Non ci sono precisazioni sul ruolo e le responsabilità dell’Organismo di Vigilanza (ODV) in ambito privacy, alla luce del Regolamento Europeo 2016/679.
È da tempo che si discute sulla possibilità di identificare l’ODV come Responsabile del trattamento ex art. 28 del GDPR, o come contitolare del Trattamento, ma ad oggi il Garante per la privacy non ha dato un parere esplicito sulla questione.
L’ODV, per adempiere alle sue funzioni, ha accesso a tutta una serie di dati personali, giudiziari, o comunque riservati, che farebbero pensare alla necessità di inquadrarlo come responsabile del trattamento, o come contitolare del trattamento.
Essendo, però, l’ODV un ente autonomo, indipendente, dotato di pieni poteri, potrebbe anche essere inquadrato come Titolare autonomo del trattamento.
Partiamo dalla fase di indagine per spiegare il motivo di tale tesi. L’ODV, riceve e classifica informazioni che possono contenere dati sensibili, giudiziari o in altro modo riservati, come già enunciato sopra. Di conseguenza, le informazioni devono essere trattate conformemente alle prescrizioni della normativa in materia di protezione dei dati personali.
Si passa alla seconda fase, “istruzione della notizia”. In questa fase, l’ODV può eventualmente accedere ad ulteriori notizie, anche contattando all’interno dell’ente e senza limitazioni le persone dalle quali ritenga necessario acquisire nuove informazioni. Acquisite tali informazioni aggiuntive, l’ODV le valuta sulla base del valore probatorio dei documenti e delle dichiarazioni, e il loro utilizzo in sede di raccomandazione o di analisi incidentale.
Infine, l’ODV conserva ed archivia i documenti di supporto, sotto la responsabilità del Presidente dell’ODV.
Tutto ciò, farebbe dunque pensare ad un possibile inquadramento dell’ODV come contitolare del Trattamento, ma non bisogna tralasciare i rapporti dell’ODV con i procedimenti penali e le forme di collaborazione con le Autorità Giudiziarie, per poter dare fare un’analisi puntuale sul ruolo dell’ODV in ambito privacy.
L’ODV ha quindi l’obbligo alla riservatezza, alla difesa e al segreto istruttorio, e può conservare i dati non oltre il tempo necessario per il perseguimento delle finalità per le quali i dati sono stati originariamente raccolti o utilizzati.
Sulla base delle considerazioni fatte sin qui, sembrerebbe corretto nominare l’ODV come Titolare autonomo del trattamento, anche alla luce della totale indipendenza nello svolgimento dei propri compiti ai sensi del D.Lgs. 231/2001.
È opportuno precisare, che inquadrando l’ODV come Titolare autonomo del trattamento, questo dovrà a tutti gli effetti adeguarsi al Regolamento europeo 2016/679. L’ODV avrà quindi l’obbligo di informativa (art. 13 GDPR), dovrà richiedere il consenso per il trattamento dei dati personali, dovrà nominare i responsabili e gli incaricati al trattamento (art. 2 – quaterdecies codice privacy).
Il Garante per la Privacy, come già detto in precedenza, non si è espresso in modo esplicito sull’argomento, ma nel Provvedimento del 19 luglio 2018 [9040242], nel fornire un parere “su uno schema di decreto volto a dare attuazione alle disposizioni del D.lgs. 81/08 in materia di tutela della salute e della sicurezza nei luoghi di lavoro, nell’ambito delle articolazioni centrali e periferiche della Polizia di Stato, del Dipartimento dei vigili del fuoco, del soccorso pubblico e della difesa civile, del Corpo nazionale dei vigili del fuoco, nonché delle strutture del Ministero dell’interno destinate per finalità istituzionali alle attività degli organi con compiti in materia di ordine e sicurezza pubblica” afferma che “il sistema delle responsabilità in tema di salute e sicurezza dei lavoratori ivi delineato abbia rilevanza ai soli fini degli adempimenti in materia di salute e sicurezza dei dipendenti, restando salva la titolarità dei relativi trattamenti e l’imputazione delle eventuali conseguenti responsabilità in capo all’amministrazione interessata”.
Di conseguenza appare evidente una propensione verso l’inquadramento dell’ODV, in ambito privacy, come responsabile del trattamento ex art. 28 GDPR, visto che la titolarità dei trattamenti rimane in capo all’amministrazione interessata. In questo caso, non ci sarebbe bisogno di alcuna informativa, o consenso al trattamento dei dati, bensì, un accordo specifico come prescritto dall’art. 28 del Regolamento UE contenente tutte le prescrizioni cautelative.