenti degli Organismi di Vigilanza ex d.lgs. 231/2001.
Il quesito riguardava in particolare la definizione del ruolo privacy dell’OdV in relazione ai flussi di informazioni rilevanti ai sensi dell’art. 6 co. 1 e 2 del d.lgs. 231/2001 con eslcusione invece del ruolo diverso che assumerebbe in relazione alle segnalzioni effettuate nell’ambito della normativa sul Whistleblowing.
Il parere
L’OdV pur essendo dotato di autonomi poteri di iniziativa e controllo non può, secondo il Garante, considerarsi quale titolare del trattamento in quanto i suoi compiti non sono determinati dall’organismo stesso, ma dalla legge, dall’organo dirigente e dal modello organizzativo.
Analogamente, tenuto conto che l’OdV non è distinto dall’ente, ma è parte dello stesso, il Garante ritiene che non possa essere considerato responsabile del trattamento inteso come soggetto chiamato ad effettuare un trattamento “per conto del titolare” secondo le istruzioni impartite dal titolare (art. 28 del Regolamento).
Peraltro, il Regolamento ha introdotto delle novità in ordine alla figura del responsabile del trattamento, prevedendo, in funzione della gestione dei dati svolta per conto del titolare, una serie di obblighi individuati dagli artt. 30, 33, par. 2, 37 e 82 del Regolamento ed una specifica responsabilità in ordine all’individuazione di idonee misure tecniche e organizzative adeguate al rischio.
La responsabilità dell’inosservanza di tali obblighi e dei relativi adempimenti rimane in capo direttamente allo stesso responsabile, nei confronti del quale possono essere adottati provvedimenti correttivi e sanzionatori in ordine al trattamento dei dati che svolge per conto del titolare. Nel caso dell’OdV, invece, eventuali omessi controlli in ordine all’osservanza dei modelli predisposti dall’ente non ricadono sull’OdV ma sull’ente stesso.
Conclusione
Il Garante conclude quindi chiarendo che l’OdV, nel suo complesso, a prescindere dalla circostanza che i membri che lo compongano siano interni o esterni, debba essere considerato “parte dell’ente” e che pertanto il Il suo ruolo – che si esplica nell’esercizio dei compiti che gli sono attribuiti dalla legge, attraverso il riconoscimento di “autonomi poteri di iniziativa e controllo” – si svolge nell’ambito dell’organizzazione dell’ente, titolare del trattamento, che, attraverso la predisposizione dei modelli di organizzazione e di gestione, definisce il perimetro e le modalità di esercizio di tali compiti e pertanto i suoi membri devono essere considerati quali soggetti autorizzati al trattamento. Tali soggetti, in relazione al trattamento dei dati degli interessati, dovranno attenersi alle istruzioni impartite dal titolare affinché il trattamento avvenga in conformità ai principi stabiliti dall’art. 5 del Regolamento.
Lo stesso titolare sarà tenuto ad adottare le misure tecniche e organizzative idonee a garantire la protezione dei dati trattati, assicurando contestualmente all’OdV l’autonomia e l’indipendenza rispetto agli organi di gestione societaria nell’adempimento dei propri compiti secondo le modalità previste dalla citata normativa.
Privacy Studio Blog
Siamo un gruppo di professionisti della privacy con un focus nell'aiutare i nostri clienti a trattare consapevolmente e correttamente i dati personali e non solo.
Richiedi un preventivo
Offriamo servizi di consulenza legale e tecnica in ambito privacy, tra i quali:
- Servizio DPO
- Adeguamento GDPR
- Formazione
- Audit
- Certificazione Siti/e-commerce
- Gestione Contenzioso
Iscriviti alla newsletter!
Altri articoli del blog
Vedi tutti
Articoli recenti
- Marketing: gli adempimenti necessari per essere conformi alla normativa privacy ed evitare sanzioni da parte del Garante Marzo 16, 2023
- Cyber Censura e privacy online: come difendersi e navigare in sicurezza Marzo 7, 2023
- Proteggi i dati dei tuoi utenti e aumenta la loro fiducia: guida sullo sviluppo di un’applicazione conforme al GDPR Febbraio 28, 2023
