La qualifica soggettiva dell’OdV: il parere del Garante non ha fornito alcuna soluzione esaustiva

Con l’entrata in vigore del Regolamento (UE) 2016/679 la materia concernente il trattamento dei dati personali ha subito una rivoluzione copernicana caratterizzata da un approccio completamente rivisitato. I titolari sono stati, infatti, chiamati a rivedere processi aziendali, misure di sicurezza, attribuzione di responsabilità - interne ed esterne - e tanto altro, sotto la scure della c.d. accountability. In tale riorganizzazione generale, referenti aziendali e membri di OdV si sono domandati come regolare le rispettive posizioni in termini di compiti, doveri e responsabilità.

Si sono invero create diverse correnti di pensiero, anche contrapposte, che considerano l’Organismo quale Titolare del trattamento, Responsabile esterno e incaricato/designato/autorizzato. 

Sulla questione ha dato poi risposta (parziale e non condivisibile per i motivi che si diranno) il Garante per la protezione dei dati personali con proprio parere del 12 maggio scorso^[1]. Il documento che si compone di quattro pagine e cinque capitoli ripercorre dapprima la richiesta di intervento -come si è detto funzionale a comprendere la qualificazione soggettiva ai fini privacy dell’OdV- per poi trattare le definizioni rispettivamente di Titolare, Responsabile del trattamento e Designati/Persone Autorizzate al trattamento, nonché i requisiti e le funzioni proprie dell’OdV.

Giunto ad affrontare il passaggio sulla qualificazione soggettiva, il Garante riferisce “si ritiene che l'OdV, pur essendo dotato di autonomi poteri di iniziativa e controllo, non possa essere considerato autonomo titolare del trattamento (art. 4, n. 7 del Regolamento), considerato che i compiti di iniziativa e controllo propri dell'OdV non sono determinati dall'organismo stesso, bensì dalla legge che ne indica i compiti e dall'organo dirigente che nel modello di organizzazione e gestione definisce gli aspetti relativi al funzionamento compresa l'attribuzione delle risorse, i mezzi e le misure di sicurezza (art. 6, commi 1 e 2 d.lgs. n. 231/2001)”.

(…)

“Analogamente, tenuto conto che l'OdV non è distinto dall'ente, ma è parte dello stesso, si ritiene che - valutate anche le attribuzioni e le caratteristiche indicate nell'art. 6, d.lgs. n.231/2001 - non possa essere considerato responsabile del trattamento inteso come soggetto chiamato ad effettuare un trattamento “per conto del titolare”, ovverosia una “persona giuridicamente distinta dal Titolare, ma che agisce per conto di quest'ultimo” secondo le istruzioni impartite dal titolare (art. 28 del Regolamento).

L’Autorità conclude, dunque, ritenendo che “l’OdV nel suo complesso, a prescindere dalla circostanza che i membri che lo compongano siano interni o esterni, debba essere considerato “parte dell'ente”. Il suo ruolo - che si esplica nell'esercizio dei compiti che gli sono attribuiti dalla legge, attraverso il riconoscimento di “autonomi poteri di iniziativa e controllo” - si svolge nell'ambito dell'organizzazione dell'ente, titolare del trattamento, che, attraverso la predisposizione dei modelli di organizzazione e di gestione, definisce il perimetro e le modalità di esercizio di tali compiti. Tale posizione si intende ricoperta dall'OdV nella sua collegialità, tuttavia, non può prescindersi dalla necessità di definire anche il ruolo che, in base alla disciplina in materia di protezione dei dati personali, deve essere previsto per i singoli membri che lo compongono. Lo stesso ente, in ragione del trattamento dei dati personali che l'esercizio dei compiti e delle funzioni affidate all'OdV comporta (ad esempio, l'accesso alle informazioni acquisite attraverso flussi informativi), designerà - nell'ambito delle misure tecniche e organizzative da porre in essere in linea con il principio di accountability (art. 24 del Regolamento) - i singoli membri dell'OdV quali soggetti autorizzati (artt. 4, n. 10, 29, 32 par. 4 Regolamento; v. anche art. 2-quaterdecies del Codice). Tali soggetti, in relazione al trattamento dei dati degli interessati, dovranno attenersi alle istruzioni impartite dal titolare affinché il trattamento avvenga in conformità ai principi stabiliti dall'art. 5 del Regolamento”. 

Volendo tirare le fila del ragionamento del Garante, l’OdV:

• non può qualificarsi Titolare del trattamento;
• non può qualificarsi Responsabile esterno;
• deve qualificarsi (rectius i suoi membri singolarmente considerati) come soggetto autorizzato.

Le motivazioni giuridiche assunte dal Garante per arrivare alle predette conclusioni, come si è visto, non sono poi così articolate e si esauriscono nei passaggi che seguono:

• la qualifica di Titolare del trattamento è esclusa poiché non è l’OdV a determinare finalità e mezzi del trattamento: le prime sono infatti previste dalla legge, i secondi dal Titolare;
• la qualifica di Responsabile esterno è esclusa poiché l’OdV non è distinto dall’ente, ma è “parte” dello stesso.

Per esclusione e perché come detto l’OdV è “parte dell’ente”, i suoi membri sono qualificati “soggetti autorizzati (artt. 4, n. 10, 29, 32 par. 4 Regolamento; v. anche art. 2-quaterdecies del Codice)”.

Tali conclusioni appaiono censurabili per le ragioni che di seguito si diranno.

Prima fra tutte, la limitata ammissione di operatività del parere in esame: la stessa Autorità, in premessa di quello che è il suo ragionamento, scrive "in via preliminare, si precisa che il presente parere ha ad oggetto solo il ruolo, ai fini privacy, che l'OdV assume con riferimento ai flussi di informazioni (…) rimanendo escluso il nuovo e diverso ruolo che l'organismo potrebbe acquisire in relazione alle segnalazioni effettuate nell'ambito della normativa di whistleblowing”. Tuttavia, al whistleblowing occorrerebbe aggiungere anche le altre attività svolte dall'OdV e che non parrebbero essere state considerate dal Garante. L’OdV, infatti, riceve i flussi (sopraccitati) dalle risorse aziendali grazie ai quali avvierà le proprie attività di verifica, ben potendo tuttavia anche decidere di trasferire tali informazioni -contenenti eventualmente dati personali- a soggetti terzi che individuerà in maniera del tutto autonoma senza ricevere alcuna istruzione dal Titolare. Questa, infatti, è la ratio del noto budget di competenza dell’OdV e il Titolare rimarrà del tutto allo scuro della decisione dell’OdV, del trasferimento dei dati, delle modalità di trattamento, delle misure di sicurezza e di conservazione di tali dati adottate dal destinatario. A questo punto pare naturale domandarsi se il soggetto autorizzato (il c.d. incaricato/designato) abbia tale autonomia operativa. Così non sembrerebbe leggendo il testo dell'art. 2-quaterdecies del Codice privacy che all’opposto limita tali soggetti a “specifici compiti e funzioni” e non a scelte eventuali e del tutto autonome rispetto al sapere e al volere del Titolare. Sul punto la stessa Autorità scriveva “su un piano del tutto diverso rispetto alla figura del responsabile (esterno, art. 28 ndr) si pone, invece, colui che effettua senza apprezzabili margini di autonomia operazioni di trattamento sotto l’autorità del titolare o del responsabile (v. art. 29 del Regolamento). La possibilità di attribuire specifiche funzioni e compiti a soggetti designati dal titolare o dal responsabile, assimilabili al ruolo di incaricati del trattamento, è ora previsto dall’art. 2-quaterdecies del Codice in materia di protezione dei dati personali, introdotto dal D.Lgs. 10 agosto 2018, n. 101”^[2].

Sotto questo punto di vista, dunque, a voler seguire il ragionamento dell’Autorità l’OdV non effettuerebbe attività con “apprezzabili margini di autonomia” anche relativamente al trattamento dei dati personali. Tuttavia, è lo stesso OdV a poter scegliere se e a chi trasferire documenti, contenenti anche dati personali, senza alcuna ingerenza da parte del Titolare (!). 

Lo schema in cui opera l’OdV parrebbe, dunque, assimilarsi alla classica triangolazione tra Titolare, Responsabile esterno e Sub-responsabile.

Ancora, non pare potersi condividere neppure la logica del Garante che nel ritenere l’OdV “parte dell’ente” non lo ritiene configurabile quale responsabile esterno. Qui l’Autorità sembrerebbe contraddire se stessa, poiché se è vero che l’Organismo -nel suo complesso- è effettivamente “parte dell’ente” è altrettanto vero che i membri che lo compongono hanno una propria autonomia -anche giuridica. Ed infatti la stessa Autorità prescrive la nomina per i singoli membri quali “soggetti autorizzati”. Delle due l'una: o si tratta di un organismo da intendersi -sempre- in modo unitario o si considerano i singoli membri. Non si può ritenerlo come “parte dell’ente” al fine di escluderne la qualificazione di Responsabile esterno e poi prescrivere la nomina dei singoli membri (!).

D’altronde è sempre la stessa Autorità a insegnarci di dover pensare e scindere i protagonisti del trattamento dei dati tramite analisi “effettuata sul piano sostanziale e non formale ˗ delle attività in concreto svolte”^[3].

Quanto precede non considera neppure il ruolo dell’OdV quale destinatario delle segnalazioni tramite canale whistleblowing.

Per questa attività, infatti, ci si potrebbe spingere anche oltre la qualificazione del Responsabile esterno. Le modalità di trattamento nonché le finalità (se non ci si vuole limitare e rilegarle a meri esercizi di stile, es. il rispetto della legge!!) sono stabilite dal destinatario che nella grandissima maggioranza dei casi è certamente l’OdV. Inoltre, si consideri che l’Organizzazione potrebbe anche non conoscere il segnalante, poiché l’art. 6 co. 2-bis prevede la possibilità di far inviare le segnalazioni da parte di apicali e sottoposti (dunque in astratto noti al Titolare), tuttavia la prassi ci restituisce un dato differente, ovvero molte società permettono l’utilizzo del proprio canale informatico anche a soggetti esterni (clienti, fornitori, partners, etc.). Da un punto di vista sostanziale, dunque, l’Organizzazione potrebbe non conoscere -neppure ipoteticamente- i dati personali contenuti nelle segnalazioni.    

Per tali ragioni appare verosimile una qualifica dell’OdV di Titolare del trattamento, oppure di Contitolare (art. 26). 

In conclusione, si ritiene utile un ripensamento delle posizioni assunte dal Garante, valorizzando maggiormente gli aspetti sostanziali e non formali.

Quanti Professionisti, membri di OdV, decidono in totale autonomia le modalità adottate per trattare i dati personali che ricevono. E quanti Professionisti delegano, peraltro, attività o parti di attività ad altri Colleghi e/o Collaboratori. Superiamo la forma, preoccupiamoci della sostanza.