L’OdV: titolare o responsabile del trattamento?

04/02/2014
di Leonardo

ODV e PrivacyL’Organismo di Vigilanza (OdV) costituisce l’elemento di chiusura del “sistema 231”. L’art.6 del d.lgs. 231/01 prevede infatti che, per beneficiare dell’esimente (evitando così gravose sanzioni pecuniarie e interdittive), l’ente dovrà aver affidato “il compito di vigilare sul funzionamento e l´osservanza dei modelli e di curare il loro aggiornamento ad un organismo dell´ente –dunque una struttura interna- dotato di autonomi poteri di iniziativa e di controllo” e “non vi dovrà essere stata omessa o insufficiente vigilanza da parte di detto organismo”.L’OdV “vigila sul funzionamento e l´osservanza dei modelli e cura il loro aggiornamento”: verifica dunque l’effettiva tenuta del modello, ne valuta la capacità preventiva dei reati, ne predispone l’aggiornamento, senza però mai poter intervenire direttamente sull’organizzazione ed i processi interni.

L’adozione ed efficace attuazione del modello sono riservate infatti in via esclusiva all’organo dirigente (art. 6, comma 1, lettera a) sul quale grava la responsabilità ultima del MOG (modello di organizzazione e gestione) e che è pertanto tenuto a vigilare sull’operato dell’organismo delegato al controllo.

Ciò detto, occorre evidenziare come l’effettività della delega sia blindata e garantita dal riconoscimento all’OdV di “autonomi poteri di iniziativa e controllo”. Che cosa significa questo?

Significa che, per svolgere le funzioni assegnategli, l’OdV (a seconda della natura, dell’attività e delle dimensioni dell’ente, organismo mono o plurisoggettivo), deve possedere precise skill: autonomia, indipendenza, professionalità, onorabilità e continuità di azione.

Se il requisito della professionalità, il disporre cioè delle competenze tecnico-professionali adeguate a svolgere i propri compiti, corroborato da quello di onorabilità, (già previsto per i sindaci), è indispensabile per garantire la reale capacità operativa dell’OdV, decisivi sono i primi due profili: l’autonomia e l’indipendenza. Questi ultimi infatti  garantiscono la libertà e l’effettività dell’azione dell’organismo, la possibilità cioè di svolgere il proprio ruolo ispettivo in assenza di pressioni, interferenze o conflitti di interesse con altri organi aziendali, in primis l’organo dirigente.

Perché ciò sia, dovrà essere garantita all’OdV una collocazione nell’organigramma aziendale la più elevata possibile in modo da poter interloquire direttamente con il vertice aziendale e occorrerà altresì scegliere i suoi membri tra coloro che non svolgono compiti operativi: solo in questo modo si eviterà la sovrapposizione tra “controllore” e “controllato”.

Dal punto di vista operativo, al momento dell’adozione formale del modello, il vertice comunicherà a tutta la struttura i compiti/poteri dell’OdV, prevederà sanzioni per la mancata collaborazione con lo stesso, gli assegnerà un budget con cui lo stesso potrà avvalersi anche di professionalità esterne e gli assicurerà il libero accesso presso tutte le funzioni.

Questa premessa si rende necessaria per affrontare e risolvere il seguente quesito: il fatto che l’OdV sia organo “dotato di autonomi poteri di iniziativa e di controllo” che rilevanza ha dal punto di vista privacy? Nell’adempimento delle proprie funzioni l’OdV tratta dei dati personali: con che ruolo? Deve essere considerato titolare autonomo (rispetto alla società) oppure responsabile del trattamento?

Ricordiamo che il titolare del trattamento dei dati personali è, a norma dell´art. 4, co.1, lett. f) del d.lgs. 196/2003, «la persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento dei dati personali ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza». 

Detto ciò, per rispondere alla domanda occorre capire sino a che punto arriva l’autonomia decisionale dell’OdV in merito al trattamento dei dati. In altri termini, l’OdV ha il potere di decidere autonomamente, o comunque insieme alla società, le finalità/modalità di trattamento dei dati di cui entra in possesso nell’espletamento delle sue funzioni oppure no?

A parere di chi scrive, il legislatore, attraverso l’art. 6.1, lett. b. del decreto, ha inteso riconoscere all’OdV “autonomi poteri di iniziativa e di controllo” anche in materia di privacy. L’OdV esercita cioè un “potere decisionale del tutto autonomo sulle finalità (investigative e di vigilanza) e sulle modalità del trattamento, ivi compreso il profilo della sicurezza” ex art. 28 del codice privacy.

In altre parole, spetta all’OdV determinare, in autonomia, le modalità di uso dei dati personali oggetto delle proprie attività di indagine e controllo, nel rispetto, comunque, della disciplina di riferimento. Se così non fosse e la finalità investigativa e di controllo esercitata dall’organismo si facesse rientrare nella più ampia finalità di gestione aziendale riconducibile alla società, si frustrerebbe l’intento che il legislatore ha in tutti i modi cercato di perseguire: garantire l’autonomia e l’indipendenza del controllore (OdV) nei confronti del controllato (ente). Autonomia e indipendenza  che verrebbero del pari sacrificate là ove si ricostruisse il ruolo dell’OdV come responsabile del trattamento dei dati personali, nella misura in cui lo stesso sarebbe costretto ad attenersi pedissequamente alle istruzioni impartite dall’ente-titolare del trattamento che avrebbe altresì la facoltà di verificare la puntuale osservanza delle proprie istruzioni (art.29, comma 5, codice privacy).

L’OdV è dunque un autonomo titolare di trattamento dei dati e a tale ricostruzione non osta il fatto che sia privo di soggettività giuridica: l’art. 28 del codice privacy infatti fa espresso riferimento all’«organismo periferico» ed ancor più all’«unità» organizzativa interna della società circostanza che conferma come la titolarità non derivi dalla soggettività giuridica, bensì dal “potere decisionale” effettivamente svolto sui dati.

L’ente dovrà dunque indicare ed esplicitare nella propria informativa privacy che l’OdV è titolare autonomo del trattamento dei dati di cui entra in possesso nell’esercizio delle proprie funzioni, (con tutte le conseguenze che ne scaturiscono sotto il profilo delle responsabilità penali, amministrative e civili), facendosi al contempo rilasciare dallo stesso una dichiarazione che i dati saranno trattati nel rispetto di quanto previsto dal d.lgs. 196/03 ed esclusivamente per le finalità per le quali sono stati comunicati.

Riproduzione riservata ©

ALTRE NEWS

Copiare software ad uso personale è reato

La legge 248 del 2000 ha introdotto la reclusione per coloro che duplicano anche a fini personali il software. Occorre premettere come nell´ultimo decennio la… Leggi Tutto

E-commerce: crescono le tutele per il consumatore

La garanzia della concorrenza è una componente essenziale per la competitività del Paese e per tutelare i diritti del consumatore. Si tratta di un principio… Leggi Tutto

Privacy sospesa? Vergognosi titoli da parte dei mass media

#Coronavirus #privacy. A seguito della comunicazione veicolata oggi da alcuni mass media rispetto ad una possibile sospensione della normativa privacy, l’Avv. Valentina Frediani interviene commentando… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.