GDPR. Quale ruolo per gli organi di vigilanza e i loro componenti?

Come devono essere qualificati i componenti degli organi di vigilanza previsti per le società e gli enti ai fini delle previsioni contenute nel Regolamento Europeo 679/2016. Il Garante chiarisce il ruolo dell’Organismo di vigilanza ex legge 23/2001 quale soggetto autorizzato al trattamento.

In merito alla qualificazione soggettiva degli organi di vigilanza (Organismo di Vigilanza, Collegio Sindacale, Collegio dei Revisori) e dei loro componenti ai fini della normativa sulla tutela dei dati personali introdotta dal Regolamento UE2016/679 (c.d. GDPR) e disciplinata dal D. Lgs. 196/2003 come modificato e integrato dal D. Lgs. 101/2018, si è sviluppato un animato dibattito al fine di individuare quale ruolo attribuire a questi soggetti tra quelli previsti nel regolamento Europeo di: Titolare del trattamento (art. 4, n. 7), Responsabile del trattamento (art. 4, n. 8) e Persona autorizzata al trattamento (art. 4, n. 10).

In assenza di un indirizzo interpretativo chiaro e univoco dell’Autorità Garante per la Protezione dei Dati personali, le opinioni si sono concentrate, fin da subito, sulle due prime figure senza però approdare a una conclusione che fosse condivisa dalla maggioranza della dottrina.

Gli autori si sono equamente divisi tra coloro che ritenevano che questi soggetti operassero come autonomi titolari, mentre altri argomentavano come il loro ruolo fosse quello tipico dei responsabili.

Nel corso dello scorso mese di maggio, tuttavia, l’Autorità Garante si è pronunciata in merito alla qualificazione dei componenti degli Organismi di vigilanza previsti dall’art. 6, D. Lgs. 8 giugno 2001, n. 23 con nota prot. 17347 del 12 maggio 2020, fornendo in questo modo un chiaro indirizzo per le fattispecie analoghe.

Il Garante, dopo avere chiarito la fattispecie presa in esame a seguito di uno specifico quesito ricevuto, ha evidenziato quali devono essere gli elementi per cui un soggetto possa essere qualificato come Titolare o Responsabile.

Il Titolare per essere tale deve avere il potere di prendere le decisioni di fondo sia relativamente alle finalità e alle modalità del trattamento dei dati personali degli interessati, sia nell’ambito della predisposizione delle misure tecniche e organizzative necessarie affinché i trattamenti effettuati siano svolti nel rispetto delle previsioni normative in vigore (c.d. principio di accountability). Questo, inoltre, può far intervenire nel trattamento uno o più Responsabili, individuati tra soggetti particolarmente qualificati per lo svolgimento di alcune attività di trattamento ovvero autorizzare delle specifiche persone a operare sotto il suo diretto controllo.

Il Responsabile, invece, è quel soggetto che compie le attività relative al trattamento per conto del Titolare, e per questo agisce, nell’interesse del Titolare, in base a delle finalità che sono state predeterminate da quest’ultimo. Inoltre, nell’ambito delle attività che gli sono state delegate, deve rispettare le istruzioni e le prescrizioni di sicurezza impartite dal Titolare.

Mentre, le Persone autorizzate sono sostanzialmente equiparabili agli incaricati al trattamento previsti dalla vecchia formulazione del Codice della Privacy, anche se non specificatamente disciplinati ma solo citati all’interno del numero 10 dell’articolo 4 del Regolamento UE.

Il Garante esclude che l’Organismo di vigilanza possa essere classificato come Titolare poiché, pur operando in autonomia ed essendo dotato di specifici poteri, i compiti di iniziativa e controllo che gli sono propri non sono stabiliti dall’Organismo stesso, ma sono individuati dalla normativa che “indica i compiti e dall’organo dirigente che nel modello di organizzazione e gestione definisce gli aspetti relativi al funzionamento compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza”.

Lo stesso Organismo, non può essere considerato quale Responsabile poiché, essendo parte dell’organizzazione dell’soggetto Titolare, non può essere inteso come soggetto terzo chiamato a effettuare un trattamento “per conto del titolare”, ovverosia una “persona giuridicamente distinta dal Titolare, ma che agisce per conto di quest’ultimo”.

L’indicazione fornita dal Garante chiarisce, dunque, che i componenti dell’Organismo di vigilanza ex Legge 23/2001 devono essere designati, dall’Ente titolare dei trattamenti dei dati a cui questi possono accedere nell’esercizio delle loro funzioni, quali soggetti autorizzati ex artt. 4, n.10, 29 e 32 par.4 del Regolamento UE 2016/679.

Infatti, “in ragione del trattamento dei dati personali che l’esercizio dei compiti e delle funzioni affidate all’OdV comporta (ad esempio, l’accesso alle informazioni acquisite attraverso flussi informativi),” il Titolare “designerà – nell’ambito delle misure tecniche e organizzative da porre in essere in linea con il principio di accountability (art. 24 del Regolamento) – i singoli membri dell’OdV quali soggetti autorizzati (…). Tali soggetti, in relazione al trattamento dei dati degli interessati, dovranno attenersi alle istruzioni impartite dal titolare affinché il trattamento avvenga in conformità ai principi stabiliti dall’art. 5 del Regolamento”, secondo cioè quei principi a cui i trattamenti dei dati effettuati devono uniformarsi affinché questi siano svolti in modo adeguato e nel rispetto della normativa vigente.

“Lo stesso titolare sarà tenuto ad adottare le misure tecniche e organizzative idonee a garantire la protezione dei dati trattati, assicurando contestualmente all’OdV l’autonomia e l’indipendenza rispetto agli organi di gestione societaria nell’adempimento dei propri compiti secondo le modalità previste dalla citata normativa”.

Relativamente alla tipologia di dati ai quali i componenti dell’Odv possano accedere, nulla viene specificato dall’Autorità Garante, la quale fa riferimento alle normative specifiche che ne regolano l’operato e l’ambito di azione.

Il Garante, infine, specifica che quanto indicato non è riferibile al “nuovo e diverso ruolo che l’organismo potrebbe acquisire in relazione alle segnalazioni effettuate nell’ambito della normativa di whistleblowing”.

Renato Carafa