Organismo di Vigilanza ex D.Lgs. 231 e GDPR 2016/679: quale ruolo rispetto al trattamento dei dati?

Inquadramento dell’Organismo di Vigilanza ex D.Lgs. 231 all’interno del GDPR 2016/679

L’Organismo di Vigilanza ex D.Lgs. 231 ai sensi del Regolamento UE GDPR 2016/679 è titolare autonomo del trattamento, anzi è contitolare, anzi no è Responsabile del trattamento … ma se invece fosse un semplice autorizzato?
Tanto si è letto sull’argomento, anche da parte di fonti assai autorevoli, laddove si voglia fare una disamina comparata tra adempimenti ex D.Lgs.231, tra cui l’Organismo di Vigilanza, ed il Regolamento UE GDPR 2016/679.
Proviamo allora ad esprimere, rispetto a questa disquisizione puramente dottrinale, il nostro punto di vista.
 

Organismo di Vigilanza ex D.Lgs.231 come titolare autonomo del trattamento ai sensi del GDPR 2016/679

Benchè ad una prima lettura potrebbe essere questa l’interpretazione più immediata, dubitiamo fortemente che l’Organismo di Vigilanza possa ricoprire tale ruolo, in quanto ricordiamo che il titolare autonomo del trattamento è il soggetto che determina finalità, mezzi e misure di sicurezza.
E’ difatti il D.Lgs. 231, e più in particolare l’Organo Dirigente che adotta il Modello, a determinare le finalità e confini del trattamento, non l’Organismo di Vigilanza.
E stante il fatto che i dati personali raccolti dall’Organismo di Vigilanza sono nella quasi totalità dei casi conferiti all’azienda e da questa raccolti dall’OdV, è l’azienda stessa che ne determina finalità, mezzi e misure di sicurezza per la loro protezione.
Né pensiamo che questo vada a ledere l’autonomia ed il potere d’iniziativa che sono propri dell’Organismo di Vigilanza.
 

Organismo di Vigilanza ex D.Lgs.231 come contitolare del trattamento ai sensi del GDPR 2016/679

Premesso che ci sentiamo di escludere questa opzione per lo stesso motivo per cui abbiamo escluso la precedente, crediamo che ne deriverebbe una complicazione difficilmente gestibile considerare Organismo di Vigilanza ed Azienda contitolari.
Difatti i contitolari devono, per mezzo di un contratto scritto, decidere se e come ripartire le responsabilità rispetto agli obblighi relativi al Regolamento GDPR UE 679/2016 ed una sintesi del contratto tra i contitolari deve essere messo a disposizione delle persone interessate.
 

Organismo di Vigilanza ex D.Lgs.231 come responsabile del trattamento ai sensi del GDPR 2016/679

Ci pare questa l’interpretazione più confacente per i membri esterni degli Organismi di Vigilanza ex D.Lgs.231. Difatti il Responsabile del Trattamento è, ai sensi del Regolamento UE GDPR 2016/679, il soggetto che tratta ed elabora i dati personali per conto del titolare del trattamento.
Trattandosi di un soggetto distinto dal titolare, che deve però essere in grado di fornire garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, è opportuno che il titolare del trattamento assegni questo incarico ai membri dell’Organismo di Vigilanza ex D.Lgs.231 tramite apposita lettere in cui assume tutte le cautele del caso, anche in termini di competenze e misure messe in atto dal responsabile del trattamento.
 

Organismo di Vigilanza ex D.Lgs.231 come autorizzato al trattamento ai sensi del GDPR 2016/679

Quest’ultima è senz’altro l’interpretazione più corretta nel caso dei membri interni dell’Organismo di Vigilanza, ma è troppo semplicistico estenderla tout court all’Organismo di Vigilanza per il solo fatto che l’art. 6 del D.Lgs.231 lo definisce ‘organo dell’ente’.
Difatti nel caso di membri esterni risulta problematico , e di certo non cautelativo per l’azienda, considerare ‘autorizzati’ soggetti esterni che operano con propri strumenti informatici e, nella maggior parte dei casi, trasferiscono e trattano i dati sugli archivi personali o del proprio studio.

Conclusioni

Nei circa 40 Organismi di Vigilanza in cui i professionisti di AD&D Consulting ricoprono il ruolo di membri esterni, la nostra Società ha predisposto un facsimile di lettera di incarico come Responsabili del Trattamento, in alcuni casi personalizzata dalle singole Aziende, con la sottoscrizione reciproca della quale abbiamo regolarizzato la posizione ai sensi del Regolamento UE GDPR 2016/679.

Scritto da Matteo Bottonelli

Matteo Bottonelli

Si occupa di D.Lgs. 231 dal 2002 ed ha contribuito alla realizzazione di Modelli Organizzativi di numerose imprese nel settore manifatturiero e terziario. E’ membro/Presidente di numerosi Organismo di Vigilanza, tra cui imprese quotate alla Borsa di Milano ed imprese con procedimenti in corso ex D.Lgs. 231 per fatti antecedenti alla nomina.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Scroll to Top