Componente OdV e DPO: ruoli compatibili?

Accade spesso, nel dibattito tra gli esperti di compliance, di sentire associare la figura dell'Organismo di Vigilanza a quella del Data Protection Officer.

L'Organismo di Vigilanza, come noto, è preposto al controllo sul funzionamento e il rispetto del Modello di Organizzazione, Gestione e Controllo adottato dall'azienda ai sensi dell'art. 6 del Decreto Legislativo 231/2001.

All' OdV deve “essere garantita l’autonomia dell’iniziativa di controllo da ogni forma di interferenza o di condizionamento, come previsto dall’art. 6, lettera b)” in quanto “deve essere dotato di autonomi poteri di iniziativa e controllo” e “deve sempre essere garantita l’autonomia dell’iniziativa di controllo da ogni forma di interferenza o di condizionamento” (cf. SSUU Penali, sent. n. 38343/2014).

Quanto al Data Protection Officer, si tratta di una figura introdotta dal GDPR (Regolamento UE 2016/679), dotata di competenze e conoscenze professionali in ambito protezione dei dati personali.

Il DPO ha il compito di informare e fornire consulenza al titolare del trattamento sugli obblighi derivanti dalla normativa in materia di protezione dei dati personali e di sorvegliare l'osservanza della normativa applicabile e delle politiche del titolare in materia di data protection. Egli, inoltre si occupa di responsabilizzare, sensibilizzare e formare il personale che partecipa ai trattamenti; di fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati; di cooperare con l’autorità di controllo e di fungere da punto di contatto per essa (art. 39 GDPR).

Analogamente a quanto previsto dal d. lgs. 231/01 per l’Organismo di Vigilanza, anche il DPO deve agire in piena indipendenza (considerando 97 del Regolamento UE 2016/679) e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici.

DPO ed OdV condividono pertanto autonomia e indipendenza, nonché le funzioni di supervisione e controllo nei rispettivi ambiti.

Alla luce della possibilità per il DPO di svolgere altri compiti e funzioni all'interno dell'organizzazione aziendale, ci si chiede dunque se quest’ultimo possa ricoprire anche l’incarico di OdV.

Si tratta di un quesito che assume una valenza assai concreta, in particolare per le PMI, che potrebbero avere interesse – per ragioni di contenimento dei costi – ad affidare entrambe le funzioni ad un medesimo soggetto.

In assenza di specifiche indicazioni normative o giurisprudenziali sul punto, la convergenza delle due funzioni su un unico soggetto deve ritenersi – se non vietata – quantomeno inopportuna, per due ragioni.

La prima: le competenze professionali del DPO e dell’OdV non sono necessariamente sovrapponibili. Il primo, infatti, deve avere una conoscenza molto approfondita del GDPR e, più in generale, della normativa in materia di protezione dei dati personali. L’Organismo di Vigilanza, di contro, deve possedere le competenze tecniche specialistiche necessarie allo svolgimento dei compiti di vigilanza sul MOG che gli sono attribuiti. A tal fine sono richieste, anche a livello complessivo nel caso sia organizzato a livello collegiale, conoscenze e competenze di natura tecnica, aziendale ed organizzativa del settore di attività dell’Azienda, nonché la conoscenza delle tecniche di analisi e valutazione dei rischi, della gestione di procedure e di processi aziendali, e competenze giuridiche relative ai reati che il modello intende prevenire ed alle modalità di realizzazione degli stessi.

La seconda: il potenziale conflitto di interessi determinato dalla sovrapposizione delle figura di “controllore” e “controllato”.In tale prospettiva, il Garante ha sottolineato come sia preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell'ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc.). Osservazioni che, a parere di chi scrive, potrebbero essere estese anche all’OdV, in ragione dei requisiti di professionalità autonomia ed indipendenza che gli sono propri.