L'Organismo di Vigilanza (O.d.V.) è la figura prevista dall'art. 6 comma 1 lett. b) del d.lgs. 231/2001 che, come noto, disciplina la responsabilità amministrativa degli enti dipendenti da reato

Organismo di Vigilanza e normativa sul Whistleblowing

[Torna su]

L'Organismo di Vigilanza (O.d.V.) è la figura prevista dall'art. 6 comma 1 lett. b) del d.lgs. 231/2001 che, come noto, disciplina la responsabilità amministrativa degli enti dipendenti da reato.

In estrema sintesi, il Decreto 231 prevede che l'ente vada esente da responsabilità se prova:

a) di aver adottato ed efficacemente attuato, prima della commissione dell'illecito, un modello di organizzazione, gestione e controllo, idoneo a prevenire reati della specie di quello verificatosi;

b) di aver affidato il compito di vigilare sul funzionamento e l'osservanza del modello stesso, nonché di curare il relativo aggiornamento, ad un organismo dell'ente dotato di autonomi poteri di iniziativa e controllo, l'O.d.V, appunto;

c) che la commissione del reato è stata resa possibile dall'elusione fraudolenta del modello;

d) che non vi è stata omessa o insufficiente vigilanza da parte dell'O.d.V.

La Legge 30 novembre 2017 n. 179 "Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell'ambito di un rapporto di lavoro pubblico o privato" (c.d. Whistleblowing, letteralmente "suonare il fischietto") ha, poi, introdotto alcune modifiche al citato art. 6 d.lgs. 231/2001, prevedendo che il modello organizzativo debba individuare uno o più canali per la presentazione, a tutela dell'integrità dell'ente, di segnalazioni di condotte illecite e reati, nonché di violazioni delle procedure dettate dal modello stesso, di cui il segnalante sia venuto a conoscenza in ragione delle proprie funzioni. Tali canali di segnalazione in primis devono garantire la riservatezza dell'identità del segnalante, anche al fine di porlo al riparo da possibili condotte ritorsive (es. licenziamento, mobbing, ecc.).

Pur non essendo normativamente esplicitato, è chiaro che tra i destinatari "privilegiati" delle segnalazioni vi sia proprio l'O.d.V. in considerazione del ruolo di vigilanza al medesimo attribuito.

Con il Decreto Legislativo 10 marzo 2023 n. 24 l'Italia ha, da ultimo, recepito la Direttiva Europea 2019/1937 in tema di Whistleblowing. La norma di nuovo conio ha il dichiarato intento di disciplinare la protezione delle persone che segnalano violazioni di disposizioni normative nazionali o europee che ledono l'interesse pubblico o l'integrità dell'amministrazione pubblica o dell'ente privato, violazioni di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato (cfr. art. 1 comma 1 d.lgs. 24/2023).

Il ruolo dell'OdV quale incaricato del trattamento dei dati personali

[Torna su]

Il Garante per la Protezione dei dati personali, con il proprio Parere reso il 12 maggio 2020, ha chiarito il ruolo dell'O.d.V. a seguito dell'entrata in vigore del Regolamento UE 2016/679 (General Data Protection Regulation o GDPR), in relazione al trattamento dei dati personali che l'Organismo è chiamato a svolgere nell'assolvimento dei propri compiti di vigilanza e controllo previsti dall'art. 6 comma 1 lett. b) d.lgs. 231/2001.

Il Garante, nel citato Parere, ha ripercorso sinteticamente i concetti di Titolare e di Responsabile del trattamento, come definiti dall'art. 4 GDPR: il Titolare determina le finalità e i mezzi del trattamento di dati personali; il Responsabile tratta dati personali per conto del Titolare.

Inoltre, sebbene il GDPR non disciplini espressamente la figura dell'Incaricato del trattamento, tale ruolo si considera implicitamente rivestito dalle "persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile" (v. la definizione di "terzo" all'art. 4 n. 10 GDPR).

Completa tale quadro il d.lgs.196/2003 "Codice in materia di trattamento dei dati personali", come modificato dal d.lgs. 101/2018 (di adeguamento della normativa interna in materia di privacy a quella di matrice europea introdotta dal GDPR): l'art. 2-quaterdecies prevede, infatti, che il Titolare o il Responsabile del trattamento deleghino, sotto la propria responsabilità, specifici compiti e funzioni connessi al trattamento di dati personali a persone fisiche, all'uopo espressamente individuate e designate, che operano sotto l'autorità del Titolare o del Responsabile stesso.

In considerazione delle definizioni dei ruoli privacy poc'anzi sintetizzate, in uno alla circostanza che i compiti dell'O.d.V. discendono ex lege dall'incarico al medesimo conferito dall'ente ai sensi dell'art. 6 comma1 lett. b) d.lgs. 231/2001, il Garante è giunto alla conclusione che l'O.d.V. nell'ambito delle proprie funzioni di controllo, rivesta il ruolo di Incaricato del trattamento, operando, quindi, come soggetto designato e autorizzato dal Titolare - ente vigilato ai fini dello svolgimento di compiti attinenti al trattamento dei dati personali.

Conseguentemente, l'Organismo con riferimento, ad esempio, alle informazioni ricevute nell'ambito dei cc.dd. flussi informativi con l'ente (di cui all'art. 6 comma 2 lett. d) d.lgs. 231/2001) dovrà attenersi scrupolosamente alle indicazioni sul trattamento fornite dall'ente stesso, agendo, infatti, sotto l'autorità del Titolare che lo ha nominato. Tali indicazioni dovranno, in ogni caso, consentire all'O.d.V. di mantenere quella indipendenza e quella autonomia richiesti dal ruolo assegnatogli dal Decreto 231.

Del resto, l'O.d.V. non potrebbe essere considerato alla stregua di un Responsabile del trattamento. Infatti, per specifica previsione normativa non è distinto dall'ente, ma fa parte dell'ente stesso (v. l'art. 6 comma 2 lett. b) d.lgs. 231/2001 che si riferisce a un organismo dell'ente dotato di autonomi poteri di iniziativa e controllo), dunque non è un soggetto a sé stante rispetto al Titolare e che opera per conto di quest'ultimo.

Il Responsabile del trattamento, peraltro, è una figura che, a norma degli artt. 28 e ss. GDPR, assume una propria responsabilità in ordine alla messa in atto di misure tecniche e organizzative adeguate a garantire che il trattamento dei dati personali sia conforme alle previsioni dettate dal Regolamento UE 2016/679, nonché ad assicurare la tutela dei diritti degli interessati.

Ciò contrasta col ruolo dell'O.d.V. nell'ambito del sistema 231: l'inosservanza del modello e l'omessa sorveglianza sullo stesso non comportano, infatti, conseguenze dirette per l'O.d.V. (se non sul piano civilistico, rilevando eventualmente un inadempimento contrattuale rispetto all'incarico conferitogli dall'ente). Inosservanza del modello e omesso controllo sulla relativa implementazione hanno, invece, ricadute dirette sull'ente che non beneficerà dell'esenzione dalla responsabilità per l'illecito amministrativo dipendente da reato commesso nel suo interesse o a suo vantaggio.

Ruolo dell'OdV nel trattamento delle segnalazioni dei Whistleblowers

[Torna su]

Il Garante per la Protezione dei dati personali ha espressamente escluso dall'ambito del citato Parere ogni considerazione in ordine al "nuovo e diverso ruolo che l'organismo potrebbe acquisire in relazione alle segnalazioni effettuate nell'ambito della normativa di whistleblowing".

Tale lacuna è stata oggi colmata dal legislatore con il d.lgs. 24/2023 che introduce una norma ad hoc volta a disciplinare gli aspetti inerenti al trattamento dei dati personali in relazione alle segnalazioni di violazioni.

L'art. 13 comma 1 d.lgs. 24/2023 dispone che ogni trattamento deve essere effettuato in conformità col GDPR.

Al comma 4 è poi specificamente previsto che i trattamenti dei dati personali relativi al ricevimento e alla gestione delle segnalazioni sono effettuati dai soggetti designati in qualità di Titolari del trattamento.

Ciò sta a significare, per quanto qui di interesse, che l'O.d.V., laddove sia stato individuato quale destinatario delle segnalazioni di violazioni ai sensi della normativa in materia di Whistleblowing, opererà quale autonomo Titolare del trattamento (e non già, come visto sopra, quale Incaricato) allorquando processi dati personali in dipendenza alla segnalazione ricevuta.

L'Organismo dovrà, quindi, individuare e implementare tutte le misure tecnico-organizzative atte a garantire che il trattamento di dato personali sia effettuato in conformità al GDPR, nonché ad assicurare un livello di sicurezza del trattamento adeguato al rischio (artt. 24 e 32 GDPR). Dovrà, inoltre, essere in grado di dimostrare l'avvenuta adozione di tali misure e la relativa adeguatezza (principio di c.d. accountability, v. art. 5 § 2 GDPR).

In particolare, l'O.d.V. - Titolare del trattamento dovrà attuare misure di sicurezza idonee a tutelare la riservatezza del segnalante in uno all'integrità e alla confidenzialità dei dati personali che formano oggetto di segnalazione.

È previsto, inoltre, che gli enti pubblici o privati tenuti ad adeguarsi alla normativa in parola (cfr. artt. 2 e 3 d.lgs. 24/2023) debbano svolgere la Valutazione di impatto sulla protezione dei dati prescritta dall'art. 35 GDPR (art. 13 comma 6 d.lgs. 24/2023).

Il nuovo Decreto sul Whistlebowing disciplina, poi, espressamente la conservazione della documentazione relativa alle segnalazioni, con particolare riguardo alla relativa durata indicata in "non oltre cinque anni a decorrere dalla data della comunicazione dell'esito finale della procedura di segnalazione" (art. 14 d.lgs. 24/2023).


Foto: 123rf.com
Altri articoli che potrebbero interessarti:
In evidenza oggi: