Il Garante ha chiarito la sua posizione rispetto al ruolo nel trattamento dei dati personali dell’Organisimo di Vigilanza, lasciando delle aree grigie.
In data 12 maggio 2020, il Garante per la protezione dei dati personali ha fornito una risposta all’interpello formulato dell’Associazione dei Componenti degli Organismi di Vigilanza (AODV231) riguardo alla natura soggettiva ascrivibile all’Organismo di Vigilanza (OdV), istituito ai sensi del D.Lgs. 231/2001, ai fini della disciplina sulla protezione dei dati personali.
Il Garante esclude l’imputabilità in capo all’OdV del ruolo di titolare autonomo del trattamento ai sensi del Regolamento UE 2016/679 (GDPR). Infatti, pur essendo l’organismo dotato di autonomi poteri di iniziativa e controllo, quest’ultimo non determina le modalità di estrinsecazione di tali poteri, ma è la legge che ne indica i compiti nonché l’organo dirigente che, nel modello di organizzazione e gestione, definisce gli aspetti relativi al funzionamento, compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza. Viene così valutata anche la possibilità di qualificare l’organismo quale responsabile del trattamento e, a tal riguardo, si sostiene che nemmeno tale qualifica risulta compatibile con la natura dell’organismo, considerato che l’OdV non è distinto dall’ente, ma è parte dello stesso.
Alla luce delle suesposte valutazioni, il Garante conclude sostenendo che l’OdV nel suo complesso debba essere considerato “parte dell’ente”. Pertanto, di conseguenza, i singoli membri che lo compongono, a prescindere dalla circostanza che siano interni o esterni all’ente, dovranno essere autorizzati al trattamento dei dati personali che l’esercizio dei compiti e delle funzioni affidate all’OdV comporta e, in tale contesto, dovranno attenersi alle istruzioni impartite dall’ente titolare del trattamento, fatta salva l’esigenza di assicurare contestualmente all’OdV l’autonomia e l’indipendenza necessari al fine di assolvere adeguatamente i compiti allo stesso attribuiti.
Questa interpretazione ha lasciato un po’ perplessi alcuni commentatori. In ogni caso, il parere in oggetto fa luce soltanto sul ruolo privacy assunto dall’OdV nell’ambito dei flussi di informazioni rilevanti ai sensi della normativa 231, lasciando quindi aperte le questioni in merito alla qualifica nel contesto delle segnalazioni effettuate in virtù della normativa di whistleblowing che potrebbe essere diversa.