Gli OdV non possono essere titolari autonomi del trattamento dati

La precisazione del Garante della privacy: “Gli Organismi di Vigilanza non possono essere qualificati neanche come responsabili del trattamento”
“Gli Organismi di Vigilanza non possono essere considerati autonomi titolari del trattamento perché i loro compiti non sono determinati dagli Organismi stessi, ma dall’organo dirigente dell’ente che, nell’ambito del modello di gestione e organizzazione, ne definisce gli aspetti relativi al funzionamento, compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza”.
A ricordarlo è il Garante della privacy che nei giorni scorsi ha espresso il suo parere in merito alla richiesta presentata da un’associazione rappresentativa dei componenti degli Organismi di Vigilanza che, per chi non lo sapesse, sono gli organi ai quali l’ente, la società o l’associazione affida il compito di vigilare sull’osservanza dei modelli di organizzazione e di gestione adottati, allo scopo di prevenire i reati commessi nell’interesse o a vantaggio dell’ente, dai vertici dello stesso o da persone a questi sottoposti.
L’Autorità garante ha evidenziato come per il nuovo regolamento europeo sulla protezione dei dati (Gdpr) il titolare del trattamento dei dati personali è il soggetto che “determina le finalità e i mezzi del trattamento di dati personali”, mentre il responsabile del trattamento è colui che “tratta dati personali per conto del titolare del trattamento”.
Ma non è tutto. Il Garante della privacy ha specificato che l’Organismo di Vigilanza non può essere considerato neanche responsabile del trattamento, considerato che il Gdpr, per quanto riguarda la gestione dei dati svolta per conto del titolare, prevede un serie di obblighi in capo al responsabile del trattamento, come pure la sua diretta responsabilità per l’eventuale inosservanza degli stessi. Al contrario, eventuali omessi controlli sull’osservanza dei modelli predisposti dall’ente non ricadono sull’Organismo di Vigilanza ma sull’ente stesso.
L’Organismo di Vigilanza nel suo complesso non è quindi distinto dall’ente ma è “parte dell’ente”. Compito dell’ente è quello di designare i singoli membri dell’Organismo di Vigilanza come soggetti autorizzati, i quali dovranno attenersi alle istruzioni del titolare.
FONTE: garanteprivacy.it
dati e informazioni personali, garante privacy, gdpr, organismi di vigilanza