L’OdV: titolare o responsabile del trattamento?
L’Organismo di Vigilanza (OdV) costituisce l’elemento di chiusura del “sistema 231”. L’art.6 del d.lgs. 231/01 prevede infatti che, per beneficiare dell’esimente (evitando così gravose sanzioni pecuniarie e interdittive), l’ente dovrà aver affidato “il compito di vigilare sul funzionamento e l´osservanza dei modelli e di curare il loro aggiornamento ad un organismo dell´ente –dunque una struttura interna- dotato di autonomi poteri di iniziativa e di controllo” e “non vi dovrà essere stata omessa o insufficiente vigilanza da parte di detto organismo”.L’OdV “vigila sul funzionamento e l´osservanza dei modelli e cura il loro aggiornamento”: verifica dunque l’effettiva tenuta del modello, ne valuta la capacità preventiva dei reati, ne predispone l’aggiornamento, senza però mai poter intervenire direttamente sull’organizzazione ed i processi interni.
L’adozione ed efficace attuazione del modello sono riservate infatti in via esclusiva all’organo dirigente (art. 6, comma 1, lettera a) sul quale grava la responsabilità ultima del MOG (modello di organizzazione e gestione) e che è pertanto tenuto a vigilare sull’operato dell’organismo delegato al controllo.
Ciò detto, occorre evidenziare come l’effettività della delega sia blindata e garantita dal riconoscimento all’OdV di “autonomi poteri di iniziativa e controllo”. Che cosa significa questo?
Significa che, per svolgere le funzioni assegnategli, l’OdV (a seconda della natura, dell’attività e delle dimensioni dell’ente, organismo mono o plurisoggettivo), deve possedere precise skill: autonomia, indipendenza, professionalità, onorabilità e continuità di azione.
Se il requisito della professionalità, il disporre cioè delle competenze tecnico-professionali adeguate a svolgere i propri compiti, corroborato da quello di onorabilità, (già previsto per i sindaci), è indispensabile per garantire la reale capacità operativa dell’OdV, decisivi sono i primi due profili: l’autonomia e l’indipendenza. Questi ultimi infatti garantiscono la libertà e l’effettività dell’azione dell’organismo, la possibilità cioè di svolgere il proprio ruolo ispettivo in assenza di pressioni, interferenze o conflitti di interesse con altri organi aziendali, in primis l’organo dirigente.
Perché ciò sia, dovrà essere garantita all’OdV una collocazione nell’organigramma aziendale la più elevata possibile in modo da poter interloquire direttamente con il vertice aziendale e occorrerà altresì scegliere i suoi membri tra coloro che non svolgono compiti operativi: solo in questo modo si eviterà la sovrapposizione tra “controllore” e “controllato”.
Dal punto di vista operativo, al momento dell’adozione formale del modello, il vertice comunicherà a tutta la struttura i compiti/poteri dell’OdV, prevederà sanzioni per la mancata collaborazione con lo stesso, gli assegnerà un budget con cui lo stesso potrà avvalersi anche di professionalità esterne e gli assicurerà il libero accesso presso tutte le funzioni.
Questa premessa si rende necessaria per affrontare e risolvere il seguente quesito: il fatto che l’OdV sia organo “dotato di autonomi poteri di iniziativa e di controllo” che rilevanza ha dal punto di vista privacy? Nell’adempimento delle proprie funzioni l’OdV tratta dei dati personali: con che ruolo? Deve essere considerato titolare autonomo (rispetto alla società) oppure responsabile del trattamento?
Ricordiamo che il titolare del trattamento dei dati personali è, a norma dell´art. 4, co.1, lett. f) del d.lgs. 196/2003, «la persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento dei dati personali ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza».
Detto ciò, per rispondere alla domanda occorre capire sino a che punto arriva l’autonomia decisionale dell’OdV in merito al trattamento dei dati. In altri termini, l’OdV ha il potere di decidere autonomamente, o comunque insieme alla società, le finalità/modalità di trattamento dei dati di cui entra in possesso nell’espletamento delle sue funzioni oppure no?
A parere di chi scrive, il legislatore, attraverso l’art. 6.1, lett. b. del decreto, ha inteso riconoscere all’OdV “autonomi poteri di iniziativa e di controllo” anche in materia di privacy. L’OdV esercita cioè un “potere decisionale del tutto autonomo sulle finalità (investigative e di vigilanza) e sulle modalità del trattamento, ivi compreso il profilo della sicurezza” ex art. 28 del codice privacy.
In altre parole, spetta all’OdV determinare, in autonomia, le modalità di uso dei dati personali oggetto delle proprie attività di indagine e controllo, nel rispetto, comunque, della disciplina di riferimento. Se così non fosse e la finalità investigativa e di controllo esercitata dall’organismo si facesse rientrare nella più ampia finalità di gestione aziendale riconducibile alla società, si frustrerebbe l’intento che il legislatore ha in tutti i modi cercato di perseguire: garantire l’autonomia e l’indipendenza del controllore (OdV) nei confronti del controllato (ente). Autonomia e indipendenza che verrebbero del pari sacrificate là ove si ricostruisse il ruolo dell’OdV come responsabile del trattamento dei dati personali, nella misura in cui lo stesso sarebbe costretto ad attenersi pedissequamente alle istruzioni impartite dall’ente-titolare del trattamento che avrebbe altresì la facoltà di verificare la puntuale osservanza delle proprie istruzioni (art.29, comma 5, codice privacy).
L’OdV è dunque un autonomo titolare di trattamento dei dati e a tale ricostruzione non osta il fatto che sia privo di soggettività giuridica: l’art. 28 del codice privacy infatti fa espresso riferimento all’«organismo periferico» ed ancor più all’«unità» organizzativa interna della società circostanza che conferma come la titolarità non derivi dalla soggettività giuridica, bensì dal “potere decisionale” effettivamente svolto sui dati.
L’ente dovrà dunque indicare ed esplicitare nella propria informativa privacy che l’OdV è titolare autonomo del trattamento dei dati di cui entra in possesso nell’esercizio delle proprie funzioni, (con tutte le conseguenze che ne scaturiscono sotto il profilo delle responsabilità penali, amministrative e civili), facendosi al contempo rilasciare dallo stesso una dichiarazione che i dati saranno trattati nel rispetto di quanto previsto dal d.lgs. 196/03 ed esclusivamente per le finalità per le quali sono stati comunicati.