L’OdV: titolare o responsabile del trattamento?

04/02/2014
di roberto

ODV e PrivacyL’Organismo di Vigilanza (OdV) costituisce l’elemento di chiusura del “sistema 231”. L’art.6 del d.lgs. 231/01 prevede infatti che, per beneficiare dell’esimente (evitando così gravose sanzioni pecuniarie e interdittive), l’ente dovrà aver affidato “il compito di vigilare sul funzionamento e l´osservanza dei modelli e di curare il loro aggiornamento ad un organismo dell´ente –dunque una struttura interna- dotato di autonomi poteri di iniziativa e di controllo” e “non vi dovrà essere stata omessa o insufficiente vigilanza da parte di detto organismo”.L’OdV “vigila sul funzionamento e l´osservanza dei modelli e cura il loro aggiornamento”: verifica dunque l’effettiva tenuta del modello, ne valuta la capacità preventiva dei reati, ne predispone l’aggiornamento, senza però mai poter intervenire direttamente sull’organizzazione ed i processi interni.

L’adozione ed efficace attuazione del modello sono riservate infatti in via esclusiva all’organo dirigente (art. 6, comma 1, lettera a) sul quale grava la responsabilità ultima del MOG (modello di organizzazione e gestione) e che è pertanto tenuto a vigilare sull’operato dell’organismo delegato al controllo.

Ciò detto, occorre evidenziare come l’effettività della delega sia blindata e garantita dal riconoscimento all’OdV di “autonomi poteri di iniziativa e controllo”. Che cosa significa questo?

Significa che, per svolgere le funzioni assegnategli, l’OdV (a seconda della natura, dell’attività e delle dimensioni dell’ente, organismo mono o plurisoggettivo), deve possedere precise skill: autonomia, indipendenza, professionalità, onorabilità e continuità di azione.

Se il requisito della professionalità, il disporre cioè delle competenze tecnico-professionali adeguate a svolgere i propri compiti, corroborato da quello di onorabilità, (già previsto per i sindaci), è indispensabile per garantire la reale capacità operativa dell’OdV, decisivi sono i primi due profili: l’autonomia e l’indipendenza. Questi ultimi infatti  garantiscono la libertà e l’effettività dell’azione dell’organismo, la possibilità cioè di svolgere il proprio ruolo ispettivo in assenza di pressioni, interferenze o conflitti di interesse con altri organi aziendali, in primis l’organo dirigente.

Perché ciò sia, dovrà essere garantita all’OdV una collocazione nell’organigramma aziendale la più elevata possibile in modo da poter interloquire direttamente con il vertice aziendale e occorrerà altresì scegliere i suoi membri tra coloro che non svolgono compiti operativi: solo in questo modo si eviterà la sovrapposizione tra “controllore” e “controllato”.

Dal punto di vista operativo, al momento dell’adozione formale del modello, il vertice comunicherà a tutta la struttura i compiti/poteri dell’OdV, prevederà sanzioni per la mancata collaborazione con lo stesso, gli assegnerà un budget con cui lo stesso potrà avvalersi anche di professionalità esterne e gli assicurerà il libero accesso presso tutte le funzioni.

Questa premessa si rende necessaria per affrontare e risolvere il seguente quesito: il fatto che l’OdV sia organo “dotato di autonomi poteri di iniziativa e di controllo” che rilevanza ha dal punto di vista privacy? Nell’adempimento delle proprie funzioni l’OdV tratta dei dati personali: con che ruolo? Deve essere considerato titolare autonomo (rispetto alla società) oppure responsabile del trattamento?

Ricordiamo che il titolare del trattamento dei dati personali è, a norma dell´art. 4, co.1, lett. f) del d.lgs. 196/2003, «la persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento dei dati personali ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza». 

Detto ciò, per rispondere alla domanda occorre capire sino a che punto arriva l’autonomia decisionale dell’OdV in merito al trattamento dei dati. In altri termini, l’OdV ha il potere di decidere autonomamente, o comunque insieme alla società, le finalità/modalità di trattamento dei dati di cui entra in possesso nell’espletamento delle sue funzioni oppure no?

A parere di chi scrive, il legislatore, attraverso l’art. 6.1, lett. b. del decreto, ha inteso riconoscere all’OdV “autonomi poteri di iniziativa e di controllo” anche in materia di privacy. L’OdV esercita cioè un “potere decisionale del tutto autonomo sulle finalità (investigative e di vigilanza) e sulle modalità del trattamento, ivi compreso il profilo della sicurezza” ex art. 28 del codice privacy.

In altre parole, spetta all’OdV determinare, in autonomia, le modalità di uso dei dati personali oggetto delle proprie attività di indagine e controllo, nel rispetto, comunque, della disciplina di riferimento. Se così non fosse e la finalità investigativa e di controllo esercitata dall’organismo si facesse rientrare nella più ampia finalità di gestione aziendale riconducibile alla società, si frustrerebbe l’intento che il legislatore ha in tutti i modi cercato di perseguire: garantire l’autonomia e l’indipendenza del controllore (OdV) nei confronti del controllato (ente). Autonomia e indipendenza  che verrebbero del pari sacrificate là ove si ricostruisse il ruolo dell’OdV come responsabile del trattamento dei dati personali, nella misura in cui lo stesso sarebbe costretto ad attenersi pedissequamente alle istruzioni impartite dall’ente-titolare del trattamento che avrebbe altresì la facoltà di verificare la puntuale osservanza delle proprie istruzioni (art.29, comma 5, codice privacy).

L’OdV è dunque un autonomo titolare di trattamento dei dati e a tale ricostruzione non osta il fatto che sia privo di soggettività giuridica: l’art. 28 del codice privacy infatti fa espresso riferimento all’«organismo periferico» ed ancor più all’«unità» organizzativa interna della società circostanza che conferma come la titolarità non derivi dalla soggettività giuridica, bensì dal “potere decisionale” effettivamente svolto sui dati.

L’ente dovrà dunque indicare ed esplicitare nella propria informativa privacy che l’OdV è titolare autonomo del trattamento dei dati di cui entra in possesso nell’esercizio delle proprie funzioni, (con tutte le conseguenze che ne scaturiscono sotto il profilo delle responsabilità penali, amministrative e civili), facendosi al contempo rilasciare dallo stesso una dichiarazione che i dati saranno trattati nel rispetto di quanto previsto dal d.lgs. 196/03 ed esclusivamente per le finalità per le quali sono stati comunicati.

Riproduzione riservata ©

ALTRE NEWS

Cybersecurity: anche le PMI nel mirino

Sotto il profilo della cyber sicurezza il 2015 verrà ricordato per gli attacchi informatici alle grandi aziende (Talk Talk, Ashley Maddison, etc), nel 2016 i… Leggi Tutto

Correttivi al CAD – Codice dell’amministrazione digitale

Lo schema di decreto legislativo approvato in prima deliberazione dal Consiglio dei Ministri l’8 settembre 2017 reca disposizioni integrative e correttive al decreto legislativo 26… Leggi Tutto

231 e violazione diritto d’autore

Il dato deve fare riflettere: quasi la metà (48%) dei programmi installati nel nostro Paese è illegale. È questo ciò che afferma l’ultima edizione del… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form