Categorie: Insights, Prassi

Tag: Garante Privacy, Responsabilità amministrativa


29 Giu 2020

Garante: qualificazione giuridica ai fini privacy dell’OdV

Con una nota del 16 ottobre 2019, l’Associazione dei Componenti degli Organismi di Vigilanza ex D.lgs. 231/2001 (l’“Associazione”) ha richiesto all’Autorità Garante per la Protezione dei dati personali (il “Garante”) un incontro per discutere il tema della qualificazione soggettiva ai fini privacy dell’Organismo di Vigilanza (l’OdV”).

La tesi dell’Associazione

Tra i soggetti definiti dal Regolamento (UE) 2016/679 in materia di protezione dei dati personali (il “Regolamento”) e dal D.lgs. 196/2003 così come modificato dal D.lgs. 101/2018 recante disposizioni di adeguamento dell’ordinamento nazionale al Regolamento stesso (il “Codice Privacy”, ed unitamente al Regolamento la “Normativa Privacy”), vi rientrano il (i) Titolare del trattamento, definito come “la persona fisica o giuridica (…) che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento”; (ii) Responsabile del trattamento, ossia “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” e (iii) Soggetto Autorizzato al trattamento dei dati personali, ovvero “(…) chiunque agisca sotto l’autorità” del Titolare o del Responsabile.

La questione, ampiamente discussa in dottrina sin dalle prime interpretazioni del Regolamento, ha visto contrapporsi la tesi secondo la quale l’OdV, ai fini di una corretta applicazione della Normativa Privacy, dovesse essere qualificato come Titolare del trattamento avverso la contrapposta tesi che lo riteneva come un Responsabile del trattamento, ossia un soggetto terzo rispetto al Titolare ma agente per conto di quest’ultimo.

L’Associazione ha sostenuto una terza via secondo la quale l’OdV, “in quanto parte dell’impresa”, non debba essere definito né come un Titolare del trattamento né come un Responsabile ma la sua qualificazione soggettiva debba essere fatta rientrare all’interno dell’organizzazione dell’Ente che è chiamato a vigilare.

La posizione del Garante

Il Garante ha chiarito che l’OdV non può essere qualificato come un autonomo Titolare del trattamento poiché non ha la facoltà di determinare i suoi stessi compiti. Questi, infatti, unitamente al loro funzionamento, ai mezzi e alle misure di sicurezza nonché all’eventuale attribuzione di risorse, vengono definiti dall’organo dirigente dell’impresa sulla base del modello organizzativo precedentemente adottato.

Secondo il Garante, inoltre, l’OdV non si qualifica nemmeno come un Responsabile esterno del trattamento poiché il Regolamento attribuisce a questi ultimi una serie di obblighi e una conseguente e diretta responsabilità nel caso in cui tali obblighi non dovessero essere rispettati. Nelle ipotesi in cui, invece, l’OdV ometta di effettuare dei controlli circa l’osservanza dei modelli organizzativi predisposti dall’Ente, la responsabilità ricade direttamente su quest’ultimo e non sull’OdV.

Fatte tali precisazioni, il Garante accoglie la tesi sostenuta dall’Associazione e chiarisce come l’OdV non è un organo distinto dall’Ente ma è parte dello stesso e a quest’ultimo è demandato il compito di definire il perimetro e le modalità di esercizio dei compiti da assegnare ad esso. Pertanto, i suoi membri, in quanto parte dell’Ente, così come previsto dagli artt. 29 del Regolamento e 2-quaterdecies del D.Lgs. 101/2018, devono essere designati come dei soggetti autorizzati al trattamento dei dati di cui vengono a conoscenza nell’esercizio delle loro funzioni e devono attenersi a delle precise istruzioni fornite loro dal Titolare.

Alla luce di quanto appena riportato, il Garante chiarisce che tali precisazioni, dedotte sulla base dei principi contenuti nella normativa privacy, non superano e non contrastano con quanto previsto dalla normativa 231 che attribuisce all’OdV autonomi poteri di iniziativa e controllo per un corretto esercizio delle sue funzioni.

Altri Insights correlati:

Iscriviti alla newsletter

Contattaci

Hai bisogno di informazioni? Scrivici e il nostro team di esperti ti risponderà il prima possibile.

Compila il form

Altre news e insights

8 Lug 2026

Trasparenza salariale: a un mese dall’entrata in vigore, sono due gli orientamenti sul mercato (The Platform, 8 luglio 2026 – Vittorio De Luca, Claudia Cerbone e Martina De Angeli)

Dal 7 giugno si devono applicare le regole Ue dirette a rafforzare il principio della parità di retribuzione tra uomini e donne per uno stesso lavoro o per…

2 Lug 2026

Lo sai che… dal 7 giugno 2026 è pienamente in vigore il Decreto Legislativo n. 96/2026?

Dal 7 giugno 2026 è pienamente in vigore il Decreto Legislativo n. 96/2026, che introduce anche nell’ordinamento italiano un sistema strutturato di trasparenza retributiva con l’obiettivo di rafforzare…

2 Lug 2026

Omessa contestazione dell’addebito disciplinare: la Cassazione esclude la nullità del licenziamento e la reintegra nelle piccole imprese

Massima Con la recentissima sentenza n. 17283 del 1° giugno 2026, la Corte di Cassazione ha affrontato il tema della omessa contestazione disciplinare e dei suoi effetti sul…

2 Lug 2026

AI e rapporto di lavoro: prime indicazioni dei decreti attuativi e riflessi in ambito data protection

Con l’approvazione in via preliminare, da parte del Consiglio dei Ministri il 10 giugno 2026, dei primi schemi di decreti legislativi attuativi della legge delega in materia di…

1 Lug 2026

Sostenibilità, responsabilità e futuro: il nostro impegno cresce nel tempo

In occasione del nostro 50° anniversario, abbiamo scelto di guardare al futuro con la stessa attenzione con cui custodiamo le nostre radici. Radici che affondano in Puglia, terra…

25 Giu 2026

Parità salariale e trasparenza retributiva: cosa cambierà in Italia (People are People, 25 giugno 2026 – Claudia Cerbone e Martina De Angeli)

Con il D.Lgs. 7 maggio 2026, n. 96, entrato in vigore il 7 giugno 2026, l'Italia ha recepito la Direttiva (UE) 2023/970 sulla trasparenza retributiva, collocandosi tra i…