Il Garante per la protezione dei dati personali, rispondendo ad una richiesta di parere inviata da AODV 231 – Associazione dei Componenti degli Organismi di Vigilanza ex d.lgs. 231/01 ha chiarito il ruolo dell’OdV, nell’ambito dello svolgimento delle funzioni di vigilanza, ai sensi della normativa applicabile in materia di protezione dei dati personali.
L’OdV nel suo complesso è “parte dell’ente”, non potendo dunque assumere il ruolo di titolare autonomo o di responsabile del trattamento, svolgendo piuttosto una funzione nell’ambito di organizzazione del titolare del trattamento attraverso la predisposizione e l’attuazione del MOGC. I singoli membri, siano essi interni o esterni, assumono pertanto il ruolo di soggetti autorizzati al trattamento, conformemente agli artt. 29 GDPR e 2-quaterdecies Cod. Privacy (in quanto designati a specifici compiti e funzioni), potendo trattare dati personali solamente negli ambiti definiti dalla legge dal MOGC.
I passaggi argomentativi più rilevanti, è bene notare, sono tutte le considerazioni compiute dal Garante dalle quali è possibile ricavare un approccio di metodo e alcuni spunti.
Il richiamo all’opinione 1/2010 dell’art.29WP sui concetti di responsabile e incaricato del trattamento, già utilizzato dall’EDPB e dall’EDPS, è infatti il documento cui ricorrere per individuare i criteri generali da impiegare per definire i ruoli nelle attività di trattamento dei dati personali (titolare, responsabile, autorizzato/incaricato).
Nel caso in esame, è stato considerato come escluso in linea di principio il ruolo di titolare autonomo del trattamento nelle ipotesi in cui tali trattamenti sono svolti per finalità specificamente determinate dalla legge e la cui determinazione dei mezzi è rimessa ad un diverso soggetto. Per l’OdV, la direzione dell’ente stabilisce infatti risorse, mezzi e misure di sicurezza attraverso il MOGC.
Inoltre, è escluso il ruolo di responsabile del trattamento per un soggetto che non è un outsourcer del titolare per lo svolgimento di operazioni di trattamento di dati personali. Dunque: se non può essere individuabile una distinzione rispetto al titolare del trattamento, ad esempio per quanto riguarda l’assetto organizzativo e le eventuali responsabilità ascrivibili per le attività svolte, non può ricorrere il ruolo di responsabile del trattamento ai sensi del GDPR.
Circa la qualifica di incarico è bene notare che l’operare sotto l’autorità del titolare o del responsabile del trattamento non esclude in via di principio che tale attribuzione possa essere riconducibile ad un membro “esterno”. La condizione ineliminabile è che tale soggetto abbia un vincolo di appartenenza all’organizzazione del titolare (o del responsabile), in modo tale che ogni compito e funzione relativo alle operazioni svolte sui dati personali è riconducibile ad un atto di organizzazione del titolare (o del responsabile) del trattamento.
Dall’intervento del Garante, infine, è evidente che solo attraverso un attento riferimento ad una valutazione concreta tanto del contesto quanto degli ambiti effettivi delle attività di trattamento svolte, con l’individuazione di responsabilità e poteri, è possibile distinguere in modo esatto e puntuale il ruolo assunto dai diversi soggetti ai sensi del GDPR.
