L'Organismo di Vigilanza ex D.Lgs. 231/2001 alla luce del GDPR: l'importanza di una compliance integrata

La necessità di una “compliance” integrata è divenuta ormai imprescindibile per le aziende. Si pensi ai rapporti tra GDPR e D. Lgs. n. 231/2001. Sebbene entrambi i sistemi si fondino su presupposti comuni (accountability e funzione preventiva fra tutti), il coordinamento tra i due sistemi è tutt’altro che semplice.  

Una questione di certo interessante e che oggi preme approfondire è il ruolo che riveste l’Organismo di Vigilanza ex 231 (“OdV”) all’interno del “nuovo mondo” privacy.  

Come noto, perché l’adozione di un Modello 231 sia efficace è necessario che l’OdV - dotato di autonomia ed indipendenza - abbia poteri di iniziativa e controllo su ogni attività aziendale. Il che significa per l’organismo essere destinatario di molteplici informazioni: 

1. i flussi informativi di cui all’art. 6, comma 2 lett d); 
2. le risultanze delle attività di vigilanza; 
3. le segnalazioni di condotte illecite, nel caso in cui l’OdV sia anche destinatario delle comunicazioni del whistleblowing. 

Come deve qualificarsi, quindi, l’OdV alla luce del GDPR? Titolare del trattamento dati (chi decide lo scopo, i mezzi e i limiti del trattamento dati) o Responsabile del trattamento (chi, per conto del Titolare e sulla base delle sue istruzioni, tratta i dati)? 

Non risulta agevole qualificare l’OdV all’interno delle figure appena menzionate.  

In primis, l’OdV non sembra potersi qualificare come Titolare del trattamento: l’OdV trae la sua legittimazione a trattare i dati direttamente dall’ente vigilato che, a sua volta, decide la modalità di trattamento dei dati.  Si deve pertanto escludere che l’OdV, nell’ambito delle sue funzioni di monitoraggio, possa qualificare la sua attività come trattamento autonomo dei dati e, di conseguenza, divenire Titolare del trattamento dei dati. 

La figura dell’Organismo di Vigilanza sembra altresì mal conciliarsi anche con quella di Responsabile del trattamento. Infatti, in ossequio al GDPR, quest’ultimo deve necessariamente identificarsi come una figura esterna rispetto all’ente. Dato, che risulta evidentemente in contrasto con la caratterizzazione “in house” dell’OdV. 

Alla luce di quanto appena esposto, l’OdV deve considerarsi come una “componente” interna (seppur addetto al controllo) dell’ente vigilato che, a sua volta, rimane il Titolare del trattamento dei dati personali. Quest’ultimo infatti predispone i modelli di organizzazione e gestione dell’OdV, definendone i compiti ed i limiti. Nell’ambito di tali poteri, pertanto, l’ente decide come l’Organismo di Vigilanza deve trattare i dati personali.  

L’entrata in vigore del GDPR rappresenta l’ennesima conferma di come l’adozione di un Modello di Organizzazione e Gestione, così come previsto dalla 231, possa favorire il funzionamento e la prevenzione dei rischi nelle realtà aziendali più virtuose.  

L’entrata in vigore del GDPR non appare ostacolare in alcun modo la compliance alla disciplina 231. Nell’ambito della designazione dei membri componenti dell’OdV, occorrerà semplicemente che gli stessi vengano altresì autorizzati al trattamento dei dati personali (nei limiti e nelle modalità determinate dal Titolare) così come previsto dall’art. 29 dello stesso GDPR.