Inquadramento privacy degli Organismi di Vigilanza

Il Garante ha di recente espresso un parere allo scopo di sciogliere il dubbio sulla qualificazione giuridica degli Organismi di Vigilanza (OdV) e la loro “posizione” giuridica in ottica privacy.

 

Il dubbio proviene dall’applicazione pratica del GDPR e di come qualificare gli OdV. In particolare, in prima battuta, in pratica non è stato immediatamente di chiara applicazione la figura dell’OdV in termini privacy, in quanto non veniva chiarito se questi dovessero essere visti come figura esterna al titolare con possibile configurazione di contitolarità ex art. 26 GDPR o responsabile del trattamento ex art. 28 GDPR; oppure, in alternativa, come figura interna al titolare che deve ricevere le istruzione da titolare/responsabile ex art. 29 GDPR.

Il dubbio viene, di conseguenza, portato all’attenzione del Garante privacy da parte dell’Associazione degli Organismi di Vigilanza con nota del 16 novembre 2019 ponendo il quesito dal titolo “richiesta di parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall’art. 6, d.lgs. 8 giugno 2001, n. 231”.

 

Il Garante, prima di rispondere al quesito, espone in breve l’attuale normativa di riferimento degli OdV sia in ottica GDPR (anticipata al paragrafo precedente), che in merito alla normativa costitutiva di tali organismi, ovvero il D. Lgs. n. 231/2008.

In merito a tale ultima normativa, in particolare viene evidenziato sin da subito come l’esclusione di responsabilità per gli enti non vi sarà se questo dimostra di “adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire i reati della specie di quello verificatosi” e di avere “affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo” (art. 6 D. Lgs. n. 231/2008) per identificare preliminarmente come sia l’ente a determinare modelli di organizzazione per vigilare sulla commissione dei reati.

 

Il Garante, poi, si addentra nella qualificazione giuridica degli OdV (oggetto del quesito) sancendo come l’OdV “pur essendo dotato di autonomi poteri di iniziativa e controllo, non possa essere considerato autonomo titolare del trattamento (art. 4, n. 7 del Regolamento), considerato che i compiti di iniziativa e controllo propri dell’OdV non sono determinati dall’organismo stesso, bensì dalla legge che ne indica i compiti e dall’organo dirigente che nel modello di organizzazione e gestione definisce gli aspetti relativi al funzionamento compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza (art. 6, commi 1 e 2 d.lgs. n. 231/2001)”.

In altre parole, il Garante qualifica giuridicamente in termini privacy l’OdV quale figura non autonoma e interna al titolare del trattamento, quindi non qualificabile come titolare autonomo o responsabile esterno del trattamento, bensì qualificabile come figura interna che può svolgere il trattamento “per conto del titolare. Stesso principio può applicarsi al singolo membro dell’OdV qualora debba esercitare delle specifiche operazioni di trattamento.

 

In conclusione, quindi, il Garante si esprime nel senso che il ruolo dell’OdV “si svolge nell’ambito dell’organizzazione dell’ente, titolare del trattamento, che, attraverso la predisposizione dei modelli di organizzazione e di gestione, definisce il perimetro e le modalità di esercizio di tali compiti. Tale posizione si intende ricoperta dall’OdV nella sua collegialità” disponendo, di fatto, la “dipendenza” dell’OdV dal titolare in termini di configurazione privacy e relativo inquadramento come analizzato.

 

 

Vuoi innovare la tua azienda? Contattaci per una consulenza legal-tech:


    Cliccando sul pulsante "Invia Messaggio" si acconsente al trattamento dei dati personali come disposto dall'Informativa sulla Privacy

    Related Posts

    Vari dispositivi smart avvolti da righe di dati

    15

    Apr
    AB/blog, AB/news, LPD

    LPD, IL REGISTRO DEL TRATTAMENTO DATI, UN’ANALISI SPECIFICA

    Tutto ciò che devi sapere sul registro del trattamento dati in riferimento alla legge sulla protezione dati in Svizzera (LPD).   Il presente articolo analizzerà le principali caratteristiche del registro del trattamento dati, uno strumento indispensabile per la compliance delle aziende alle normative vigenti sulla protezione dati. Verrà introdotta una panoramica generale per poi focalizzarsi sulle figure [...]
    3 lettere w ed un lucchetto simbolo della privacy online

    12

    Apr
    AB/blog, AB/news, GDPR e Data Strategy

    GDPR, SITO WEB, COME ESSERE COMPLIANT

    Un’utile guida per capire come rendere il tuo sito web effettivamente GDPR compliant.   L’articolo in questione introdurrà la tematica relativa all’adeguamento dei siti web al regolamento UE 2016/679 (GDPR). In particolare si andranno a delineare quelli che sono gli aspetti relativi alla privacy policy e alla cookie policy con particolare focus sugli elementi essenziali che le[...]
    Volto stilizzato che guarda la scritta Personal Data

    08

    Apr
    AB/blog, AB/news, GDPR e Data Strategy, LPD

    LPD, PROFILAZIONE AD ALTO RISCHIO

    Tutto ciò che devi sapere sul tema della profilazione ad alto rischio prevista dalla legge sulla protezione dati in Svizzera.   In questo articolo potrai comprendere la distinzione tra profilazione e profilazione ad alto rischio nell’ottica del trattamento dei dati personali. Saranno analizzate le principali differenze rispetto al GDPR e cosa comporta per gli interessati e per[...]