ODV e DPO: possibile unione o necessaria separazione?

Premessa

L’entrata in vigore del regolamento in materia di protezione dei dati personali ha introdotto la nuova figura professionale del DPO, il quale è tenuto a vigilare sulla osservanza del Regolamento (ex art. 39 GDPR).

In passato, coloro che avevano già provveduto all’adeguamento in materia di responsabilità degli enti, ex. D.lgs. 231/2001, avevano avuto modo di approcciare con la figura dell’organismo di Vigilanza, previsto dall’art. 6.

Oggi, evidentemente, la domanda è se queste due figure possano concentrarsi in uno stesso organismo o in una sola persona e/o quali possano essere le modalità di collaborazione e cooperazione tra loro; problemi di non poco conto sorgono, in particolare, in relazione ai requisiti richiesti in capo tanto all’Organismo di Vigilanza, quanto al DPO.

Ad oggi, anche in virtù del breve lasso temporale intercorso tra l’entrata in vigore della normativa ultima di riferimento, si staglia prepotentemente l’assenza di pronunce giurisprudenziali e l’assordante silenzio dell’Autorità Garante in merito alla relazione che intercorre tra la figura del DPO e quella dell’organismo di vigilanza.

 

L’Organismo di Vigilanza (OdV)

L’Organismo di Vigilanza, meglio noto come OdV, è disciplinato dall’art. 6 del d.lgs. 231/2001 come quell’organismo preposto al controllo relativo all’adeguatezza ed alla efficace attuazione dei Modelli di Organizzazione e Gestione adottati dagli Enti (Modelli idonei a prevenire, laddove efficacemente attuati, la commissione dei reati presupposto e, conseguentemente, evitare il rischio di condanne in capo all’Ente stesso).

Tale articolo, tuttavia, non ne descrive i requisiti ad eccezione di quello dell’autonomia.

E’ stata, quindi, la prassi a dettare e consolidare i requisiti propri di tale Organismo. Requisiti poi recepiti anche dalle linee guida di categoria: autonomia; indipendenza; professionalità ed onorabilità.

L’art. 6 del decreto prevede che l’OdV sia dotato di poteri di iniziativa e controllo: ciò, evidentemente, impone che questo si collochi in una posizione tale per cui si abbia la garanzia di ogni forma di dipendenza o condizionamento gerarchico.

L’indipendenza, evidentemente, garantisce l’assenza di conflitti di interessi. Ciò implica che deve essere evitato qualsivoglia legame che possa minare la terzietà del controllore rispetto all’oggetto del controllo.

Quanto alla professionalità, è inevitabile che il ruolo richieda competenze nelle tecniche ispettive e di audit, unitamente ad una preparazione giuridica, in particolare penalistica-criminologica.

Nulla quaestio circa il requisito dell’onorabilità.

Con riferimento ai compiti dell’Organismo di Vigilanza, va ricordato, invece, che l’organismo di vigilanza è preposto al controllo sul funzionamento e il rispetto del Modello di Organizzazione, Gestione e Controllo (art. 6 del Decreto Legislativo 231/2001) e, come per il DPO, deve “essere garantita l’autonomia dell’iniziativa di controllo da ogni forma di interferenza o di condizionamento, come previsto dall’art. 6, lettera b)” in quanto “deve essere dotato di autonomi poteri di iniziativa e controllo” e “deve sempre essere garantita l’autonomia dell’iniziativa di controllo da ogni forma di interferenza o di condizionamento” (Sezioni Unite Penali, con sentenza n.38343 del 18 settembre 2014).

 

 

Il Data Protection Officer (DPO)

 

Il DPO, lungi dal rivestire un ruolo puramente formale, è tenuto a possedere una serie di “conoscenze specialistiche” in materia di trattamento dei dati personali, deve aver acquisito dei titoli attestanti la propria formazione in tale materia ed inoltre è bene che possa vantare una certa esperienza in tale campo.

In altre parole il DPO deve essere un buon manager, si potrebbe definire “il manager del trattamento dei dati personali”, in quanto profondo conoscitore della realtà aziendale; partendo infatti dalla struttura organizzativa dell’azienda e dall’organigramma, è tenuto a dare consigli e informazioni dal punto di vista del corretto trattamento dei dati personali.

Il DPO può essere un dipendente dell’azienda (interno) o un libero professionista o una persona giuridica (esterno) ma è fondamentale che venga coinvolto in tutte le scelte che hanno a che fare con l’azienda nella materia di sua competenza; deve avere ampia autonomia e indipendenza rispetto ai vertici dell’azienda, non ricevere istruzioni sui suoi compiti (art. 36) ma coadiuvare il titolare sotto tutti gli aspetti relativi all’osservanza del Regolamento, ad esempio valutando la necessità dello svolgimento di una valutazione d’impatto e fornendo, se richiesto, un parere (ex art 35 GDPR) oppure fungendo da punto di contatto per l’autorità di controllo per questioni connesse al trattamento dei dati, tra cui la consultazione preventiva di cui all’articolo 36.

In base all’art. 39, comma 2, il DPO deve poi -nell’esecuzione dei suoi compiti- considerare “debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo”. Ciò che si richiede al DPO sono, in sostanza, valutazioni specifiche e concrete effettuate per ciascuna realtà di trattamento sotto il profilo dei maggiori o minori rischi in termini di protezione dei dati.

Le figure interne ipoteticamente preordinate a ricoprire tale incarico potrebbero essere un funzionario di alta professionalità o un dirigente, in quanto, è bene ricordare, il DPO può ricoprire anche altri incarichi all’interno della struttura aziendale, a condizione che non sia in conflitto di interessi. Del suo operato riferisce al CDA, all’amministratore unico o ai massimi vertici.

Proprio per questo motivo, il Garante ha precisato che sarebbe preferibile evitare di assegnare il ruolo di DPO a soggetti con incarichi di alta direzione (amministratore delegato, membro del consiglio di amministrazione, direttore generale, ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT, etc.).

Nella scelta del DPO occorre tener conto dei titoli acquisiti, dell’esperienza maturata sul campo, delle capacità di negoziazione.

 

Conclusioni

Terminata tale premessa, in assenza di uno specifico divieto normativo e alla luce della possibilità per il DPO di svolgere altri compiti e funzioni, ci si chiede se quest’ultimo possa ricoprire anche l’incarico di organismo di vigilanza presso la stessa realtà, in presenza delle qualità professionali e della conoscenza specialistica richieste.

Innanzitutto, corre l’obbligo di sottolineare che la normativa nazionale tace sul punto.

Prendendo le mosse dalle linee guida pubblicate dal Working Party 29 e dalle prescrizioni enunciate dalla Autorità Garante Italiana e, in particolare dalle caratteristiche precipue delle due figure, emergono, infatti, alcune possibili situazioni di conflitto.

L’OdV potrebbe trovarsi nella situazione di controllare il DPO: cosa accadrebbe in questa ipotesi?

Le due figure non possono concretizzarsi in un unicum operativo, in quanto il DPO ha, tra l’altro, il compito di monitorare e verificare il corretto trattamento dei dati posto in essere dall’ODV, nonché il flusso degli stessi all’interno dell’OdV e quest’ultimo ha, a sua volta, lo specifico compito di verificare il corretto adempimento, da parte del DPO, delle prescrizioni impartite dal Modello.

Infatti, il DPO potrebbe trovarsi nella posizione di richiedere una valutazione d’impatto in merito a determinati trattamenti, al fine di valutarne il rischio ovvero di consigliare la minimizzazione dei medesimi ed a verificare l’adozione di adeguate misure tecnico-organizzative.

In conclusione, appare evidente che le due figure non possano essere ricondotte ad unicum ma che, anzi, debbano cooperare al fine di garantire il rispetto delle prescrizioni tanto in materia di protezione dei dati personali quanto in materia di responsabilità degli Enti.

 

 

 

Autrice Avv. Valentina Dicorato
elena ferraris Autrice Avv. Elena Ferraris

Powered by: Fweb Group