Ricaduta del GDPR sulla legge 231 con riferimento agli Organismi di controllo. Di Maria Bonifacio.

Effetti del GDPR sugli organismi di controllo

 

Come è noto, l’attuale quadro normativo in materia di protezione dei dati personali è stato riformato dal nuovo Regolamento europeo 2016/679, indicato con l’acronimo GDPR.

Nel primo articolo della presente rubrica sulla Responsabilità sociale d’impresa, abbiamo precisato che il nuovo “pacchetto protezione dati” previsto dal GDPR, mira ad adeguare la data protection rispetto all’evoluzione tecnologica che ha determinato un aumento dei flussi transfrontalieri e, quindi, dei dati scambiati tra attori pubblici e privati.

Abbiamo visto come la definizione data protection abbia sostituito il termine privacy tout court, evidenziando un vero e proprio cambio di prospettiva, mediante una tutela più ampia dei diritti dell’interessato; pertanto, essendo aumentata la necessità di una più libera circolazione di dati all’interno della Comunità Europea, si è reso indispensabile un più elevato livello di protezione.

La considerazione emersa prima facie, dunque, è che il Nuovo Regolamento abbia posto obblighi di compliance particolarmente stringenti nei confronti degli operatori che trattano dati personali.

Nel presente articolo cerchiamo ora di indagare la ricaduta del GDPR sui modelli 231 con particolare attenzione all’individuazione del ruolo assunto nel contesto del trattamento di dati personali dagli organismi deputati a funzioni di vigilanza e controllo, che sono per loro natura indipendenti rispetto al soggetto giuridico su cui esercitano tale funzione, anche qualora appartenenti alla sua organizzazione aziendale.

 

Alcuni punti di riflessione…

 

Pensiamo ad esempio all’Organismo di Vigilanza – che, istituito ai sensi del D. Lgs. n. 231/2001, ha funzioni di monitoraggio sul modello organizzativo previsto da tale normativa – e al Collegio sindacale, quest’ultimo, organo preposto alla vigilanza ex post dell’attività sociale in determinati tipi di società…

La legge n. 231/2001 (all’articolo 6.1, lettera b) chiarisce che l’Organismo di Vigilanza, è “un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo” sull’efficace attuazione da parte dell’ente del Modello di Organizzazione, Gestione e Controllo.

Dal canto suo, il Collegio sindacale vigila ai sensi degli articoli n. 2403 e n. 2403-bis del Codice Civile anche mediante atti di ispezione e di controllo che possono essere condotti dai sindaci tramite propri dipendenti ed ausiliari, sull’osservanza della legge e dello statuto, nonché sull’adeguatezza e sul regolare funzionamento dell’assetto organizzativo, amministrativo e contabile della società di cui nel contempo costituisce organo, seppure di vertice.

GDPR: la definizione data protection ha sostituito il termine privacy tout court. Condividi il Tweet

Ci si chiede se tali organi di controllo operino trattamenti autonomi rispetto a quelli della società nei cui confronti esercitano la vigilanza, e pertanto si qualifichino a loro volta come titolari, oppure agiscano in qualità di responsabili nell’ambito di trattamenti riconducibili alla titolarità della società soggetta al controllo.

Ciò che confonde è l’indipendenza – che rappresenta il requisito presupposto dalla legge – di questi organi rispetto all’ente su cui esercitano le loro funzioni, di cui comunque costituiscono emanazione e, quindi, essenzialmente l’assenza di situazioni di conflitto d’interesse e autonomia da ogni forma di interferenza o condizionamento, con particolare riguardo a quelle provenienti dagli organi direttivi.

Tenuto conto poi, che il responsabile del trattamento agisce sempre secondo istruzioni fornite dal titolare nell’ambito di un trattamento le cui finalità e modalità sono definite da quest’ultimo, va da sé che gli essenziali requisiti di indipendenza ed autonomia di questi organismi rispetto al soggetto su cui effettuano la vigilanza rendano incompatibile lo svolgimento della loro funzione tipica con il ruolo di responsabile.

In tale caso, infatti, si verificherebbe necessariamente un inaccettabile conflitto di interessi tra controllante (organismo di vigilanza – responsabile) e controllato (società – titolare).

Altrettanto indubbia è però la circostanza che anche questi organismi, nell’espletamento della loro funzioni, operino trattamenti di dati personali, con riferimento ai quali deve essere garantito il rispetto delle norme.

 

 Approfondiamo

Occorre verificare se tali trattamenti si pongano in relazione di autonomia o connessione con quelli dell’ente alla cui sorveglianza sono preposti.
In altre parole, se consideriamo l’organo di vigilanza (in ossequio alle sue fisiologiche caratteristiche di indipendenza ed autonomia) del tutto autonomo anche nella determinazione delle finalità e modalità che caratterizzano i trattamenti effettuati dallo stesso nello svolgimento delle proprie funzioni istituzionali – qualificandosi perciò in rapporto ad essi quale titolare – tali trattamenti ultimi possono essere considerati correlati a quelli propri dell’ente sottoposto al controllo, o debbono invece essere considerati come separati da essi?

Potremmo ipotizzare che alla base delle relative valutazioni debba essere indagata l’esistenza di una eventuale connessione tra le finalità perseguite dall’ente e quelle perseguite dal relativo organismo di vigilanza.
In quest’ottica, possiamo dire che:

  • l’ente persegue proprie finalità generali di gestione aziendale e governo societario, che naturalmente presuppongono il rispetto delle norme applicabili;
  • l’organo preposto alla vigilanza e al controllo persegue invece finalità investigative e di sorveglianza del rispetto di norme specifiche, che siano anti-crimine o dettate per la regolare gestione dell’ente, individuate a priori dalla legge che sancisce l’istituzione e le caratteristiche dell’organismo stesso.

Andando oltre, notiamo che il rispetto delle norme al cui controllo tali organi sono preposti è innanzitutto un obbligo gravante sulla società oggetto del controllo, per cui questi organi costituiscono strumento – ex lege o volontario a seconda dei casi – a sostegno della piena attuazione da parte dell’ente di un sistema efficace di controlli interni che garantisca la compliance.

Va indagata l’eventuale connessione tra le finalità perseguite dall’ente e quelle perseguite dal relativo organismo di vigilanza. Condividi il Tweet

Allo stesso tempo, va rimessa all’organo una generale autonomia decisionale sui modi di svolgimento della propria funzione, e pertanto sulle modalità di trattamento dei dati personali oggetto delle proprie attività di indagine e controllo, compreso il profilo relativo alle misure di sicurezza.
Sussiste, dunque, una correlazione strumentale tra i trattamenti propri degli organi di controllo e quelli, imputabili agli enti soggetti al controllo, finalizzati appunto alla compliance da parte di questi ultimi.

A sostegno della correlazione depone anche il fatto che l’organo è parte dell’organizzazione aziendale dell’ente. Questo, con riferimento ai poteri attribuitigli dalla legge e ai correlati obblighi dell’ente, siano essi codificati o indotti, tra cui quelli fondamentali di garantirgli la necessaria autonomia (come risorse, budget dedicato) e indipendenza.

L’ente agirà dunque per individuare, disciplinare e risolvere i possibili conflitti di interesse in vista della designazione dei relativi componenti – ma anche, ad esempio, di definire procedure e altri strumenti di coordinamento dei diversi soggetti deputati allo svolgimento dell’attività di controllo all’interno dell’ente di riferimento, per evitare disfunzioni e anche per favorire una costruttiva interazione.

 

In conclusione

 

Detto questo, possiamo forse concludere nel senso che l’ente e il relativo organo di vigilanza sono titolari autonomi e correlati dei rispettivi trattamenti finalizzati – in ultima analisi – alla compliance alle norme applicabili da parte dell’ente; ruoli da cui discendono responsabilità ed oneri distinti in ordine all’adempimento della normativa in materia di protezione dei dati personali.

Da tale ricostruzione concludiamo con alcune considerazioni in merito alle modalità degli adempimenti connessi ai trattamenti di dati personali svolti dagli organi di vigilanza e controllo: la responsabilità di fornire l’informativa agli interessati in capo all’organismo potrà essere assolta unitamente alla propria dall’ente, che indicherà l’organo in questione tra i soggetti da esso utilizzati ai fini di adempimento delle norme, facendo diretto riferimento alle specifiche finalità investigative e di sorveglianza e controllo proprie dell’organo stesso.

Resteranno invece a totale carico dell’organismo gli altri adempimenti, quali:

  • l’adozione di misure di sicurezza adeguate ed efficaci,
  • la nomina di eventuali responsabili,
  • la formazione, istruzione e controllo delle persone fisiche incaricate di eseguire materialmente le operazioni di trattamento
  • ma anche – nell’ottica delle nuove norme introdotte dal GDPR – tutti gli oneri legati all’attuazione dell’accountability, in termini sia di obbligo di valutazione d’impatto, individuazione ed adozione di prassi per attenuare il rischio oppure – ove questo non fosse attenuabile – consultazione dell’Autorità di controllo, che di rendere conto di ciò che si è fatto come la tenuta del registro delle attività di trattamento e comunque adozione di pratiche interne improntate ai principi di privacy by design e by default, perché  il trattamento attuato sia conforme al GDPR.

Maria Bonifacio

Maria Bonifacio
Avvocato Cassazionista • Comunicatore pubblico • Membro Mirme Network • Componente del Comitato di Redazione Lex Familiae. Collegati su Linkedin

Se vuoi seguire i tag di 6MEMES

iscriviti alla nostra NewsLetter!