Lo scorso 12 maggio il Garante per la protezione dei dati personali ha espresso il suo parere sulla qualificazione soggettiva dell’Organismo di Vigilanza (“OdV”) affermando che l’OdV, in quanto parte dell’impresa, non sia qualificabile né come titolare né come responsabile al trattamento e che, ai fini dell’osservanza delle norme in materia di protezione dei dati, l’inquadramento soggettivo dell’OdV sia assorbito da quello dell’ente di cui l’OdV stesso è parte.

 

Per quanto riguarda i singoli componenti dell’OdV, siano essi interni o esterni all’ente, il Garante ha precisato che essi dovranno essere nominati quali soggetti autorizzati e che, come tali, i singoli membri dovranno attenersi alle istruzioni impartite dal titolare affinché il trattamento dei dati avvenga in conformità ai principi stabiliti dalla normativa applicabile in materia di privacy.

Il Garante ha quindi escluso che l’Organismo di Vigilanza possa essere qualificato titolare autonomo in quanto, sebbene sia dotato di autonomi poteri di iniziativa e di controllo, i suoi compiti sono determinati dalla Legge e dall’organo dirigente che nel Modello di Organizzazione, Gestione e Controllo definisce gli aspetti relativi al suo funzionamento.

Anche con riferimento alla ipotesi di qualificare l’OdV quale responsabile al trattamento, il Garante ha escluso tale possibilità ribadendo che l’OdV è parte dell’ente e non “persona giuridicamente distinta dal titolare, che agisce per conto di quest’ultimo” (art. 28 GDPR).

In definitiva, secondo il Garante, l’Organismo di Vigilanza deve essere considerato parte dell’ente e i singoli componenti dell’OdV devono essere nominati dall’ente soggetti autorizzati con indicazione delle istruzioni che devono essere rispettate nel trattamento dei dati dei soggetti interessati.

Va precisato però che il Garante ha chiarito che il parere è stato reso solo con riferimento alla gestione dei c.d. “flussi di informazione” previsti dall’art. 6, comma 2, lett. d) D. Lgs. 231/2001 e non invece con riferimento al ruolo che l’OdV potrebbe ricoprire nella gestione del c.d. “whistleblowing”.

Link alla fonte