Come noto, il D.Lgs 231/01 che ha introdotto in Italia la responsabilità amministrativa delle persone giuridiche, prescrive, alle società che adottino un modello organizzativo per la prevenzione dei reati presupposto, di dotarsi di un organo che vigili sul rispetto del modello e che deve poter intervenire internamente nel caso in cui il modello risulti violato.
Nello svolgimento delle attività di verifica, vigilanza e formazione da parte dell’Organismo di Vigilanza (Odv) e nel momento in cui tali informazioni vengono convogliate verso lo stesso, l’Organismo entra in contatto con una pluralità di dati personali, tra i quali anche dati giudiziari, categorie particolari di dati ed è tenuto ad effettuare delle attività di trattamento al fine di poter svolgere la propria attività di monitoraggio.
Conseguentemente, possiamo dire che l’Odv svolgerà attività di trattamento dati:
- 1) al momento della ricezione dei c.d. “flussi informativi” (di cui all’art. 6, comma 2, lett. d, d.lgs. 231/2001);
- 2) nell’elaborazione dei risultati delle attività di controllo e di vigilanza (di cui all’art. 6, comma 1, lett. b) e d) del d.lgs 231/01);
- 3) nel caso in cui riceva o effettui le segnalazioni di condotte illecite o di violazioni del modello, di cui all’art. 6, comma 2 bis, lett. a) del d.lgs 231/01;
- 4) nelle sue attività di reporting all’ente vigilato.
Per tale ragione, l’elaborazione dottrinale, nei mesi successivi all’entrata in vigore del Reg. Eu 679/16, si è domandata che tipo di ruolo privacy detto organo dovesse ricoprire, atteso il suo naturale coinvolgimento nelle attività di trattamento dati.
Le soluzioni sono state davvero diverse:
- alcuni, sottolineando l’autonomia di iniziativa nelle attività di vigilanza e controllo dell’organismo di vigilanza, volevano configurarlo come un titolare autonomo del trattamento;
- altri, ritenendo, invece, che in capo all’Odv difettino poteri decisionali in merito alla determinazione delle finalità di trattamento, hanno aderito alla tesi secondo la quale l’Organismo di Vigilanza debba essere inquadrato come responsabile del trattamento.
In questo contesto, l’Associazione dei Componenti degli Organismi di Vigilanza ex D.lgs 231/01 (AODV231) ha emanato un position paper per esaminare criticamente le tesi sopraindicate e individuare la soluzione da ritenere preferibile per i propri associati.
In particolare, secondo l’AODV231 il dibattito si è focalizzato sulle due soluzioni titolare/responsabile del trattamento sulla base di un erroneo presupposto e cioè che l’Odv sia un soggetto autonomo e soggettivamente slegato rispetto all’ente vigilato.
Al contrario, secondo l’Associazione, tra i corollari da cui partire per procedere all’analisi del ruolo privacy dell’Odv vi è, invece, il carattere essenzialmente “interno” dell’Organismo rispetto all’Ente, dal quale discenderebbe un necessario assorbimento del ruolo privacy dell’Odv all’interno del ruolo privacy dell’Ente o della Società vigilata di cui l’Odv è parte.
A suffragare tale opinione l’Associazione ricorda che è lo stesso articolo 6, comma 1, lett. b) del D.Lgs 231/2001 a riferirsi ad “un organismo dell’ente” e a sottolineare il requisito “dell’appartenenza all’ente” concludendo e precisando che “dato il suo istituzionale carattere «interno» rispetto all’ente vigilato ex art. 6, co. 1, lett. b), d.lgs. 231/2001, il ruolo e la funzione dell’ODV non possono essere esternalizzati, ovvero conferiti in outsourcing”.
Logico corollario di tale presupposto è che se sotto la precedente disciplina l’Odv era – giustamente – considerato un responsabile del trattamento – perché tale normativa prevedeva che la funzione di responsabile del trattamento potesse essere attribuita anche a persone, organi, strutture interne all’organizzazione – oggi, considerato il ruolo esclusivamente esterno del responsabile del trattamento, tale impostazione non sarebbe più degna di accoglimento e, al contrario, occorrerà ritenere che il ruolo privacy dell’Odv resti assorbito all’interno di quello dell’ente controllato.
Tale conclusione, perfettamente coerente e ben calzante rispetto ad un Organismo di Vigilanza composto da membri esclusivamente interni, i quali, com’è evidente, operano sotto l’autorità ed il controllo del ente vigilato/Titolare del trattamento, con i suoi strumenti informatici, le sue misure di sicurezza e con il supporto del DPO eventualmente nominato, si confronta tuttavia con una evidenza empirica che registra numerosi casi di Odv composti esclusivamente da membri esterni, ovvero a composizione mista, ove tale “controllo” da parte del Titolare è di difficile messa in atto.
La circostanza per cui l’Odv sia composto da membri esterni è, del resto, caldeggiata dalle linee guida di Confindustria e dalle più autorevoli sentenze giurisprudenziali, tra cui le Sezioni Unite 38343 del 18 settembre 2014 relative al noto caso Thyssenkrupp, le quali hanno rilevato che:
- 1) la composizione dell’organismo di vigilanza è essenziale perché il modello possa ritenersi efficacemente attuato;
- 2) un organismo di vigilanza composto da membri esclusivamente interni in alcuni casi potrebbe essere carente di autonomia e poteri di iniziativa e talvolta potrebbe non svolgere il ruolo critico previsto dalla legge.
Dello stesso avviso anche la giurisprudenza più recente, che ha ritenuto maggiormente “funzionale” nelle attività di controllo e analisi delle segnalazioni un Organismo composto anche da membri esterni.
Pertanto, il presupposto per cui l’attività dell’Odv non potrebbe essere “esternalizzata” o conferita in outsourcing, non sembrerebbe trovare conforto normativo e nemmeno empirico e pone non pochi problemi di tenuta della soluzione per cui l’Odv non abbia un ruolo privacy diverso da quello titolare.
Ed infatti nei casi in cui:
- 1) l’Odv sia monocratico e composto da un membro esterno;
- 2) l’Odv sia plurisoggettivo e a composizione mista (componenti esterni ed interni),
appare difficile sostenere che la posizione soggettiva dell’Odv sia equiparabile a quella dell’ente vigilato, perché le informazioni ben potrebbero essere suscettibili di essere veicolate al di fuori del contesto aziendale dell’ente vigilato e, quindi, al di fuori dalla sfera di sorveglianza del Titolare, con dispositivi e sistemi informatici diversi e soggetti a misure di sicurezza diverse e non verificabili dal Titolare; le informazioni, inoltre, potrebbero essere trattate anche da collaboratori esterni dei singoli componenti o del componente monocratico.
In altre parole, la soluzione prescelta dall’AODV231, in alcuni casi potrebbe risultare molto onerosa per i Titolari/enti vigilati che sarebbero, secondo tale impostazione, tenuti a vigilare sulle modalità di trattamento dell’Organismo che, a sua volta, li vigila.
Ed allora, in considerazione della circostanza che, come ben rilevato dall’Associazione, l’Odv deve essere considerato un organismo unitario, senza “scorporare” le singole situazioni soggettive dei suoi membri, appare ragionevole ritenere che laddove l’Odv sia composto totalmente o parzialmente da membri esterni il Titolare dovrà ben verificare la sua – concreta – possibilità di controllare e monitorare le attività di trattamento poste in essere dall’Odv e, nel caso in cui tale attività di verifica e controllo non risulti possibile, il Titolare potrà decidere di nominare l’Organismo di Vigilanza Responsabile del trattamento, ponendo in capo allo stesso autonomi obblighi di verifica e controllo delle attività di trattamento.
Quest’ultima scelta appare l’unica alternativa possibile, considerato il fatto che l’Odv non determina autonomamente le finalità del trattamento, che sono, invece:
- a) predeterminate, in generale, dal d.lgs. 231/2001;
- b) e declinate, in particolare, dal modello di organizzazione, gestione e controllo, che è “adottato dall’organo dirigente”.
Intervento di Michela BARBAROSSA, Avvocato, Privacy & Compliance Specialist Amissima Assicurazioni
Per approfondimenti e normative, consultare i seguenti link e/o riferimenti:
D. Lgs. 231/2001 – Responsabilità amministrativa degli Enti
Corte di Cassazione, Sentenza n. 38343 del 18/09/2014 – caso ThyssenKrupp