Skip to content

OdV231 autorizzato al trattamento?

I bollettini di House of Data Imperiali sono degli estratti delle Puntate del Servizio di Informazione Giuridica (SIG), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il SIG è fruibile tramite abbonamento.

OdV231 autorizzato al trattamento?

In risposta a una specifica richiesta circa il ruolo soggettivo da assegnare all’Organismo di Vigilanza 231 in base alla disciplina sulla protezione dei dati personali, il Garante privacy ha rilasciato un parere in data 12 maggio 2020, pervenendo a conclusioni che suscitano perplessità.

Sintesi

La vicenda parte da uno studio con relativa opinion rilasciata dall’associazione dei componenti degli OdV231, già oggetto dell’Alert del 9 maggio 2019 e dell’Editoriale del 16 maggio 2019. Successivamente, la stessa associazione ha interpellato il Garante privacy per ottenere un pronunciamento dell’autorità al riguardo. Il parere in commento contiene la posizione del Garante che può riassumersi come segue:

  • L’ambito oggettivo del parere riguarda solo il ruolo assunto dall’OdV e dai suoi componenti in merito ai flussi informativi interni menzionati ai commi 1 e 2 dell’art. 6 del Dlgs. n. 231/2001 (whistleblowing, ad esempio, escluso)
  • In tale contesto l’OdV è considerato organo interno della società privo di una propria “identità” data protection
  • I componenti dell’OdV devono essere autorizzati al trattamento di dati personali (ai sensi degli artt. 29 e 32.4 GDPR) da parte dell’ente titolare
  • Sebbene i componenti, in qualità di autorizzati, debbano attenersi alle direttive e istruzioni loro impartite dalla società titolare, quest’ultima assicura all’OdV «l’autonomia e l’indipendenza rispetto agli organi di gestione societaria nell’adempimento dei propri compiti secondo le modalità previste dalla citata normativa».

Per continuare a leggere questo articolo devi essere abbonato al Servizio di Informazione Giuridica.

Sei già abbonato?