Con parere reso noto lo scorso 21 maggio (disponibile al link indicato tra i contenuti correlati), il Garante per la protezione dei dati personali ha chiarito che gli Organismi di Vigilanza previsti dall’art. 6 del D.Lgs. 8 giugno 2001, nell’esercizio delle loro funzioni, non devono considerarsi né titolari né responsabili del trattamento.
Si tratta di una dichiarazione importante, naturalmente rilevante per tutti gli enti provvisti di OdV, che ha tratteggiato i connotati dei soggetti del diritto alla protezione dei dati personali collocandosi nel solco di un consolidato orientamento già espresso in sede europea[1].
Pertanto, le motivazioni del provvedimento non sono particolarmente originali, ma assumo rilievo se consideriamo che in molti casi gli enti vigilati hanno recepito in modo disomogeneo, se non addirittura non corretto, le disposizioni del Regolamento UE 2016/679 (GDPR), riconoscendo agli OdV la qualifica di autonomi titolari o attribuendo loro quella di responsabili del trattamento.
A tale riguardo, alla luce delle condivisibili motivazioni espresse nel parare del Garante, va innanzi tutto escluso che l’OdV possa considerarsi titolare autonomo del trattamento.
Già nel 2019 l’Autorità ha chiarito che un fornitore o un consulente devono considerarsi autonomi titolari solo nel caso in cui i trattamenti a loro demandati non sono altrimenti eseguibili dal mandante/committente attraverso proprie articolazioni aziendali[2], come accade per esempio per l’attività riservata degli avvocati in sede giudiziaria che non può essere condotta autonomamente dal cliente, o come accade nei contratti di outsorcing informatico in cui taluni servizi di trattamento sono esternalizzati ad un provider esterno.
Si tratta di circostanze particolari, che non ricorrono senz’altro nel caso in commento, poiché nulla impedisce all’ente di costituire l’organismo di vigilanza ricorrendo a personale interno, purché dotato di autonomia e poteri adeguati.
Come accennato, va altresì esclusa l’ipotesi di inquadrare l’OdV come responsabile del trattamento.
Esso, infatti, pur essendo dotato di autonomi poteri di iniziativa e controllo, li esercita non come propria prerogativa originale, ma come promanazione della capacità dell’ente. Non a caso è l’ente in sé che nel modello di organizzazione e gestione stabilisce gli aspetti relativi al funzionamento dell’OdV, compresa l’attribuzione ad esso delle risorse, dei mezzi e delle misure di sicurezza (art. 6, commi 1 e 2 d.lgs. n. 231/2001).
Da ciò discende che l’OdV non ha una propria soggettività giuridica, condizione necessaria per essere considerato responsabile del trattamento, essendo piuttosto un organo interno dell’ente vigilato. In tale prospettiva, l’attenzione va piuttosto riservata ai singoli componenti dell’OdV, indipendentemente dal fatto che siano soggetti interni alla struttura dell’ente o consulenti esterni.
Ebbene, fermo restando che l’organismo in sé non assume alcuna rilevanza come autonomo titolare di situazioni giuridiche soggettive, i sui membri, al contrario, sono senz’altro riconducibili alla figura dei soggetti autorizzati (artt. 4, nn. 10, 29, 32, par. 4 del GDPR e art. 2-quaterdecies del D.Lgs. 196/2003), ovvero persone fisiche che compiono determinate operazioni di trattamento dati in nome e per conto di un titolare e quindi nel rispetto delle istruzioni impartite da quest’ultimo, il quale assume ogni responsabilità in ordine ad eventuali trattamenti illegittimi.
Pertanto, l’attività di compliance privacy, per quanto riguarda la regolarità dei trattamenti compiuti dai membri dell’OdV, dovrà essere corredata da adempimenti formali e sostanziali da parte dell’ente che, considerata la natura particolare (sensibile) di molti dati trattati dall’organismo, devono essere svolti secondo criteri di massima perizia.
In particolare, seguendo l’ordine cronologico dei termini di adempimento degli obblighi di legge, è necessario che l’ente vigilato svolga le seguenti attività.
- Analisi preliminare: individuare le aree di trattamento dati di pertinenza dell’OdV, ovvero classificare i singoli trattamenti distinguendo le finalità di pianificazione ed esecuzione delle attività di vigilanza da quelle di gestione delle segnalazioni di illeciti e svolgimento indagini (whistleblowing[3]).
- Valutazione di impatto: mappare i flussi dati, dalla raccolta alla cancellazione, verificando gli strumenti impiegati (applicativi e banche dati), i livelli e ruoli di accesso, i termini di conservazione, ecc. ed individuare all’esito le misure di sicurezza fisiche, logiche e di procedura adatte a prevenire trattamenti illegittimi di dati personali.
- Registro dei trattamenti: registrare gli elementi essenziali che caratterizzano i trattamenti compiuti dall’OdV (natura dei dati, categorie di soggetti interessati, base giuridica, ambito di comunicazione, data retention, ecc.) indicando il risultato della valutazione d’impatto e la pianificazione delle attività successive di controllo e aggiornamento del registro.
- Procedure: elaborare e fornire ai membri dell’OdV procedure specifiche in un’ottica di minimizzazione e segregazione dei trattamenti, soprattutto con riguardo all’eventuale ruolo attribuito all’organismo quale destinatario delle segnalazioni di illeciti.
- Informativa e istruzioni operative: predisporre e fornire a ciascun membro dell’OdV in occasione del conferimento dell’incarico, (i) l’informativa sul trattamento dei suoi dati personali, (ii) le istruzioni operative privacy relative alle sue funzioni, (iii) le procedure generali dell’ente (es.: utilizzo della posta aziendale e delle risorse informatiche).
- Formazione e audit: sottoporre infine l’OdV ad una verifica periodica del rispetto delle procedure e istruzioni operative privacy impartite.
In conclusione, riconoscere che l’OdV non è né titolare né responsabile del trattamento, di fatto non alleggerisce, ma anzi aggrava il ruolo dell’ente vigilato che non solo deve rispettare una serie di obblighi in veste di titolare unico, ma assume anche la diretta responsabilità per un eventuale data breach compiuto da un membro dell’organismo. A tale riguardo, solo la puntuale osservanza degli adempimenti sommariamente sopra indicati può consentire all’ente di prevenire condotte illegittime e contenere le loro conseguenze, ovvero di sottrarsi – almeno in parte e in talune circostanze – alla responsabilità risarcitoria verso i cc.dd. soggetti interessati (coloro i cui dati sono oggetto di trattamento).
[1] Si veda innanzi tutto l’ancora attuale Parere 1/2010 (WP 169) adottato dal Gruppo dei garanti europei il 16 febbraio 2010. Più recentemente, vedi le EDPS Guidelines on the concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725 che, benché si riferiscano allo specifico caso del trattamento compiuto da istituzioni e altri organi e organismi dell’Unione, offrono all’interprete notevoli spunti di riflessione con riferimenti aggiornati al GDPR.
[2] Si veda il parere del Garante per la protezione dei dati personali reso a ottobre 2019 con doc. web n. 9169688, nonché le considerazioni già svolte dall’autorità il 22 gennaio 2019 in occasione di una Risposta data al Consiglio nazionale consulenti del lavoro.
[3] Benché il Garante chiarisca nel parere in commento che esso non ha avuto ad oggetto l’attività di whistleblowing, vien da sé che nella misura in cui questa è affidata all’OdV, non rilevano differenze significative rispetto all’impianto privacy a cui sottoporre gli altri trattamenti che l’organismo compie nell’ambito delle sue funzioni.