Il ruolo dell’Organismo di Vigilanza nel complesso sistema del trattamento dati - Riskmanagement

Normative europee

Il ruolo dell’Organismo di Vigilanza nel complesso sistema del trattamento dati

Cosa prevedono il GDPR e il D.lgs. n. 231/2001. La posizione espressa dal Garante per la Privacy

05 Mag 2021

Giacomo Sabbatini

avvocato

Come noto il panorama del trattamento dei dati personali e diritti connessi alla privacy è profondamente mutato con l’introduzione del General Data Protection Regulation (regolamento UE n. 2016/679) in materia di trattamento dei dati personali e di privacy, pubblicato sulla Gazzetta ufficiale dell’Unione europea il 4 maggio 2016 ed entrato in vigore il 24 maggio del medesimo anno e diventato operativo dal 25 maggio 2018. Vogliamo occuparci del rapporto fra il GDPR e l’Organismo di Vigilanza.

Con l’adozione del nuovo Regolamento, la Commissione europea ha individuato come obiettivo primario quello di fornire maggiore tutela ai titolari dei dati personali, rafforzando la protezione dei relativi dati sia all’interno che oltre i confini dell’Unione, improntando un sistema di garanzie e di controllo dei singoli cittadini dell’UE e semplificando il quadro normativo assai multiforme tra i vari Stati membri.

Un’importante novità del Regolamento 2016/679 risiede nel fatto che, a differenza della precedente direttiva in tema di privacy e riservatezza, viene oggi estesa l’applicazione della disciplina contenuta nel Regolamento medesimo non soltanto alle persone fisiche ma anche alle imprese, agli enti e, in generale, alle persone giuridiche.

A ciò si aggiunga come la normativa del 2016 abbia superato il c.d. principio della territorialità e preveda espressamente l’attuazione del regolamento anche alle organizzazioni che abbiano la sede legale fuori dall’Ue ma che trattino dati personali di residenti dell’Unione, anche a prescindere dai luoghi ove siano dislocati i sistemi di archiviazione (cc.dd. storages) e di elaborazione (cc.dd. servers).

Organismo di Vigilanza

Il D.lgs 231/2001 e l’Organismo di Vigilanza

Altra riforma che ha innovato radicalmente l’impianto normativa dell’attuale ordinamento giuridico con riferimento all’ambiente aziendale, è il celebre d.lgs. n. 231/2001[1] con il quale si è assistito ad un importante punto di svolta, attraverso l’introduzione della c.d. responsabilità amministrativa[2] da reato, estendendo la tutela sanzionatoria anche alle persone giuridiche, con riferimento agli illeciti commessi da soggetti che rivestono determinate posizioni all’interno degli enti economici, nell’interesse e a vantaggio dell’ente stesso.

Digital event, 15 giugno
CyberSecurity360Summit: cyber risk, normative e strategie per vincere le sfide della sicurezza
Legal
Sicurezza

Il decreto del 2001 ha superato il principio societas delinquere non potest prevedendo ora espressamente la punibilità degli enti, ed in generale delle organizzazioni, qualora ricorrano determinati criteri c.d. oggettivi e criteri c.d. soggettivi, volti ad individuare e circoscrivere il perimetro della disciplina della sanzionabilità dell’ente per il fatto di reato.

Tali ipotesi criminose devono esser commessi nell’interesse e vantaggio dell’ente ovvero caratterizzati dalla preordinazione del reato agli scopi sociali (attraverso una prospettiva ex ante) e con l’obiettivo di un concreto risultato conseguito o conseguibile alla luce della condotta posta in essere (da accertarsi ex post).

A ciò deve essere aggiunto quanto previsto per i criteri c.d. soggettivi, il D.lgs. n. 231/2001 infatti prevede tassativamente come l’illecito debba essere commesso da un soggetto che rivesta una determinata posizione all’interno dell’organigramma aziendale; l’autore del reato potrà essere sia un soggetto che riveste una posizione apicale sia soggetti sottoposti, ovverosia gerarchicamente subordinati a coloro che assumono ruoli di vertice e di controllo.

Di catartica importanza per le considerazioni che seguiranno è l’individuazione dei c.d. modelli organizzativi e di gestione come criteri di esclusione della responsabilità dell’ente in relazione all’autore materiale del reato.

Il legislatore, infatti, stabilisce espressamente la natura relativa della presunzione di responsabilità in capo ai soggetti apicali, che permette all’ente di essere esente dalla responsabilità penale qualora provi congiuntamente di:

  • aver adottato modelli organizzativi e di gestione idonei a prevenire la commissione dei reati della medesima specie di quello concretamente verificatosi;
  • l’istituzione un organismo interno di vigilanza (OdV), dotato di autonomi poteri di iniziativa e di controllo; la fraudolenta elusione dei modelli da parte degli autori del reato;
  • l’assenza di omessa o insufficiente vigilanza da parte degli organismi addetti alla vigilanza sul corretto funzionamento dei modelli organizzativi e di gestione.

L’Organismo di Vigilanza in relazione alla normativa privacy

Il d.lgs. n. 231/2001 poco dice sulle caratteristiche necessarie che deve possedere l’OdV affinché possa adottare i modelli organizzativi ed i controlli capaci di individuare i possibili rischi della commissione di fattispecie di reato.

Infatti, la norma che descrive il ruolo dell’Organismo, lo si ripete, stringatamente e non sufficientemente dettagliata, è l’art. 6 del decreto, il quale, in tema di superamento della presunzione di responsabilità dell’ente, prevede che “l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi” e che “il compito di vigilare sul funzionamento e l’osservanza dei modelli di curare il loro aggiornamento è stato affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa[3] e di controllo”[4].

L’Organismo di Vigilanza, curando la corretta applicazione e la concreta attuazione del modello, risulta essere lo snodo centrale ai fini dell’esonero dell’ente dalla responsabilità amministrativa.

Nel contesto organizzativo interno, l’avvento del Regolamento (UE) 2016/679 (GDPR) ha avuto un impatto significativo non solo nella definizione delle funzioni di data governance e dei profili di autorizzazione dei singoli operatori privacy, ma ha creato molteplici questioni connesse all’inquadramento di alcuni incarichi tipici delle realtà imprenditoriali attuali.

E infatti, numerosi sono i dati che necessariamente l’Organismo gestisce ai fini delle mansioni assegnate dall’art. 6 del d.lgs. n. 231/2001:

  • i flussi informativi di cui all’art. 6, comma 2, lett. d), d.lgs. 231/2001;
  • i risultati delle attività di controllo e vigilanza, di cui all’art. 6, comma 1, lett. b) e d);
  • le segnalazioni di condotte illecite rilevanti ai fini del d.lgs. 231/2001 o di violazioni del modello, di cui all’art. 6, comma 2 bis, lett. a).

Da ciò inevitabilmente scaturisce una necessaria riflessione in merito all’inquadramento che l’Organismo di Vigilanza assume nei ruoli che sono delineati dall’organigramma del GDPR.

La laconicità dell’art. 6 del d.lgs. n. 231/2001 in merito alla qualifica soggettiva che l’OdV deve assumere e le conseguenti relazioni che lo stesse deve tenere nei confronti della disciplina del GDPR ha fatto sì che emergessero numerose posizioni sul punto.

E infatti, un primo orientamento propende per attribuire all’Organismo di Vigilanza il ruolo di titolare del trattamento ai sensi dell’art. 4, n. 7 del GDPR, in considerazione del fatto che “gli autonomi poteri di iniziativa e di controllo” tipici dell’OdV risulterebbero coincidenti con le facoltà “determinare le finalità e i mezzi del trattamento di dati personali” riconosciute al Titolare del trattamento dei dati;

Secondo un diverso orientamento si ritiene che i compiti dell’Organismo di Vigilanza potrebbero essere assimilati a quelli del Data Processor, ai sensi dell’art. 28 del GDPR, intervento pertanto come un operato che fornisce servizi per conto dell’ente: secondo questa teoria, l’OdV non determinerebbe le finalità e i mezzi del trattamento di dati personali, compito che rimarrebbe nell’alveo dei doveri dell’ente, ma si occuperebbe esclusivamente di porre in essere quelle attività preventivamente determinate e stabilite dall’organizzazione.

Da ultimo, il terzo orientamento muove dall’assunto per cui l’OdV non potrebbe essere qualificato né come Controller né come Processor, costituendo perciò un tertium genus. Dovendo considerare l’Organismo come un soggetto appartenete all’organigramma dell’ente, secondo tale interpretazione, i componenti dell’OdV (intesi come organo collegiale o come singoli membri) dovrebbero essere qualificati come “soggetti autorizzati” ai sensi dell’art. 2-quaterdecies, del D.Lgs. 101/2018, in base al quale “…il Titolare o il Responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità”.

L’intervento del Garante per la Protezione dei Dati Personali

In considerazione della mancata descrizione specifica delle competenze in capo all’OdV e a seguito dei numerosi autorevoli interventi in merito alle diverse teorie sulla qualificazione dell’Organismo in tema di adempimento di quanto previsto dal GDPR, si è reso necessario, a seguito di espressa richiesta di chiarimenti sulla questione, l’intervento del Garante per la Protezione dei Dati Personali.

Il suddetto Garante ha sostenuto che, nonostante la normativa in tema di responsabilità amministrativa degli enti riconosca ed individui autonomi poteri di iniziativa e di controllo in capo all’Organismo di Vigilanza, non potrà trovare accoglimento al tesi secondo cui l’Organismo possa ricoprire il ruolo di Titolare del trattamento ex GDPR, in considerazione del fatto che l’attività riconosciuta dall’art. 6 d.lgs. n. 231/2001 non prevede che vi sia una libera determinazione dell’organismo stesso, ma che la stessa debba essere individuata dall’organo dirigente.

L’OdV non potrà essere pertanto considerato come il responsabile del trattamento in ordine all’eventuale commissione di reati presupposto di cui al d.lgs. n. 231/2001, nel caso in cui non provveda al rispetto dei propri doveri di monitoraggio e controllo dell’ente, in considerazione della circostanza secondo cui lo stesso non gode dei poteri di natura ostativa rispetto ai soggetti agenti. Allo stesso modo, l’OdV non gode dei poteri di carattere disciplinare da adottare nei confronti degli autori degli illeciti, restando questi in capo all’ente e ai suoi vertici aziendali, a cui l’OdV deve riferire per l’adozione di eventuali sanzioni.

Conclusioni

In conclusione sul punto, deve evidenziarsi come il Garante per la Protezione dei dati Personali abbia precisato che il ruolo ricoperto dall’Organismo all’interno dell’organigramma aziendale, deve essere inteso come estendibile tanto all’organismo inteso in senso collegiale, quanto ad ogni singolo componente che, alla luce di quanto stabilito dal Regolamento in tema di trattamento dati, personali, deve essere espressamente autorizzato alla gestione del flusso dei dati che abbiano descritto precedentemente. In ragione di quanto affermato, risulta necessario che l’ente, alla luce dei doveri e dei compiti spettanti all’Organismo, autorizzi i singoli membri che lo compongono, quali soggetti autorizzati al trattamento dei dati personali, secondo quanto stabilità dal GDPR nonché dal Codice Privacy[5].

Da ultimo, nonostante l’intervento certamente illuminante del Garante per la Protezione dei Dati Personali, nel meccanismo aziendale, i due macro ingranaggi della disciplina della responsabilità amministrativa da reato e della disciplina in tema di trattamento dei dati personali risulta come un sistema complesso e labirintico, il cui filo d’Arianna potrà essere, fra gli altri strumenti, la pianificazione taylor made del lavoro dell’OdV e dei relativi modelli, una corretta divisione dei compiti nell’organigramma aziendale e (soprattutto) l’aver affidato le mansioni relative ai poteri di vigilanza e controllo a professionisti del settore.

Note

  1. “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’articolo 11 della legge 29 settembre 2000, n. 300” pubblicata in GU, Serie Generale, n. 140 del 19/06/2001 ed entrata in vigore il 04/07/2001.
  2. Per esigenze di sinteticità dell’elaborato non risulta opportuno ripercorrere il dibattito giurisprudenziale e dottrinale intorno alla natura della responsabilità introdotto con la riforma in esame. Per un approfondimento si veda C.E. Paliero, Dieci anni di “corporate liability” nel sistema italiano: il paradigma imputativo nell’evoluzione della legislazione e della prassi, in AA.VV., D.lgs. 231: dieci anni di esperienze nella legislazione e nella prassi, in Soc., 2011, n. spec., p. 5 ss.

    Ed ancora: G. De Vero, La responsabilità penale delle persone giuridiche, Giuffrè, Milano, 2008; di G.M. Garegnani, Etica d’impresa e responsabilità da reato, Giuffrè, Milano, 2008; di R. Guerrini, La responsabilità da reato degli enti, Giuffrè, Milano, 2006.

  3. L’autonomia, in particolare, va interpretata nel senso che “la posizione dell’OdV nell’ambito dell’ente deve garantire l’autonomia dell’iniziativa di controllo da ogni forma di interferenza o condizionamento da parte di qualunque componente dell’ente e, in particolare, dell’organo dirigente”. L’indipendenza, invece, è assicurata dall’obbligo, in capo all’organo dirigente, di approvare adeguate di risorse finanziarie, anche eventualmente su proposta dell’OdV stesso, della quale quest’ultimo potrà disporre per assolvere ai propri doveri. L’indipendenza presuppone che i membri dell’OdV – nel loro complesso – non si trovino in una posizione, neppure potenziale, di conflitto d’interessi con la società, né siano titolari all’interno della stessa di funzioni che potrebbero compromettere l’oggettività di giudizio in sede di verifiche sul rispetto del Modello. La giurisprudenza ha precisato nel tempo che principi di “autonomia” e di “effettività della vigilanza” vengono assicurati laddove i membri dell’OdV risultino provvisti dei requisiti di indipendenza, autonomia, continuità di azione e professionalità, in modo tale da evitare che sussista una forma di identità tra controllato e controllante (Cass. Sez. Unite n. 38343/2014).
  4. L’articolo 6 prosegue poi con il comma 2-bis: “I modelli di cui alla lettera a) del comma 1 prevedono: a) uno o più canali che consentano ai soggetti indicati nell’articolo 5, comma 1, lettere a) e b), di presentare, a tutela dell’integrità dell’ente, segnalazioni circostanziate di condotte illecite, rilevanti ai sensi del presente decreto e fondate su elementi di fatto precisi e concordanti, o di violazioni del modello di organizzazione e gestione dell’ente, di cui siano venuti a conoscenza in ragione delle funzioni svolte; tali canali garantiscono la riservatezza dell’identità del segnalante nelle attività di gestione della segnalazione; b) almeno un canale alternativo di segnalazione idoneo a garantire, con modalità informatiche, la riservatezza dell’identità del segnalante; c) il divieto di atti di ritorsione o discriminatori, diretti o indiretti, nei confronti del segnalante per motivi collegati, direttamente o indirettamente, alla segnalazione; d) nel sistema disciplinare adottato ai sensi del comma 2, lettera e), sanzioni nei confronti di chi viola le misure di tutela del segnalante, nonché di chi effettua con dolo o colpa grave segnalazioni che si rivelano infondate”. E ancora con il comma 2-ter: “L’adozione di misure discriminatorie nei confronti dei soggetti che effettuano le segnalazioni di cui al comma 2-bis può essere denunciata all’Ispettorato nazionale del lavoro, per i provvedimenti di propria competenza, oltre che dal segnalante, anche dall’organizzazione sindacale indicata dal medesimo”.
  5. L’art. 2- quaterdecies (Attribuzione di funzioni e compiti a soggetti designati) del d.lgs n. 196/2003 e ss. mod espressamente afferma: “Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità. Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta”.

Digital event, 24 giugno
Forum PA > La sicurezza informatica delle istituzioni pubbliche per la resilienza del sistema paese
Sicurezza
Disaster recovery
@RIPRODUZIONE RISERVATA
Giacomo Sabbatini
avvocato
Seguimi su

Articolo 1 di 5