{"id":2138,"date":"2017-01-09T05:48:38","date_gmt":"2017-01-09T04:48:38","guid":{"rendered":"https:\/\/blog.europrivacy.org\/?p=2138"},"modified":"2017-03-09T19:22:16","modified_gmt":"2017-03-09T18:22:16","slug":"italiano-organismi-di-vigilanza-e-controllo-e-ruoli-privacy-valutazioni-generali-e-prime-considerazioni-sui-trattamenti-del-dpo","status":"publish","type":"post","link":"https:\/\/blog.europrivacy.info\/it\/2017\/01\/09\/italiano-organismi-di-vigilanza-e-controllo-e-ruoli-privacy-valutazioni-generali-e-prime-considerazioni-sui-trattamenti-del-dpo\/","title":{"rendered":"ORGANISMI DI VIGILANZA E CONTROLLO E RUOLI PRIVACY: VALUTAZIONI GENERALI E PRIME CONSIDERAZIONI SUI TRATTAMENTI DEL DPO"},"content":{"rendered":"<p>\u00c8 stato proposto da Giancarlo Butti, in un suo recentissimo <a href=\"https:\/\/blog.europrivacy.org\/it\/2017\/01\/09\/italiano-organismi-di-controllo-e-ruoli-privacy\/\">post<\/a>, l\u2019interessante tema della individuazione del ruolo assunto nel contesto del trattamento di dati personali dagli organismi deputati a funzioni di vigilanza e controllo, che sono per loro natura indipendenti rispetto al soggetto giuridico su cui esercitano tale funzione, anche qualora appartenenti alla sua organizzazione aziendale.<\/p>\n<p>Tra questi, sono stati assunti ad esempio l\u2019Organismo di Vigilanza \u2013 che, istituito ai sensi del D. Lgs. 231\/2001, ha funzioni di monitoraggio sul modello organizzativo previsto da tale normativa \u2013 e il collegio sindacale, quest\u2019ultimo \u2013 come noto \u2013 organo preposto alla vigilanza <em>ex post <\/em>dell\u2019attivit\u00e0 sociale in determinati tipi di societ\u00e0.<\/p>\n<p>In questi casi, il dubbio tradizionalmente sollevato \u00e8 se essi operino trattamenti autonomi rispetto a quelli della societ\u00e0 nei cui confronti esercitano la vigilanza, e pertanto si qualifichino a loro volta come titolari, oppure agiscano nel contesto di trattamenti riconducibili alla titolarit\u00e0 della societ\u00e0 soggetta al controllo, con la conseguenza di operare in qualit\u00e0 di responsabili.<\/p>\n<p>Il dubbio nasce a causa di considerazioni fondate sulla constatazione dei requisiti, tipizzati dalla legge, di indipendenza\u00a0\u2013 e quindi essenzialmente assenza di situazioni di conflitto d\u2019interesse \u2013 e autonomia da ogni forma di interferenza o condizionamento \u2013 con particolare riguardo a quelle provenienti dagli organi direttivi \u2013 di questi organi rispetto all\u2019ente su cui esercitano le loro funzioni, di cui comunque costituiscono emanazione.<\/p>\n<p>Quanto all\u2019OdV, infatti, la legge chiarisce che si tratta di \u201c<em>un organismo dell\u2019ente dotato di<\/em> <em>autonomi poteri di iniziativa e di controllo<\/em>\u201d (art. 6.1, lett. b) D. Lgs. 231\/2001) sull\u2019efficace attuazione da parte dell\u2019ente del Modello di Organizzazione, Gestione e Controllo; dal canto suo, il collegio sindacale vigila ai sensi degli artt. 2403 e 2403-bis Cod. Civ.\u2013 anche mediante atti di ispezione e di controllo che possono essere condotti dai sindaci tramite propri dipendenti ed ausiliari \u2013 sull\u2019osservanza della legge e dello statuto nonch\u00e9 sull\u2019adeguatezza e sul regolare funzionamento dell\u2019assetto organizzativo, amministrativo e contabile della societ\u00e0 di cui nel contempo costituisce organo, seppure di vertice.<\/p>\n<p>Mi sembra che gli essenziali requisiti di indipendenza ed autonomia di questi organismi rispetto al soggetto su cui effettuano la vigilanza rendano incompatibile lo svolgimento della loro funzione tipica con il ruolo di responsabile del trattamento, il quale agisce sempre secondo istruzioni fornite dal titolare nell\u2019alveo di un trattamento le cui finalit\u00e0 e modalit\u00e0 sono definite da quest\u2019ultimo. In tale caso, infatti, si verificherebbe necessariamente un inaccettabile conflitto di interessi tra controllante (organismo di vigilanza \u2013 responsabile) e controllato (societ\u00e0 \u2013 titolare).<\/p>\n<p>\u00c8 per\u00f2 indubbio anche che questi organismi, nell\u2019espletamento della loro funzioni, operino trattamenti di dati personali, con riferimento ai quali deve essere garantito il rispetto delle norme.<\/p>\n<p>Ma tali trattamenti si pongono in relazione di autonomia o connessione con quelli dell\u2019ente alla cui sorveglianza sono preposti?<\/p>\n<p>In altre parole, posto che l\u2019organo di vigilanza si debba ritenere \u2013 come credo, in ossequio alle sue fisiologiche caratteristiche di indipendenza ed autonomia \u2013del tutto autonomo anche nella determinazione delle finalit\u00e0 e modalit\u00e0 che caratterizzano i trattamenti da esso effettuati strumentalmente allo svolgimento delle proprie funzioni istituzionali \u2013 qualificandosi perci\u00f2 in rapporto ad essi quale titolare \u2013, questi ultimi possono essere considerati correlati a quelli propri dell\u2019ente sottoposto al controllo, o definitivamente separati da essi?<\/p>\n<p>La risposta a questo interrogativo credo che influisca sulle modalit\u00e0 di attuazione degli adempimenti connessi dalla legge al trattamento e sull\u2019allocazione delle relative responsabilit\u00e0.<\/p>\n<p>Non \u00e8 facile chiarire con certezza questi aspetti, ma credo che alla base delle relative valutazioni debba essere indagata l\u2019esistenza di una eventuale connessione tra le finalit\u00e0 perseguite dall\u2019ente e quelle perseguite dal relativo organismo di vigilanza.<\/p>\n<p>In quest\u2019ottica, possiamo dire che l\u2019ente persegue proprie finalit\u00e0 generali di gestione aziendale e governo societario, che naturalmente comprendono \u2013 presupponendole \u2013 il rispetto delle norme applicabili; l\u2019organo preposto alla vigilanza e al controllo persegue invece finalit\u00e0 investigative e di sorveglianza del rispetto di norme specifiche, che siano anti-crimine o dettate per la regolare gestione dell\u2019ente, individuate <em>a priori <\/em>dalla legge che sancisce l\u2019istituzione e le caratteristiche dell\u2019organismo stesso.<\/p>\n<p>Ma a ben guardare, il rispetto delle norme al cui controllo tali organi sono preposti \u00e8 innanzitutto un obbligo gravante sulla societ\u00e0 oggetto del controllo: questi organi costituiscono strumento \u2013 attivato per legge o volontariamente, a seconda dei casi \u2013 a sostegno della piena attuazione da parte dell\u2019ente di un sistema efficace di controlli interni che garantisca la <em>compliance<\/em>.<\/p>\n<p>Nel contempo, per le sue caratteristiche non pu\u00f2 che essere rimessa all\u2019organo una generale autonomia decisionale sui modi di svolgimento della propria funzione, e pertanto sulle modalit\u00e0 di trattamento dei dati personali oggetto delle proprie attivit\u00e0 di indagine e controllo, compreso il profilo relativo alle misure di sicurezza.<\/p>\n<p>Mi pare che possa dunque rinvenirsi una correlazione strumentale tra i trattamenti propri degli organi di controllo e quelli, imputabili agli enti soggetti al controllo, finalizzati appunto alla <em>compliance<\/em> da parte di questi ultimi.<\/p>\n<p>A favore della correlazione depone anche il fatto che l\u2019organo \u00e8 parte dell\u2019organizzazione aziendale dell\u2019ente, seppure eccezionale con riferimento ai poteri attribuitigli dalla legge ed ai correlati obblighi dell\u2019ente (codificati o indotti dalla esigenza pratica), tra cui quelli fondamentali di garantirgli la necessaria autonomia (risorse, <em>budget <\/em>dedicato) e indipendenza (l\u2019ente agir\u00e0 per individuare, disciplinare e risolvere i possibili conflitti di interesse in vista della designazione dei relativi componenti) ma anche, ad esempio, di definire procedure e altri strumenti di coordinamento dei diversi soggetti deputati allo svolgimento dell\u2019attivit\u00e0 di controllo all\u2019interno dell\u2019ente di riferimento, per evitare disfunzioni e anche per favorire una costruttiva interazione.<\/p>\n<p>Se \u00e8 cos\u00ec, possiamo forse concludere nel senso che l\u2019ente e il relativo organo di vigilanza sono titolari autonomi e correlati dei rispettivi trattamenti finalizzati \u2013 in ultima analisi \u2013 alla <em>compliance <\/em>alle norme applicabili da parte dell\u2019ente; ruoli da cui discendono responsabilit\u00e0 ed oneri distinti in ordine all\u2019adempimento della normativa in materia di protezione dei dati personali.<\/p>\n<p>Da una simile prospettazione conseguono alcune considerazioni in merito alle modalit\u00e0 degli adempimenti connessi ai trattamenti di dati personali svolti dagli organi di vigilanza e controllo: la responsabilit\u00e0 di fornire l\u2019informativa agli interessati in capo all\u2019organismo potr\u00e0 essere assolta <em>in uno <\/em>con la propria dall\u2019ente, che indicher\u00e0 l\u2019organo in questione tra i soggetti da esso utilizzati ai fini di adempimento delle norme (cfr. Provv. Garante 23.3.1998, <a href=\"http:\/\/www.garanteprivacy.it\/web\/guest\/home\/docweb\/-\/docweb-display\/docweb\/40999\">doc. web 40999<\/a>), facendo diretto riferimento alle specifiche finalit\u00e0 investigative e di sorveglianza e controllo proprie dell\u2019organo stesso.<\/p>\n<p>Resteranno invece a totale carico dell\u2019organismo gli altri adempimenti, quali l\u2019adozione di misure di sicurezza adeguate ed efficaci, la nomina di eventuali responsabili, la formazione, istruzione e controllo delle persone fisiche incaricate di eseguire materialmente le operazioni di trattamento, ma anche \u2013 nell\u2019ottica delle nuove norme introdotte dal GDPR \u2013 tutti gli oneri legati all\u2019attuazione dell\u2019<em>accountability<\/em>, in termini sia di obbligo di fare (esemplificativamente, valutazione d\u2019impatto, individuazione ed adozione di prassi per attenuare il rischio oppure \u2013 ove questo non fosse attenuabile \u2013 consultazione dell\u2019Autorit\u00e0 di controllo), sia di rendere conto di ci\u00f2 che si \u00e8 fatto (sempre a titolo esemplificativo, tenuta del registro delle attivit\u00e0 di trattamento e comunque adozione di pratiche interne improntate ai principi di <em>privacy by design e by default<\/em>) perch\u00e9\u00a0 il trattamento attuato sia conforme al GDPR.<\/p>\n<p>Una notazione a parte infine merita lo specifico organismo di vigilanza e controllo istituito dal GDPR: il <em>Data Protection Officer <\/em>(DPO), cui \u00e8 attribuito il compito di assistere il titolare \/ responsabile del trattamento \u201c<em>nel controllo del rispetto del (\u2026) regolamento<\/em>\u201d (cfr. <em>considerando <\/em>97 GDPR) e che \u00e8 dotato dalla legge di caratteristiche di assoluta autonomia e indipendenza nello svolgimento della propria funzione (cfr. spec. art. 38 commi 3 e 6 GDPR).<\/p>\n<p>Non credo che possano sorgere dubbi con riferimento alla relativa collocazione nell\u2019organigramma dei soggetti attivi del trattamento: il DPO infatti \u00e8 palesemente una figura terza rispetto al titolare e al responsabile del trattamento, esplicitamente prevista e regolamentata dalla normativa in materia di protezione dei dati personali come strumento adottabile (obbligatoriamente o volontariamente, a seconda delle circostanze) dall\u2019ente \/ titolare o responsabile del trattamento nel contesto delle azioni finalizzate all\u2019attenuazione del rischio. \u00c8 pertanto una figura di natura eterogenea rispetto a quelle del titolare e del responsabile, in rapporto ai quali si colloca non in posizione alternativa, ma <em>a latere<\/em>.<\/p>\n<p>Certo, anch\u2019esso opera trattamenti di dati personali per l\u2019esercizio del suo ruolo e tanto pi\u00f9 in questo caso \u00e8 indubbiamente rinvenibile, nella correlazione funzionale tra finalit\u00e0 generali dell\u2019ente che si dota di quest\u2019organo (conformit\u00e0 del trattamento al GDPR) e finalit\u00e0 particolari dell\u2019organo stesso (assistenza e controllo della conformit\u00e0 al GDPR), carattere di strumentalit\u00e0.<\/p>\n<p>In questo contesto per\u00f2 all\u2019autonomia ed indipendenza dell\u2019organo nello svolgimento della propria funzione non conseguono responsabilit\u00e0 autonome in termini di trattamento di dati personali: l\u2019obbligo legale di <em>compliance <\/em>al GDPR ricade esclusivamente sul titolare e sul responsabile del trattamento, ed \u00e8 in adempimento di quest\u2019obbligo che \u00e8 dovere del titolare \/ responsabile che si dota del DPO esplicitare in un apposito \u201cincarico\u201d i compiti ad esso assegnati (art. 39 GDPR) e fornirgli \u201c<em>le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica<\/em>\u201d (art. 38, comma 2 GDPR).<\/p>\n<p>Il DPO non assume diretta responsabilit\u00e0 per sanzioni o risarcimenti nei confronti degli interessati per il fallimento dell\u2019ente di riferimento nella propria <em>compliance <\/em>al GDPR (neppure, si deve intendere, se gli inadempimenti sono dipesi da colpa o dolo del DPO; naturalmente in questo caso potranno costituire oggetto di pretese risarcitorie \u201cinterne\u201d da parte dell\u2019ente, a titolo di responsabilit\u00e0 contrattuale): tali responsabilit\u00e0 sono infatti previste dalla legge solo in capo al titolare ed al responsabile del trattamento (artt. 82 co. 1 e art. 83 GDPR).<\/p>\n<p>Insomma, il DPO non costituisce soggetto attivo autonomo di trattamento e i trattamenti attuati dal DPO nello svolgimento del proprio ruolo sono tutti imputabili direttamente all\u2019<em>accountability <\/em>dell\u2019ente di riferimento, cui in ultima analisi sono rimesse le decisioni in ordine alle relative finalit\u00e0 (adempimento dell\u2019obbligo legale di <em>compliance<\/em> al GDPR) e modalit\u00e0 (definizione dell\u2019ampiezza dell\u2019incarico al DPO, iniziative assunte per garantirne indipendenza e autonomia nello svolgimento delle relative funzioni, tra cui le risorse stanziate a questo scopo, nonch\u00e9 \u2013 nei casi di istituzione volontaria \u2013 la stessa decisione di dotarsi di quest\u2019organo).<\/p>\n<p>L\u2019articolazione dell\u2019incarico da parte del titolare\/responsabile diventa dunque il punto di snodo per il coordinamento tra l\u2019autonomia e indipendenza della funzione di vigilanza rispetto al soggetto vigilato e la necessaria riconducibilit\u00e0 delle attivit\u00e0 di trattamento svolte dal DPO nell\u2019alveo di quelle proprie del titolare \/responsabile incaricante.<\/p>\n<p>Dalla suddetta riferibilit\u00e0 alla responsabilit\u00e0 dell\u2019ente incaricante delle attivit\u00e0 di trattamento realizzate dal DPO dovrebbe derivare l\u2019obbligo per l\u2019incaricante di informare tutti i potenziali interessati della nomina e dei poteri di trattamento, indubbiamente connessi alle funzioni di monitoraggio previste dalla legge (spec. art. 39 co. 1 lett. b) e c)), attribuiti al DPO, in aggiunta alla pubblicazione dei dati del DPO obbligatoria ai sensi dell\u2019art. 37 co. 7.<\/p>","protected":false},"excerpt":{"rendered":"<p>\u00c8 stato proposto da Giancarlo Butti, in un suo recentissimo post, l\u2019interessante tema della individuazione del ruolo assunto nel contesto del trattamento di dati personali dagli organismi deputati a funzioni di vigilanza e controllo, che sono per loro natura indipendenti rispetto al soggetto giuridico su cui esercitano tale funzione, anche qualora appartenenti alla sua organizzazione\u2026 <span class=\"read-more\"><a href=\"https:\/\/blog.europrivacy.info\/it\/2017\/01\/09\/italiano-organismi-di-vigilanza-e-controllo-e-ruoli-privacy-valutazioni-generali-e-prime-considerazioni-sui-trattamenti-del-dpo\/\">Leggi tutto &raquo;<\/a><\/span><\/p>\n","protected":false},"author":167,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4,5,2,3],"tags":[39,9,10,60,12,14],"class_list":["post-2138","post","type-post","status-publish","format-standard","hentry","category-data-protection-officer","category-impact-risk-and-measures","category-legal-framework","category-roles-and-liabilities","tag-accountability","tag-data-protection-officer","tag-dpo","tag-gdpr","tag-general-data-protection-regulation","tag-organization"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2138","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/167"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=2138"}],"version-history":[{"count":4,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2138\/revisions"}],"predecessor-version":[{"id":2570,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2138\/revisions\/2570"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=2138"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=2138"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=2138"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}