Il Garante Privacy, a seguito di un quesito formulato da un’associazione, ha chiarito un tema a lungo dibattuto relativo alla qualifica privacy dell’Organismo di Vigilanza di cui D.lgs 231/2001 (c.d. Odv).
L’argomento ha destato da sempre interpretazioni diverse. Se, da un lato, è infatti indubbio che detto organo sia dotato di “autonomi poteri di iniziativa e di controllo” con obblighi di informazione nei confronti dello stesso da parte della società, dall’altro è altresì vero che il ruolo dell’Odv è definito dalla legge e le relative modalità di funzionamento e l’attribuzione delle risorse sono stabilite dall’ente all’interno del modello organizzativo.
Proprio in considerazione di tale premessa, il Garante evidenzia che l’Odv non possa essere considerato Titolare del trattamento. Al contempo, l’Odv non potrà neppure essere considerato Responsabile del Trattamento ai sensi dell’art 28 Reg UE 2016/679: detta qualifica, infatti, comporterebbe, in funzione della gestione dei dati svolta per conto del Titolare (società), un serie di obblighi in capo all’Odv e la sua diretta responsabilità per l’eventuale inosservanza degli stessi, che è incompatibile con quanto previsto dalla normativa di cui al D.lgs 231/2001. Gli omessi controlli sull’osservanza dei modelli, infatti, non ricadono sull’ Organismo di vigilanza ma sull’ente stesso.
Escludendo quindi la qualifica privacy di Titolare e di Responsabile, il Garante conclude affermando che l’OdV non possa essere considerato distinto dall’ente, bensì parte di esso. Per tale ragione, i membri dell’Odv dovranno essere considerati quali autorizzati al trattamento da parte dell’ente (Titolare) e trattare i dati nel rispetto delle istruzioni indicate dallo stesso, a prescindere dal fatto che i componenti siano soggetti interni o esterni all’azienda.
Per ogni informazione o approfondimento sarà possibile inviare una mail a: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. o telefonare al numero +39 045 8003503.