RISERVATEZZA DEI DATI

Su cosa vigila la vigilanza? Il parere del Garante per il trattamento dei dati

L’Organismo di Vigilanza è “parte dell’ente” e non può dunque assumere il ruolo di titolare autonomo o di responsabile del trattamento

Il Garante per la protezione dei dati personali, rispondendo ad una richiesta di parere inviata da AODV 231 – Associazione dei Componenti degli Organismi di Vigilanza ex d.lgs. 231/01 ha chiarito il ruolo dell’OdV, nell’ambito dello svolgimento delle funzioni di vigilanza, ai sensi della normativa applicabile in materia di protezione dei dati personali.

L’OdV nel suo complesso è “parte dell’ente”, non potendo dunque assumere il ruolo di titolare autonomo o di responsabile del trattamento, svolgendo piuttosto una funzione nell’ambito di organizzazione del titolare del trattamento attraverso la predisposizione e l’attuazione del MOGC. I singoli membri, siano essi interni o esterni, assumono pertanto il ruolo di soggetti autorizzati al trattamento, conformemente agli artt. 29 GDPR e 2-quaterdecies Cod. Privacy (in quanto designati a specifici compiti e funzioni), potendo trattare dati personali solamente negli ambiti definiti dalla legge dal MOGC.

I passaggi argomentativi più rilevanti, è bene notare, sono tutte le considerazioni compiute dal Garante dalle quali è possibile ricavare un approccio di metodo e alcuni spunti.

Il richiamo all’opinione 1/2010 dell’art.29WP sui concetti di responsabile e incaricato del trattamento, già utilizzato dall’EDPB e dall’EDPS, è infatti il documento cui ricorrere per individuare i criteri generali da impiegare per definire i ruoli nelle attività di trattamento dei dati personali (titolare, responsabile, autorizzato/incaricato). 

Nel caso in esame, è stato considerato come escluso in linea di principio il ruolo di titolare autonomo del trattamento nelle ipotesi in cui tali trattamenti sono svolti per finalità specificamente determinate dalla legge e la cui determinazione dei mezzi è rimessa ad un diverso soggetto. Per l’OdV, la direzione dell’ente stabilisce infatti risorse, mezzi e misure di sicurezza attraverso il MOGC. 

Inoltre, è escluso il ruolo di responsabile del trattamento per un soggetto che non è un outsourcer del titolare per lo svolgimento di operazioni di trattamento di dati personali. Dunque: se non può essere individuabile una distinzione rispetto al titolare del trattamento, ad esempio per quanto riguarda l’assetto organizzativo e le eventuali responsabilità ascrivibili per le attività svolte, non può ricorrere il ruolo di responsabile del trattamento ai sensi del GDPR.

Circa la qualifica di incarico è bene notare che l’operare sotto l’autorità del titolare o del responsabile del trattamento non esclude in via di principio che tale attribuzione possa essere riconducibile ad un membro “esterno”. La condizione ineliminabile è che tale soggetto abbia un vincolo di appartenenza all’organizzazione del titolare (o del responsabile), in modo tale che ogni compito e funzione relativo alle operazioni svolte sui dati personali è riconducibile ad un atto di organizzazione del titolare (o del responsabile) del trattamento.

Dall’intervento del Garante, infine, è evidente che solo attraverso un attento riferimento ad una valutazione concreta tanto del contesto quanto degli ambiti effettivi delle attività di trattamento svolte, con l’individuazione di responsabilità e poteri, è possibile distinguere in modo esatto e puntuale il ruolo assunto dai diversi soggetti ai sensi del GDPR.

Back to top button
Close
Close