È stato proposto da Giancarlo Butti, in un suo recentissimo post, l’interessante tema della individuazione del ruolo assunto nel contesto del trattamento di dati personali dagli organismi deputati a funzioni di vigilanza e controllo, che sono per loro natura indipendenti rispetto al soggetto giuridico su cui esercitano tale funzione, anche qualora appartenenti alla sua organizzazione aziendale.
Tra questi, sono stati assunti ad esempio l’Organismo di Vigilanza – che, istituito ai sensi del D. Lgs. 231/2001, ha funzioni di monitoraggio sul modello organizzativo previsto da tale normativa – e il collegio sindacale, quest’ultimo – come noto – organo preposto alla vigilanza ex post dell’attività sociale in determinati tipi di società.
In questi casi, il dubbio tradizionalmente sollevato è se essi operino trattamenti autonomi rispetto a quelli della società nei cui confronti esercitano la vigilanza, e pertanto si qualifichino a loro volta come titolari, oppure agiscano nel contesto di trattamenti riconducibili alla titolarità della società soggetta al controllo, con la conseguenza di operare in qualità di responsabili.
Il dubbio nasce a causa di considerazioni fondate sulla constatazione dei requisiti, tipizzati dalla legge, di indipendenza – e quindi essenzialmente assenza di situazioni di conflitto d’interesse – e autonomia da ogni forma di interferenza o condizionamento – con particolare riguardo a quelle provenienti dagli organi direttivi – di questi organi rispetto all’ente su cui esercitano le loro funzioni, di cui comunque costituiscono emanazione.
Quanto all’OdV, infatti, la legge chiarisce che si tratta di “un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo” (art. 6.1, lett. b) D. Lgs. 231/2001) sull’efficace attuazione da parte dell’ente del Modello di Organizzazione, Gestione e Controllo; dal canto suo, il collegio sindacale vigila ai sensi degli artt. 2403 e 2403-bis Cod. Civ.– anche mediante atti di ispezione e di controllo che possono essere condotti dai sindaci tramite propri dipendenti ed ausiliari – sull’osservanza della legge e dello statuto nonché sull’adeguatezza e sul regolare funzionamento dell’assetto organizzativo, amministrativo e contabile della società di cui nel contempo costituisce organo, seppure di vertice.
Mi sembra che gli essenziali requisiti di indipendenza ed autonomia di questi organismi rispetto al soggetto su cui effettuano la vigilanza rendano incompatibile lo svolgimento della loro funzione tipica con il ruolo di responsabile del trattamento, il quale agisce sempre secondo istruzioni fornite dal titolare nell’alveo di un trattamento le cui finalità e modalità sono definite da quest’ultimo. In tale caso, infatti, si verificherebbe necessariamente un inaccettabile conflitto di interessi tra controllante (organismo di vigilanza – responsabile) e controllato (società – titolare).
È però indubbio anche che questi organismi, nell’espletamento della loro funzioni, operino trattamenti di dati personali, con riferimento ai quali deve essere garantito il rispetto delle norme.
Ma tali trattamenti si pongono in relazione di autonomia o connessione con quelli dell’ente alla cui sorveglianza sono preposti?
In altre parole, posto che l’organo di vigilanza si debba ritenere – come credo, in ossequio alle sue fisiologiche caratteristiche di indipendenza ed autonomia –del tutto autonomo anche nella determinazione delle finalità e modalità che caratterizzano i trattamenti da esso effettuati strumentalmente allo svolgimento delle proprie funzioni istituzionali – qualificandosi perciò in rapporto ad essi quale titolare –, questi ultimi possono essere considerati correlati a quelli propri dell’ente sottoposto al controllo, o definitivamente separati da essi?
La risposta a questo interrogativo credo che influisca sulle modalità di attuazione degli adempimenti connessi dalla legge al trattamento e sull’allocazione delle relative responsabilità.
Non è facile chiarire con certezza questi aspetti, ma credo che alla base delle relative valutazioni debba essere indagata l’esistenza di una eventuale connessione tra le finalità perseguite dall’ente e quelle perseguite dal relativo organismo di vigilanza.
In quest’ottica, possiamo dire che l’ente persegue proprie finalità generali di gestione aziendale e governo societario, che naturalmente comprendono – presupponendole – il rispetto delle norme applicabili; l’organo preposto alla vigilanza e al controllo persegue invece finalità investigative e di sorveglianza del rispetto di norme specifiche, che siano anti-crimine o dettate per la regolare gestione dell’ente, individuate a priori dalla legge che sancisce l’istituzione e le caratteristiche dell’organismo stesso.
Ma a ben guardare, il rispetto delle norme al cui controllo tali organi sono preposti è innanzitutto un obbligo gravante sulla società oggetto del controllo: questi organi costituiscono strumento – attivato per legge o volontariamente, a seconda dei casi – a sostegno della piena attuazione da parte dell’ente di un sistema efficace di controlli interni che garantisca la compliance.
Nel contempo, per le sue caratteristiche non può che essere rimessa all’organo una generale autonomia decisionale sui modi di svolgimento della propria funzione, e pertanto sulle modalità di trattamento dei dati personali oggetto delle proprie attività di indagine e controllo, compreso il profilo relativo alle misure di sicurezza.
Mi pare che possa dunque rinvenirsi una correlazione strumentale tra i trattamenti propri degli organi di controllo e quelli, imputabili agli enti soggetti al controllo, finalizzati appunto alla compliance da parte di questi ultimi.
A favore della correlazione depone anche il fatto che l’organo è parte dell’organizzazione aziendale dell’ente, seppure eccezionale con riferimento ai poteri attribuitigli dalla legge ed ai correlati obblighi dell’ente (codificati o indotti dalla esigenza pratica), tra cui quelli fondamentali di garantirgli la necessaria autonomia (risorse, budget dedicato) e indipendenza (l’ente agirà per individuare, disciplinare e risolvere i possibili conflitti di interesse in vista della designazione dei relativi componenti) ma anche, ad esempio, di definire procedure e altri strumenti di coordinamento dei diversi soggetti deputati allo svolgimento dell’attività di controllo all’interno dell’ente di riferimento, per evitare disfunzioni e anche per favorire una costruttiva interazione.
Se è così, possiamo forse concludere nel senso che l’ente e il relativo organo di vigilanza sono titolari autonomi e correlati dei rispettivi trattamenti finalizzati – in ultima analisi – alla compliance alle norme applicabili da parte dell’ente; ruoli da cui discendono responsabilità ed oneri distinti in ordine all’adempimento della normativa in materia di protezione dei dati personali.
Da una simile prospettazione conseguono alcune considerazioni in merito alle modalità degli adempimenti connessi ai trattamenti di dati personali svolti dagli organi di vigilanza e controllo: la responsabilità di fornire l’informativa agli interessati in capo all’organismo potrà essere assolta in uno con la propria dall’ente, che indicherà l’organo in questione tra i soggetti da esso utilizzati ai fini di adempimento delle norme (cfr. Provv. Garante 23.3.1998, doc. web 40999), facendo diretto riferimento alle specifiche finalità investigative e di sorveglianza e controllo proprie dell’organo stesso.
Resteranno invece a totale carico dell’organismo gli altri adempimenti, quali l’adozione di misure di sicurezza adeguate ed efficaci, la nomina di eventuali responsabili, la formazione, istruzione e controllo delle persone fisiche incaricate di eseguire materialmente le operazioni di trattamento, ma anche – nell’ottica delle nuove norme introdotte dal GDPR – tutti gli oneri legati all’attuazione dell’accountability, in termini sia di obbligo di fare (esemplificativamente, valutazione d’impatto, individuazione ed adozione di prassi per attenuare il rischio oppure – ove questo non fosse attenuabile – consultazione dell’Autorità di controllo), sia di rendere conto di ciò che si è fatto (sempre a titolo esemplificativo, tenuta del registro delle attività di trattamento e comunque adozione di pratiche interne improntate ai principi di privacy by design e by default) perché il trattamento attuato sia conforme al GDPR.
Una notazione a parte infine merita lo specifico organismo di vigilanza e controllo istituito dal GDPR: il Data Protection Officer (DPO), cui è attribuito il compito di assistere il titolare / responsabile del trattamento “nel controllo del rispetto del (…) regolamento” (cfr. considerando 97 GDPR) e che è dotato dalla legge di caratteristiche di assoluta autonomia e indipendenza nello svolgimento della propria funzione (cfr. spec. art. 38 commi 3 e 6 GDPR).
Non credo che possano sorgere dubbi con riferimento alla relativa collocazione nell’organigramma dei soggetti attivi del trattamento: il DPO infatti è palesemente una figura terza rispetto al titolare e al responsabile del trattamento, esplicitamente prevista e regolamentata dalla normativa in materia di protezione dei dati personali come strumento adottabile (obbligatoriamente o volontariamente, a seconda delle circostanze) dall’ente / titolare o responsabile del trattamento nel contesto delle azioni finalizzate all’attenuazione del rischio. È pertanto una figura di natura eterogenea rispetto a quelle del titolare e del responsabile, in rapporto ai quali si colloca non in posizione alternativa, ma a latere.
Certo, anch’esso opera trattamenti di dati personali per l’esercizio del suo ruolo e tanto più in questo caso è indubbiamente rinvenibile, nella correlazione funzionale tra finalità generali dell’ente che si dota di quest’organo (conformità del trattamento al GDPR) e finalità particolari dell’organo stesso (assistenza e controllo della conformità al GDPR), carattere di strumentalità.
In questo contesto però all’autonomia ed indipendenza dell’organo nello svolgimento della propria funzione non conseguono responsabilità autonome in termini di trattamento di dati personali: l’obbligo legale di compliance al GDPR ricade esclusivamente sul titolare e sul responsabile del trattamento, ed è in adempimento di quest’obbligo che è dovere del titolare / responsabile che si dota del DPO esplicitare in un apposito “incarico” i compiti ad esso assegnati (art. 39 GDPR) e fornirgli “le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica” (art. 38, comma 2 GDPR).
Il DPO non assume diretta responsabilità per sanzioni o risarcimenti nei confronti degli interessati per il fallimento dell’ente di riferimento nella propria compliance al GDPR (neppure, si deve intendere, se gli inadempimenti sono dipesi da colpa o dolo del DPO; naturalmente in questo caso potranno costituire oggetto di pretese risarcitorie “interne” da parte dell’ente, a titolo di responsabilità contrattuale): tali responsabilità sono infatti previste dalla legge solo in capo al titolare ed al responsabile del trattamento (artt. 82 co. 1 e art. 83 GDPR).
Insomma, il DPO non costituisce soggetto attivo autonomo di trattamento e i trattamenti attuati dal DPO nello svolgimento del proprio ruolo sono tutti imputabili direttamente all’accountability dell’ente di riferimento, cui in ultima analisi sono rimesse le decisioni in ordine alle relative finalità (adempimento dell’obbligo legale di compliance al GDPR) e modalità (definizione dell’ampiezza dell’incarico al DPO, iniziative assunte per garantirne indipendenza e autonomia nello svolgimento delle relative funzioni, tra cui le risorse stanziate a questo scopo, nonché – nei casi di istituzione volontaria – la stessa decisione di dotarsi di quest’organo).
L’articolazione dell’incarico da parte del titolare/responsabile diventa dunque il punto di snodo per il coordinamento tra l’autonomia e indipendenza della funzione di vigilanza rispetto al soggetto vigilato e la necessaria riconducibilità delle attività di trattamento svolte dal DPO nell’alveo di quelle proprie del titolare /responsabile incaricante.
Dalla suddetta riferibilità alla responsabilità dell’ente incaricante delle attività di trattamento realizzate dal DPO dovrebbe derivare l’obbligo per l’incaricante di informare tutti i potenziali interessati della nomina e dei poteri di trattamento, indubbiamente connessi alle funzioni di monitoraggio previste dalla legge (spec. art. 39 co. 1 lett. b) e c)), attribuiti al DPO, in aggiunta alla pubblicazione dei dati del DPO obbligatoria ai sensi dell’art. 37 co. 7.