Il ruolo privacy dell’Organismo di Vigilanza nel Modello 231.

Brevi Osservazioni a margine del Parere dell’Autorità Garante

per la Protezione dei Dati Personali del 12 maggio 2020

Di LUIGI SPETRILLO

Sommario: 1) Premessa; 2) I flussi informativi ed il whisteblowing nel modello 231; 3) Il ruolo dell’Organismo di Vigilanza e la sua qualificazione soggettiva a seguito dell’entrata in vigore del Regolamento UE 2016/679, “Regolamento Generale per la Protezione dei Dati Personali”. Le diverse tesi a confronto; 4) Il parere del Garante; 5) I componenti dell’OdV come incaricati del trattamento dei dati personali.

• Premessa

Con parere  pubblicato il 12 maggio 2020, l’Autorità Garante per la Protezione dei Dati Personali ha stabilito che l’Organismo di Vigilanza (OdV) previsto dall’art. 6 d.lgs n. 231/2001 << pur essendo dotato di autonomi poteri di iniziativa e controllo, non possa essere considerato autonomo titolare del trattamento (art. 4, n. 7 del Regolamento), considerato che i compiti di iniziativa e controllo propri dell’OdV non sono determinati dall’organismo stesso, bensì dalla legge che ne indica i compiti e dell’organo dirigente che nel modello di organizzazione e gestione definisce gli aspetti relativi al funzionamento compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza 8 art. 6 commi 1 e 2 d.lgs n. 231/2001)>>.

Qualche rigo più avanti il Garante ha poi precisato << che, tenuto conto l’OdV non è distinto dall’ente, ma è parte dello stesso, si ritiene che – valutate anche le attribuzioni e le caratteristiche indicate nell’art. 6 d.lgs n. 231/2001 – non possa essere considerato responsabile del trattamento, inteso come soggetto chiamato ad effettuare un trattamento per conto del titolare ovverosia una persona giuridicamente distinta dal Titolare, ma che agisce per conto di quest’ultimo, secondo le istruzioni impartite dal titolare>>.

Il parere è stato reso dal Garante a seguito di richiesta formulata dall’Associazione dei Componenti degli Organismi di Vigilanza (AODV 231), in ordine al “ruolo privacy” ricoperto dall’OdV nella gestione dei flussi di informazioni rilevanti da esso ricevuti, ai sensi dell’art. 6 co 1 e 2 d.lgs. n. 231/2001.

Dal perimetro della richiesta, è rimasto invece escluso qualsiasi riferimento alla qualificazione soggettiva dell’OdV rispetto alle segnalazioni ricevute dallo stesso nell’ambito della normativa di whistleblowing.

La pronuncia del Garante, pur lasciando scoperti alcuni aspetti, mostra diversi profili di interesse, specie con riferimento ai caratteri di autonomia e di indipendenza dell’OdV; due requisiti ritenuti dalla dottrina e dalla giurisprudenza come elementi fondamentali per garantire un efficace e proficua attività dell’organismo di vigilanza^[1].

• I flussi informativi ed il whisteblowing nel modello 231.

Il d.lgs  8 giugno 2001 n. 231, recante “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’articolo 11 legge 29 settembre 2002”, individua gli enti indicati all’articolo 1 come autonomi centri di imputazione di responsabilità per taluno dei reati presupposto di cui agli artt. 24 e ss d.lgs n. 231/2001, commessi, nell’interesse o vantaggio dell’ente, da parte di soggetti apicali o oppure da soggetti sottoposti alla direzione o vigilanza dei vertici dell’ente.

Superando l’anacronistico brocardo “societas delinquere non potest” il Legislatore, con il d.lgs n. 231/2001, ha introdotto un articolato sistema di prevenzione e di repressione della criminalità d’impresa, comprensivo sia di norme sostanziali che procedurali, funzionalmente teso a regolarizzare tutti gli aspetti della responsabilità da reato delle persone giuridiche.^[2]

Il d.lgs n. 231/2001, pur senza porre obblighi, mira a stimolare comportamenti virtuosi da parte degli enti, mediante l’adozione dei modelli di gestione ed organizzazione aziendale.

L’art. 6 d.lgs n. 231/2001 prevede una clausola di esonero da responsabilità qualora gli enti abbiano adottato ed attuato, prima della commissione del reato presupposto, dei modelli di organizzazione e di gestione idonei alla prevenzione di reati della stessa specie di quello verificatisi.

Viceversa, l’adozione postuma di un modello da parte dell’ente, successiva alla commissione di un fatto di reato, comporta una sensibile riduzione delle sanzioni pecuniarie in danno dell’ente, ai sensi dell’art. 12 d.lgs n. 231/2001, nonché la non applicazione delle misure interdittive, ex art. 17 co 1 lett. b), qualora il modello organizzativo adottato sia giudicato idoneo alla prevenzione di reati della stessa specie di quello verificatosi.

La vigilanza sul funzionamento e sull’osservanza dei modelli organizzativi adottati è affidata all’Organismo di Vigilanza (OdV).

L’OdV, che può avere composizione sia collegiale che monocratica, ed i cui membri possono essere sia soggetti interni che esterni all’ente^[3], deve essere in grado di agire libero da ogni forma di interferenza e condizionamento dagli dirigenziali e di controllo dell’ente vigilato, evitando situazioni di conflitto di interessi, anche potenziale, con le figure di vertice.

L’esercizio della funzione di vigilanza sulla corretta applicazione dei modelli è strettamente legata alle informazioni in possesso dell’OdV, dal momento che le stesse pongono l’organismo in condizioni tali da gestire eventuali situazioni di rischio di verificazione di un reato presupposto.

Allo stesso tempo, le informazioni ricevute, consentono all’OdV di confrontarsi, in maniera informata, con i componenti degli organi amministrativi e di controllo dell’ente.

A tal fine, l’art. 6 co 2 lett. d) d.lgs n. 231/2001 prevede che i Modelli organizzativi debbano prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e sull’osservanza dei modelli.

In base ai destinatari delle comunicazioni è possibile distinguere tra i flussi informativi verso l’OdV (provenienti cioè dagli organi societari nonché da coloro che operano nelle aree di maggior rischio dell’ente) ed i flussi informativi dall’OdV (cioè diretti agli organi di controllo).

Particolarmente importanti sono i flussi informativi periodicamente diretti all’OdV, i quali, se opportunamente strutturati, consentono all’Organismo di Vigilanza di acquisire numerosi conoscenze sulle vicende dell’ente, decisamente rilevanti in termini di "compliance".

I flussi informativi periodici destinati all’OdV possono essere di varia natura e sono indissolubilmente condizionati dalle dimensioni dell’ente e dall’attività da esso svolta.

Gli stessi, infatti, possono consistere in informazioni proveniente da soggetti che operano in aree a rischio reato (per es. mediante la trasmissione di report riepilogativi dell’attività svolta, monitoraggi, relazioni con cadenza mensile, indici consuntivi) nonché informazioni provenienti dagli organi amministrativi e di controllo afferenti le attività dell’ente, nonché, qualora ricorrano, eventuali problematiche la cui soluzione richieda un necessario aggiornamento del modello organizzativo.

Queste informazioni consentono all’OdV di effettuare una serie di accertamenti e di valutazioni, come per esempio la verifica del funzionamento dei presidi di sicurezza sul lavoro, oppure l’analisi degli eventi maggiormente significativi in termini di potenziale rischio di commissione di reati nonché eventuali indici di anomalia.

I flussi informativi, potrebbero afferire anche notizie relative l’applicazione, interpretazione o la mancata ottemperanza delle regole contenute nel modello organizzativo o nel codice etico eventualmente adottato.

L’OdV, infatti, potrebbe essere notiziato di fatti, atti, eventi od omissioni, relativi alla non osservanza o violazione delle prescrizioni del Modello Organizzativo o del Codice Etico, indicativi di eventuali reati presupposto, la cui commissione potrebbe determinare una responsabilità dell’ente.

Tali informazioni, per esempio, potrebbero riguardare l’adozione di pratiche non conformi alle regole comportamentali del modello organizzativo; eventuali ordini o direttive impartite dal superiore gerarchico ritenute in contrasto con la legge o con le regole interne; eventuali richieste o offerte di denaro o altre utilità provenienti da o di altre utilità provenienti da pubblici ufficiali o incaricati di pubblico servizio; eventuali omissioni, trascuratezza o falsificazioni nella tenuta delle scritture contabili o nella loro conservazione.

Tutte queste informazioni consentono all’OdV di vigilare efficacemente sulla corretta attuazione del modello, sull’adozione di eventuali interventi correttivi nonché di segnalare gli eventuali fattori di rischio agli organi di amministrazione e di controllo dell’ente.

Il compendio informativo a disposizione dell’OdV, inoltre, può essere arricchito dalle segnalazioni pervenute mediante la procedura di “whistleblowing”.

Non di rado, infatti, i modelli 231 prevedono la creazione di apposite caselle e-mail destinate alle ricezione delle segnalazioni in merito a presunte violazioni delle disposizioni del modello stesso e delle procedure, garantendo l’anonimato del segnalante^[4].

 La materia del whistleblowing è attualmente disciplinata in Italia dalla Legge 30 novembre 2017, n. 179, cui si sono affiancate varie norme di settore.^[5]

La L. 179/2017 si compone di tre articoli: il primo, dedicato alla tutela del dipendente pubblico che segnala illeciti; il secondo, dedicato alla tutela del dipendente o del collaboratore che segnala illeciti nel settore privato, ha introdotto nell’art. 6 del d.lgs. n. 231/2001 un apparato di misure dedicate al “whistleblower” nel settore privato e, infine, il terzo relativo all’obbligo di segreto d’ufficio, professionale, scientifico o aziendale.

Con riferimento al settore privato, la L. 179/2017 dispone che i Modelli di organizzazione e di gestione prevedano uno o più canali che consentano ai soggetti di cui all’art. 5, comma 1, lett. a) e b) d.lgs n. 231/2001, di presentare segnalazioni circostanziate di condotte illecite, fondate su elementi di fatto precisi e concordanti, o violazioni dei Modelli di cui il segnalante sia venuto a conoscenza in ragione delle funzioni svolte; tutto ciò garantendo la riservatezza dell’identità del “whistleblower” nelle attività di gestione della segnalazione.

Quanto ai requisiti di operatività di tali sistemi, la L. 179/2017 impone l’adozione di canali di segnalazione che garantiscano la riservatezza dell’identità del segnalante e almeno uno dei quali consenta di effettuare segnalazioni con modalità informatiche.

Oltre al divieto di atti di ritorsione o discriminatori nei confronti del "whistleblower", per motivi collegati, direttamente o indirettamente, alla segnalazione, i Modelli devono stabilire adeguate sanzioni nei confronti di chi violi le misure di tutela del segnalante e di chi effettui (con dolo o colpa grave) segnalazioni che si rivelino infondate.

Infine, si segnala che la normativa “whisteleblowing” sarà oggetto di un “restyling”, in attuazione della Direttiva (UE) 2019/1937 “riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione il cui scopo è quello di stabilire norme minime comuni volte a garantire un elevato livello di protezione delle persone che segnalano violazioni del diritto dell’Unione in specifici settori^[6].

• Il ruolo dell’Organismo di Vigilanza e la sua qualificazione soggettiva a seguito dell’entrata in vigore del Regolamento UE 2016/679, “Regolamento Generale per la Protezione dei Dati Personali”. Le diverse tesi a confronto.

La ricezione dei flussi informativi nonché delle segnalazioni di “whistleblowing”, consentono all’OdV di ricevere numerosi dati ed informazioni.

Quest’afflusso informativo impone alcune riflessioni in merito ad un loro adeguato trattamento, specialmente con riferimento al ruolo assunto dall’OdV nell’ambito delle figure soggettive previste dalla normativa in materia di trattamento dei dati personali, di cui al Regolamento UE 2016/679 (Regolamento) ed al d.lgs n. 196/2003 (Codice Privacy) modificato dal d.lgs n. 101/2018.

L’art. 4 lett. a) Regolamento definisce il dato personale come <<qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale>>.

All’interno della categoria dei dati personali vi sono poi i dati particolari (definiti prima dell’entrata in vigore del Regolamento come dati sensibili) previsti dall’art. 9 Regolamento, e che consistono ne  << l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona>>  nonché quelli previsti dall’art. 10 Regolamento relativi alle << alle condanne penali e ai reati>>.

I dati personali possono essere oggetto di trattamento, definito dall’art. 4 par.2 Regolamento, come <<qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione>>.

Dalle operazioni di trattamento sono esclusi i dati particolari di cui all’art. 9 Regolamento, salvo le ipotesi derogatorie di cui al paragrafo 2 e successivi^[7], mentre per i dati “giudiziari” indicati dall’art. 10 Regolamento <<deve avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati>>.

Nell’ambito delle attività di trattamento, il Regolamento individua diverse figure soggettive, che compongono la cd “filiera del trattamento”, ed essi sono il titolare del trattamento, definito dall’art. 4 par. 7 Regolamento come << la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali >>.

Alla figura del titolare segue poi quella del responsabile del trattamento, definito dall’art. 4 par. 8 Regolamento come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento >>.

Il titolare, dunque, è il soggetto su cui ricadono le decisioni di fondo relativamente alle finalità ed alle modalità del trattamento dei dati personali degli interessati che, nell’ambito della predisposizione delle misure tecniche e organizzative volte a soddisfare i requisiti stabiliti dal Regolamento, anche sotto il profilo della sicurezza, può ricorrere ad uno o più responsabili, individuati tra soggetti particolarmente qualificati per lo svolgimento di alcune attività di trattamento. ^[8]

Il responsabile svolge attività per conto del titolare agendo sulla base di finalità eterodeterminate dal titolare e nell’interesse di questo e, nell’ambito delle attività allo stesso delegate, è tenuto ad agire attenendosi alle istruzioni impartite dal titolare del trattamento.

Subordinato alla figura del responsabile vi è poi l’incaricato del trattamento, che invece, non è espressamente prevista dal GDPR, ma rientra tra le <<persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile >> e che << sia stato istruito in tal senso dal Titolare>> così come prescritto dagli artt. 28 e 29 Regolamento.

 A ciò si aggiunge che è riconosciuta al titolare o al responsabile la facoltà di prevedere “sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento dei dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità” così come sancito dall’art. 2-quaterdecies Codice Privacy.

Orbene, calando questi principi nell’ambito dell’attività dell’OdV, appare chiaro che quest’ultimo, per lo svolgimento dei suoi compiti, è chiamato al confronto con diverse categorie di dati personali, anche di carattere particolare, come per es. una condanna penale inflitta ad uno dei dipendenti dell’ente, pervenuta all’OdV mediante i flussi informativi.

Volendo essere schematici, l’OdV tratta dai personali derivanti dalle seguenti attività:

• i flussi informativi previsti dagli “obblighi di informazione nei confronti” dell’OdV, “deputato a vigilare sul funzionamento e l’osservanza dei modelli” (art. 6, c. 2, lett. d) d.lgs. 231/2001);
• i risultati delle attività di vigilanza effettuata;
• le segnalazioni di fatti che potrebbero configurarsi quali ipotesi di reato imputabili all’ente, anche noti come “whistleblowing”, nell’ambito dei compiti di controllo e vigilanza demandati dalla normativa in esame.

L’afflusso di questo patrimonio informativo, unitamente al quadro delle figure soggettive delineate dal Regolamento UE e dal Codice Privacy, ha visto sorgere diversi interrogativi su quali sia la posizione soggettiva dell’OdV e dei suoi membri in ambito di trattamento dei dati personali, e se gli stessi debbano essere qualificato come titolare, responsabile o soggetto incaricato.

Sul punto sono emerse diverse posizioni, che qui si riassumono.

Una prima posizione, qualifica l’OdV come titolare del trattamento.

Tale tesi, richiama gli “autonomi poteri di iniziativa e di controllo”, di cui è solito detentore il Titolare del Trattamento^[9] e, che, sono specificatamente previsti dalla legge, art. 6 co 1 lett. b) d.lgs n. 231/2001, per l’Organismo di Vigilanza.

Da ciò ne consegue che l’espressa previsione di un potere decisionale del tutto autonomo sulle finalità investigative e di vigilanza e sulle modalità di trattamento, ivi compreso il profilo della sicurezza, anche in mancanza di un’ autonoma soggettività giuridica in capo all’OdV, confermerebbe che il “potere decisionale” effettivo sui dati personali utilizzati nell’ambito della propria attività, valga a qualificare l’autonoma titolarità dell’OdV, condizione necessaria e imprescindibile per il corretto adempimento degli obblighi e delle attività imposte a tale organo.

Una seconda tesi, invece, qualifica l’OdV come responsabile del trattamento.

Questa posizione richiama la specifica nozione di responsabile del trattamento dati, e cioè il soggetto che  tratta i dati personali per conto di un titolare del trattamento.

Ed invero, le finalità del trattamento dei dati ricevuti dall’OdV non sono autonomamente determinati dallo stesso, come potrebbe fare un titolare del trattamento dei dati, ma sono assunte direttamente dal responsabile del trattamento e declinate nel modello di organizzazione, gestione e controllo adottato dall’organo dirigente ai sensi dell’art. 6 d.lgs n. 231/2001^[10].

La propensione per la prima (OdV come Titolare del trattamento dati) e la seconda (OdV come Responsabile del trattamento dati) non ha risvolti esclusi mante teorici, ma anche di carattere pratico.

Ed invero, la normativa "privacy" stabilisce diversi obblighi a carico del Titolare, e, sia pure in misura minore, al Responsabile (da un'informativa autonoma ad apposite misure tecniche ed organizzative, dalla tenuta di distinti registri dei trattamenti, sino, potenzialmente, all'effettuazione di ulteriori valutazioni di impatto ed alla nomina di un proprio Data Protection Officer).

Nel caso in cui tali obblighi siano posti anche all'Odv, questi adempimenti si tradurrebbero in una duplicazione di quanto già fatto  dalla società vigilata in attuazione della disciplina sulla “privacy”, con il rischio di interferenze reciproche e con la certezza di un aggravio di costi per l'ente vigilato: il tutto senza alcuna garanzia di un corrispondente miglioramento della "compliance" aziendale^[11], anzi, con un appesantimento (rectius burocratizzazione eccessiva) dell’operato dei meccanismi di vigilanza e controllo.

Una terza posizione, invece, portata avanti dalla stessa associazione dei componenti degli organismi di vigilanza, faceva riferimento ad una tesi “innovativa” rispetto alle precedenti.

Secondo questa tesi l’OdV si trova è in un rapporto di immedesimazione organica con l’ente vigilato.

Pertanto, l’OdV non figurerebbe né come Titolare né come Responsabile del trattamento e nemmeno come soggetto incaricato al trattamento dal Responsabile^[12].

Lo studio promosso dalla !”AODV 231”, infatti, evidenzia che, sulla base del <<carattere essenzialmente interno dell’OdV rispetto all’ente>>  nonché << del carattere “autonomo” e “funzionale” >> delle nozioni di Titolare e di Responsabile, così come precisate nel Regolamento UE, si possa sostenere che l’Organismo di Vigilanza, <<in quanto parte dell’impresa, non sia qualificabile né come Titolare né come Responsabile né, infine, come soggetto “designato” ma, in definitiva, resti assorbito da quello dell’Ente/società vigilata della quale è parte>>”^[13].

Contemporaneamente, è altresì emersa una quarta tesi, che, in antitesti con quella propugnata dall’AOdV 231, sostiene un ruolo dei membri dell’Organismo di Vigilanza come soggetti incaricati del trattamento.

Ed invero, escludere l’Organismo di Vigilanza dal novero delle figure ammesse al trattamento dei dati personali, si porrebbe in netto contrasto con la disciplina in materia di protezione dei dati personali, dal momento che la stessa tende alla tutela sostanziale del diritti e delle libertà delle persone fisiche e, dunque, “alla difesa sostanziale, da pericoli e rischi per tali diritti e libertà.

 Ne deriverebbe l’impasse o, quanto meno, il problema generato dalla difficoltà di istruire e regolamentare il trattamento di dati personali da parte di un soggetto interno ad una realtà aziendale e che pertanto, senza una precisa qualificazione, opererebbe senza i vincoli richiesti dalla normativa.

Poiché chiunque tratti dati personali deve essere debitamente autorizzato e correttamente istruito nel trattamento, a fini di garanzia e tutela del soggetto interessato, dei suoi diritti e libertà, la tesi in esame propende dunque per una specifica autorizzazione a ciascun membro dell’Organismo, che vincoli efficacemente il soggetto attivo del trattamento, seppure con attente cautele dovute allo specifico ruolo rivestito^[14].

• Il parere del Garante.

Compulsato dall’Associazione dei componenti degli organismi di vigilanza, in relazione a quale il ruolo privacy dell’OdV nella gestione dei flussi di informazioni rilevanti ricevuti dall’Organismo, ex art. 6 co 1 e 2 d.lgs. n. 231/2001, il Garante Privacy ha dato la seguente risposta: << pur essendo dotato di autonomi poteri di iniziativa e controllo, non possa essere considerato autonomo titolare del trattamento (art. 4, n. 7 del Regolamento), considerato che i compiti di iniziativa e controllo propri dell’OdV non sono determinati dall’organismo stesso, bensì dalla legge che ne indica i compiti e dell’organo dirigente che nel modello di organizzazione e gestione definisce gli aspetti relativi al funzionamento compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza 8 art. 6 commi 1 e 2 d.lgs n. 231/2001)>>.

Il Garante, inoltre, nel rendere il suo parere, non si è soffermato solo sugli aspetti relativi al trattamento dei dati personali, ma si è anche dilungato su aspetti che riguardano la responsabilità penale e civile dei componenti dell’OdV.

Ed invero, con riferimento alla responsabilità penale^[15], il Garante ha affermato che alcuna imputazione per omessa attività di controllo possa essere ascritta nei confronti dei componenti dell’OdV in ordine all’eventuale commissione di uno dei reati presupposto di cui al d.lgs. n. 231/2001.

L’OdV, infatti, pur avendo funzioni di vigilanza e controllo, non è dotato di alcun potere impeditivo nei confronti degli eventuali autori del reato.

Da ciò ne consegue che, anche in caso di inerzia dell’OdV, eventuali responsabilità ricadranno solo sugli autori del reato ai sensi dell’art. 5 d.lgs n. 231/2001, nonché sull’ente, il quale, non potrà avvalersi della scriminante prevista dall’art. 6, comma 1, d.lgs. n. 231/2001.

Inoltre, sempre nell’ambito dei poteri di vigilanza e controllo dell’OdV, il Garante rileva che l’Organismo non ha l’obbligo di denunciare all’Autorità giudiziaria gli eventuali illeciti di cui viene a conoscenza nell’esercizio delle sue funzioni, né l’organismo è investito di poteri disciplinari nei confronti degli autori degli illeciti, dal momento che entrambi i poteri rimangono in capo all’ente

Per quanto riguarda la responsabilità civile, invece, resta ferma, invece, la responsabilità di natura contrattuale dell’OdV nei confronti dell’ente per inadempimento delle obbligazioni assunte con il conferimento dell’incarico^[16].

Quanto poi alla posizione dell’OdV nell’ambito della struttura dell’ente, il Garante ha stabilito che l’Organismo di Vigilanza, non essendo distinto dall’ente, è parte dello stesso.

Sulla base di ciò, il Garante ha ritenuto che l’OdV non possa essere considerato come responsabile del trattamento dei dati personali, inteso come il soggetto chiamato ad effettuare un trattamento “per conto del titolare”, ovverosia una “persona giuridicamente distinta dal Titolare, ma che agisce per conto di quest’ultimo” secondo le istruzioni impartite dal titolare.

Peraltro, il GDPR, pur non modificandone l’essenza, ha, comunque, introdotto delle novità in ordine alla figura del responsabile del trattamento, prevedendo, in funzione della gestione dei dati svolta per conto del titolare, una serie di obblighi ed una specifica responsabilità in ordine all’individuazione di idonee misure tecniche e organizzative adeguate al rischio.

La responsabilità dell’inosservanza di tali obblighi e dei relativi adempimenti rimane in capo direttamente allo stesso responsabile, nei confronti del quale possono essere adottati provvedimenti correttivi e sanzionatori in ordine al trattamento dei dati che svolge per conto del titolare. Diversamente, eventuali omessi controlli in ordine all’osservanza dei modelli predisposti dall’ente non ricadono sull’OdV ma sull’ente stesso che non potrà, in tal caso, avvalersi della scriminante prevista dall’art.6, comma 1, d.lgs. n. 231/2001.

Sulla base di queste valutazioni, il Garante ritiene che l’OdV, nel suo complesso, a prescindere dalla circostanza che i membri che lo compongano siano interni o esterni, debba essere considerato “parte dell’ente”. 

Ed invero, il ruolo dell’Organismo di Vigilanza, si svolge nell’ambito dell’organizzazione dell’ente, titolare del trattamento, che, attraverso la predisposizione dei modelli di organizzazione e di gestione, definisce il perimetro e le modalità di esercizio di tali compiti.

Tale posizione, si intende ricoperta dall’OdV nella sua collegialità.

Tuttavia, non può prescindersi dalla necessità di definire anche il ruolo che, in base alla disciplina in materia di protezione dei dati personali, deve essere previsto per i singoli membri che lo compongono.

 Lo stesso ente, in ragione del trattamento dei dati personali che l’esercizio dei compiti e delle funzioni affidate all’OdV comporta (ad esempio, l’accesso alle informazioni acquisite attraverso flussi informativi), designerà i singoli membri dell’OdV quali soggetti autorizzati.

Tali soggetti, in relazione al trattamento dei dati degli interessati, dovranno attenersi alle istruzioni impartite dal titolare affinché il trattamento avvenga in conformità ai principi stabiliti dall’art. 5 del GDPR.

Lo stesso titolare sarà tenuto ad adottare le misure tecniche e organizzative idonee a garantire la protezione dei dati trattati, assicurando contestualmente all’OdV l’autonomia e l’indipendenza rispetto agli organi di gestione societaria nell’adempimento dei propri compiti secondo le modalità previste dalla citata normativa.

• I componenti dell’OdV come incaricati del trattamento dei dati personali.

Il parere della Garante della Privacy colloca i componenti dell’OdV nella categoria degli incaricati del trattamento dei dati personali, e cioè quelle persone autorizzate al trattamenti dei dati sotto la diretta autorità del Titolare o del Responsabile ai sensi dell’art. 4 , par. 10 Regolamento.

L’incaricato, detto anche autorizzato, è la persona fisica che effettua materialmente le operazioni di trattamento dei dati personali.

Pertanto, alla luce di quanto affermato dal Garante, nell’ambito della ricezione dei flussi informativi di cui all’art. 6 d.lgs n.231/2001, i membri dell’OdV, nell’ambito della gestione dei dati personali percepiti, operino come soggetti  incaricati del trattamento, che dovranno agire secondo le direttive impartite dal Titolare o dal Responsabile.

Anche se l’art. 29 Regolamento non lo prevede espressamente, è opportuno che i membri dell’OdV siano nominati incaricati del trattamento mediante apposito atto di nomina.

Con tale atto, si autorizza i membri dell’OdV al trattamento dei dati personali, specificando che gli stessi agiranno sotto la diretta autorità del Titolare o il Responsabile.

Inoltre, all’atto di nomina potranno essere allegate apposite istruzioni o linee guida in ordine al trattamento dei dati personali.

Il Titolare o il Responsabile saranno quindi tenuti a fornire ai componenti dell’OdV (dal momento che gli stessi agiranno come incaricati del trattamento dati) adeguate istruzioni circa le operazioni di trattamento dei dati^[17], al fine di delimitare in maniera chiara e precisa l’operato dell’incaricato, indicando quali siano i comportamenti corretti da tenere all’interno dell’ente e quali siano invece quelli contrari alla normativa “privacy”.

Tali istruzioni non sono implicitamente rimandabili da parte del titolare o dal responsabile del trattamento a mansionari, organigrammi o contratti, al contrario devono essere chiaramente impartite

Inoltre, i componenti dell’OdV dovranno anche essere adeguatamente formati alla disciplina “privacy”.

La formazione degli incaricati, infatti, costituisce un utile strumento per dare all’attività dell’ente un indirizzo in ottica "privacy", eliminando o correggendo eventuali atteggiamenti e comportamenti errati messo in atto dagli stessi, che spesso possono creare problemi seri in termini di sicurezza.

Orbene, appare chiaro che la qualificazione dei componenti dell’OdV in termini di “incaricato al trattamento dei dati” comporterebbe una parziale perdita dell’autonomia e dell’indipendenza dei componenti dell’organismo di vigilanza, quantomeno con riferimento al trattamento dei dati personali.

Il parere sembrerebbe quindi delineare una configurazione ancipite dell’organismo di vigilanza, da un lato organo autonomo ed indipendente nello svolgimento delle sue funzioni di vigilanza e di controllo e contemporaneamente, per quanto riguarda il trattamento dei dati personali, organo facente parte della struttura dell’ente subordinato agli organi direttivi in materia di trattamento dei dati personali.

Questo parziale sovvertimento dei rapporti tra controllore e controllato è da valutare con grande attenzione e prudenza, evitando che il parere del Garante possa costituire un punto di partenza per rivedere i caratteri di autonomia ed indipendenza dell’OdV.

 NOTE:

[1] In giurisprudenza si veda Cass. Pen. Sez II, 9/12/2016, n. 52316;  Cass. Pen. Sez. V, 30/01/2014, n. 4677, con nota di SANTANGELO “Prevenzione del rischio di commissione di aggiotaggio ed "elusione fraudolenta" del modello organizzativo ai sensi del d.lgs. n. 231/01: un'interessante pronuncia della Corte di Cassazione” in www.penalecontemporaneo.it; Corte di Appello di Firenze, 16/12/2019 (ud. 20 giugno 2009), n. 3733, con nota di PEZZANO “Sulla composizione dell’Organismo di Vigilanza. Nota di commento alla sentenza di appello sulla strage di Viareggio” in Giurisprudenza Penale Web, 2020, 3;  Corte di Assise di Appello di Torino, 28/02/2013, n. 6.; Gip Roma 4/04/2003 in Cass. Pen. 2003, 2803 ss; Gip Milano, 20/09/2004, in Guida al dir. 2004, 47, 69 ss, Gip Napoli, 26/06/2007.

In dottrina si veda AA. VV. “Diritto penale delle società – Accertamento delle responsabilità individuali e processo alla persona giuridica”a cura di CANZIO, CERQUA e LUPARIA, II, Vicenza, p.903;  Baruffi, in AA.VV., Il modello di organizzazione, gestione e controllo di cui al d.lgs. 231/2001. Profili metodologici e soluzioni operative, 2008, 368;  V. Pisani, I requisiti di autonomia e indipendenza dell’Organismo di Vigilanza istituito ai sensi del d.lgs. 231/2001, in La resp. amm. delle soc. e degli enti, 2008, 1, 159;  Bastia, in Lattanzi (a cura di), Reati e responsabilità degli enti. Guida al d.lgs. 8 giugno 2001, n. 231, 2005; Sfameni, in Alessandri (a cura di), Il nuovo diritto penale delle società, 2002, 95; Bramieri-Bagaglia-Firmani-Mifsud, La responsabilità amministrativa e penale delle imprese, 2008, 440; Sfameni, in Alessandri (a cura di), Il nuovo diritto penale delle società, cit., 95; Bernasconi, art. 6, in Presutti-Bernasconi-Fiorio, La responsabilità degli enti. Commento articolo per articolo al d.legisl. 8 giugno 2001, n. 231, 2008, 138; Martino-De Vivo, L’organismo di vigilanza previsto dal d.lgs. 231/2001: profili generali e principali problematiche applicative, in Il controllo nelle società e negli enti, 2005, 4-5, 389; Piergallini, Societas delinquere et puniri non potest: la fine tardiva di un dogma, in Riv. trim. dir. pen. ec., 2002, 593. Baruffi, in AA.VV., Il modello di organizzazione, gestione e controllo di cui al d.lgs. 231/2001. Profili metodologici e soluzioni operative, 2008, 377; MONTALENTI P., Organismo di vigilanza e sistema dei controlli, in Giur. comm., 2009, I, p. 643 ss; VIZZARDI, “Osservazioni sulla composizione dell'organismo di vigilanza ex d.lgs. 231/01. È opportuno che un membro del c.d.a. o un sindaco entrino a far parte dell'odv ?, in www.dirittopenalecontemporaneo.it; CARISSIMI, “La composizione dell’Organismo di Vigilanza, zone d’ombra e margini interpretativi”, in ambientaledigesta, n. 1, Gennaio-Febbraio 2017; VENTIMIGLIA, “L’organismo di vigilanza ex D.lgs n. 231/2001 nella realtà applicativa”in Diritto 24, 10/03/2020

Infine si veda Confindustria, “Linee guida per la costruzione dei modelli di organizzazione, gestione e controllo ai sensi del decreto legislativo 8 giugno 2001, n. 231”, Approvate il 7 marzo 2002 (aggiornate al marzo 2014).

[2] SANTISE – ZUINICA, “Coordinate ermeneutiche di diritto penale”, Torino, IV, 2018, p. 737 e ss.; AA. VV. “Diritto penale delle società – Accertamento delle responsabilità individuali e processo alla persona giuridica”a cura di CANZIO, CERQUA e LUPARIA, II, Vicenza, p.824.

[3] L’art. 6 co 4 d.lgs n. 231/2001, prevede che negli enti di piccole dimensioni i compiti dell’OdV possono essere assolti anche dall’organo dirigente.

Il successivo comma 4 bis prevede che nelle società di capitali, le funzioni di OdV possano essere svolte dai membri del collegio sindacale, dal consiglio di sorveglianza nonché dal comitato per il controllo della gestione.                                                            

 In ambito bancario, si evidenzia che la Banca di Italia, indica come soluzione preferibile quella di  attribuire la funzione di Organismo di Vigilanza all’organo di controllo, indipendentemente dalle dimensioni e dalle caratteristiche dell’organizzazione. In particolare, Banca d’Italia considera residuale (e comunque da giustificare) ogni altra soluzione, e quindi anche quelle che – contemperando competenze esterne ed interne all’ente – sono sempre state ritenute ottimali, in quanto coerenti con i requisiti di indipendenza e continuità di azione richiesti per l’Organismo di Vigilanza dal D. Lgs. 231/2001. Sul punto si veda la Circolare della Banca di Italia, n. 285 del 17 dicembre 2013, aggiornata il il 6 maggio 2014

[4] Sul punto si veda in particolare SILVETTI, CASTIELLO “ Le best practice per la disciplina del whisteblowing nel settore privato” in Quotidiano Giuridico 2018; CAMMARATA L., CAMMARATA L., FUMAGALLI, GALMARINI, GENSUSA “Check- Liste Whistleblowing: come pubblico e privato rafforzano i sistemi anticorruzione”, Padova, 2018; COPPOLA “Il whistleblowing la scommessa etica dell’anticorruzione” in Diritto penale e processo n. 4/2018;  FREDIANI “La delazione protetta quale diritto-dovere alla segnalazione d’allarme” in Il lavoro nella  giurisprudenza n. 3/2018 FRIGNANI “Finalmente una legge generale sul whistleblowing: luci ed ombre” in Il Diritto Industriale n. 1/2018.

[5] Il D.Lgs. 12/05/ 2015, n. 72 ha introdotto nel Testo Unico Bancario l’obbligo per le banche di adottare due canali di segnalazione delle violazioni, uno interno e uno esterno; il D.Lgs. 25/05/2017, n. 90 ha introdotto nel decreto antiriciclaggio una disciplina ad hoc per le segnalazioni, stabilendo delle garanzie di tutela per il segnalante e prevedendo un apposito canale di comunicazione; il D.Lgs. 3/08/2017, n. 129 che, relativamente al settore della market abuse, ha introdotto nel Testo Unico della Finanza due norme inerenti, rispettivamente, il c.d. whistleblowing interno e whistleblowing esterno; il D.Lgs. 21/05/2018, n. 68   ha disciplinato l’istituto nel settore assicurativo.

[6] Sul punto si veda CARINO, FALASCA, “La nuova direttiva europea in materia di whistleblowing”,in Diritto bancario, 12, 2019.

[7] Articolo 9 Trattamento di categorie particolari di dati personali

1. È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.
2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:
3. a) l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell'Unione o degli Stati membri dispone che l'interessato non possa revocare il divieto di cui al paragrafo 1;
4. b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato;
5. c) il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso;
6. d) il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l'associazione o l'organismo a motivo delle sue finalità e che i dati personali non siano comunicati all'esterno senza il consenso dell'interessato;
7. e) il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato; f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
8. g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato;
9. h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3; i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale;
10. j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell'articolo 89, paragrafo 1, sulla base del diritto dell'Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l'essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato.
11. I dati personali di cui al paragrafo 1 possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch'essa soggetta all'obbligo di segretezza conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti.
12. Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute.

[8] Le decisioni del titolare circa il trattamento dei dati personali deve basarsi sulla concreta determinazione delle finalità e degli strumenti del trattamento (purposes and means), dovendo valorizzare un approccio funzionale, volto a stabilire quale sia la ragione del trattamento effettuato e chi lo abbia iniziato, al precipuo scopo di individuare chi, in definitiva, abbia una effettiva influenza sugli aspetti decisionali del trattamento. Sul punto si veda l’ Opinion 1/2010 del gruppo di lavoro dei 29, oggi EDPB.

[9]Tesi sostenuta da R.IMPERIALI “Come trattare i dati soffiati” in www.aodv231.it; M.R. PERUGINI, “Organismi di vigilanza e controllo e ruoli privacy: valutazioni generali e prime considerazioni sui trattamenti del DPO”, in https://europrivacy.info.it/2017/01/09; N. QUILICI, “L'OdV: titolare o responsabile del trattamento?” in www.consulentelegaleinformatico.

[10] M. BARBAROSSA, “Il ruolo privacy dell’organismo di vigilanza: una soluzione poco convincente”, in www.riskcompliance.it.

[11] GIUFFRÈ, BARBOTTO, “Organismi di vigilanza: né titolari né responsabili privacy” in  Il Sole 24 ore, 20/05/2020,  Norme e Tributi.

[12] Sul punto si veda il Positioning paper emesso il 19 marzo 2019 dall’AOdV 231 redatto, con la consulenza dell’ex Garante Privacy Prof. Pizzetti, dall’Avv. Antonetto in relazione alla immedesimazione organica e pubblicato sul sito www.aodv231.it

[13] Ibidem.

[14] L. Bolognini, in Codice della Disciplina Privacy, Giuffrè Francis Lefebvre, 2019, pag. 224.

[15] In ordine alla responsabilità penale dei componenti degli OdV, si veda Cass. Pen., Sez. I., 20.01.2016, n. 18168, nonché  NAPOLETANO “Omesso impedimento del reato e illecito amministrativo dell’ente: quale responsabilità per l’Organismo di Vigilanza in caso di omesso o insufficiente controllo ?”  In Giurisprudenza Penale Web, 2020, 3; NISCO, “Responsabilità degli enti: riflessioni sui criteri ascrittivi soggettivi e sul nuovo assetto delle posizioni di garanzia nelle società”, in Riv. trim. dir. pen. econ., 2004, 317; GARGANI, “Imputazione del reato degli enti collettivi e responsabilità penale dell'intraneo: due piani irreali ?”, in Dir. pen. proc., 2002, 1061, 1066; con particolare riferimento, invece, al compito di vigilare sull'osservanza delle norme antiriciclaggio, ai seni dell'art. 57 d.lgs. n. 231/2007, si segnala un orientamento volto a riconoscere l'ipotesi di una responsabilità penale dell'O.d.V. ex art. 40 cpv. c.p., ANTONETTO, Il regime del rapporto e della responsabilità dei membri dell'Organismo di Vigilanza, in La responsabilità amministrativa delle società e degli enti, n. 1, 2008, 80; ROMOLOTTI, Prove di ingegneria , cit., 90; PEDRAZZI, “Corporate governante e posizioni di garanzia: nuove prospettive ?”, in A.A.V.V. Governo dell’impresa e mercato delle regole. Scritti giuridici per Guido Rossi, II, Giuffrè, Milano, 2002, p. 1375 e ss.

[16] BERTI, Profili di responsabilità civile dell’organismo di vigilanza istituito ai sensi del d.lg. n. 231/2001, in Resp. Civ., 2011, 7, 539;  ACIERNO, “ Modelli 231 senza scorciatoie”, in Sole 24 ore, 4/08/2014, Norme e Tributi;  “La coincidenza con i sindaci porta più responsabilità” in Sole 24 ore, 3/11/2014, Norme e tributi.

[17] Quanto al contenuto del documento da consegnare all’incaricato del trattamento, si segnala STEFANELLI, “Incaricati del trattamento dati e policy di sicurezza: doveri e limiti di operatività” in www.cybersecurity360.it  secondo cui il documento deve contenere:

• elenco dei compiti assegnatiall’incaricato;
• vincoli di riservatezza, limitazioni di accesso e divieti di comunicazione e/o diffusione;
• obblighi di comportamentoin termini di sicurezza secondo policy di sicurezza;
• modalità di comportamento in caso di incidenti di sicurezzache coinvolgano dati personali o particolari;
• modalità diraccolta, registrazione e conservazione dei dati sia cartacei che su supporto informatico;
• rispetto dei limiti impostisecondo le finalità del trattamento e rispetto alle proprie mansioni;
• comportamento dell’interessato in caso di modificadell’incarico o cessazione del rapporto;
• riferimenti normativi e obblighi di leggeal quale sottostare;
• firma per accettazionedell’incarico e clausole espresse;
• elenco dei permessi relativi ai trattamenti aziendali elettronicie cartacei in capo all’interessato con eventuale espressa limitazione in caso di cancellazione, modifica e distruzione.