Il Garante per la protezione dei dati personali (Garante Privacy) ha recentemente adottato un parere in materia di “Qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall’art. 6, D.Lgs. 8 giugno 2001, n. 231” a fronte di un quesito presentato al Garante da parte dell’Associazione degli Organismi di Vigilanza ex D.Lgs. 231/2001. Limitando il parere al solo ruolo che l’Organismo di Vigilanza (OdV) assume con riferimento ai flussi informativi che allo stesso arrivano dalle funzioni aziendali, il Garante Privacy ha precisato che “si ritiene che l’OdV, pur essendo dotato di autonomi poteri di iniziativa e controllo, non possa essere considerato autonomo titolare del trattamento considerato che i compiti di iniziativa e controllo propri dell’OdV non sono determinati dall’organismo stesso, bensì dalla legge che ne indica i compiti e dall’organo dirigente che nel modello di organizzazione e gestione definisce gli aspetti relativi al funzionamento compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza”. La conclusione del parere, in particolare, è che il ruolo dell’OdV “si svolge nell’ambito dell’organizzazione dell’ente, titolare del trattamento, che, attraverso la predisposizione dei modelli di organizzazione e di gestione, definisce il perimetro e le modalità di esercizio di tali compiti” e che “non può prescindersi dalla necessità di definire anche il ruolo che, in base alla disciplina in materia di protezione dei dati personali, deve essere previsto per i singoli membri che lo compongono. Lo stesso ente, in ragione del trattamento dei dati personali che l’esercizio dei compiti e delle funzioni affidate all’OdV comporta (ad esempio, l’accesso alle informazioni acquisite attraverso flussi informativi), designerà – nell’ambito delle misure tecniche e organizzative da porre in essere in linea con il principio di accountability – i singoli membri dell’OdV quali soggetti autorizzati”.
