Pare essere giunta a conclusione la querelle sulla qualificazione soggettiva dell’OdV in ambito privacy. Lo scorso 12 maggio il Garante della Privacy, rispondendo ad un quesito posto dall’Associazione dei Componenti degli Organismi di vigilanza, ha precisato che l’OdV non può considerarsi autonomo Titolare del trattamento con riguardo ai flussi informativi ex art. 6, commi 1 e 2, d.lgs. 231/2001. L’OdV, infatti, è una parte dell’ente e come tale il suo ruolo si esplica nell’ambito dell’organizzazione dell’ente, titolare del trattamento dei dati. Lo stesso ente, in ragione del trattamento dei dati personali che l’esercizio dei compiti e delle funzioni affidate all’OdV comporta (ad esempio, l’accesso alle informazioni acquisite attraverso flussi informativi), designerà - nell’ambito delle misure tecniche e organizzative da porre in essere in linea con il principio di accountability (art. 24 del Regolamento) - i singoli membri dell’OdV quali soggetti autorizzati (artt. 4, n. 10, 29, 32 par. 4 Regolamento; v. anche art. 2-quaterdecies del Codice). Tali soggetti, in relazione al trattamento dei dati degli interessati, dovranno attenersi alle istruzioni impartite dal titolare affinché il trattamento avvenga in conformità ai principi stabiliti dall’art. 5 del Regolamento.
Da ultimo, il Garante precisa che il parere ha ad oggetto solo il ruolo, ai fini privacy, che l’OdV assume con riferimento ai flussi di informazioni rilevanti ai sensi dell’art. 6, commi 1 e 2 del d.lgs. n. 231/2001, rimanendo escluso il nuovo e diverso ruolo che l'organismo potrebbe acquisire in relazione alle segnalazioni effettuate nell’ambito della normativa di whistleblowing (art. 6, comma 2-bis, 2-ter, 2-quater cit., d.lgs. n. 231/2001).
L’OdV non è Titolare del trattamento dei dati ai fini privacy
Pubblicato in Privacy.