Il 12.05.2020, il Garante per la protezione dei dati personali ha espresso il proprio parere in merito alla qualificazione soggettiva ai fini privacy dell’Organismo di Vigilanza ex D. Lgs. n. 231/2001.

Il parere è stato reso a seguito di una specifica richiesta di chiarimenti effettuata dall’Associazione dei Componenti degli Organismi di Vigilanza (AODV 231) ed è disponibile sul sito dell’associazione stessa.

Secondo il Garante, l’Organismo di Vigilanza, pur essendo dotato di autonomi poteri di iniziativa e controllo, non può essere considerato autonomo titolare del trattamento, posto che “i compiti di iniziativa e controllo propri dell’organismo non sono determinati dallo stesso, ma dalla legge che ne indica i compiti e dall’organo dirigente che nel MOG definisce gli aspetti relativi al funzionamento compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza”.

Secondo il Garante, l’Organismo non può nemmeno essere considerato responsabile del trattamento ex art. 28 perché non è distinto dall’ente, ma è parte dello stesso, conclusione questa supportata dal disposto dell’art. 6 del D. Lgs. n. 231/2001, che specifica quali sono le attribuzioni e le caratteristiche dell’Organismo.

A parere del Garante, quindi, proprio perché

  • l’Organismo di Vigilanza è “parte dell’ente” (a prescindere che i componenti siano interni od esterni)
  • il suo ruolo si svolge nell’ambito dell’organizzazione dell’ente stesso
  • è l’ente che, in qualità di titolare del trattamento, deve, attraverso il MOG, definire i compiti e le modalità di esercizio di detti compiti

i componenti dell’Organismo di vigilanza devono essere designati dall’ente stesso quali soggetti autorizzati, con l’obbligo di attenersi alle istruzioni loro impartite, affinché il trattamento avvenga in conformità ai principi stabiliti dal Regolamento.

Può considerarsi, dunque, risolta la questione, certamente non banale né di poco conto, che a livello dottrinale aveva portato ad accesi dibattiti tra i sostenitori dell’una o dell’altra tesi e, a livello pratico, aveva comportato, da parte degli enti, l’attribuzione di qualifiche differenti dell’OdV, con tutte le diverse implicazioni tema di adempimenti privacy.