Organismo di Vigilanza e GDPR: quali sono i rischi e cosa dice la legislazione
L’Organismo di Vigilanza (OdV) non è autonomo Titolare del trattamento dati ai fini della Privacy. Lo ha chiarito il Garante per la protezione dei dati personali con il parere del 12 maggio 2020.
I singoli membri dell’OdV sono soggetti autorizzati e devono attenersi alle istruzioni impartite dal Titolare affinché il trattamento sia conforme al GDPR.
Scopriamo insieme le responsabilità dell’ Organismo di Vigilanza in ambito Privacy.
Il ruolo dell’OdV secondo il Decreto legislativo 231/2001
La questione ha visto contrapporsi due tesi:
- l’OdV, ai fini di una corretta applicazione della Normativa Privacy, dovrebbe essere qualificato come Titolare del trattamento
- l’OdV dovrebbe essere considerato Responsabile del trattamento, ossia un soggetto terzo rispetto al Titolare ma agente per conto di quest’ultimo
L’Associazione dei componenti degli Organismi di Vigilanza ha sostenuto tuttavia una sorta di terza via:
l’OdV, “in quanto parte dell’ impresa” non dovrebbe essere definito né come un Titolare del trattamento né come un Responsabile. La sua qualificazione dovrebbe essere fatta rientrare all’interno dell’organizzazione dell’ente che è chiamato a vigilare.
Il parere del Garante Privacy
Anche il Garante ha chiarito che l’OdV non può essere qualificato come autonomo Titolare del trattamento. Infatti non può avere la facoltà di determinare i suoi stessi compiti che vengono definiti dall’organo dirigente dell’impresa sulla base del Modello 231 precedentemente adottato.
Secondo il Garante, inoltre, l’OdV non si qualifica nemmeno come un Responsabile (esterno) del trattamento e accoglie la tesi sostenuta dall’Associazione.
Inoltre chiarisce come l’OdV non è un organo distinto dall’Ente ma è parte dello stesso. E a quest’ultimo è demandato il compito di definire il perimetro e le modalità di esercizio dei compiti da assegnargli.
Pertanto, i suoi membri, devono essere designati come dei soggetti autorizzati al trattamento dei dati di cui vengono a conoscenza nell’esercizio delle loro funzioni e devono attenersi alle precise istruzioni fornite loro dal Titolare.
Le responsabilità dell’OdV e del DPO
Il Garante ha chiarito quanto detto finora, deducendo sulla base dei principi contenuti nella normativa privacy. Così che non contrastino con quanto previsto dalla normativa 231 che attribuisce all’OdV autonomi poteri di iniziativa e controllo per un corretto esercizio delle sue funzioni.
Le ricadute operative derivanti dai chiarimenti del Garante sono evidenti:
- l’OdV non dovrà preoccuparsi di creare un proprio registro dei trattamenti ovvero di consegnare una specifica informativa privacy ai soggetti i cui dati vengono trattati (nel caso in cui fosse stato considerato un Titolare autonomo)
- il DPO si dovrà, di conseguenza, limitare a verificare che l’OdV, nello svolgimento delle sue incombenze, si attenga alle istruzioni fornite loro dal Titolare ovvero dall’ente presso il quale svolgono la loro attività nell’ambito di quanto previsto dal D.lgs. 231/01
Gli esperti di Aksilia Group, da sempre attenti alla tutela dei dati personali e aziendali, sono disponibili a questo contatto per qualsiasi informazione di approfondimento.
