Privacy&

2020/2

Paola Barazzetta Barbara Ferri

La qualifica soggettiva dell’OdV ai fini privacy, il parere del Garante

L’entrata in vigore del GDPR, con la definitiva uscita dalla scena del nostro ordinamento della figura del responsabile del trattamento “interno”, ha acuito il dibattito dottrinale sviluppatosi da tempo sulla qualificazione soggettiva a fini privacy dell’Organismo di Vigilanza.  La lettura delle norme applicabili in materia non consentono, infatti, di giungere ad una soluzione immediata sul punto, tanto è vero che gli operatori del settore hanno assunto nel corso degli anni differenti posizioni e molti autori hanno svolto approfondite analisi al fine di identificare i pregi e i difetti di un inquadramento dell’OdV quale titolare del trattamento o quale responsabile del trattamento. Questa situazione di incertezza ha portato l’Associazione dei Componenti degli Organismi di Vigilanza ex D.Lgs. 231/2001 (AODV) ad emettere un  position paper  dove affronta in modo approfondito il tema, analizzando le varie tesi prospettate in materia e rappresentando una propria soluzione, evidenziando particolare rilievo al carattere interno dell’OdV rispetto all’ente vigilato. Pertanto, secondo l’AODV l’inquadramento soggettivo dell’OdV è assorbito da quello dell’ente vigilato. A seguito di tale  position paper,  l’AODV ha, inoltre, chiesto al Garante Privacy un apposito incontro nell’ambito del quale ha sottoposto all’autorità la propria posizione in merito.  Con parere in data 12 maggio 2020, il Garante Privacy si è quindi finalmente espresso sulla qualificazione soggettiva a fini privacy degli OdV,  negando che l’OdV possa essere considerato titolare autonomo del trattamento in quanto i suoi compiti stabiliti dalla legge e dal Modello 231 o responsabile del trattamento, essendo tale organo innegabilmente parte dell’ ente vigilato e non potendo, pertanto, riconoscersi nello stesso il carattere di soggetto esterno che tratta i dati per conto del titolare. Nelle sue valutazioni, il Garante Privacy aderisce, quindi, all’opinione espressa nel   position paper  dell’AODV, ritenendo centrale nel raggiungimento di una soluzione del problema tenere conto del fatto che l’OdV è parte dell’ente vigilato. “ Il suo ruolo - che si esplica nell’esercizio dei compiti che gli sono attribuiti dalla legge, attraverso il riconoscimento di “autonomi poteri di iniziativa e controllo” - si svolge nell’ambito dell’organizzazione dell’ente, titolare del trattamento, che, attraverso la predisposizione dei modelli di organizzazione e di gestione, definisce il perimetro e le modalità di esercizio di tali compiti.” Ciò premesso e nell’assunto iniziale che una qualificazione debba riguardare l’OdV nella sua collegialità, il Garante Privacy fornisce un ulteriore chiarimento sul ruolo dei singoli membri dell’OdV alla luce della disciplina sulla  data protection,   precisando che lo stesso ente, in considerazione del trattamento che l’esercizio delle funzioni dell’OdV comporta, dovrà designare i suoi membri quali soggetti autorizzati.

L'ACCESSO A QUESTO CONTENUTO E' RISERVATO AGLI UTENTI ABBONATI

Sei abbonato? Esegui l'accesso oppure abbonati.