Le indagini dell’Organismo di Vigilanza ed il ruolo del Dpo
Nell’articolo “Le indagini condotte dal Dpo nel rispetto del principio di minimizzazione” è stato trattato il tema delle invasività delle indagini del Dpo, che deve mediare tra la ricerca di informazioni e l’applicazione del principio della minimizzazione. Tale soggetto non è però l'unico organo chiamato, in particolari circostanze, ad effettuare delle indagini; tale compito spetta anche, ma non solo, all’ Organismo di vigilanza, come previsto dal D.lgs 231/2001 - Responsabilità amministrativa delle società e degli enti - nell'esercizio delle funzioni che gli sono proprie. Valgono quindi, anche per tale ente, le considerazioni che sono già state formulate, oltre ad alcuni elementi aggiuntivi che è opportuno mettere in luce, i quali saranno trattati in questo articolo, che è da considerare la logica prosecuzione del precedente.
(Nella foto: l'Ing. Monica Perego, membro del Comitato Scientifico di Federprivacy)
Anzitutto occorre mettere in evidenza alcune considerazioni in merito alla riservatezza delle informazioni di cui vengono a conoscenza anche i membri dell’Organismo, oltre al Dpo. Tale vincolo di riservatezza è riportato nel mandato che i soggetti (Dpo e membri Odv) ricevono, sempre garantendo la sostanziale indipendenza di tali enti dal vertice dell'organizzazione, affinché possano svolgere appieno le loro funzioni. Tale condizione è espressamente prevista in:
- REG. EU 2016/679 - Art. 38 “…5. Il responsabile della protezione dei dati è tenuto al segreto o alla riservatezza in merito all'adempimento dei propri compiti, in conformità del diritto dell'Unione o degli Stati membri….”;
- D.lgs 231/2001 - Art. 6. “… 2bis …riservatezza dell'identità del segnalante nelle attività di gestione della segnalazione; … almeno un canale alternativo di segnalazione idoneo a garantire, con modalità informatiche, la riservatezza dell'identità del segnalante…”.
Molto più raramente viene posta attenzione alle modalità con le quali i membri dell’Organismo devono trattare i dati, e ciò non è corretto.
Si ricorda infatti che nel maggio 2020 il Garante nel parere avente come oggetto la qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall’art. 6, d.lgs. 8 giugno 2001, n. 231, ha specificato che “…Lo stesso ente, in ragione del trattamento dei dati personali che l’esercizio dei compiti e delle funzioni affidate all’OdV comporta …, designerà … i singoli membri dell’OdV quali soggetti autorizzati … Tali soggetti, in relazione al trattamento dei dati degli interessati, dovranno attenersi alle istruzioni impartite dal titolare affinché il trattamento avvenga in conformità ai principi stabiliti dall’art. 5 del Regolamento….”.
Tali istruzioni, eventualmente supportate da esempi, devono vertere sulle misure da applicare per poter attuare il corretto bilanciamento tra l’invasività delle indagini e l'applicazione del principio della minimizzazione.
Sono infatti diversi i reati, rientranti nel perimetro del D.lgs 231/2001, che possono comportare, nel corso di indagini mirate, il trattamento di dati particolari di uno o più soggetti interessati. Tra quelli che più facilmente vi si espongono - elenco da non considerarsi esaustivo - vi sono:
- Delitti informatici e trattamento illecito di dati (Art. 24-bis, D.Lgs. n. 231/2001);
- Peculato, concussione, induzione indebita a dare o promettere utilità, corruzione e abuso d’ufficio (Art. 25, D.Lgs.n.231/2001);
- Pratiche di mutilazione degli organi genitali femminili (Art. 583-bis c.p.) (Art. 25-quater.1, D.Lgs. n. 231/2001);
- Delitti contro la personalità individuale (Art. 25-quinquies, D.Lgs. n. 231/2001);
- Reati di omicidio colposo e lesioni colpose gravi o gravissime, commessi con violazione delle norme antinfortunistiche e sulla tutela dell’igiene e della salute sul lavoro (Art. 25-septies, D.Lgs. n. 231/2001);
- Impiego di cittadini di paesi terzi il cui soggiorno è irregolare (Art. 25-duodecies, D.Lgs. n. 231/2001)
- Razzismo e xenofobia (Art. 25-terdecies, D.Lgs. n. 231/2001).
L’OdV, in modo analogo a quanto attiene al Dpo, potrebbe avere la necessità di approfondire situazioni specifiche a seguito di:
- informazioni provenienti da flussi informativi (sia su base temporale che ad evento);
- criticità/non conformità emerse nel corso di audit (non necessariamente condotti dall’OdV) o nel corso di indagini condotte da terze parti, per gli approfondimenti del caso e per avviare i necessari trattamenti e le eventuali azioni correttive;
- segnalazioni all’ODV/whistleblowing, segnalazioni di illeciti di interesse generale e non individuale (come indicato nel sito dell’ANAC);
- risultati di scambi con altri enti preposti al controllo, come ad esempio i Revisori o il DPO.
Le indagini possono comportare il trattamento dei dati non solo di chi è oggetto di indagine in seguito alla segnalazione di un comportamento delittuoso, ma anche di eventuali vittime del reato, come ad esempio per i reati relativi a razzismo e xenofobia o quelli riguardanti l’impiego di cittadini il cui soggiorno è irregolare.
Sarebbe opportuno che in questi casi i membri dell'Organismo di vigilanza richiedessero un parere, ovviamente non vincolante, al Dpo, circa il modo più opportuno di comportarsi.
Quest'ultimo infatti, in virtù dell'articolo 39 a) del REG. Eu 2016/679 è chiamato a “…informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento …”. Per estensione si può intendere che il supporto che il Dpo deve fornire, possa essere esteso a tutti i soggetti che trattano dati per conto del Titolare., indipendentemente dalla forma contrattuale in essere. Nelle istruzioni fornite ai membri dell’OdV, come richiesto dal Garante nel parere precedentemente citato, dovrebbe essere illustrata tale possibilità, anzi i membri dell’OdV dovrebbero essere invitati, in tali frangenti, a consultare il Dpo.
Non è questo l'unica circostanza nella quale è opportuno un confronto tra il Dpo ed i membri dell’ODV, ma tale situazione, laddove presente, merita di essere indagata in modo puntuale.
In alcuni casi le indagini potrebbero essere condotte, su mandato dell'Organismo, da soggetti terzi esterni quali consulenti/specialisti o collaboratori interni dell’Organizzazione incaricati di fornire un supporto specialistico. Vale anche per tali soggetti l'applicazione dei principi di cui sopra e quindi l’incarico che deve essere predisposto, oltre a riportare l’obbligo alla riservatezza, deve anche fornire istruzioni per l’applicazione del principio della minimizzazione nel corso delle indagini e degli approfondimenti che sono chiamati a svolgere.
Altri aspetti da considerare, sempre nell’ambito delle indagini, riguardano l’informativa per tutti gli interessati; essa deve specificare che:
- tra le finalità del trattamento deve esserci anche quella relativa all'attività di indagine da parte di organismi di controllo incaricati (come OdV, Dpo, Revisori, ecc.);
- tra i soggetti che ricevono i dati vi sono anche i membri degli organismi di controllo incaricati o professionisti da questi incaricati;
- i tempi di conservazione dei dati trattati potrebbero coprire tutto l’arco di tempo durante il quale l’Organismo/Dpo/Revisori è in carica (di norma tre anni) e prolungarsi per un tempo ragionevole (ad esempio altri 3 anni) in modo da permettere la continuità con il successivo Organismo/Dpo/Revisori.
In sintesi quindi, tutte le volte l’Organismo di vigilanza è chiamato ad effettuare indagini e/o approfondimenti che riguardano o potrebbero riguardare dati personali e/o particolari specifici degli interessati dovrebbe essere valutato, a monte, anche il coinvolgimento del Dpo, ferma restando l’indipendenza dello stesso ente; inoltre è necessaria la garanzia che gli interessati siano informati circa i soggetti incaricati di trattare i loro dati, e delle finalità di tali azioni.
