Su richiesta dell’Associazione dei Componenti degli Organismi di Vigilanza ex D.Lgs. 231/2001 (“AODV”), l’Autorità Garante per la protezione dei dati personali ha formulato il proprio parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall’art. 6, D.Lgs. 231/2001 (il “Decreto”). Il parere secondo alcuni commentatori chiude una lunga discussione dottrinale, avviatasi ben prima dell’entrata in vigore dell’attuale Regolamento (UE) 2016/679 – il noto GDPR; vedremo che non è così. Un tema rimane aperto per una consapevole, seppur poco comprensibile, scelta dello stesso Garante; su un altro tema la posizione del Garante non convince del tutto, forse perché non ritenuto centrale in relazione al quesito sottoposto dall’AODV.
Il contesto in cui prende le mosse il parere dell’Autorità di garanzia
Per comprendere appieno la richiesta formulata dall’AODV, occorre tornare al febbraio 2019; in un gremito auditorium del centro congressi di Fondazione Cariplo, in Milano, l’AODV presenta un position paper dal titolo “Sulla qualificazione soggettiva dell’Organismo di Vigilanza ai fini privacy”. Il documento, redatto con la consulenza di Francesco Pizzetti, già presidente dell’Autorità Garante privacy, prende avvio dal quesito sulla qualificabilità dell’OdV quale autonomo titolare del trattamento oppure responsabile. La conclusione, esposta e argomentata, esclude entrambe le tesi. I brusii in sala e le domande ai relatori rivelano la sorpresa di gran parte dell’uditorio, composto da avvocati, professionisti e, va da sé, componenti di organismi di vigilanza e consulenti privacy.
Forse proprio i brusii avranno spinto l’AODV a condividere le proprie conclusioni con l’Autorità garante, per ottenere un parere formale.
Il ruolo dell’OdV nella privacy
La legge chiarisce che l’Organismo di Vigilanza è “un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo” (art. 6.1, lett. b).
Come anticipato, la dottrina si è divisa sulla qualificabilità dell’Organismo di Vigilanza quale titolare autonomo o responsabile del trattamento; punto focale è stato considerato il comma sopra citato che indica, tra i requisiti essenziali, gli autonomi poteri di iniziativa e controllo.
Il Garante sottolinea che l’Organismo di Vigilanza è tenuto al rispetto di regole, stabilite dall’organo dirigente della società nell’ambito dello stesso Modello 231; meno determinante appare il richiamo del Garante all’origine normativa dei poteri di iniziativa e controllo dello stesso OdV: sarebbero numerosi gli esempi di soggetti indiscutibilmente titolari del trattamento, le cui scelte in materia di trattamento dei dati sono fortemente indirizzate da norme di legge. Si pensi, per esempio, agli enti pubblici, così come agli organismi di controllo.
Di converso, sono numerosi i casi di articolazioni organizzative già presenti all’interno degli enti, dotate di autonomia, indipendenza e riporto gerarchico al solo organo dirigente, certamente non qualificabili quali titolari o responsabili del trattamento. Il riferimento è alle funzioni di controllo previste da disposizioni normative e regolamentari applicabili ad alcune categorie di soggetti vigilati. Si pensi alle funzioni di revisione interna, così come di risk management o antiriciclaggio, previste per banche e intermediari finanziari.
Con qualche profilo di analogia con le funzioni appena accennate, l’autonomia dell’OdV si inserisce nel contesto di un sistema di regole disegnato dell’ente che lo ha nominato; il decreto è avaro di disposizioni operative, tanto da non definirne aspetti anche essenziali. Soccorrono le linee guida emanate dalle principali associazioni di categoria, cui gli enti possono riferirsi. Rimane fermo, comunque, il principio in base al quale spetta all’organo dirigente il compito di riconoscere e di far riconoscere – in sede di iniziale approvazione del Modello 231 e, successivamente, nel quotidiano rispetto delle regole facenti parte del Modello – l’autorevolezza, l’autonomia e l’indipendenza dell’OdV; tali caratteristiche contribuiranno a garantire l’efficacia esimente del Modello, condizione essenziale per assicurare l’auspicato “ritorno dell’investimento”. Quasi paradossalmente, l’ente che non dovesse tutelare l’autonomia dell’OdV nuoce a se stesso.
Del tutto condivisibile, quindi, la conclusione del Garante, in linea con il citato position paper dell’AODV.
Il whistleblowing
Difficile, invece, ritenere condivisibile la scelta del Garante di non trattare il tema della ricezione e gestione delle segnalazioni whistleblowing, disciplinato dall’art. 6, comma 2-bis, 2-ter, 2-quater del Decreto. Descritto dal Garante come “nuovo e diverso ruolo che l’organismo potrebbe acquisire..”, in quanto non esplicitamente riservato all’OdV stesso dal Decreto, è stato introdotto ormai quasi due anni e mezzo fa, per opera della legge 30 novembre 2017, n. 179, recante “Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato”.
È noto che alcuni gruppi multinazionali si sono dotati da tempo di un sistema di canalizzazione delle segnalazioni whistleblowing, sollecitando la collaborazione di tutti i dipendenti e mettendo a loro disposizione hot line telefoniche e telematiche, anche affidate a società esterne, sistemi informatici di raccolta delle segnalazioni; i flussi tipicamente sono destinati a funzioni di vertice, prive di ruoli decisionali nel business ma autorevoli e dotate delle necessarie “leve” per intervenire efficacemente per risolvere le eventuali criticità segnalate. Tuttavia, è immaginabile ritenere che la quasi totalità degli enti italiani dotati di un Modello 231 abbia scelto l’OdV quale destinatario delle segnalazioni whistleblowing, per ragioni di efficienza, riduzione dei costi nonché – non secondariamente – per coerenza sistematica della norma che lo disciplina.
Rimarrà quindi aperta la discussione dottrinale, con rischi di scelte differenti e la possibilità, tutt’altro che remota, di riscontrare in qualche ente un Organismo di Vigilanza che opera sempre come organo interno – né titolare, né responsabile – salvo vestirsi di un differente ruolo nei rari casi di gestione delle comunicazioni whistleblowing; con tutti gli obblighi conseguenti, a partire dall’onere di rilasciare l’informativa, proseguendo per la determinazione delle misure di sicurezza, financo alla valutazione sull’opportunità di dotarsi di un responsabile per la protezione dei dati personali.
I ruoli dei componenti
Ad avviso del Garante, i componenti andrebbero sempre qualificati come “soggetti autorizzati”, ai sensi degli artt. 4, n. 10, 29, 32 par. 4 del GDPR e dell’art. 2-quaterdecies del D.Lgs. 196/2003, sia qualora essi siano dipendenti dell’ente, sia qualora essi siano professionisti esterni.
La soluzione convince solo per quanto concerne i collaboratori interni.
Quando trattasi di professionisti, il rapporto sorge con il conferimento di un incarico professionale, in forza del quale il professionista si impegna ad assumere un ruolo all’interno dell’Organismo di Vigilanza e ne riceve un compenso.
Quantomeno per buona parte delle categorie professionali oggi impegnate negli OdV, si tratta di una prestazione rientrante nell’ambito di quelle tipizzate; come tali, possono dar luogo a profili di responsabilità professionale per dolo o colpa, prevedono l’applicazione dei contributi previdenziali di categoria, l’osservanza degli eventuali codici deontologici professionali; si configurano, pertanto, quali incarichi assunti nell’ambito della propria attività professionale.
Nello svolgimento di tali incarichi i professionisti si avvalgono usualmente di strumenti e risorse propri: è prassi comune, ad esempio, che il professionista consulti le caselle e-mail dell’OdV da strumenti informatici propri, rediga e/o condivida bozze e versioni definitive dei verbali di riunione e di audit con l’ausilio di computer del proprio studio, porti con sé ed esamini presso il suo studio i documenti cartacei della società, acquisiti in ragione dell’incarico. In taluni casi, infine, non è escluso che il professionista si avvalga del supporto di propri collaboratori, cui disvela almeno parte delle informazioni che tratta in ragione del proprio incarico di componente OdV.
Seppur nell’ambito delle prescrizioni del Modello 231 dell’ente, il professionista gode di alcuni ambiti di autonomia, anche rispetto allo stesso OdV, ed è tenuto ad adottare misure di sicurezza organizzative, fisiche e logiche idonee a garantire un adeguato livello di sicurezza per gli strumenti e le risorse che egli impiega per eseguire l’incarico di componente dell’organismo: si pensi, a titolo esemplificativo, alle possibili conseguenze sullo stesso ente – e sugli interessati – causate da carenze di misure di sicurezza sugli strumenti propri del professionista e utilizzati per l’elaborazione dei verbali di audit o la lettura delle mail contenenti flussi informativi o whistleblowing.
Conclusioni
Tali elementi sembrano suggerire l’opportunità – se non l’obbligo – di considerare applicabile la medesima disciplina vigente per l’affidamento di incarichi a professionisti, quando questi comportano operazioni di trattamento di dati personali. La risposta fornita dal Garante al Consiglio nazionale dei consulenti del lavoro (doc web n. 9080970 del 22 gennaio 2019) orienta verso la qualificabilità dei professionisti quali responsabili del trattamento, ruolo che potrebbe ben essere riconosciuto per gli incarichi di componente OdV.