Introdotto nel 2001 con il D.Lgs 231, l’Organismo di Vigilanza (O.d.V.) è una figura di peculiare importanza nell’ambito della Responsabilità amministrativa delle società e degli enti.
In particolare, l’art. 6, comma 1, lett. b, del suddetto decreto prevede che l’ente affidi ad un organismo, dotato di poteri autonomi di iniziativa e controllo, il compito di vigilare sul funzionamento e l’osservanza dei modelli di organizzazione e di gestione adottati dall’azienda stessa allo scopo di essere dispensata da eventuali responsabilità, per reati commessi nel suo interesse o a suo favore da parte di uno o più dipendenti.
Si precisa sin d’ora che l’adozione di un sistema di prevenzione 231 non costituisce un obbligo di legge per l’ente destinatario del decreto.
Attesa l’evidente laconicità della predetta norma in merito ai diversi aspetti della disciplina dell’Organismo di Vigilanza (sulla modalità di nomina, sulla composizione, sulle modalità dell’attività posta in essere, sui rapporti con l’ente), l’ente, può prevedere, a seconda del modello organizzativo prescelto, una composizione monosoggettiva o plurisoggettiva, con la presenza di membri sia interni sia esterni all’ente.
Naturalmente il fine ultimo è quello di garantire la maggiore professionalità, in termini di skills tecnico-professionali, e la continuità d’azione, che consente all’OdV di vigilare con costanza sul modello senza dover svolgere mansioni operative diverse da quelle per le quali è preposto.
Emerge inoltre che per assicurare autonomia allo svolgimento delle sue funzioni, il modello adottato dall’ente deve garantire che l’OdV non sia direttamente coinvolto nelle attività gestionali che costituiscono l’oggetto del suo controllo e che sia messo nelle condizioni di agire libero da interferenze e da condizionamenti, da parte dello stesso ente che lo istituisce, in particolare dagli organi dirigenziali, con l’evidente finalità di scongiurare conflitti d’interesse, anche potenziali, con il vertice.
Per le attività realizzate dall’OdV potrà avvalersi di tutte le strutture della società, anche di consulenti esterni, sebbene sotto la sua diretta sorveglianza e responsabilità ed in ogni caso queste non potranno essere sindacate da alcun altro organismo o struttura aziendale.
In capo all’organo dirigente, in qualità di responsabile ultimo del funzionamento del modello, permane il compito di vigilare sull’adeguatezza dell’intervento dell’OdV oltre a definire in che misura destinare parte del budget aziendale allo stesso organismo per l’espletamento delle sue mansioni.
Se nello svolgimento dei suoi compiti, l’Organismo di vigilanza necessità di informazioni o di raccogliere ulteriori dati ritenuti necessario potrà accedere liberamente a tutte le funzioni della Società e non sarà tenuto a chiederne preventivamente il consenso.
I modelli di organizzazione, di gestione e di controllo (conosciuti come modelli 231) devono poi prevedere obblighi di informazione nei confronti dell’OdV (art. 6, comma 2, lett. d), d.lgs. n. 231/2001), con flussi di informazioni (periodici e ad hoc) che avvengono attraverso specifici processi di comunicazione aziendale al fine di conoscere e gestire eventuali situazioni di rischio.
A sua volta, l’OdV dovrà informare l’organo apicale in merito al funzionamento e all’aggiornamento del modello o in presenza di eventuali criticità rilevate nell’ambito dell’attività di vigilanza.
In ultimo, a seguito della Legge n. 179/2017 in materia di whistleblowing che ha introdotto all’art. 6 i commi 2-bis, 2-ter e 2-quater nel D.Lgs 231/2001, OdV può ricevere anche segnalazioni di condotte illecite rilevanti o di violazioni del modello, fatta salva la possibilità per l’ente di individuare un soggetto diverso preposto a tale scopo.
Dopo aver esaminato come opera ed i compiti che svolge l’Odv, occorre ora comprendere come qualificare tale organismo in rapporto al trattamento dei dati personali che lo stesso effettua nell’esercizio delle sue funzioni.
Sull’individuazione dei ruoli di titolare e responsabile del trattamento e sulla distribuzione delle relative responsabilità la disciplina in materia di protezione dei dati personali – il GDPR (Reg. UE 2016/679) nonché il D.Lgs n. 196/2003 come novellato dal D.lgs. 101/2018 – si pone in linea con quanto previsto dalla Direttiva 95/46/CE (oggi abrogata).
Infatti, secondo la definizione fornita dal GDPR il titolare del trattamento è: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4, n. 7, GDPR) mentre il responsabile del trattamento: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (art. 4, n. 8, GDPR).
Alla luce di tali definizioni occorre definire se l’OdV operi trattamenti autonomi rispetto a quelli dell’ente nei cui confronti esercita la vigilanza, qualificandosi pertanto a sua volta come titolare del trattamento, oppure se agisca in qualità di responsabile nel contesto di trattamenti di cui l’ente è titolare.
A ben vedere, gli OdV, sebbene siano soggetti autonomi ed indipendenti nello svolgimento delle proprie funzioni, non possono essere considerati autonomi titolari del trattamento perché i loro compiti sono determinati dall’organo dirigente dell’ente che li istituisce e che, nell’ambito del modello di gestione e organizzazione, ne definisce gli aspetti relativi al funzionamento, compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza.
Tuttavia qualche perplessità sorge anche per la collocazione dell’OdV nella categoria del responsabile del trattamento, ovvero come persona giuridicamente distinta dal titolare che agisce per conto di quest’ultimo secondo le istruzioni impartite.
L’Organismo di Vigilanza è autonomo nelle proprie scelte, che dipendono da una valutazione specifica dei fattori di rischio, derivanti dall’attività di vigilanza sull’adeguatezza e sull’effettiva attuazione del modello 231.
Tuttavia questa autonomia di poteri si scontra con l’autonomia nella titolarità del trattamento dei dati raccolti.
Alla stregua del GDPR, il responsabile del trattamento, nel trattare dati personali per conto del titolare, detiene una serie di obblighi ed è direttamente responsabile per una eventuale inosservanza degli stessi.
Nel caso degli organismi di vigilanza una eventuale omissione di controllo sull’osservanza dei modelli predisposti dall’ente ricade solo su quest’ultimo.
Invero, all’OdV non può essere imputata una responsabilità penale in ordine all’eventuale commissione di reati rilevanti ai sensi del D.lgs. n.231/2001 nel caso di omessi controlli, posto che tale organismo, pur avendo funzioni di vigilanza e controllo, non è dotato di alcun potere impeditivo nei confronti degli eventuali autori del reato, così che, anche in caso di inerzia dell’OdV, la responsabilità ricade sull’ente che non potrà avvalersi della scriminante prevista dall’art.6, comma 1, del suddetto decreto.
Ciò non esclude che in capo all’OdV possa sorgere una responsabilità di natura contrattuale nei confronti dell’ente per inadempimento delle obbligazioni assunte con il conferimento dell’incarico.
Di recente Il Garante per la privacy ha fornito dei chiarimenti sulla questione escludendo che l’OdV possa essere qualificato come titolare autonomo o come responsabile del trattamento.
L’organismo di vigilanza, sebbene possa considerarsi un soggetto eccezionale con riferimento ai poteri attribuitigli dalla legge ed ai correlati obblighi dell’ente (codificati o indotti da esigenze concrete), facomunque parte dell’organizzazione aziendale dell’ente.
A tal fine il Garante specifica che sebbene la figura dell’incaricato del trattamento (espressamente prevista dall’art. 30, D.lgs. n. 196/2003, abrogato dall’art. 27, comma 1 lett. a) n.2 del D.lgs. n.101/2018) non sia espressamente prevista nel Regolamento, di fatto, non viene esclusa facendo riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” (si veda, in particolare, art. 4, n. 10, GDPR).
L’art. 2-quaterdecies del D.lgs. n. 196/2003 (c.d. “Codice Privacy”), come modificato e integrato dal D.lgs. n. 101/2018, riconosce al titolare o al responsabile del trattamento la facoltà di prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento dei dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.
Come precisato dall’Authotity, è la società che definisce il perimetro e le modalità di esercizio dei compiti assegnati all’OdV, nonché il ruolo che, in base alla disciplina in materia di protezione dei dati personali, deve essere previsto per i singoli membri che lo compongono.
Sarà infatti l’ente che designerà in aderenza del principio di accountability (art. 24 del GDPR) i singoli membri dell’OdV come soggetti autorizzati al trattamento, i quali dovranno attenersi alle istruzioni del titolare affinché il trattamento avvenga in conformità ai principi stabiliti dall’art. 5 del GDPR.
Tutto ciò detto concerne il ruolo dell’OdV con riferimento ai flussi di informazioni rilevanti ai sensi dell’art. 6, commi 1 e 2 del d.lgs. n. 231/2001, rimanendo quindi esclusa dalla qualificazione soggettiva delineata in ambito privacy, quella del nuovo e diverso ruolo che l’OdV potrebbe acquisire in relazione alle segnalazioni effettuate nell’ambito della normativa di whistleblowing.
VP
