OdV e qualifica “privacy”: il caso del whistleblowing

L’organismo di vigilanza nel d.lgs. 231/2001

L’introduzione, con il d.lgs. 231/2001, della responsabilità amministrativa degli enti ha rappresentato una svolta nel panorama della corporate governance italiana, in quanto le società sono divenute passibili di conseguenze penali derivanti da un reato commesso, nell’interesse o a vantaggio dell’ente, da parte di un proprio soggetto, sia questi in posizione apicale o sottoposto a controllo.

Per andare esente da tale responsabilità l’ente è tenuto a vigilare sul funzionamento e sull’osservanza di un modello organizzativo che, efficacemente attuato prima della commissione del crimine, deve essere idoneo a prevenire reati della stessa specie di quello commesso. Tale compito è demandato a un “organismo dotato di autonomi poteri di iniziativa e di controllo”, di aggiornamento del modello stesso e di formazione e gestione dei flussi informativi che risponda a requisiti di autonomia e indipendenza, professionalità e continuità d’azione: l’Organismo di Vigilanza (art. 6, c. 1, lett. b) del d.lgs. 231/2001).

Nello svolgimento della propria attività l’OdV “tratta”, per usare la definizione dell’art. 4, n. 2, del Reg. Europeo n. 679/2016, diversi dati personali, anche di carattere particolare (gli “ex” dati sensibili) e relativi a condanne penali e reati (artt. 9 e 10 Reg. cit.).
L’entrata in vigore del GDPR ha visto il moltiplicarsi di prese di posizione in ordine alla qualificazione soggettiva dell’OdV ai fini dell’inquadramento dello stesso nell’ambito della disciplina della protezione dei dati e, più in generale, della privacy.

La ragione, come anticipato, è abbastanza semplice. Da un lato sono molte le ipotesi di trattamento previste dalla disciplina istitutiva della responsabilità degli enti, come ad esempio:

i flussi informativi previsti dagli “obblighi di informazione nei confronti” dell’OdV, “deputato a vigilare sul funzionamento e l’osservanza dei modelli” (art. 6, c. 2, lett. d) d.lgs. 231/2001);
i risultati delle attività di vigilanza effettuata;
le segnalazioni di fatti che potrebbero configurarsi quali ipotesi di reato imputabili all’ente, anche noti come “whistleblowing”, nell’ambito dei compiti di controllo e vigilanza demandati dalla normativa in esame.

Da un altro lato “l’innovazione”, se così può definirsi, rappresentata dalla scomparsa del c.d. “responsabile interno” operata con il GDPR ha posto gli interpreti nella condizione di dover individuare quale specifico “ruolo” privacy assuma oggi l’Organismo, con il risultato del confronto, ancora non compiutamente risolto, tra diverse impostazioni che, dalla autonoma Titolarità, transitando attraverso la responsabilità ex art. 28 GDPR e la “immedesimazione organica”, giungono a vedute che individuano i singoli componenti dell’OdV come soggetti da autorizzare ex artt. 29 GDPR e 2 – quaterdecies Cod Privacy, seppure di “rango”, se si vuole, particolare.

Il riferimento è, come noto, alle contrapposte tesi, ad esempio:

degli Avv.ti Imperiali, M.R. Perugini, quanto alla titolarità;
a diversi altri quanto alla responsabilità ex art. 28, come Perinu e Zisa;
all’AOdV 231 e al Documento 21 marzo 2019 redatto, con la consulenza dell’ex Garante Privacy Prof. Pizzetti, dall’Avv. Antonetto in relazione alla immedesimazione organica;
infine, a Bolognini e Pelino, tra altre pubblicazioni, anche in Codice di disciplina della Privacy, Giuffrè Francis Lefebvre, 2019, quanto al profilo dell’individuazione dei componenti dell’OdV come soggetti da autorizzare.

Vediamo, in sintesi, queste impostazioni.

OdV titolare del trattamento

Ai sensi del Regolamento Europeo in materia di protezione dei dati personali, il “titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri” (così l’art. 4, n. 7 del GDPR).

È noto, da tempo, come l’indagine sulla concreta determinazione delle finalità e degli strumenti del trattamento (purposes and means) debba valorizzare un approccio funzionale, volto a stabilire quale sia la ragione del trattamento effettuato e chi lo abbia iniziato, al precipuo scopo di individuare chi, in definitiva, abbia una effettiva influenza sugli aspetti decisionali del trattamento (si veda l’ancora attuale Opinion 1/2010 del gruppo di lavoro dei 29, oggi EDPB).

Gli interpreti che inquadrano l’OdV come autonomo titolare del trattamento sottolineano come questo debba necessariamente avere “autonomi poteri di iniziativa e di controllo”, come del resto indicato dall’art. 6, c. 1, lett. b) del d.lgs. 231/2001; di conseguenza, per tali autori, l’espressa previsione di un “potere decisionale del tutto autonomo sulle finalità investigative e di vigilanza e sulle modalità di trattamento, ivi compreso il profilo della sicurezza”, anche in mancanza di un’ autonoma soggettività giuridica in capo all’OdV, confermerebbe che il “potere decisionale” effettivo sui dati personali utilizzati nell’ambito della propria attività, valga a qualificare l’autonoma titolarità dell’OdV, condizione necessaria e imprescindibile per il corretto adempimento degli obblighi e delle attività imposte a tale organo
(R. Imperiali, Whistleblowing e privacy: come trattare i dati “soffiati”nonché in molti altri interventi).

OdV come responsabile del trattamento

Allorché una “persona fisica o giuridica” una “autorità pubblica”, o un “servizio o un organismo” trattino “dati personali per conto di un titolare del trattamento” si è in presenza di un “responsabile del trattamento” (art. 4, n. 8, GDPR e, per l’impostazione generale della questione Controller – Processor, l’Opinion, già citata, 1/2010).

La corrente di pensiero che individua nell’OdV un soggetto con tali qualità, sottolineando alcune incongruenze della tesi che esamineremo al punto successivo ed evidenziando, altresì, l’esistenza di ipotesi in cui l’OdV sia costituito quale organo monocratico oppure abbia una composizione plurisoggettiva, ma “mista” (ossia con componenti anche esterni), ritiene che quest’ultimo debba provvedere a una “nomina” dell’Organismo come “responsabile” giacché le finalità dello stesso non sono autonomamente assunte come potrebbe fare un titolare ma, al contrario, predeterminate, in generale, dal d.lgs. 231/2001 e “declinate, in particolare, dal modello di organizzazione, gestione e controllo adottato dall’organo dirigente” (come sostenuto da M. Barbarossa).

OdV “parte” dell’ente vigilato

L’immedesimazione organica dell’OdV nell’ente vigilato e, pertanto, la non necessità di individuazione dello stesso né in termini di Titolare né di Responsabile e, ancora, nemmeno di soggetto “interno” da autorizzare, sono fatte proprie dall’Associazione dei Componenti degli Organismi di Vigilanza ed D.Lgs. 231/2001 nel paper “sulla qualificazione soggettiva dell’OdV“).

Sul rilievo del “carattere essenzialmente interno dell’OdV rispetto all’ente” e del carattere “autonomo” e “funzionale” delle nozioni di Titolare e di Responsabile come precisate nel GDPR, dopo avere evidenziato limiti e incongruenze delle tesi che prediligono l’attribuzione della titolarità o, al contrario, della responsabilità del trattamento in capo all’OdV, il documento di analisi giunge alla conclusione che l’OdV, “in quanto parte dell’impresa, non sia qualificabile né come Titolare né come Responsabile né, infine, come soggetto “designato” ma, in definitiva, resti “assorbito da quello dell’Ente/società vigilata della quale è parte”.

OdV organo sociale “autorizzato”

I sostenitori di questa tesi, pur non rilevando particolari “criticità concettuali o giuridiche” nell’inquadramento dell’OdV quale titolare del trattamento, ne evidenziano tuttavia la “scomodità”, se assunta tale impostazione, della necessità di adempimenti e incombenze quali la resa dell’informativa agli interessati e delle altre previste dalla normativa e ricadenti sui titolari, con conseguenti inutili, in un certo senso, appesantimenti operativi.

Sottolineando anche la non inquadrabilità dell’Organismo quale Responsabile ex art. 28 GDPR a motivo della “espressa non collocabilità all’esterno dell’ente di tale organismo”, tali autori non condividono nemmeno l’impostazione che tende a immedesimare l’OdV con l’ente stesso per il quale l’Organismo svolge il proprio ruolo.

La “strada del non-ruolo privacy” sarebbe infatti in antitesi con lo spirito generale della normativa in materia di protezione dei dati personali, che tende alla “tutela sostanziale del diritti e delle libertà delle persone fisiche” e, dunque, “alla difesa … sostanziale, da pericoli e rischi per tali diritti e libertà”. Ne deriverebbe l’impasse o, quanto meno, il problema generato dalla difficoltà di istruire e regolamentare il trattamento di dati personali da parte di un soggetto interno ad una realtà aziendale e che pertanto, senza una precisa qualificazione, opererebbe senza i vincoli richiesti dalla normativa.

Poiché chiunque e a qualunque titolo tratti dati personali deve essere debitamente autorizzato e correttamente istruito nel trattamento, a fini di garanzia e tutela del soggetto interessato, dei suoi diritti e libertà, la tesi in esame propende dunque per una specifica autorizzazione a ciascun membro dell’Organismo, che vincoli efficacemente il soggetto attivo del trattamento, seppure con attente cautele dovute allo specifico ruolo rivestito (L. Bolognini, in Codice della Disciplina Privacy, Giuffrè Francis Lefebvre, 2019, pag. 224).

OdV e whistleblowing

Nel quadro di queste brevissime osservazioni non può mancare un cenno al c.d. whistleblowing, il sistema di segnalazione agli organi aziendali, da parte di appartenenti alla stessa, di notizie e informazioni riguardanti possibili comportamenti illeciti.

Si tratta, nello specifico, di assicurare al segnalante la necessaria riservatezza per evitare ritorsioni e, nel contempo, di bilanciare il diritto di accesso da riconoscere al soggetto al quale la “soffiata” (da qui il termine) si riferisce.

Allo stesso tempo è doveroso informare adeguatamente e in modo trasparente i soggetti coinvolti pur mantenendo la necessaria riservatezza delle attività di indagine. Come si vede l’argomento, che non può essere affrontato in questo breve excursus sulle possibili diverse qualificazioni dell’OdV apre interessanti e diversi campi di indagine.
Sul tema si sono espressi sia i garanti europei sia il Garante italiano che, nel parere del 4 dicembre 2019 sullo schema di “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. 165/2001″ ha suggerito una serie di interventi volti a rafforzare la tutela della riservatezza del segnalante in relazione al perimetro della Pubblica Amministrazione.

Articolo di Andrea Broglia, avvocato e componente D&L NET

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

OdV e qualifica “privacy”: il caso del whistleblowing

L’organismo di vigilanza nel d.lgs. 231/2001

OdV titolare del trattamento

OdV come responsabile del trattamento

OdV “parte” dell’ente vigilato

OdV organo sociale “autorizzato”

OdV e whistleblowing

I giovedì dell’AI. Intelligenza artificiale e professione forense – Ciclo di seminari

Il regime giuridico dei dati della sperimentazione critica. Privatizzazione della conoscenza vs scienza aperta

Lo ho-BIT – Andata e Ritorno

Di

Newsletter

NAVIGA

Lecce

Milano

Roma

Biella

Castellammare di Stabia

Lecco